Gestionar la implementación de la IA y asimilar los nuevos retos legislativos son los desafíos que afrontan empresas y DPO

El Día Europeo de la Protección de Datos es una fecha proclamada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los Estados miembros de la Unión Europea (UE), desde el año 2008. El objetivo de este día, en el que se organizan eventos en toda la UE, es el de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.

Economist & Jurist ha contactado con las asociaciones más vinculadas a la protección de datos, como son ENATIC, abogados digitales, APEP, expertos en privacidad Data Privacy Institute, punto de encuentro de DPO y la Asociación de Internautas, preocupados por los ciudadanos y sus derechos digitales.

La llegada de la inteligencia artificial (IA) y su impacto en los datos personales de los ciudadanos, y el marco normativo, cada vez más complejo, aparecen como preocupaciones comunes.

Belen Arribas, presidenta de ENATIC, destaca que “los abogados expertos en privacidad en España tienen el reto continuo de conocer todas las novedades que se publican, tanto doctrinales como informes de la Agencia Española de Protección de Datos (AEPD) o del Comité Europeo de Protección de Datos (CEPD). Ahora preocupa especialmente el enfoque que hace la agencia de los datos biométricos tras la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos y las recientes resoluciones sancionadoras publicadas”.

Belén Arribas señala que «los abogados expertos en privacidad en España tenemos ante sí el reto continuo de conocer todas las novedades que se publican, tanto doctrinales como informes de la AEPD o del CEPD». (Imagen: ENATIC)

A su juicio, “las empresas que implementan IA suelen procesar grandes cantidades de datos, incluidos datos personales y sensibles. Esto requiere una mayor responsabilidad en cuanto a su almacenamiento, seguridad y legalidad en el tratamiento. Al mismo tiempo deben realizar evaluaciones de impacto en la protección de datos (EIPD) antes de implementar sistemas de IA que puedan generar riesgos significativos”.

En opinión de Arribas, “los sistemas de IA pueden ser vulnerables a ataques que busquen manipular los modelos o robar información personal. Las empresas deben reforzar sus estrategias de ciberseguridad, incluyendo técnicas de encriptación, anonimización y controles de acceso avanzados”.

Para Arribas junto con las exigencias generadas por la evaluación de impacto y la gestión de brechas de seguridad, “otro elemento exigente para las empresas y expertos en privacidad, son las evaluaciones de impacto en derechos fundamentales (FRIAS) que trae el Reglamento de IA para ciertos casos de despliegue de sistemas de inteligencia artificial de riesgo alto”.

“De estas últimas ahora empezamos a conocer algunos modelos y metodologías, pero la Comisión Europea o la Oficina de la IA aún no han elaborado el modelo que la misma legislación prevé”, comenta Arribas.

Sobre la nueva presidencia de la AEPD, que tendrá un relevo en los próximos días, esta jurista indica que “tendrá que adaptarse a las tecnologías emergentes y el abordaje de los desafíos que plantean tecnologías como la inteligencia artificial, la neurotecnología y el tratamiento de neurodatos, garantizando que su desarrollo y aplicación respeten los derechos fundamentales de las personas”.

En su opinión, “la Agencia debe continuar fortaleciendo sus esfuerzos en la protección de datos de menores y otros grupos vulnerables, especialmente en el entorno digital, promoviendo un uso seguro y responsable de las tecnologías”.

Al mismo tiempo “deberá seguir en los esfuerzos de formación y concienciación: impulsar programas de formación y sensibilización dirigidos a empresas, especialmente pymes, y al público en general, para fomentar una cultura de protección de datos sólida y consciente”.

El próximo relevo en la Agencia Española de Protección de Datos es otra cuestión que preocupa a los expertos en privacidad y abogados. (Imagen: AEPD)

Hay que formarse continuamente

Marcos Judel, presidente de la Asociación Profesional Española de Privacidad (APEP), considera que “uno de los grandes retos es la necesidad constante de formación y actualización de conocimientos, dada la ‘hiperregulación’ a la que nos enfrentamos, especialmente en relación con la protección de datos, seguridad e inteligencia artificial”.

“Los expertos en privacidad no solo deben mantenerse al día, sino también desarrollar una visión estratégica que les permita ayudar a las empresas a conjugar crecimiento económico y cumplimiento legal. Además, preocupan temas como las transferencias internacionales de datos, la implementación efectiva del principio de responsabilidad activa y los desafíos derivados de regulaciones emergentes, como el plazo para adaptarse al Reglamento IA, a DORA o a NIS2”, comenta Judel.

