De la evaluación a las obligaciones concretas

El punto de entrada de este módulo es un cuestionario guiado y estructurado en cuatro bloques analíticos fundamentales:

1. Tipo de entidad: Identificación del rol exacto en la cadena de valor (proveedor, desplegador, distribuidor, importador o fabricante).

2. Categorías de alto riesgo: Contraste directo con los supuestos del Anexo III del Reglamento Europeo.

3. Ámbito de aplicación territorial: Alcance geográfico y de impacto dentro de la Unión Europea.

4. Reglas específicas: Filtros para detectar prácticas prohibidas, obligaciones de transparencia transversal o si el entorno constituye un modelo de IA de uso general (GPAI).

A partir de las respuestas introducidas, el sistema calcula automáticamente el nivel de riesgo —mínimo, limitado, alto o prohibido— y genera la lista exacta de las obligaciones legales exigibles, vinculando cada requerimiento a su artículo correspondiente del Reglamento. El resultado evita las clasificaciones estáticas: las evaluaciones pueden editarse en cualquier momento. Si una modificación altera el nivel de riesgo, nuestro Panel RGPD emite un aviso explícito en pantalla antes de consolidar la información.

Aviso inteligente ante el mapa de autoridades del Proyecto de Ley Orgánica

Un factor crítico y diferencial de nuestro Panel RGPD es su capacidad para anticipar la gobernanza institucional. No todos los sistemas de alto riesgo quedarán bajo el paraguas de la misma entidad. El texto del Proyecto de Ley Orgánica remitido a las Cortes Generales ha delimitado el mapa de competencias supervisoras sectoriales en España:

• AESIA: Competente en ámbitos de infraestructura crítica, educación, empleo y el grueso de los sistemas de IA.

• Agencia Española de Protección de Datos (AEPD): Designada para la supervisión de sistemas de biometría, control de fronteras o migración.

• Consejo General del Poder Judicial (CGPJ): Para sistemas destinados a la administración de justicia y la oficina judicial.

• Autoridades financieras especializadas: Para herramientas de scoring crediticio y seguros (Banco de España y DGSFP).

Dado que este reparto competencial se encuentra actualmente en fase de enmiendas en la Comisión de Economía, Comercio y Transformación Digital del Congreso —y bajo un intenso debate público, especialmente por las competencias concurrentes en materia de privacidad—, nuestro Panel RGPD ayuda a las empresas a no dar pasos en falso.

El módulo detecta automáticamente, a partir de las categorías de riesgo marcadas, cuándo la autoridad competente podría diferir de la AESIA y proyecta un aviso preventivo con la autoridad probable. Al basarse en el texto oficial del Proyecto de Ley en tramitación, este aviso de nuestro Panel RGPD actúa como una brújula de prudencia estratégica antes de iniciar un marco técnico que pudiera sufrir ajustes en el redactado final de la ley.

Autodiagnóstico AESIA: 193 medidas extraídas de las fuentes oficiales

Cuando un sistema es clasificado como de alto riesgo, la plataforma habilita la ejecución de un riguroso autodiagnóstico de madurez. El catálogo de medidas de nuestro Panel RGPD se ha extraído textualmente y sin alteraciones de las herramientas oficiales de la AESIA (los doce checklists en formato Excel distribuidos por la propia agencia para guiar a las empresas), reflejando con total fidelidad las 193 medidas guía oficiales, articuladas en torno a los doce requisitos técnicos del Reglamento:

