La reclamación ante la AEPD tiene su origen en la instalación de cámaras de videovigilancia en las oficinas, almacén y fábrica que, además de captar imágenes de los trabajadores durante su jornada laboral, permitían registrar conversaciones y sonidos sin informar adecuadamente a los empleados. El reclamante denunciaba, asimismo, la existencia de una cámara situada junto a un puesto de trabajo desde la que podían escucharse conversaciones privadas, sin que dicha circunstancia apareciera reflejada ni en la cartelería informativa ni en la documentación entregada al personal.

De la investigación se constata que la entidad reclamada utilizaba cámaras con capacidad de grabación de audio y que únicamente había informado de la existencia de cámaras de seguridad para la vigilancia de las instalaciones, omitiendo tanto la finalidad de control laboral como la captación de sonido. La AEPD sancionó a la entidad porque no acreditó riesgos específicos que justificaran la grabación de conversaciones en el entorno laboral ni la proporcionalidad de esta medida.

IMPORTANTE

El RGPD obliga a informar de forma clara, previa y transparente sobre el tratamiento, finalidad, base jurídica y derechos del interesado.

La entrada Multa de 30.000 € por realizar videovigilancia con control laboral sin informar al personal laboral se publicó primero en Adaptación RGPD.

Tanto la AEPD como el Comité Europeo de Protección de Datos insisten en que el responsable del tratamiento debe facilitar una respuesta clara, comprensible y realmente útil para el interesado. No basta con confirmar que existen datos; es necesario informar sobre las finalidades del tratamiento, categorías de datos tratados, destinatarios, plazo de conservación y existencia de decisiones automatizadas, entre otros aspectos.

El ejercicio del derecho de acceso puede realizarse por cualquier medio que permita acreditar la solicitud. Una vez recibida, el responsable dispone de un mes para responder, pudiendo ampliar el plazo únicamente en supuestos complejos y siempre justificándolo. Además, la información debe entregarse de forma segura y verificando previamente la identidad del solicitante.

IMPORTANTE

Gestionar correctamente el derecho de acceso exige procedimientos internos claros, trazabilidad documental y criterios jurídicos sólidos en cada respuesta

La entrada El derecho de acceso en la práctica: obligaciones, plazos y errores más frecuentes se publicó primero en Adaptación RGPD.

Hasta ahora, la gran preocupación era cumplir con el RGPD y la LOPDGDD (básicamente, que no se te escaparan los datos de tus clientes). Pero ahora entra en juego el AI Act (el nuevo Reglamento Europeo de Inteligencia Artificial). Y ojo, porque las multas no son ninguna broma: pueden llegar a los 35 millones de euros o al 7% de la facturación global de tu empresa.

Vamos a bajar la ley al suelo. Sin tecnicismos infumables. Esto es lo que necesitas saber hoy mismo para proteger tu negocio.

1. El gran error: Pensar que el AI Act sustituye a la LOPDGDD

Muchos emprendedores y directores técnicos piensan: “Bueno, como ya ha salido la ley de la IA, me olvido de lo demás”. Error peligroso. A partir de ahora, tienes que mirar tu tecnología con dos gafas distintas:

• Las gafas de la LOPDGDD / RGPD (Miramos el DATO): Se encargan de proteger la privacidad de las personas. Se preguntan: ¿De dónde has sacado los emails o nombres para entrenar esa IA? ¿Te han dado permiso? ¿Pueden pedirte que los borres?

• Las gafas del AI Act (Miramos el SISTEMA): Se encargan de la seguridad del software en sí. Se preguntan: ¿Es peligroso tu algoritmo? ¿Es transparente? ¿Qué pasa si falla y discrimina a alguien?

Si tu IA utiliza datos de personas reales en España, tienes que cumplir ambas normativas a la vez. Así de sencillo.

2. ¿Qué nivel de “peligro” tiene tu IA? La escala de riesgos

El marco europeo no mide a todas las tecnologías con la misma vara. Divide la IA en cuatro niveles de riesgo. Ubica la tuya aquí:

Riesgo Inaceptable (Totalmente Prohibido)

Si tu software hace algo de esto, apágalo ya porque es ilegal en la Unión Europea:

• Sistemas que manipulan el comportamiento de la gente de forma subliminal.

• Herramientas de “puntuación social” (como el sistema de créditos de China).

• Escanear de forma masiva fotos de internet para crear bases de datos de reconocimiento facial (scraping descontrolado).

