Fuente: Agencia Española de Protección de Datos

 

El Plan se estructura en siete grandes ejes con 45 objetivos estratégicos, y tiene como objetivo consolidar a la AEPD como una autoridad abierta, eficaz y con capacidad de anticipación ante los desafíos del entorno digital,

 

Entre las acciones destacan las relacionadas con la innovación tecnológica, la supervisión proactiva de tecnologías disruptivas, la creación del Laboratorio de Privacidad, el apoyo en el cumplimiento normativo, el refuerzo del trabajo que realizan los profesionales de la privacidad y el impulso de alianzas con autoridades y entidades clave.

 

Las más de 450 aportaciones que se recibieron en el proceso de consulta pública han contribuido a enriquecer las líneas de actuación, y dotar al Plan de una mayor solidez y una visión compartida para hacer frente a los desafíos del entorno digital.

 

El Plan incorpora un sistema de seguimiento continuo y revisión dinámica que permitirá ajustar objetivos y actuaciones ante nuevos retos normativos o tecnológicos.

 

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy su Plan Estratégico 2025–2030, un documento que establece las líneas clave de actuación de la autoridad para los próximos cinco años. Bajo el título ‘Innovación responsable y defensa de la dignidad en la era digital’, la Agencia reafirma su compromiso con una protección de datos proactiva, centrada en las personas y adaptada a los retos tecnológicos emergentes.

 

El Plan Estratégico 2025–2030 tiene como objetivo consolidar a la AEPD como una autoridad abierta, eficaz y con capacidad de anticipación ante los desafíos del entorno digital. Para ello, ha definido ocho principios rectores que estructuran sus actuaciones: Independencia,  Innovación y adaptabilidad, Internacionalización e influencia, Cooperación, Proactividad y prevención, Excelencia y calidad técnica, Defensa del interés general y Agencia abierta y cercana.

Con este marco, las actuaciones se estructuran en siete grandes ejes que aglutinan 45 objetivos estratégicos dirigidos a fomentar la prevención, la cooperación institucional, el acompañamiento normativo, el liderazgo internacional, la mejora continua y el refuerzo de la cultura de privacidad.

 

Entre las prioridades estratégicas destacan la supervisión proactiva de tecnologías disruptivas como la inteligencia artificial (IA) y las neurotecnologías, la promoción de una innovación tecnológica con garantías, la creación del Laboratorio de Privacidad, el apoyo a pymes y administraciones públicas en el cumplimiento normativo, el refuerzo del trabajo que realizan los delegados de protección de datos y los profesionales de la privacidad, y el impulso de alianzas con autoridades y entidades clave del ámbito público, privado, académico y del tercer sector.

 

Asimismo, el Plan contempla la evolución de la Agencia hacia una organización capaz de integrar con garantías herramientas basadas en IA en sus procesos internos, de forma que pueda servir como modelo a otros organismos públicos, y una apuesta firme por la transparencia y la rendición de cuentas. El documento se publicará en los próximos días en todas las lenguas cooficiales y en inglés.

 

Los ejes de actuación son los siguientes:

 

• Eje 1. Una agencia inteligente. La AEPD aspira a una supervisión más inteligente y eficaz, apoyada en la tecnología. Se priorizará la acción en las áreas de mayor impacto sobre la dignidad y los derechos de las personas, reforzando la capacidad de respuesta rápida. Entre las medidas se incluyen la adopción de una política de ‘IA first’ con garantías y el desarrollo de sistemas avanzados de supervisión.

 

• Eje 2. Por una innovación tecnológica con garantías. La Agencia se compromete con la innovación responsable, priorizando la supervisión de tecnologías emergentes como la IA, los sistemas biométricos y las neurotecnologías, especialmente cuando afecten a colectivos vulnerables. Se creará un Laboratorio de Privacidad, polo de referencia para investigadores, académicos y profesionales y se promoverá la elaboración de guías especializadas. Además, se impulsará la transparencia algorítmica y se promoverán  inventarios públicos de tratamientos de datos con IA en el sector público.

 

• Eje 3. Promover y acompañar el cumplimiento normativo. La AEPD facilitará el cumplimiento de la normativa de protección de datos, especialmente para micropymes, startups, pymes, autónomos y administraciones públicas. Se reforzará la función orientadora mediante guías, herramientas prácticas y canales de atención especializada. Se dará un papel central a los delegados de protección de datos (DPD) y profesionales de la privacidad como aliados para el cumplimiento y se promoverán mecanismos de autorregulación sectorial.

 

• Eje 4. Impulsar alianzas y colaboración con entidades y profesionales. La Agencia reforzará su papel como institución activa mediante alianzas estratégicas con autoridades autonómicas y entidades públicas, privadas, académicas y del tercer sector con seguimiento estructurado de la agenda y alianzas relativas a la protección de colectivos vulnerables digitalmente. Se consolidará la cooperación con profesionales de la privacidad y DPD.