1. Gestión de Riesgos: Implantación de un sistema continuo a lo largo del ciclo de vida de la IA.

2. Datos y Gobernanza: Calidad y diseño de los conjuntos de datos de entrenamiento y validación.

3. Documentación Técnica: Creación de evidencias documentales para demostrar la conformidad.

4. Registro de Actividad (Logs): Trazabilidad y registro automático de eventos operativos.

5. Transparencia: Información clara y accesible para desplegadores y usuarios finales.

6. Supervisión Humana: Herramientas efectivas de control y mitigación por personas físicas.

7. Precisión y Solidez: Resiliencia y estabilidad de métricas ante fallos o usos anómalos.

8. Ciberseguridad: Protección específica frente a la manipulación y ataques dirigidos a la IA.

9. Gestión de la Calidad: Estructura de procesos organizativos y mejora continua.

10. Evaluación de Conformidad: Procedimientos formales de validación antes del mercado.

11. Registro en Base de Datos de la UE: Inscripción obligatoria de sistemas de alto riesgo.

12. Vigilancia Postcomercial: Plan de seguimiento del comportamiento operativo en fase real.

Cada una de las 193 pautas se evalúa en una escala de madurez de ocho niveles (desde L1 – “medida no documentada ni implementada” hasta L8 – “medida no necesaria o no aplica”). Un asistente interactivo despliega en una ventana las cuestiones orientativas exactas de la AESIA para ayudar a contextualizar el cumplimiento de cada punto, descartando interpretaciones libres de terceros.

Conforme se cumplimenta el diagnóstico, el entorno calcula en tiempo real el Plan de Acción recomendado. Además, una consola de medidas críticas monitoriza de forma instantánea el proceso: cualquier indicador relegado a los niveles inferiores (L1 o L2) se destaca automáticamente en pantalla, alertando de brechas de cumplimiento severas que exigen intervención urgente.

Plan de Adaptación en Word, listo para auditorías e inspecciones

Al completar el autodiagnóstico, nuestro Panel RGPD compila automáticamente toda la información en un documento descargable en formato Microsoft Word que contiene el Plan de Adaptación formal: portada institucional, resumen ejecutivo directivo con métricas agregadas de madurez, desglose analítico de cada requisito evaluado y un plan de acción priorizado por nivel de criticidad.

Este entregable no constituye un mero registro de consumo interno; está diseñado técnicamente para operar como una evidencia documental sólida ante auditorías externas o eventuales inspecciones de la autoridad de supervisión.

Por qué esto importa ahora: El reloj legislativo corre

El Reglamento Europeo de IA ya es plenamente vinculante. Con la llegada del Proyecto de Ley Orgánica español a las Cortes Generales, el marco sancionador nacional entra en su cuenta atrás definitiva, confirmando multas administrativas que pueden alcanzar hasta los 35 millones de euros o el 7% del volumen de negocio global anual para las infracciones de máxima gravedad.

Para las compañías u organismos públicos que explotan sistemas de IA en verticales críticas como los recursos humanos, la educación o la operación de infraestructuras esenciales, la anticipación metodológica es ya una necesidad imperativa.

La gran ventaja estratégica de nuestro Panel RGPD radica en la unificación operativa. Al integrar este nuevo módulo dentro del mismo entorno digital donde las empresas ya administran su cumplimiento del Reglamento General de Protección de Datos (RGPD), se impide que la gobernanza de la inteligencia artificial devenga en un silo corporativo aislado. Se propicia, en su lugar, un enfoque holístico, eficiente y cohesionado de todo el espectro de cumplimiento regulatorio y tecnológico de la organización.

*Este módulo se apoya estrictamente en las disposiciones vigentes del Reglamento (UE) 2024/1689 y en las guías técnicas oficiales publicadas por la AESIA. El Proyecto de Ley Orgánica español relativo a la gobernanza y asignación competencial de la inteligencia artificial se halla actualmente en fase de tramitación parlamentaria (Congreso de los Diputados). Nuestro Panel RGPD se actualizara de manera proactiva e inmediata el módulo de IA con las modificaciones definitivas tan pronto como el texto sea aprobado y publicado en el BOE, garantizando un cumplimiento normativo al día.

La entrada Nuevo módulo completo de adaptación al Reglamento Europeo de Inteligencia Artificial se publicó primero en Adaptación RGPD.

Uno de los escenarios más sensibles es el uso de datos biométricos destinados a identificar de manera única a una persona física. Los sistemas de reconocimiento facial, y control horario mediante huella dactilar, requieren un análisis riguroso.

