La irrupción de las gafas con integración de inteligencia artificial (IA), como Ray-Ban Meta, está transformando nuestros hábitos tecnológicos y sociales al ofrecer funciones avanzadas como asistentes virtuales de voz, grabación discreta de audio y vídeo, conexión a la nube y reconocimiento facial. Sin embargo, junto a sus ventajas, estos dispositivos presentan significativos desafíos jurídicos. Es imprescindible analizar los riesgos y obligaciones en materia de privacidad, protección de datos personales, responsabilidad penal, derechos laborales y defensa de derechos fundamentales según la normativa y doctrina vigente.
Tratamiento de datos personales
Toda captación, grabación o difusión de imágenes o sonidos de personas identificables realizada con gafas inteligentes se considera tratamiento de datos personales, sometido al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Tanto la imagen como el sonido recogidos a través de estos dispositivos son datos personales, con independencia del método o tecnología empleada.
Esto implica para los responsables del tratamiento los siguientes deberes:
- (i). Ajustar el tratamiento a los principios de licitud, transparencia, minimización, exactitud, limitación de la finalidad y plazo de conservación.
- (ii). Proveer información clara y visible a los afectados. En el caso de videovigilancia tradicional, se exigen carteles y dispositivos informativos situados en un lugar visible. Las gafas inteligentes, como las Ray-Ban Meta, pueden vulnerar este deber si la luz indicadora de grabación no es suficientemente perceptible, permitiendo grabaciones no consentidas ni advertidas, lo que supone una infracción tanto administrativa como penal.
En el caso de que la función de las gafas incluya sistemas de reconocimiento facial automatizado u otros elementos biométricos, el régimen de licitud es mucho más estricto. El tratamiento de datos biométricos requiere:
- (i). Base legitimadora reforzada y excepcional (habitualmente, la mera obtención del consentimiento es insuficiente, especialmente en entornos laborales).
- (ii). Realización de una evaluación de impacto en protección de datos (EIPD).
- (iii). Justificación de necesidad, proporcionalidad y garantías adicionales de transparencia. El uso masivo de biometría o reconocimiento facial en espacios públicos, salvo excepciones limitadísimas, se considera incompatible con la normativa vigente y está prohibido expresamente por el Reglamento Europeo de Inteligencia Artificial (RIA) cuando persigue la inferencia emocional, la clasificación por datos especialmente protegidos o la creación de bases masivas de reconocimiento facial.
Consentimiento, transparencia y limitación del uso
El tratamiento será legítimo únicamente si se apoya en una base jurídica válida: consentimiento expreso, ejecución de contrato, obligación legal, intereses vitales, interés público o interés legítimo debidamente ponderado. En contextos donde el consentimiento es inviable o viciado (por ejemplo, relaciones laborales o situaciones de desigualdad), debe buscarse una base alternativa válida y justificada.
El usuario de gafas inteligentes debe ser consciente no sólo de las grabaciones sino también de la existencia de almacenamiento en la nube, cesión a terceros, generación de perfiles o posibles usos para el entrenamiento de algoritmos e IA. A falta de políticas claras y transparentes sobre el ciclo de vida de los datos, finalidad del tratamiento y derechos de los interesados, se produce una vulneración directa del deber de transparencia exigido por el RGPD y la LOPDGDD.
En particular, el tratamiento de metadatos (ubicación, hábitos de uso, interacción social) requiere igualmente información específica, posibilidad de oposición y ejercicio de derechos (acceso, rectificación, supresión, portabilidad y oposición).
Medidas de seguridad y responsabilidad
El almacenamiento de datos en la nube aumenta el riesgo de brechas de seguridad y acceso no autorizado. Fabricantes y usuarios están obligados, según la normativa vigente, a aplicar medidas técnicas y organizativas adecuadas (cifrado, control de accesos, auditoría, medidas contra ciberataques) que prevengan el acceso y uso ilícito de los datos personales. La ausencia o insuficiencia de estas medidas puede resultar en responsabilidad administrativa o civil frente a los afectados y sanciones severas de la autoridad de control.
Ámbito penal
La grabación, uso o difusión de imágenes o sonidos de terceros mediante artificios técnicos, sin su consentimiento y considerando la escasa o nula advertencia perceptible, puede constituir un delito de descubrimiento y revelación de secretos (art. 197 Código Penal). La responsabilidad se agrava si los datos afectan a menores, personas vulnerables o si existe finalidad lucrativa. La simple transmisión o cesión de grabaciones obtenidas ilícitamente puede constituir otro delito independiente.
Contexto laboral
El empleo de gafas inteligentes en el ámbito laboral impone la obligación adicional de respetar la intimidad, salvaguardar la privacidad de los trabajadores y limitar la monitorización o videovigilancia a supuestos justificados, informando de modo claro a empleados y representantes. Está prohibida la grabación en espacios de descanso y cualquier forma de control permanente, invasivo o carente de base jurídica suficiente. En el caso de recogida de datos biométricos para control de presencia, el consentimiento se presume viciado, debiéndose buscar medidas alternativas menos intrusivas.
Nuevas obligaciones legales
Desde agosto de 2024 está vigente el Reglamento Europeo de Inteligencia Artificial (RIA), plenamente aplicable en agosto de 2026. Este reglamento impone:
- (i). El principio de «alfabetización en IA»: los proveedores y usuarios deberán contar con la formación y comprensión mínimas para asegurar un uso seguro de estos sistemas.
- (ii). Evaluación de riesgos antes de la puesta en marcha y análisis sobre si el dispositivo constituye un sistema de «alto riesgo» (p. ej., sistemas biométricos, decisiones automatizadas sobre individuos).
- (iii). Prohibición de determinadas prácticas de IA, como la inferencia de emociones o categorización biométrica con fines ajenos a salud o seguridad debidamente motivadas.
- Obligaciones reforzadas en materia de transparencia, información al usuario y supervisión humana.
El incumplimiento de estas obligaciones puede conllevar la retirada de los productos del mercado y cuantiosas sanciones.
Recomendaciones y buenas prácticas
A la luz de los riesgos destacados y la normativa aplicable;
- Implantar la privacidad desde el diseño: los fabricantes deben incorporar desde el inicio mecanismos que garanticen la privacidad, minimicen la recogida de información innecesaria y limiten el acceso.
- Información clara y advertencias visibles: deben existir mecanismos informativos efectivos para advertir a terceros sobre la posible grabación.
- Consentimiento expreso para grabaciones y biometría: solo se deben realizar estos tratamientos en contextos excepcionales y perfectamente informados.
- Evaluación de impacto y consulta a la autoridad de control: deben realizarse EIPD antes del despliegue en escenarios de alto riesgo.
- Medidas de seguridad reforzadas para almacenamiento y transmisión: la seguridad debe ser prioritaria, especialmente dada la vulnerabilidad inherente al almacenamiento en la nube y la posibilidad de accesos remotos.
- Respeto de los límites en ámbitos sensibles y laborales: evitar el uso de estas herramientas en espacios privados, sensibles o de descanso, y consultar siempre a la representación legal de los trabajadores antes de implementar tecnologías de monitorización o control.
- Revisión regular y actualización de políticas de privacidad y seguridad: los fabricantes y usuarios deben mantenerse actualizados ante los rápidos avances normativos, especialmente respecto al Reglamento IA y la jurisprudencia citada.
Shameem Hanif Truszkowska
Vilá Abogados
Para más información, contacte con: va@vila.es
2 de enero de 2026