 

• Eje 5. Liderazgo e influencia estratégica internacional y nacional. La AEPD planificará y reforzará su presencia e influencia en el ámbito internacional, especialmente en la Unión Europea y el Comité Europeo de Protección de Datos, así como reforzando los resultados de la Red Iberoamericana de Protección de Datos, con especial atención en áreas clave de innovación tecnológica, reconocimiento mutuo de certificaciones y códigos de conducta, decisiones de adecuación y Normas Corporativas Vinculantes para las transferencias internacionales de datos con garantías.

 

• Eje 6. Una administración eficaz y en mejora continua. Se optimizará la organización y eficacia de la Agencia, trabajando para conseguir un incremento proporcional de los recursos humanos, presupuestarios, tecnológicos y de infraestructuras, buscando el desarrollo y retención del talento.

 

• Eje 7. Apertura, cercanía y cultura de protección de datos. La AEPD reforzará su carácter abierto, transparente y cercano mediante la mejora de sus herramientas web y canales de atención. Se impulsará la cultura y alfabetización en privacidad y protección de datos, y se implementarán protocolos de consulta pública y cocreación y diálogo previo a la publicación de guías y criterios.

 

Una hoja de ruta participativa: más de 450 aportaciones recibidas

 

Esta versión final del Plan Estratégico 2025–2030 es el resultado de un proceso participativo. En abril de 2025, la Agencia publicó un borrador del Plan Estratégico y lo sometió a una consulta pública. El diseño de la consulta, en la que se podían realizar aportaciones de forma independiente en cada uno de los ejes y añadir comentarios generales, facilitó un alto grado de especialización y concreción de más de 450 aportaciones de la ciudadanía, profesionales de la privacidad, empresas, administraciones públicas y organizaciones del tercer sector. Pocos días después de cerrarse el proceso de escucha, la Agencia publicó todas las contribuciones recibidas.

 

Esas aportaciones se complementaron con una intensa agenda institucional que ha permitido intercambiar experiencias con representantes de numerosos sectores, enriqueciendo el Plan estratégico definitivo. La Agencia también ha publicado hoy un documento que recoge el detalle de las reuniones, encuentros y actos públicos que se han llevado a cabo en el contexto y diseño de este Plan.

 

La Agencia agradece sinceramente las aportaciones recibidas, que expresan un gran conocimiento y compromiso, y que han sido fundamentales para enriquecer, mejorar y afinar las prioridades y líneas de actuación del documento definitivo. Esta participación ha contribuido a dotar al Plan de una mayor solidez y una visión compartida para hacer frente a los nuevos retos del entorno digital.

 

Evaluación continua del Plan

 

El Plan Estratégico 2025–2030 de la Agencia se instrumenta en un documento operativo interno que desglosa sus 45 objetivos en más de 200 medidas concretas, asignando responsabilidades, plazos e indicadores de seguimiento. Este cuadro de mandos institucional garantizará una ejecución práctica, evaluable y adaptable a escenarios cambiantes. El plan incorpora un sistema de seguimiento continuo y revisión dinámica que permitirá ajustar objetivos y actuaciones ante nuevos retos normativos o tecnológicos. Se informará oportunamente del grado de avance y los principales resultados.

Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos analiza si es obligatorio que un sistema de Inteligencia Artificial (IA) que se utiliza en comunicaciones comerciales automatizadas entienda y ejecute políticas de privacidad. 

 

Una empresa remitió a una persona comunicaciones comerciales a través de una aplicación de mensajería instantánea. La información de la que dispone la Agencia apunta a que había una relación contractual previa entre las partes, y esas comunicaciones se realizaban a través de un sistema automático de inteligencia artificial.

 

La persona alegaba haber recibido mensajes comerciales como este:

 

“¡Hola! ¿Nos ayudas? Consigue un premio respondiendo a esta encuesta rápido: Hemos visto que recientemente tuviste una cita en [comercio XXX], pero finalmente no acudiste a ella ni la cancelaste y nos gustaría conocer los motivos para mejorar la calidad de nuestro servicio. Responde a esta encuesta y llévate un regalo al completarlo. Muchas gracias por tu tiempo y por tu confianza. El equipo de [XXX]. Responde BAJA para no recibir más mensajes.”

 

Respuesta de la persona:

 

“Buenas tardes, Estoy registrado en la lista Robinson. Por favor, cesen el envío de mensajes a mi móvil personal. Yo no les he facilitado mis datos personales en ningún momento, ni les autorizo el uso de mi información. En caso de seguir recibiendo mensajes de su empresa en mi número de móvil personal, me veré obligado a tomar las acciones pertinentes. Procedo a informar a la Agencia de Protección de Datos.”

 

Nuevo mensaje enviado por parte de la empresa:

 

“¡Hola XXX! Te escribo desde [comercio XXX]. En estos momentos disponemos de citas de última hora y tenemos una promoción inmejorable  (…).”

 

Nueva respuesta de la persona:

 

“Buenas tardes, Estoy registrado en la lista Robinson (…)”

 

Respuesta de chatbot comercial:

 

“Lamento mucho si sientes que estamos incumpliendo la LOPD. Por favor, ¿puedes proporcionar más detalles sobre tu preocupación para que pueda ayudarte de la mejor manera posible?”