Del mismo modo, los tratamientos basados en datos genéticos exigen garantías reforzadas, ya que permiten obtener información extremadamente sensible sobre la salud o características hereditarias de una persona.

También presentan un riesgo elevado los tratamientos que implican la combinación de bases de datos con finalidades distintas. Por ejemplo, cuando una organización cruza información comercial, geolocalización y hábitos digitales para elaborar perfiles detallados o compartir datos entre distintas sociedades del grupo empresarial.

IMPORTANTE

La evaluación de impacto permite anticipar riesgos y aplicar medidas jurídicas, técnicas y organizativas antes de iniciar tratamientos especialmente sensibles.

La entrada Datos biométricos, genéticos y tratamientos masivos: escenarios donde la EIPD resulta imprescindible (II) se publicó primero en Adaptación RGPD.

La reclamación ante la AEPD tiene su origen en la instalación de cámaras de videovigilancia en las oficinas, almacén y fábrica que, además de captar imágenes de los trabajadores durante su jornada laboral, permitían registrar conversaciones y sonidos sin informar adecuadamente a los empleados. El reclamante denunciaba, asimismo, la existencia de una cámara situada junto a un puesto de trabajo desde la que podían escucharse conversaciones privadas, sin que dicha circunstancia apareciera reflejada ni en la cartelería informativa ni en la documentación entregada al personal.

De la investigación se constata que la entidad reclamada utilizaba cámaras con capacidad de grabación de audio y que únicamente había informado de la existencia de cámaras de seguridad para la vigilancia de las instalaciones, omitiendo tanto la finalidad de control laboral como la captación de sonido. La AEPD sancionó a la entidad porque no acreditó riesgos específicos que justificaran la grabación de conversaciones en el entorno laboral ni la proporcionalidad de esta medida.

IMPORTANTE

El RGPD obliga a informar de forma clara, previa y transparente sobre el tratamiento, finalidad, base jurídica y derechos del interesado.

La entrada Multa de 30.000 € por realizar videovigilancia con control laboral sin informar al personal laboral se publicó primero en Adaptación RGPD.

Tanto la AEPD como el Comité Europeo de Protección de Datos insisten en que el responsable del tratamiento debe facilitar una respuesta clara, comprensible y realmente útil para el interesado. No basta con confirmar que existen datos; es necesario informar sobre las finalidades del tratamiento, categorías de datos tratados, destinatarios, plazo de conservación y existencia de decisiones automatizadas, entre otros aspectos.

El ejercicio del derecho de acceso puede realizarse por cualquier medio que permita acreditar la solicitud. Una vez recibida, el responsable dispone de un mes para responder, pudiendo ampliar el plazo únicamente en supuestos complejos y siempre justificándolo. Además, la información debe entregarse de forma segura y verificando previamente la identidad del solicitante.

IMPORTANTE

Gestionar correctamente el derecho de acceso exige procedimientos internos claros, trazabilidad documental y criterios jurídicos sólidos en cada respuesta

La entrada El derecho de acceso en la práctica: obligaciones, plazos y errores más frecuentes se publicó primero en Adaptación RGPD.

Hasta ahora, la gran preocupación era cumplir con el RGPD y la LOPDGDD (básicamente, que no se te escaparan los datos de tus clientes). Pero ahora entra en juego el AI Act (el nuevo Reglamento Europeo de Inteligencia Artificial). Y ojo, porque las multas no son ninguna broma: pueden llegar a los 35 millones de euros o al 7% de la facturación global de tu empresa.

Vamos a bajar la ley al suelo. Sin tecnicismos infumables. Esto es lo que necesitas saber hoy mismo para proteger tu negocio.

1. El gran error: Pensar que el AI Act sustituye a la LOPDGDD

Muchos emprendedores y directores técnicos piensan: “Bueno, como ya ha salido la ley de la IA, me olvido de lo demás”. Error peligroso. A partir de ahora, tienes que mirar tu tecnología con dos gafas distintas:

• Las gafas de la LOPDGDD / RGPD (Miramos el DATO): Se encargan de proteger la privacidad de las personas. Se preguntan: ¿De dónde has sacado los emails o nombres para entrenar esa IA? ¿Te han dado permiso? ¿Pueden pedirte que los borres?