• Sistemas para adivinar las emociones de tus empleados en la oficina.

Riesgo Alto (Bajo la lupa de la ley)

Aquí es donde caen muchas empresas sin darse cuenta. Si usas IA para tomar decisiones que cambian la vida de alguien, estás aquí. Ejemplos:

• Un algoritmo que analiza y descarta currículums en tus procesos de selección.

• Un software que decide si le concedes o no un crédito o financiación a un cliente.

• Sistemas de identificación biométrica o accesos por reconocimiento facial.

Riesgo Limitado (Obligación de avisar)

Aquí están los famosos chatbots de atención al cliente o las herramientas de IA generativa (como redactores automáticos de texto o creadores de imágenes). La ley aquí es muy humana: no engañes a la gente. Si un usuario está hablando con un robot, tienes que avisarle de forma clara.

Riesgo Mínimo

Filtros de spam del correo, correctores de estilo o los enemigos de los videojuegos. No requieren trámites extra, solo cumplir con el RGPD normal de toda la vida.

3. ¿Cuándo tienes que registrar tu IA en un registro oficial?

No te preocupes, no tienes que hacer papeleo por usar ChatGPT para redactar un email. Solo tienes que registrar tu IA en estos casos específicos:

1. Si usas o creas una IA de “Alto Riesgo”: Antes de lanzarla al mercado o usarla con tus empleados/clientes, tienes que inscribirla obligatoriamente en la Base de Datos oficial de la Unión Europea.

2. El Registro interno de tu empresa (RAT): Si tu IA toca un solo dato personal (un email, un teléfono, un historial de compras), debes añadir ese proceso a tu Registro de Actividades de Tratamiento interno, explicando qué base legal tienes para hacerlo.

4. Los 3 pilares que la AEPD te va a exigir en una auditoría

La Agencia Española de Protección de Datos (AEPD) ya está inspeccionando empresas. Si llaman a tu puerta para auditar tu IA, lo primero que te van a pedir es que demuestres estos tres puntos:

• ¿Tus datos están limpios? (Gobernanza): Tienes que demostrar de dónde has sacado los datos para entrenar el modelo. No vale usar bases de datos “piratas” de internet. Además, debes demostrar que has hecho pruebas para evitar que tu IA tenga sesgos (por ejemplo, que no rechace sistemáticamente a mujeres o a mayores de 50 años por un error en los datos de aprendizaje).

• La IA no puede mandar sola (Supervisión Humana): La famosa “caja negra” donde nadie sabe qué pasa dentro no está permitida. Si tu IA toma una decisión que afecta a un cliente (por ejemplo, rechazar su suscripción), un humano debe tener un botón para revisar el caso, corregir al algoritmo o apagarlo si se vuelve loco.

• El derecho a saber “por qué” (Explicabilidad): Si un cliente te pregunta “¿Por qué vuestro sistema me ha denegado este servicio?”, no puedes responder “Es que lo dice el ordenador”. El sistema debe ser capaz de explicar sus razones en un lenguaje que un niño de 10 años pueda entender.

5. Tu Plan de Acción: Cómo poner orden en 5 pasos

Si quieres dormir tranquilo por las noches, siéntate con tu equipo técnico y legal y sigue esta ruta:

INFORME RESUMIDO: ¿A qué nos enfrentamos realmente?

Nota para la Dirección General: El margen de tolerancia de las autoridades con la IA “alegal” se acaba en agosto de 2026. A partir de ahí, las inspecciones serán sistemáticas.

El precio de hacer las cosas mal

La Unión Europea quiere que nos tomemos esto en serio, y por eso las multas por saltarse el AI Act duplican en algunos casos a las del RGPD:

El ciudadano ahora tiene superpoderes

Cualquier usuario o empleado que sospeche que una IA lo ha tratado de forma injusta o ha usado sus datos sin permiso tiene dos ventanillas automáticas para denunciar en España: la AEPD (si el problema es de privacidad) y la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) si el problema es que el algoritmo es opaco o discrimina.

Conclusión

La Inteligencia Artificial es una herramienta increíble para hacer crecer tu negocio, pero no puede ser un cheque en blanco. Revisar hoy tus sistemas, añadir una cláusula transparente en tu web y controlar qué datos procesan tus algoritmos no es solo una obligación legal; es la mejor estrategia para transmitir confianza a tus clientes.

La entrada IA, RGPD y LOPDGDD: Cómo desplegar IA en tu empresa sin una multa millonaria se publicó primero en Adaptación RGPD.