 

Contestación final de la persona:

 

“NO autorizo el envío de información COMERCIAL ni de ningún tipo por parte de vuestra empresa. NO he facilitado mis datos personales y menos mi número de móvil (…)”

 

Los mensajes comerciales enviados incluían un procedimiento claro y gratuito para oponerse al tratamiento de datos personales con fines promocionales, basado en la remisión de la palabra BAJA como respuesta.

 

La persona contestaba a esos mensajes sin incluir la palabra “BAJA” en ellos, y el sistema de inteligencia artificial no comprendía la respuesta, en tanto que no estaba diseñado para ello.

 

La Agencia destaca en este criterio varios elementos clave del caso concreto:

 

• Existía un procedimiento claro y gratuito para oponerse al tratamiento de datos con fines promocionales, basado en el envío de la palabra “BAJA” en cada mensaje recibido.

 

• El sistema de IA utilizado no estaba diseñado para interpretar respuestas que no incluyeran ese término. En un caso como este, aunque sería deseable, no cabe exigir a la configuración de un sistema automatizado de inteligencia artificial que interprete todas las posibles formulaciones humanas o que esté preparado para el cumplimiento de todas las normativas oportunas, incluida la de protección de datos.

 

• La Agencia recuerda que el artículo 50 del Reglamento de Inteligencia Artificial, exigible desde agosto de 2026, obligará a informar expresamente a las personas de que están interactuando con un sistema de IA. La Agencia considera recomendable anticiparse a ese requerimiento, aunque no es exigible.

 

• A la vista de la conversación transcrita en el caso concreto, resultaba evidente que se trataba de un sistema de chatbot, por lo que la persona podía haber escrito simplemente la palabra “BAJA” o, en cualquier caso, acudido a un agente humano para dejar de recibir comunicaciones. También se subraya que la interacción con el chatbot no era el único canal para requerir el cese en el envío de comunicaciones comerciales, existiendo atención humana disponible vía email y web, y podrían ejercerse los derechos y bajas por otras vías y con agentes humanos.

Imagen: Mohamed Hassan en Pixabay

 

Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que aborda diversos aspectos relacionados con la identificación de las personas que van a reservar o contratar un hospedaje. El objetivo del documento, que ha sido elaborado por la Agencia y se ha remitido de forma previa tanto al Ministerio del Interior como a la confederación que agrupa a las empresas que prestan servicios de hospedaje, es evitar riesgos para la privacidad de las personas.

 

El Real Decreto 933/2021 establece la obligación del titular de la actividad de hospedaje de recoger determinados datos de las personas que hagan uso de sus servicios. La Agencia establece en la nota que esta recogida de información no autoriza a solicitar una copia del documento de identidad del cliente, ya que esto vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.

 

Documentos como el DNI incluyen información adicional a la requerida por la norma (como la fotografía, la fecha de caducidad, el CAN o nombres de los padres), cuyo tratamiento incrementa el riesgo de suplantación de identidad. Por otro lado, el DNI no incluye la totalidad de la información solicitada en el Real Decreto 933/2021 por lo que, por sí solo, no es un recurso válido para poder cumplir con la norma. Además, el envío de una copia del documento no permite verificar con certeza la identidad de la persona que lo remite.

 

Para cumplir con la obligación legal, la Agencia considera que el huésped debe proporcionar los datos que se detallan en los apartados correspondientes del Real Decreto, y que estos pueden recogerse mediante un formulario presencial u online.

 

Para la autenticación de los datos facilitados, en el caso presencial, bastaría con una verificación visual del documento. Si esta se realiza online, se recomienda el uso de mecanismos como certificados digitales, comprobación con los datos asociados al método de pago o autenticación a través de códigos enviados al teléfono o correo electrónico del cliente.

 

En todo caso, cualquier otro procedimiento que se utilice deberá ser evaluado por el responsable del tratamiento de datos, garantizando siempre su compatibilidad con la normativa de protección de datos.

 

El documento completo puede consultarse aquí.

 

Imagen:

Fuente: Agencia Española de Protección de Datos.

 

• El informe analiza el papel clave esta tecnología para avanzar en modelos de inteligencia artificial más respetuosos con la protección de datos.

 

• El aprendizaje federado permite entrenar modelos de IA sin centralizar la información, lo que refuerza la protección de datos en sectores sensibles como el sanitario, entre otros.

 

• Esta tecnología es estratégica en un momento en el que las organizaciones buscan equilibrar la innovación tecnológica con el cumplimiento normativo en materia de protección de datos.

 

• Acceso al documento (en español y en inglés ).

 

La Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado un informe conjunto en el que analiza el papel clave del Aprendizaje Federado (Federated Learning) como herramienta para avanzar en modelos de inteligencia artificial más respetuosos con la protección de datos personales.