• Las gafas del AI Act (Miramos el SISTEMA): Se encargan de la seguridad del software en sí. Se preguntan: ¿Es peligroso tu algoritmo? ¿Es transparente? ¿Qué pasa si falla y discrimina a alguien?

Si tu IA utiliza datos de personas reales en España, tienes que cumplir ambas normativas a la vez. Así de sencillo.

2. ¿Qué nivel de “peligro” tiene tu IA? La escala de riesgos

El marco europeo no mide a todas las tecnologías con la misma vara. Divide la IA en cuatro niveles de riesgo. Ubica la tuya aquí:

Riesgo Inaceptable (Totalmente Prohibido)

Si tu software hace algo de esto, apágalo ya porque es ilegal en la Unión Europea:

• Sistemas que manipulan el comportamiento de la gente de forma subliminal.

• Herramientas de “puntuación social” (como el sistema de créditos de China).

• Escanear de forma masiva fotos de internet para crear bases de datos de reconocimiento facial (scraping descontrolado).

• Sistemas para adivinar las emociones de tus empleados en la oficina.

Riesgo Alto (Bajo la lupa de la ley)

Aquí es donde caen muchas empresas sin darse cuenta. Si usas IA para tomar decisiones que cambian la vida de alguien, estás aquí. Ejemplos:

• Un algoritmo que analiza y descarta currículums en tus procesos de selección.

• Un software que decide si le concedes o no un crédito o financiación a un cliente.

• Sistemas de identificación biométrica o accesos por reconocimiento facial.

Riesgo Limitado (Obligación de avisar)

Aquí están los famosos chatbots de atención al cliente o las herramientas de IA generativa (como redactores automáticos de texto o creadores de imágenes). La ley aquí es muy humana: no engañes a la gente. Si un usuario está hablando con un robot, tienes que avisarle de forma clara.

Riesgo Mínimo

Filtros de spam del correo, correctores de estilo o los enemigos de los videojuegos. No requieren trámites extra, solo cumplir con el RGPD normal de toda la vida.

3. ¿Cuándo tienes que registrar tu IA en un registro oficial?

No te preocupes, no tienes que hacer papeleo por usar ChatGPT para redactar un email. Solo tienes que registrar tu IA en estos casos específicos:

1. Si usas o creas una IA de “Alto Riesgo”: Antes de lanzarla al mercado o usarla con tus empleados/clientes, tienes que inscribirla obligatoriamente en la Base de Datos oficial de la Unión Europea.

2. El Registro interno de tu empresa (RAT): Si tu IA toca un solo dato personal (un email, un teléfono, un historial de compras), debes añadir ese proceso a tu Registro de Actividades de Tratamiento interno, explicando qué base legal tienes para hacerlo.

4. Los 3 pilares que la AEPD te va a exigir en una auditoría

La Agencia Española de Protección de Datos (AEPD) ya está inspeccionando empresas. Si llaman a tu puerta para auditar tu IA, lo primero que te van a pedir es que demuestres estos tres puntos:

• ¿Tus datos están limpios? (Gobernanza): Tienes que demostrar de dónde has sacado los datos para entrenar el modelo. No vale usar bases de datos “piratas” de internet. Además, debes demostrar que has hecho pruebas para evitar que tu IA tenga sesgos (por ejemplo, que no rechace sistemáticamente a mujeres o a mayores de 50 años por un error en los datos de aprendizaje).

• La IA no puede mandar sola (Supervisión Humana): La famosa “caja negra” donde nadie sabe qué pasa dentro no está permitida. Si tu IA toma una decisión que afecta a un cliente (por ejemplo, rechazar su suscripción), un humano debe tener un botón para revisar el caso, corregir al algoritmo o apagarlo si se vuelve loco.