Para este experto, “el desarrollo de la inteligencia artificial obliga a las empresas a repensar sus políticas de protección de datos desde el diseño, especialmente ante el plazo establecido por el Reglamento de IA, que será de aplicación a partir del verano de 2026. Es crucial que las organizaciones comiencen cuanto antes a inventariar los sistemas de IA que están utilizando, ya sea de forma directa o indirecta, muchas veces sin ser plenamente conscientes de ello”.

“En este contexto, los profesionales de la privacidad y los Delegados de Protección de Datos (DPD) desempeñan un papel clave. Son quienes pueden liderar el proceso de identificar estos sistemas, establecer políticas transparentes y éticas, y realizar los análisis de riesgos o las evaluaciones de impacto en IA, especialmente cuando estos sistemas afectan a datos personales. Su labor será fundamental para garantizar el cumplimiento normativo, proteger los derechos de los interesados y minimizar los riesgos legales y reputacionales para las empresas”, destaca.

En cuanto a las obligaciones de los responsables de privacidad, Judel es consciente de “la complejidad de realizar evaluaciones de impacto y la gestión de brechas de seguridad, más que centrarse en si una tarea es complicada o no, el verdadero reto que plantea el Reglamento General de Protección de Datos (RGPD) es el principio de responsabilidad activa: demostrar no solo que se cumple la normativa, sino que se cuenta con sistemas sólidos para gestionar cualquier situación crítica”, advierte.

Además, recuerda “la importancia que otros aspectos —como gestionar transferencias internacionales de datos, justificar el interés legítimo de un tratamiento o implementar la privacidad desde el diseño— también pueden presentar grandes desafíos, especialmente en organizaciones con tratamientos complejos o que trabajan con tecnologías emergentes. Todo depende del contexto y de las particularidades de cada caso”.

Marcos Judel advierte que el desarrollo de la inteligencia artificial obliga a las empresas a repensar sus políticas de protección de datos desde el diseño. (Imagen: APEP)

Sobre el cambio que se avecina en los próximos días, con el nuevo presidente y adjunto de la AEPD, Marcos Judel indica que “es importante reconocer el gran trabajo realizado por Mar España durante su dirección al frente de la AEPD, donde ha sido clave en la difusión de la cultura de la protección de datos a todos los niveles. Su impulso a guías y soluciones prácticas ha sido un gran apoyo para empresas, profesionales y ciudadanos”.

A su juicio, “el principal reto para la nueva presidencia será equilibrar el cumplimiento normativo con el desarrollo económico del país, fomentando un entorno donde innovación y protección de datos puedan coexistir. Además, considero esencial que la AEPD mantenga y refuerce su relación con asociaciones profesionales como la Asociación Profesional Española de Privacidad (APEP)”.

Muchos retos que afrontar

Para Carlos Alberto Saiz, director del Data Privacy Institute de ISMS Forum y socio de Ecix Tech, “son muchos y diversos los temas que preocupan a la comunidad de DPO en nuestro país. Es muy importante avanzar en la implantación de los modelos de gobierno de inteligencia artificial en la empresa y compaginarlos con un sistema de cumplimiento que a la vez sea respetuoso con la normativa de protección de datos”.

“Asimismo, en 2025 será muy importante implantar de manera efectiva los sistemas de diligencia de vida y gestión de riesgos de terceros respecto a proveedores y encargados de tratamiento, ya que ha habido diversas sanciones importantes por el incumplimiento de este requisito regulatorio”, recalca.

A su juicio “un reto importante para los DPO también es la automatización de su departamento. Cada vez hay más obligaciones y volumen de documentos y controles con los que trabajar, por lo que la digitalización de la función y la incorporación de la IA en su día a día será muy importante”.

También señala que “otro aspecto que preocupa a los DPO en las organizaciones es la aplicación estricta de la normativa en el procedimiento sancionador y las altas cantidades económicas por las que se están imponiendo algunas sanciones en el entorno de la privacidad”.

Para este jurista “en este contexto de aceleración en el uso de sistemas de inteligencia artificial, es muy importante disponer de un modelo de control donde se equilibre la parte operacional con la mitigación de riesgos, y el cumplimiento normativo. Hay que darse cuenta que el impacto de un mal uso de la IA en las personas puede ser muy grande”.

“Por ello el uso de grandes cantidades de datos en sistemas de inteligencia artificial hace que el DPO tenga un rol protagonista para que el entrenamiento y aplicación de algoritmos en los data lakes sean conforme a la norma y eviten a las entidades, caer en riesgos regulatorios de cara a la agencia española de protección de datos o a la agencia de supervisión de la inteligencia artificial”, asegura.