 

La creciente necesidad de procesar grandes volúmenes de datos ha llevado al desarrollo de tecnologías como el aprendizaje federado, que permite entrenar modelos de IA utilizando datos descentralizados. Esta tecnología es estratégica en un momento en el que las organizaciones buscan equilibrar la innovación tecnológica con el cumplimiento normativo en materia de protección de datos.

 

El aprendizaje federado implica que los modelos se entrenan localmente en cada dispositivo o entidad y solo se comparte el resultado, sin necesidad de enviar los datos originales a un servidor central. Esta característica contribuye a mitigar riesgos de privacidad, especialmente en escenarios clave. Entre los casos de uso más destacados que se recogen en el informe se encuentran el desarrollo de modelos de IA en el sector sanitario —con datos especialmente sensibles—, así como en asistentes de voz y vehículos autónomos.

 

El aprendizaje federado se alinea con principios de protección de datos como la minimización y la limitación de la finalidad, al garantizar que la información permanece bajo control del responsable del tratamiento y no se expone a terceros. Además, mejora en cumplimiento con la responsabilidad proactiva y la auditabilidad de los tratamientos.

 

Por otro lado, el aprendizaje federado se considera una tecnología de doble uso, tanto para la protección de la privacidad como para el impulso de la economía digital. Así, contribuye una gobernanza de datos efectiva, permitiendo que diversas entidades colaboren en el entrenamiento de modelos de IA, incluso con datos que, por su naturaleza estratégica, sensible o confidencial, nunca serían compartidos de otra forma. El informe también destaca los desafíos que enfrenta el Aprendizaje Federado.

 

El informe subraya la necesidad de implementar una seguridad integral en todo el ecosistema del aprendizaje federado y de garantizar la calidad de los datos, evitando sesgos. En este sentido, el informe pone de manifiesto que es fundamental no asumir que los parámetros intercambiados o los modelos resultantes son anónimos sin un análisis técnico y legal exhaustivo.

 

Para aprovechar al máximo el potencial del aprendizaje federado, el informe enfatiza la importancia de adoptar un enfoque que priorice la protección de datos desde el diseño. Esto implica implementar soluciones para el tratamiento de datos que reduzcan el riesgo para las personas, permitan el acceso a datos y aumenten la confianza para que distintos actores entren en la economía digital.

Fuente: Agencia Española de Protección de Datos.

 

Esta resolución de la Agencia Española de Protección de Datos analiza el uso de tecnologías de reconocimiento facial para evitar el fraude en el marco de la evaluación online. La resolución rechaza la legitimación de este tratamiento en la actualidad, pero no lo excluye con un adecuado desarrollo normativo.

 

Los hechos objeto de la resolución se originan por la denuncia presentada ante la Agencia Española de Protección de Datos (AEPD) contra la Universitat Internacional Valenciana (UIV) debido a la imposición de un sistema de monitorización de exámenes a distancia. Este sistema implicaba, obligatoriamente y sin alternativas válidas para el alumnado, el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360) con la finalidad declarada de evitar fraudes y suplantaciones en evaluaciones académicas online. El software utilizaba un sistema de reconocimiento facial mediante inteligencia artificial por el que se capturaban y analizaban imágenes en tiempo real para verificar de forma continuada la identidad de los estudiantes durante los exámenes.

 

La UIV justificaba el tratamiento de los datos personales biométricos en la necesidad de garantizar la autenticidad y calidad de las evaluaciones online, previniendo fraudes y suplantaciones. También señaló que contaba con el consentimiento libre y expreso del alumnado (otorgado al matricularse y aceptar las condiciones generales), así como con un supuesto “interés público esencial” en la lucha contra el fraude académico.

 

Para evaluar la intensidad y el impacto de dicho tratamiento de datos personales en las personas afectadas se consideran algunos aspectos relevantes: el sistema utilizaba una verificación continua (comparación 1:1 en tiempo real) basada en datos biométricos (patrones faciales generados y suprimidos cada pocos segundos). También incluía monitorización del escritorio de la persona examinada (captura de pantallas, detección de programas, periféricos conectados, etc.) así como la monitorización del entorno del estudiante mediante una segunda cámara, con la que se analizaba con inteligencia artificial la presencia de otras personas u objetos no permitidos. La UIV afirmaba que los datos tratados eran seudonimizados y suprimidos rápidamente. La Evaluación de Impacto de Protección de Datos de la propia Universidad reconocía que el tratamiento suponía un riesgo muy alto de impacto para los derechos y libertades de las personas afectadas.

 

A continuación se recogen los elementos jurídicos más relevantes de la resolución, que puede ser recurrida.

 

1.- La Agencia centra una gran parte del análisis jurídico en el hecho de que los datos tratados constituyen datos de categoría especial, regulados por el artículo 9 del Reglamento General de Protección de Datos (RGPD), tal y como confirmó el Comité Europeo de Protección de Datos en sus Directrices 5/2022. Dicho precepto establece una prohibición general de tratamiento de categorías especiales de datos que sólo puede ser exceptuada cuando concurra alguna de las circunstancias previstas en el apartado 2 del artículo 9. En este caso, se considera que no había ninguna excepción legítima del artículo 9.2 RGPD que permitiese el tratamiento realizado por la UIV.

