Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que analiza las implicaciones del uso de imágenes de terceros en sistemas de inteligencia artificial y los riesgos que comporta, incluso en contextos aparentemente triviales o lúdicos.

 

El primer apartado de la nota se centra en el impacto visible derivado de generar y difundir imágenes de terceros mediante IA. El documento presta especial atención a situaciones de alto riesgo, como la sexualización y el contenido íntimo sintético, la atribución de hechos no reales con efectos reputacionales, la descontextualización de las imágenes o la utilización de contenidos que afectan a menores de edad o personas en situación de especial vulnerabilidad.

 

El segundo apartado aborda los riesgos menos visibles, aquellos que se producen por el mero hecho de subir una imagen o un vídeo a un sistema de IA, aunque el resultado no se publique. Entre ellos, la Agencia destaca la pérdida efectiva de control sobre la imagen al intervenir un tercero tecnológico, la retención y la existencia de copias no visibles, la intervención de múltiples actores, la generación de metadatos o el riesgo de identificación persistente en sistemas capaces de reutilizar rasgos de una persona en múltiples contenidos.

 

Por último, la nota identifica las situaciones que suelen ser especialmente relevantes para la AEPD, aclarando los límites de la normativa de protección de datos, por ejemplo, en ámbitos personales o domésticos sin difusión más allá de ese entorno.

 

La Agencia presta especial atención a los supuestos en los que el uso de imágenes o vídeos de terceros mediante sistemas de inteligencia artificial incrementa de forma significativa los riesgos para la persona afectada. Esto ocurre, en particular, cuando se produce una pérdida efectiva de control sobre la propia imagen, se generan contenidos verosímiles que pueden atribuir a la persona hechos o conductas que no han ocurrido, se ven implicados menores de edad o personas especialmente vulnerables, se introducen elementos de sexualización, humillación o descrédito, o se difunden los contenidos en entornos en los que el impacto personal, social o profesional puede ser especialmente intenso.

 

La Agencia también añade que pueden verse afectados otros derechos fundamentales, como el honor, la intimidad o la propia imagen, y que resulten aplicables otras normas del ordenamiento jurídico, incluido el Código Penal. En caso de indicios claros de delito, la actuación correspondería a las autoridades policiales, la Fiscalía y, en su caso, los órganos judiciales, que son los competentes para la investigación y persecución penal de estos hechos.

 

Con esta publicación, la AEPD refuerza su labor preventiva y de concienciación, ofreciendo a la ciudadanía criterios claros para comprender el alcance de los riesgos asociados al uso de imágenes en sistemas de IA, promoviendo un uso responsable y respetuoso con los derechos fundamentales.

Fuente: Agencia Española de Protección de Datos

 

Estas transferencias ya fueron analizadas por parte de las autoridades europeas de protección de datos, que concluyeron que no cumplían con el Reglamento General de Protección de Datos.

 

La red social TikTok debe informar a sus usuarios de que continúa transfiriendo datos personales a China y otros países.

 

A la espera una sentencia judicial definitiva, TikTok reanuda las transferencias, pero debe informar a sus usuarios sobre las mismas.

 

La Agencia Española de Protección de Datos (AEPD) informa de que la plataforma TikTok continúa realizando transferencias de datos personales de usuarios europeos a terceros países, entre ellos la República Popular China. Estas transferencias ya fueron analizadas por parte de las autoridades europeas de protección de datos, que concluyeron que no cumplían con el Reglamento General de Protección de Datos (RGPD).

 

En abril de este año, la Comisión de Protección de Datos de Irlanda (DPC), autoridad principal de supervisión de TikTok en la UE, tras un procedimiento coordinado con el resto de autoridades nacionales de protección de datos entre las que se encontró la AEPD, multó a TikTok con 530 millones de euros al determinar que dichas transferencias vulneraban el RGPD, acordando medidas correctoras. Esta decisión fue recurrida por la empresa ante los tribunales irlandeses y, en noviembre de 2025, el tribunal irlandés acordó un levantamiento temporal de la suspensión de las transferencias a la espera de la resolución judicial definitiva.

 

El levantamiento temporal de la suspensión está condicionado a que la compañía cumpla sus obligaciones específicas de transparencia. En este contexto, TikTok ha comenzado a informar a los usuarios europeos sobre el tratamiento de sus datos personales y la existencia de este procedimiento en curso.