Desde su punto de vista “las evaluaciones de impacto siguen siendo una herramienta muy útil para definir las medidas de control, técnicas, jurídicas y organizativas que una entidad debe implantar ante un tratamiento de datos que se vaya a realizar. A pesar de que ya están bastante maduras las metodologías y herramientas para automatizarlas, es cierto que se hacen muchas evaluaciones de este tipo, lo cual conlleva una importante dedicación de los profesionales y los equipos de los DPOs”.

Carlos Saiz recuerda que los DPOs automatizan su actividad con tecnología basada en IA que les ayuda a gestionar la privacidad de su firma. (Imagen: ISMS Forum)

Respecto a la gestión de incidentes de seguridad, Carlos Saiz, advierte que “es un tema cada vez más complejo, no solo por el aumento de ataques y la aparición de nuevos vectores y amenazas, sino también por la aparición de otras regulaciones, que contienen obligaciones específicas, en relación con la gestión de incidentes de seguridad, como por ejemplo, NIS2, DORA, o el reglamento europeo de inteligencia artificial”.

A su juicio “es un gran reto para las áreas de ciberseguridad y privacidad alinear los criterios que el marco regulatorio actual exige ante una situación complicada como una brecha de datos o un incidente grave que interrumpa los servicios de la compañía”.

Respecto al relevo que habrá en los próximos días en al AEPD, Saiz señala que “es evidente que la AEPD necesita más recursos para enfocar de manera adecuada los retos que la evolución digital y la aparición de nuevas tecnologías de manera vertiginosa ocurren en la economía digital”.

En su opinión, “estoy convencido de que el nuevo equipo directivo de la agencia tendrá un enfoque proactivo y realista para garantizar el cumplimiento del derecho a la protección de datos que todos tenemos y favorecer al entorno público y privado a mejorar los niveles de cumplimiento de la norma”.

Cultura digital y ciudadanos

Desde el lado de los ciudadanos, la Asociación de Internautas (AI), que acaba de estrenar nueva Junta Directiva presidida por la abogada Ofelia Tejerina, alma máter del proyecto en los últimos años, se sigue muy de cerca este mundo global de Internet en general y la protección de datos en particular. “Los internautas siguen preocupados por cuestiones relacionadas con el spam o phishing que generan estafas en Internet. Hay que darse cuenta que cuando hay un ciberataque puede haber muchos afectados por la expansión del mismo”, señala Tejerina. Sobre esta cuestión, la experta añade que “esta situación concreta nos obliga a seguir trabajando en lo que se llaman buenas practicas y medidas de ciberseguridad para las empresas, sobre todo para las pequeñas y medianas empresas que creen que no les va a pasar nada”.

Ofelia Tejerina advierte que muchos usuarios utilizan mal las herramientas de IA, lo que pone en peligro sus datos personales. (Imagen: Asociación Internautas)

Respecto al desarrollo de la IA y las herramientas que se manejan “hay que tener cuidado con su uso porque pueden utilizar mal nuestros datos de carácter personal. A nosotros, como usuarios, nos afecta de manera directa los deepfake cuando utilizan nuestra imagen para recrear videos falsos o nuestra voz para audios falsos. Este es otro tema que preocupa a los propios usuarios. Se utilizan nuestra imágenes o audios relacionados con nosotros, pero no sabemos a dónde van realmente después de utilizarlos”.

Para esta jurista a los usuarios “nos sigue faltando algo de cultura digital en un mundo donde la tecnología está en constante evolución. Mención especial hay que tener con los menores y cómo se acercan a esas herramientas. Ahora estamos pendientes de la futura ley orgánica que proteja a los menores en este entorno digital. Nosotros creemos que el mayor esfuerzo se debe centrar en medidas educativas y se incentiven a la familia a involucrarse en la educación digital de sus hijos”.

En cuanto a la relación de los internautas con las redes sociales, la presidenta de la Asociación de Internautas señala que es “una relación humana donde buscamos rapidez y comodidad, con independencia de que puede haber ciertos riesgos. En el caso de TikTok hemos sabido de sus problemas en Estados Unidos. Es una red social muy adictiva y crea una dependencia en cuanto al tiempo que uno está subiendo videos. Al mismo tiempo es positivo para empresas o gobiernos para ver cómo interactúan los usuarios con las redes”.

Sobre el futuro de la AEPD, con nuevo equipo directivo, la asociación de internautas españoles esperan “que continúe con todo aquello que impulsó Mar España. Hay mucho trabajo en cuanto a guías y documentos educativos y no es especialmente difícil interponer una denuncia en la Agencia. Se ha hecho una buena labor de documentación y difusión de las mejoras, esperamos ver su relación con otras instituciones que crean como aquellas relacionadas con IA y de ciberseguridad”.