 

2.- De una parte, se descarta el consentimiento (art. 9.2.a RGPD), pues alegaba la Universidad que se recababa en varios momentos (fase precontractual al consultar condiciones generales, al formalizar la matrícula, al registrar la imagen en el software utilizado y al instalar la aplicación). Sin embargo, dicho consentimiento se daba en el ecosistema particular educativo y universitario, no se considera que cumple los requisitos del  RGPD. Más en concreto, la AEPD entiende que el consentimiento no puede considerarse válido por cuanto no se daba alternativa real y efectiva a los estudiantes al ser el software empleado el único método permitido para realizar los exámenes online. Su rechazo por parte del alumnado implicaba perder su derecho a la evaluación. Tampoco se considera un consentimiento válido la aceptación obligatoria de unas condiciones generales al matricularse.

 

3.- En la resolución dictada se rechaza que exista una base de legitimación del interés público esencial (art. 9.2.g RGPD), dado que no existe actualmente ninguna ley nacional específica del ámbito educativo universitario ‒que es el que corresponde‒ que habilite expresamente a las universidades a realizar este tratamiento biométrico en el marco de los exámenes a distancia. Aunque la UIV invocó el artículo 46.3 de la Ley Orgánica de Universidades, que establece la obligación general de las universidades de verificar los conocimientos adquiridos por sus estudiantes, la AEPD considera insuficiente esta base normativa.

 

4.- En la resolución se afirma que sería precisa una ley habilitante específica, que, como exigen las sentencias 292/2000 y 76/2019 del Tribunal Constitucional o la jurisprudencia del TEDH, determinase concretamente en qué casos, condiciones y bajo qué garantías puede realizarse este tratamiento biométrico. A juicio de la AEPD, dicha ley habría de expresar la finalidad de prevención del fraude académico como interés público esencial perseguido. También habría de incluir las circunstancias y modalidades específicas de aplicación del tratamiento biométrico y en su caso con IA de considerarse posible y los elementos básicos de las garantías técnicas, organizativas y procedimentales exigidas para proteger derechos fundamentales.

 

La resolución no cierra la puerta al uso de estos sistemas para la identificación de los estudiantes con la finalidad de prevención del fraude en el contexto educativo, incluso con sistemas de inteligencia artificial. No en vano, estos sistemas están expresamente previstos en el Reglamento de Inteligencia Artificial (RIA) de la UE como de alto riesgo (Anexo III). Ahora bien, la AEPD deja claro que el RIA no proporciona cobertura legal para amparar el uso actual de este tipo de tecnologías en el ámbito educativo en España, sino que, como indica expresamente el propio RIA, se requiere una decisión nacional (o europea) al respecto que establezca las garantías oportunas.

Fuente: Agencia Española de Protección de Datos

 

• La Agencia Española de Protección de Datos publica su Memoria 2024.

 

• El año pasado la AEPD recibió 18.855 reclamaciones, a las que se suman los casos transfronterizos procedentes de otras autoridades de control y las actuaciones iniciadas por iniciativa propia.

 

• Las reclamaciones más frecuentes de los ciudadanos corresponden a videovigilancia, servicios de internet, y comercio, transporte y hostelería.

 

• Las áreas de actividad con mayor importe de multas están relacionadas con brechas de datos personales, empresas de energía/agua, entidades financieras/acreedoras, servicios de Internet, telecomunicaciones y contratación fraudulenta.

 

• La Agencia lideró 22 casos transfronterizos como autoridad principal y ha cooperado como interesada en 348.

 

• Se realizaron 62 intervenciones de urgencia en 2024 a través del Canal prioritario, lo que supone un incremento del 72% respecto a 2023.

 

• El año se cerró con casi 120.000 delegados de protección de datos (DPD) comunicados ante la Agencia.

 

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria de actuación 2024, que recoge las acciones de concienciación, colaboración e inspección puestas en marcha, los informes y procedimientos más relevantes del año, un análisis de las tendencias normativas y los desafíos para la privacidad, tanto en un plano nacional como internacional.

 

Uno de los grandes desafíos se encuentra en el desarrollo de la inteligencia artificial (IA) y el análisis de su impacto en la protección de datos. Dentro del marco de desarrollo de una inteligencia artificial confiable, los espacios de datos adquieren una gran relevancia. La disponibilidad de datos de calidad se constituye en un elemento clave para el entrenamiento de modelos de IA y su uso tiene el potencial de ser un factor de ayuda a la hora de mejorar la toma de decisiones y la personalización de servicios. Sin embargo, el acceso masivo a datos plantea retos significativos en términos de privacidad y protección de los derechos de las personas. En este contexto, los datos sanitarios, debido a su naturaleza especialmente sensible y otros tipos de datos provenientes de espacios de datos sectoriales, cobran especial importancia por su sensibilidad y posible impacto sobre la sociedad. La Agencia participa activamente en el Comité Europeo de Protección de Datos (EDPB) con la elaboración de guías sobre la IA, destacando su participación como coautora de la guía que analiza la relación entre el RIA y el RGPD.