• El derecho a saber “por qué” (Explicabilidad): Si un cliente te pregunta “¿Por qué vuestro sistema me ha denegado este servicio?”, no puedes responder “Es que lo dice el ordenador”. El sistema debe ser capaz de explicar sus razones en un lenguaje que un niño de 10 años pueda entender.

5. Tu Plan de Acción: Cómo poner orden en 5 pasos

Si quieres dormir tranquilo por las noches, siéntate con tu equipo técnico y legal y sigue esta ruta:

INFORME RESUMIDO: ¿A qué nos enfrentamos realmente?

Nota para la Dirección General: El margen de tolerancia de las autoridades con la IA “alegal” se acaba en agosto de 2026. A partir de ahí, las inspecciones serán sistemáticas.

El precio de hacer las cosas mal

La Unión Europea quiere que nos tomemos esto en serio, y por eso las multas por saltarse el AI Act duplican en algunos casos a las del RGPD:

El ciudadano ahora tiene superpoderes

Cualquier usuario o empleado que sospeche que una IA lo ha tratado de forma injusta o ha usado sus datos sin permiso tiene dos ventanillas automáticas para denunciar en España: la AEPD (si el problema es de privacidad) y la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) si el problema es que el algoritmo es opaco o discrimina.

Conclusión

La Inteligencia Artificial es una herramienta increíble para hacer crecer tu negocio, pero no puede ser un cheque en blanco. Revisar hoy tus sistemas, añadir una cláusula transparente en tu web y controlar qué datos procesan tus algoritmos no es solo una obligación legal; es la mejor estrategia para transmitir confianza a tus clientes.

La entrada IA, RGPD y LOPDGDD: Cómo desplegar IA en tu empresa sin una multa millonaria se publicó primero en Adaptación RGPD.

Por ello, tanto la ISO/IEC 27001 como el Esquema Nacional de Seguridad recomiendan avanzar hacia modelos de autenticación más sólidos, especialmente la autenticación multifactor. Combinar algo que el usuario sabe, algo que posee y, en determinados casos, algo que es, eleva de forma notable el nivel de protección frente a ataques automatizados y accesos no autorizados.

En entornos reales, esto se traduce en el uso de certificados digitales, aplicaciones de generación de códigos temporales o dispositivos físicos de seguridad. El ENS es especialmente claro al exigir factores reforzados en accesos remotos o a información sensible, mientras que la ISO 27001 subraya la necesidad de que estas decisiones se basen en un análisis de riesgos previo.

La clave no está en elegir soluciones coherentes con el contexto y el impacto potencial. Una autenticación bien diseñada no solo protege sistemas: protege el negocio, a las personas y la confianza depositada en la organización.

IMPORTANTE

Las contraseñas no bastan; la autenticación multifactor, basada en riesgos, refuerza la seguridad y protege los sistemas.

La entrada Mecanismos de autenticación: cómo reducir ataques y accesos indebidos a los sistemas se publicó primero en Adaptación RGPD.

En este documento se concreta cuándo un tratamiento puede implicar un alto riesgo para los derechos y libertades de las personas, obligando al responsable a realizar un análisis previo.

La lista identifica supuestos en los que el riesgo se presume elevado. Entre ellos, los tratamientos que implican evaluaciones sistemáticas de aspectos personales, especialmente cuando incluyen perfiles o decisiones automatizadas. También se consideran de alto riesgo los tratamientos a gran escala de categorías especiales de datos, como los relativos a la salud o datos biométricos.

Asimismo, la AEPD incluye, entre otros, el uso de tecnologías nuevas o innovadoras, así como la observación sistemática de espacios públicos, como ocurre con determinados sistemas de videovigilancia.

Desde una perspectiva de cumplimiento, esta lista no es orientativa, sino vinculada a la obligación de evaluar riesgos antes de iniciar el tratamiento. El responsable debe analizar si su actividad encaja en estos supuestos y, en tal caso, realizar una EIPD que permita identificar, valorar y mitigar los riesgos, conforme al principio de responsabilidad proactiva del RGPD.