Por ello, tanto la ISO/IEC 27001 como el Esquema Nacional de Seguridad recomiendan avanzar hacia modelos de autenticación más sólidos, especialmente la autenticación multifactor. Combinar algo que el usuario sabe, algo que posee y, en determinados casos, algo que es, eleva de forma notable el nivel de protección frente a ataques automatizados y accesos no autorizados.

En entornos reales, esto se traduce en el uso de certificados digitales, aplicaciones de generación de códigos temporales o dispositivos físicos de seguridad. El ENS es especialmente claro al exigir factores reforzados en accesos remotos o a información sensible, mientras que la ISO 27001 subraya la necesidad de que estas decisiones se basen en un análisis de riesgos previo.

La clave no está en elegir soluciones coherentes con el contexto y el impacto potencial. Una autenticación bien diseñada no solo protege sistemas: protege el negocio, a las personas y la confianza depositada en la organización.

IMPORTANTE

Las contraseñas no bastan; la autenticación multifactor, basada en riesgos, refuerza la seguridad y protege los sistemas.

La entrada Mecanismos de autenticación: cómo reducir ataques y accesos indebidos a los sistemas se publicó primero en Adaptación RGPD.

En este documento se concreta cuándo un tratamiento puede implicar un alto riesgo para los derechos y libertades de las personas, obligando al responsable a realizar un análisis previo.

La lista identifica supuestos en los que el riesgo se presume elevado. Entre ellos, los tratamientos que implican evaluaciones sistemáticas de aspectos personales, especialmente cuando incluyen perfiles o decisiones automatizadas. También se consideran de alto riesgo los tratamientos a gran escala de categorías especiales de datos, como los relativos a la salud o datos biométricos.

Asimismo, la AEPD incluye, entre otros, el uso de tecnologías nuevas o innovadoras, así como la observación sistemática de espacios públicos, como ocurre con determinados sistemas de videovigilancia.

Desde una perspectiva de cumplimiento, esta lista no es orientativa, sino vinculada a la obligación de evaluar riesgos antes de iniciar el tratamiento. El responsable debe analizar si su actividad encaja en estos supuestos y, en tal caso, realizar una EIPD que permita identificar, valorar y mitigar los riesgos, conforme al principio de responsabilidad proactiva del RGPD.

IMPORTANTE

Cuando un tratamiento cumple dos o más criterios de riesgo, se presume alto impacto y resulta obligatoria la realización de una EIPD.

La entrada Evaluación de impacto en Protección de datos: como identificar el alto riesgo según la AEPD se publicó primero en Adaptación RGPD.

El caso se inicia tras la reclamación de un interesado que ejerció su derecho de acceso ante la entidad sin obtener una respuesta adecuada. Ante esta situación, la AEPD estimó la reclamación y dictó una resolución en la que obligaba expresamente a la entidad a facilitar la información solicitada o, en su caso, a denegarla de forma motivada dentro de un plazo concreto.

El elemento determinante del expediente no es solo la falta inicial de respuesta, sino que la entidad ignoró completamente la resolución de la AEPD.  A pesar de haber sido notificada correctamente y de recibir requerimientos adicionales para acreditar su cumplimiento, la entidad no realizó ninguna de las actuaciones reclamadas:

-no atendió el derecho del interesado.

-no justificó su negativa.

-no respondió a la AEPD.

Estas conductas suponen un incumplimiento directo de los poderes correctivos de la AEPD, vulnerando el artículo 58.2.c) del RGPD, tipificado como infracción muy grave.

Como consecuencia, la entidad fue sancionada con una multa de 225.000 euros, reducida a 180.000 euros por pago voluntario.

IMPORTANTE

La entidad incumplió durante más de un año una resolución firme de la AEPD, pese a recibir múltiples requerimientos de cumplimiento.

La entrada Incumplir una resolución de la AEPD supone una infracción muy grave en protección de datos se publicó primero en Adaptación RGPD.

Las funciones del DPD están recogidas en el artículo 39 del RGPD. En primer lugar, debe informar y asesorar sobre las obligaciones legales en materia de protección de datos, ayudando a aplicar correctamente la normativa y evitando riesgos en la toma de decisiones.

Además, debe supervisar el cumplimiento interno, revisando políticas, medidas de seguridad y formación del personal. No basta con disponer de documentación, sino que es necesario garantizar su aplicación efectiva.