 

A estos desafíos hay que sumar los neurodatos, una información que puede revelar información íntima sobre el estado de salud, pensamientos o emociones de las personas, e identificarlas de manera única. Todo ello representa un desafío significativo para la protección de datos debido a su naturaleza personal y, en ocasiones, sensible.

 

La Memoria 2024 pone de manifiesto la elevada carga de trabajo de este organismo, no sólo en cuanto al número de reclamaciones presentadas ante la Agencia (18.885) sino también debido a la complejidad de las mismas. Así, pese al descenso del 13% en las reclamaciones presentadas respecto a 2023, el número sigue siendo un 25% superior a las recibidas durante
el año 2022 y un 36% superior a las recibidas durante el año 2021, suponiendo el segundo número de reclamaciones más alto de la historia de este organismo, solo por detrás del récord del año 2023. Los casos transfronterizos procedentes de otras autoridades de control del Espacio Económico Europeo han aumentado un 17% (825) respecto a 2023 y un 27% más que en 2022. En total, la Inspección ha recibido 19.722 entradas, incluyendo también los casos abiertos por iniciativa propia.

 

Este año también destacan los traslados, una previsión recogida en la normativa para facilitar una respuesta ágil a los ciudadanos. En 2024, tras haber procedido al traslado de la reclamación, se ha finalizado la tramitación en el 88% de los casos, dando así una respuesta más rápida a los reclamantes. Se observa que solo el 5% de las resoluciones llegan al procedimiento sancionador. La principal vía de resolución de reclamaciones pasa por su traslado al responsable o encargado que, en un número significativo de casos, permite obtener una respuesta satisfactoria para el ciudadano en menos de tres meses (77 días).

 

La Memoria 2024 también recoge las Administraciones Públicas sancionadas por incumplir los requerimientos y medidas correctivas impuestas. Tanto la falta de respuesta a los requerimientos de información que envía la Agencia como el hecho de no acreditar que se han cumplido las medidas impuestas suponen infracciones muy graves.

 

Las reclamaciones planteadas con mayor frecuencia por los ciudadanos en 2024 corresponden a videovigilancia (+19%), servicios de internet (+8%), y comercio, transporte y hostelería (+7%). En este sentido hay que destacar las reclamaciones relacionadas con asuntos laborales, una materia que aunque no ocupa los primeros puestos en cuanto a reclamaciones planteadas, se ha incrementado un 49%. En lo relativo a los procedimientos sancionadores y de apercibimiento, se finalizaron 414, siendo las áreas más frecuentes la videovigilancia (aunque desciende (-49% respecto a 2023), los servicios de internet (10%), la publicidad (-20%), el comercio, transporte y hostelería y los asuntos laborales (+28%).

 

El hecho de que en esas áreas se realice un mayor número de procedimientos sancionadores no implica que sean estas las que mayor número de sanciones económicas acumulan. La Agencia ha dictado 281 resoluciones que incluyen imposición de multa. Los cinco temas con mayor importe global de multas son los relacionadas con energía/agua (que pasa de 115.500 euros en 2023 a 11.680.600 euros en 2024); entidades financieras/acreedoras (5.356.900 euros); servicios de Internet (que asciende a los 4.547.380 euros frente a 1.058.700 euros de 2023); telecomunicaciones (3.330.000 euros frente a 1.942.000 euros de 2023)  y contratación fraudulenta (2.538.200 euros). Estas cinco áreas suponen el 23% del importe global de sanciones, que en 2024 ascendió a 35.592.200 euros.

 

En 2024 la Agencia llevó a cabo 30 procedimientos sancionadores o de apercibimiento relacionados con brechas de datos personales, con imposición de multas por importe de 13.179.600 euros. Las sanciones relacionadas con brechas de datos han supuesto el 37% de la cuantía total de las multas impuestas. Las infracciones más comunes en estos procedimientos incluyen la pérdida de confidencialidad, la falta de observación de la protección de datos desde el diseño y por defecto, la falta de medidas apropiadas para garantizar un nivel de seguridad adecuado al riesgo o la falta de notificación de la brecha a la autoridad de control o a los afectados cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.

 

En casos transfronterizos, la Agencia ha liderado 22 en 2024 como autoridad principal y ha cooperado como interesada en 348. El texto detalla los principales procedimientos sancionadores transfronterizos en los que la Agencia ha sido autoridad principal (OK Mobility, Iberia y GlovoApp23) y en los que ha sido autoridad interesada (Meta, LinkedIn, Avast, Contextlogic, Uber y Nuxe). Asimismo, se han recibido 1.343 peticiones de otras autoridades, solicitudes de asistencia y consulta, y proyectos de decisión (+17%).

 

En cuanto a las reclamaciones gestionadas a través del Canal Prioritario ‒para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen‒, se han realizado 62 intervenciones de urgencia en 2024, lo que supone un incremento del 72% respecto a 2023.