 

La Agencia Española de Protección de Datos, en coordinación con sus homólogas europeas, destaca que:

 

• TikTok continúa transfiriendo datos personales de usuarios europeos a terceros países, incluida China.

 

• Las autoridades europeas de protección de datos, en el marco del Comité Europeo de Protección de Datos, ya concluyeron que dichas transferencias no cumplen con el RGPD.

 

• Aunque las medidas adoptadas por la autoridad irlandesa se encuentran suspendidas de forma provisional, la valoración realizada por las autoridades de control sigue vigente y la legalidad de estas transferencias continúa siendo objeto de revisión judicial.

 

La Agencia considera esencial que los usuarios, y especialmente los más jóvenes, dispongan de información clara y comprensible sobre cómo se tratan sus datos personales, especialmente en el caso de servicios que implican un tratamiento intensivo de datos personales. Por ello, realiza las siguientes recomendaciones:

 

• Leer detenidamente las notificaciones y políticas de privacidad de los servicios digitales que utilizan.

 

• Revisar la configuración de privacidad de las aplicaciones y comprobar los permisos concedidos, como el acceso a la cámara, el micrófono, los contactos o la ubicación.

 

• Valorar si desean continuar utilizando un servicio cuando existen transferencias de datos a países que no ofrecen un nivel de protección equivalente al europeo.

 

• Actuar con prudencia respecto a la información que se comparte a través de aplicaciones y redes sociales, evitando la difusión de datos sensibles.

 

Cooperación europea

 

TikTok ha designado Irlanda como su establecimiento principal en Europa. Siguiendo lo establecido en el RGPD, la DPC irlandesa es la autoridad de control principal en este asunto, en coordinación con el resto de autoridades europeas de protección de datos. La AEPD participa en los mecanismos de cooperación y coherencia previstos en la normativa europea y continúa realizando el seguimiento de este procedimiento en el marco de sus competencias.

Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos (AEPD) está llevando a cabo un proceso integral de revisión, actualización y reorganización de casi un centenar de guías, directrices y documentos técnicos publicados en su página web. Esta revisión permite identificar los contenidos plenamente actualizados, aquellos que se encuentran en fase de revisión y los que, por haber quedado superados por cambios normativos o técnicos, se mantienen visibles exclusivamente como documentos históricos.

Una de las funciones esenciales de la AEPD es facilitar el cumplimiento de la normativa por parte de las administraciones, las empresas y los profesionales que les asesoran, proporcionando criterios, guías y directrices que contribuyan a la aplicación de la normativa y el cumplimiento de sus obligaciones.

 

La Agencia ha identificado tres categorías de documentos:

 

• Actualizados: continuarán siendo la referencia para facilitar la aplicación de criterios y orientaciones.

 

• En revisión: son documentos cuyo contenido está siendo objeto de análisis técnico o normativo. El reciente paquete digital europeo, que incluye, entre otras normas, el Reglamento de Inteligencia Artificial junto con su desarrollo posterior —tanto a través de las guías publicadas por la Comisión Europea como de las opiniones del Comité Europeo de Protección de Datos, incluidas las más recientes sobre las directrices conjuntas entre la DMA y el RGPD, así como la DSA y otras en elaboración—, unido a los avances tecnológicos recientes, hacen necesario realizar esta revisión.

 

• Obsoletos: son aquellos documentos que ya no están vigentes y se mantienen online solo a efectos históricos y documentales. Para evitar equívocos, se han retirado del listado habitual de guías y se encuentran en un apartado específico.

 

Tanto los documentos en revisión como los no activos se identifican con una marca específica que indica su estado.

 

Esta acción se realiza en el marco del compromiso de la Agencia con la mejora continua y la transparencia, y forma parte de las actuaciones previstas en el Plan estratégico 2025-2030, que recoge en su eje 3 “promover y acompañar en el cumplimiento normativo”.

 

La Agencia continuará actualizando progresivamente los contenidos de sus guías, directrices y documentos de apoyo y lanzando nuevos materiales, priorizando aquellos ámbitos en los que se hayan producido novedades normativas o que resulten de mayor relevancia para los sectores afectados.

 

Fuente: Agencia Española de Protección de Datos

 

La resolución aborda la reclamación presentada por una persona que solicitó a una entidad la retirada de unas imágenes en las que aparecía participando en actos públicos debido a su cargo en la misma. La organización respondió fuera de plazo denegando la solicitud. La persona reclamante, que consideró que su petición no había sido atendida adecuadamente, acudió a la Agencia Española de Protección de Datos para que tutelase su derecho.