Otra función esencial es el asesoramiento al responsable del tratamiento las evaluaciones de impacto en protección de datos (EIPD) cuando existen tratamientos de alto riesgo. También actúa como punto de contacto con la Agencia Española de Protección de Datos (AEPD), colaborando en inspecciones o consultas previas a la AEPD.

Por último, el DPD es el que asesora al responsable y atiende las peticiones de los interesados en el ejercicio de sus derechos.

IMPORTANTE

El DPD garantiza el cumplimiento, reduce riesgos legales y fortalece la confianza, siendo clave en la gestión responsable de datos personales.

La entrada Delegado de Protección de Datos: funciones, obligaciones y su impacto en el cumplimiento se publicó primero en Adaptación RGPD.

El fraude online, con 45.445 casos, se consolida como la principal amenaza, mientras que el phishing suma 25.133 incidentes. Estos datos no son meras estadísticas: reflejan una sofisticación cada vez mayor en las técnicas de ingeniería social y una explotación sistemática de la confianza digital. El cierre de 4.600 dominios fraudulentos demuestra que la respuesta institucional existe, pero la prevención debe reforzarse desde la base.

Especial atención merece el malware, con 55.411 incidentes registrados, incluidos 392 ataques de ransomware. Que el 85% de los sistemas infectados estén vinculados a dispositivos IoT confirma algo que venimos advirtiendo desde hace años: la conectividad sin seguridad es una vulnerabilidad estructural. Por último, hacer referencia a las 142.767 consultas atendidas por la Línea de Ayuda de INCIBE que reflejan una mayor concienciación social.

IMPORTANTE

La ciberseguridad es un pilar estratégico para el gobierno corporativo y garantía de la continuidad del negocio.

La entrada Nuevo escenario estratégico de la ciberseguridad en España se publicó primero en Adaptación RGPD.

El uso de técnicas de huella digital del dispositivo exige a los responsables del tratamiento una especial diligencia. El RGPD es claro: si mediante el fingerprinting se puede identificar directa o indirectamente a una persona, estamos ante un tratamiento de datos personales y deben cumplirse todas las garantías legales.

Pensemos, por ejemplo, en una web que utiliza fingerprinting para personalizar publicidad. Aunque el usuario no introduzca su nombre ni acepte cookies, su comportamiento puede ser seguido de forma persistente. En estos casos, no basta con alegar una finalidad técnica: es necesario informar de manera clara y obtener un consentimiento válido antes de iniciar el tratamiento.

Entre las buenas prácticas recomendadas destacan la minimización de datos, la limitación de técnicas intrusivas y la integración de la privacidad desde el diseño. Aquí, el papel del Delegado de Protección de Datos resulta clave, ya que puede ayudar a valorar si el uso del fingerprinting es realmente proporcional o si existen alternativas menos invasivas.

IMPORTANTE

El fingerprinting exige consentimiento previo, análisis de riesgos, y aplicación efectiva del principio de responsabilidad proactiva.

La entrada Fingerprinting y cumplimiento normativo: lo que los responsables del tratamiento deben tener en cuenta (II) se publicó primero en Adaptación RGPD.

La reclamación, presentada inicialmente ante la autoridad de control sueca y posteriormente trasladada a la AEPD por su carácter transfronterizo, denunciaba la exposición indebida de datos personales en un complejo hotelero.

En concreto, se puso de manifiesto que el personal de seguridad, durante las labores de control de acceso a la comunidad de propietarios y al hotel, mantenía a la vista listados impresos con información personal de propietarios y huéspedes (nombre, apellidos, país, DNI, pasaporte) quedando accesibles a terceros y pudiendo incluso ser fotografiadas.

Asimismo, quedó acreditado que la empresa de seguridad actuaba como encargada del tratamiento, bajo las instrucciones de la gestora hotelera, responsable del tratamiento en su condición de administradora de la comunidad. En el expediente se concluyó que la gestora del hotel no había implantado medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de la información.

La conducta fue calificada como vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, imponiéndose una sanción económica de 40.000 euros y la obligación de adoptar medidas correctivas.

IMPORTANTE

La responsabilidad del tratamiento incluye el control efectivo sobre los encargados y la adopción de medidas reales, no meramente formales, para garantizar la confidencialidad de los datos personales.

La entrada Multada una empresa hotelera con 40.000 euros por dejar datos personales a la vista en el control de accesos se publicó primero en Adaptación RGPD.