 

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 43 dictadas en 2024, 32 (74%) han sido inadmitidas o han resultado desestimatorias.

 

En lo relativo a las cifras de delegados de protección de datos (DPD) comunicados ante la Agencia, el año 2024 se ha cerrado con 119.803 frente a los 111.070 de 2023. De la cifra del año pasado, 109.853 corresponden al sector privado y 9.950 al sector público. Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 724 consultas a través del Canal del DPD. Por su parte, las cifras de acceso a las herramientas web de ayuda a los responsables continúan acumulando accesos en 2024: Facilita (36.261), Facilita Emprende (2.132), Gestiona RGPD (27.605), Evalúa Riesgo (21.823), Comunica-Brecha RGPD (4.306) y Asesora-Brecha RGPD (7.705).

 

Las consultas tramitadas por el área de Atención al ciudadano han aumentado más de un 42%, destacando en crecimiento el servicio de chatbot (+145%), que ofrece respuesta inmediata a las consultas más frecuentes y pone en contacto al ciudadano con un agente en caso de que su duda no quede resuelta.

Fuente: Agencia Española de Protección de Datos

 

La Agencia agradece las contribuciones recibidas y anima a seguir participando en futuras iniciativas de escucha activa que, como esta, buscan mejorar el servicio público. Desde la Agencia se valora especialmente la calidad técnica y el enfoque constructivo de las propuestas recibidas, así como el interés mostrado en la evolución de la protección de datos en España. Las aportaciones, ya publicadas en la web de la Agencia, serán estudiadas para valorar su incorporación al texto definitivo del Plan.

 

La Agencia Española de Protección de Datos (AEPD) ha cerrado con éxito el proceso de consulta pública sobre el borrador de su Plan Estratégico 2025-2030. El proceso de escucha, que ha recibido más de 450 aportaciones de ciudadanos, profesionales de la privacidad, empresas, administraciones públicas y organizaciones del tercer sector, se ha desarrollado entre el 10 de abril y el 11 de mayo. Todas las contribuciones recibidas están ya disponibles para su consulta en la web de la Agencia , en un ejercicio de transparencia que refleja el compromiso de la AEPD con la colaboración abierta y el diálogo.

 

El origen de las propuestas se estructura de la siguiente forma: asociaciones, fundaciones y tercer sector (35,34%), profesionales de la privacidad (21,34%), ciudadanía (14,87%), sector empresarial (10,34%), sector público (6,9%), pymes (6,68%) y otros (4,53%). Por comunidades autónomas, Madrid, Andalucía, Valencia y Cataluña aglutinan más del 65% de las contribuciones recibidas.

 

El diseño del formulario online, en el que se podía aportar de forma independiente en cada uno de los ejes y añadir comentarios generales, ha facilitado una participación flexible y centrada. Esta estructura ha permitido que los participantes se enfoquen en aquellos aspectos más relevantes para su actividad o interés, lo que ha resultado en un alto grado de especialización y concreción en las propuestas. El eje 4 (Facilitar el cumplimiento normativo) ha recibido un 17,03% de las aportaciones, seguido del eje 1 (Supervisión inteligente) con un 16,59%; el eje 2 (Innovación tecnológica) un 14,87%; el 3 (Cooperación e influencia estratégica) un 14,66%; el 6 (Una Agencia abierta y cercana) un 13,15% y el 5 (Transformación digital y excelencia), un 10,99%. Un 12,72% de las contribuciones se corresponden con iniciativas generales.

 

Cada aportación representa una visión, una experiencia o una preocupación concreta sobre los retos presentes y futuros en el ámbito de la privacidad. Como ejemplo, los profesionales de la privacidad han realizado un mayor número de aportaciones en los ejes de Supervisión inteligente y Facilitar el cumplimiento normativo, este último punto coincidente con la mayoría de las contribuciones del sector empresarial, las pymes y el sector público. Destacan además las aportaciones realizadas por el sector público en el eje de Cooperación e influencia estratégica. Respecto a la ciudadanía, la mayoría de las iniciativas se concentran en Supervisión inteligente y en Una Agencia abierta y cercana.

 

Desde la Agencia se valora especialmente la calidad técnica y el enfoque constructivo de las propuestas recibidas, así como el interés mostrado por tantos actores en la evolución de la protección de datos en España. Este proceso participativo no es solo una consulta, sino una herramienta para reforzar la confianza y el vínculo entre la AEPD y la sociedad.

 

La AEPD ya ha iniciado el análisis detallado de las aportaciones, que serán estudiadas para valorar su incorporación al texto definitivo del Plan Estratégico 2025-2030. El objetivo es construir una hoja de ruta sólida y alineada con las necesidades sociales y tecnológicas tanto presentes como futuras. Se prevé que la versión definitiva del Plan se presente en el mes de julio.