 

La Agencia Española de Protección de Datos (AEPD) analiza en esta resolución si procede eliminar datos personales publicados en internet, especialmente cuando se trata de información vinculada a actividades públicas. Una persona que había ostentado un cargo relevante en una entidad, una vez deja de ostentarlo, solicitó a dicha entidad la retirada de unos vídeos publicados en el canal corporativo en los que aparecía participando en actos públicos debido a su puesto. Las imágenes correspondían a eventos y campañas en los que la persona reclamante participaba debido a su cargo y se encontraban publicadas en la página web, el canal de YouTube y otros espacios digitales gestionados por la organización. La entidad respondió denegando la solicitud, aunque lo hizo fuera de plazo.

 

El derecho de supresión, recogido en el artículo 17 del Reglamento General de Protección de Datos (RGPD), otorga a las personas la posibilidad de solicitar la eliminación de sus datos cuando estos ya no sean necesarios, cuando el tratamiento sea ilícito o cuando concurran otros supuestos previstos por la norma. Sin embargo, este derecho no es absoluto e incluye excepciones.

 

La AEPD recuerda en su resolución que la publicación de imágenes en internet constituye un tratamiento de datos personales sujeto a los requisitos generales del RGPD. Por lo tanto, debe analizarse si el responsable cuenta con una base jurídica válida para ello. A su vez, debe ponderarse si el derecho a la protección de datos del interesado prevalece sobre otros derechos fundamentales, en particular, si el derecho de protección de datos prevalece frente a, por ejemplo, el derecho de libertad de información o el de libertad de expresión.

 

La Agencia se apoya en jurisprudencia de la Audiencia Nacional, el Tribunal Supremo y del Tribunal de Justicia de la Unión Europea. En particular, recoge que el llamado derecho al olvido —derivado del derecho de supresión— no ampara la eliminación de informaciones veraces relacionadas con la actividad pública de una persona, ni permite reescribir su trayectoria. Dejar de ostentar un cargo no implica –al menos inmediata y automáticamente– que esos contenidos hayan dejado de tener la relevancia pública que legitima su difusión. Las sentencias citadas en la resolución enfatizan que el derecho al olvido no es un mecanismo para configurar un currículo personal a conveniencia ni para ocultar participaciones voluntarias en actividades públicas.

 

Este criterio se complementa en la resolución con la doctrina del Grupo de Trabajo del Artículo 29, que diferencia la vida privada de la vida profesional. La protección es más intensa cuando la información afecta a la esfera íntima, pero disminuye cuando se trata de actuaciones públicas, especialmente si existe un interés legítimo de terceros en acceder a dicha información.

 

Aplicando estos criterios al caso concreto, la Agencia concluye que la información tratada no se circunscribe a la vida personal de la persona reclamante, y no puede considerarse obsoleta o inexacta. La parte reclamante tampoco ha alegado circunstancias personales que evidencien que debe prevalecer su derecho en este caso concreto, por lo que la Agencia considera que debe decaer el derecho a la protección de datos frente a la libertad de expresión y de información y frente al interés de los usuarios de internet en conocer la información.

 

Por último, teniendo en cuenta que la entidad denegó la supresión solicitada una vez transcurrido el plazo legalmente establecido para ello, se estima la reclamación por motivos formales al haberse emitido la respuesta de forma extemporánea, sin que la entidad deba dar cumplimiento a la supresión solicitada.

 

La resolución completa, que puede consultarse en este enlace , es susceptible de recurso

Fuente: Agencia Española de Protección de Datos

 

La AEPD ha confirmado la inadmisión de una reclamación presentada contra un ayuntamiento por una persona que pedía conocer quién era el titular de un nicho ubicado en el cementerio donde está enterrado su familiar, víctima del franquismo. En la resolución, la Agencia explica que la comunicación de datos personales de personas vivas requiere de una base de legitimación y que, en este supuesto, debe atenderse a lo previsto en la Ley 20/2022, de Memoria Democrática como legislación especial. Esta ley expresamente exige que la autorización para acceder a dicha información corresponde al órgano competente en materia de memoria democrática, no al ayuntamiento titular del cementerio.

 

La Agencia Española de Protección de Datos (AEPD) ha confirmado la inadmisión a trámite de una reclamación presentada por una persona contra un ayuntamiento. Esta persona había solicitado la identidad del titular del nicho donde se hallan los restos de su familiar, víctima del franquismo, al ayuntamiento titular del cementerio y que le había denegado esta información.