IMPORTANTE

Cuando un tratamiento cumple dos o más criterios de riesgo, se presume alto impacto y resulta obligatoria la realización de una EIPD.

La entrada Evaluación de impacto en Protección de datos: como identificar el alto riesgo según la AEPD se publicó primero en Adaptación RGPD.

El caso se inicia tras la reclamación de un interesado que ejerció su derecho de acceso ante la entidad sin obtener una respuesta adecuada. Ante esta situación, la AEPD estimó la reclamación y dictó una resolución en la que obligaba expresamente a la entidad a facilitar la información solicitada o, en su caso, a denegarla de forma motivada dentro de un plazo concreto.

El elemento determinante del expediente no es solo la falta inicial de respuesta, sino que la entidad ignoró completamente la resolución de la AEPD.  A pesar de haber sido notificada correctamente y de recibir requerimientos adicionales para acreditar su cumplimiento, la entidad no realizó ninguna de las actuaciones reclamadas:

-no atendió el derecho del interesado.

-no justificó su negativa.

-no respondió a la AEPD.

Estas conductas suponen un incumplimiento directo de los poderes correctivos de la AEPD, vulnerando el artículo 58.2.c) del RGPD, tipificado como infracción muy grave.

Como consecuencia, la entidad fue sancionada con una multa de 225.000 euros, reducida a 180.000 euros por pago voluntario.

IMPORTANTE

La entidad incumplió durante más de un año una resolución firme de la AEPD, pese a recibir múltiples requerimientos de cumplimiento.

La entrada Incumplir una resolución de la AEPD supone una infracción muy grave en protección de datos se publicó primero en Adaptación RGPD.

Las funciones del DPD están recogidas en el artículo 39 del RGPD. En primer lugar, debe informar y asesorar sobre las obligaciones legales en materia de protección de datos, ayudando a aplicar correctamente la normativa y evitando riesgos en la toma de decisiones.

Además, debe supervisar el cumplimiento interno, revisando políticas, medidas de seguridad y formación del personal. No basta con disponer de documentación, sino que es necesario garantizar su aplicación efectiva.

Otra función esencial es el asesoramiento al responsable del tratamiento las evaluaciones de impacto en protección de datos (EIPD) cuando existen tratamientos de alto riesgo. También actúa como punto de contacto con la Agencia Española de Protección de Datos (AEPD), colaborando en inspecciones o consultas previas a la AEPD.

Por último, el DPD es el que asesora al responsable y atiende las peticiones de los interesados en el ejercicio de sus derechos.

IMPORTANTE

El DPD garantiza el cumplimiento, reduce riesgos legales y fortalece la confianza, siendo clave en la gestión responsable de datos personales.

La entrada Delegado de Protección de Datos: funciones, obligaciones y su impacto en el cumplimiento se publicó primero en Adaptación RGPD.

El fraude online, con 45.445 casos, se consolida como la principal amenaza, mientras que el phishing suma 25.133 incidentes. Estos datos no son meras estadísticas: reflejan una sofisticación cada vez mayor en las técnicas de ingeniería social y una explotación sistemática de la confianza digital. El cierre de 4.600 dominios fraudulentos demuestra que la respuesta institucional existe, pero la prevención debe reforzarse desde la base.

Especial atención merece el malware, con 55.411 incidentes registrados, incluidos 392 ataques de ransomware. Que el 85% de los sistemas infectados estén vinculados a dispositivos IoT confirma algo que venimos advirtiendo desde hace años: la conectividad sin seguridad es una vulnerabilidad estructural. Por último, hacer referencia a las 142.767 consultas atendidas por la Línea de Ayuda de INCIBE que reflejan una mayor concienciación social.

IMPORTANTE

La ciberseguridad es un pilar estratégico para el gobierno corporativo y garantía de la continuidad del negocio.

La entrada Nuevo escenario estratégico de la ciberseguridad en España se publicó primero en Adaptación RGPD.