 

El Plan Estratégico 2025-2030 será el documento que guíe las prioridades de actuación de la Agencia durante los próximos cinco años. Por ello, el haber contado con una pluralidad de voces es clave para asegurar que la estrategia esté verdaderamente orientada a dar respuesta a los retos en materia de protección de datos.

 

El listado completo de aportaciones puede consultarse en este enlace.

Fuente: Agencia Española de Protección de Datos

 

La Agencia Española de Protección de Datos ha sido la ponente principal en la fase previa a su lanzamiento. La consulta pública permanecerá abierta hasta el 9 de junio de 2025, dando a las partes interesadas la posibilidad de presentar sus observaciones.

 

El Comité Europeo de Protección de Datos (CEPD) ha adoptado en su reunión plenaria de abril unas directrices sobre el tratamiento de datos personales mediante tecnologías blockchain (Guidelines 02/2025 on processing of personal data through blockchain technologies), en las que la Agencia Española de Protección de Datos (AEPD) ha sido la ponente principal en la fase previa a su lanzamiento.

 

Estas directrices están sometidas a consulta pública hasta el 9 de junio de 2025, dando a las partes interesadas la posibilidad de presentar sus observaciones.

 

Blockchain es un registro digital distribuido que permite validar transacciones y garantizar la integridad de los datos sin una autoridad central. La tecnología blockchain también permite manejar y transferir datos de forma segura, garantizando su integridad y trazabilidad. Dado que el uso de las tecnologías blockchain se está extendiendo, el Comité se ha propuesto entre sus objetivos ayudar a cumplir con el RGPD a las organizaciones que utilizan estas tecnologías, objetivo compartido por la Agencia.

 

En sus directrices, el Comité explica cómo funcionan las cadenas de bloques, evaluando las diferentes arquitecturas posibles y sus implicaciones para el tratamiento de datos personales. Las directrices destacan la importancia de aplicar medidas técnicas y organizativas en las primeras fases del diseño del tratamiento. Además, destacan que las organizaciones deben llevar a cabo una evaluación de impacto sobre la protección de datos (EIPD) antes de tratar datos personales mediante tecnologías blockchain cuando sea probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas.

 

Las directrices ofrecen ejemplos de diferentes técnicas de minimización de datos, así como de tratamiento y almacenamiento de datos personales. Asimismo, el Comité destaca la importancia de los derechos de las personas, especialmente en materia de transparencia, rectificación y supresión de datos personales.

Fuente: Agencia Española de Protección de Datos

 

• La Agencia publica la traducción al español de este documento de la Autoridad de Protección de Datos de Singapur por su valor didáctico e interés para responsables, encargados de tratamientos y delegados de protección de datos

 

• Los datos sintéticos son una herramienta clave para la innovación y la protección de datos en el desarrollo de sistemas y modelos de IA

 

• Esta traducción se publica en el marco de la colaboración que la Agencia mantiene con su entidad homóloga de Singapur, la Personal Data Protection Commission (PDPC)

 

• Acceso a Guía de datos sintéticos

 

La Agencia Española de Protección de Datos (AEPD) ha publicado la traducción al español de la Guía sobre generación de datos sintéticos, un documento elaborado por la Autoridad Nacional de Protección de Datos de Singapur (PDPC) y que, en el marco de la colaboración que la Agencia mantiene con dicha autoridad, se ha traducido por su valor didáctico y especial interés para responsables, encargados de tratamientos y delegados de protección de datos, a quienes puede proporcionar orientación práctica y técnica.

 

Los datos sintéticos son un elemento clave para la innovación y la protección de datos en el desarrollo de sistemas y modelos de Inteligencia Artificial. Los datos sintéticos son generados artificialmente con el fin de simular datos reales y deben conservar sus características estadísticas esenciales para resultar útiles sin comprometer la información personal. Su generación debe planificarse cuidadosamente, situándose en un espectro que va desde los datos completamente aleatorios hasta los datos reales.

 

Esta tecnología se presenta como una herramienta de gran utilidad para promover la economía del dato, siempre que se valore adecuadamente su idoneidad según el caso de uso y se garantice un equilibrio entre su utilidad y los riesgos para la privacidad. El uso de datos sintéticos no solo puede acelerar la investigación, la innovación, la colaboración y la toma de decisiones, sino que también puede mitigar el impacto de las brechas de datos.

 

La guía incorpora casos prácticos de estudio en los que se plantea un problema y se ofrece una solución incluyendo también recomendaciones y buenas prácticas para generar datos sintéticos y reducir los riesgos residuales de la reidentificación.

 

Este nuevo recurso se incorpora al catálogo de guías y notas técnicas, entradas del blog, recomendaciones y directrices internacionales disponibles en la sección Innovación y Tecnología de la web de la AEPD, que promueve la gestión activa los riesgos en materia de protección de datos para evitar daños en los derechos y libertades de las personas.

Fuente: Agencia Española de Protección de Datos

 

La Agencia Española de Protección de Datos, en su labor de concienciación, ofrece consejos a la ciudadanía sobre los aspectos que deben tener en cuenta para la protección de sus datos personales.