 

La AEPD recuerda que la solicitud no era relativa a datos de personas fallecidas -en principio al margen de la normativa de protección de datos-. Asimismo, que no se trataba de un derecho de acceso del artículo 15 RGPD, puesto que el solicitante no pedía una información sobre sí mismo, sino sobre el titular de un nicho, esto es, un tercero. Por tanto, se trataba de una comunicación de datos personales que, conforme al Reglamento, exige contar con una base de legitimación válida.

 

El reclamante defendía que su solicitud se apoyaba en el interés legítimo (art. 6.1.f RGPD) vinculado al derecho de reparación de las víctimas del franquismo. Sin embargo, la AEPD considera que la Ley de Memoria Democrática 20/2022 que regula de forma específica las actuaciones de localización, exhumación e identificación de víctimas y es, por tanto, ley especial aplicable.

 

Esta norma establece un procedimiento administrativo específico que debe tramitarse ante los órganos competentes en materia de memoria democrática. Solo si se obtiene la correspondiente autorización administrativa podrá legitimarse el acceso a datos personales, al amparo de una obligación legal (artículo 6.1.c RGPD). Al haber una regulación especial y específica que aplicar al caso no procede acudir a la posible base de legitimación solicitada por el reclamante, basada en el interés legítimo (art. 6. 1. f) RGPD).

 

El artículo 19 de la Ley 20/2022, establece los protocolos de actuación, determinando que: “Las actividades de localización, exhumación e identificación de restos de personas desaparecidas se realizarán siguiendo los oportunos protocolos adoptados por las administraciones públicas competentes.” Esta Ley establece un procedimiento administrativo que implica la obtención de una autorización administrativa para las actividades de localización, exhumación e identificación de personas desaparecidas, debiendo ser planteadas y resueltas ante los órganos administrativos o judiciales competentes.

 

La resolución íntegra a la que hace referencia este texto puede consultarse en este enlace

 

Fuente: Agencia Española de Protección de Datos

 

La Agencia Española de Protección de Datos analiza un caso concreto de data scraping en el que se utilizaba una herramienta para conocer el estado de opinión sobre temas concretos a través de los comentarios publicados en redes sociales.

 

La Agencia Española de Protección de Datos (AEPD) recibió una denuncia en la que se exponía que, durante un evento, una empresa hizo una demostración de cómo su herramienta informática escaneaba publicaciones disponibles en abierto en una red social bajo ciertas palabras clave o hashtags. Posteriormente, analizaba esa información con una herramienta de IA generativa de uso común para que clasificara el sentimiento como positivo, negativo o neutro. El resultado se mostraba en un gráfico con esos tres indicadores. El denunciante había tenido conocimiento de estos hechos a través de varias publicaciones digitales.

El data scraping es una técnica que consiste en extraer grandes volúmenes de información disponible en páginas web o redes sociales. Esta técnica puede aplicarse a todo tipo de información y, cuando recopila datos personales, sí implica un tratamiento en los términos de la normativa de protección de datos.

 

La AEPD inició una investigación para evaluar si se podía haber realizado un tratamiento de datos personales de forma contraria al Reglamento General de Protección de Datos, solicitando información a la empresa sobre estos hechos. En contestación a este requerimiento, la empresa indicó que ofrece un software a clientes que gestionan sus cuentas y son responsables de los datos que introducen o procesan.

 

En cuanto a la demostración en el evento, negó haber utilizado datos personales, usando sólo información que estaba en abierto y sin incluir datos personales. Se afirmó que el gráfico mostrado se generó sin incluir identificadores personales y señaló que la empresa no recibe ni almacena datos obtenidos en búsquedas, que solo presta la infraestructura tecnológica, que su herramienta funciona en tiempo real y que solo conserva metadatos técnicos.

 

La Agencia procede al archivo de las actuaciones en este caso, al no haberse acreditado tratamiento de datos personales ya que, en la demostración de la conferencia, únicamente se mostró un gráfico con información agregada, sin referencias a personas identificadas o identificables. Si los usuarios de este tipo de herramientas utilizaran datos personales, habría de cumplirse con la normativa de protección de datos en función de la naturaleza de los datos y las operaciones.

 

La resolución, que puede consultarse en este enlace, es susceptible de recurso.

Fuente: Agencia Española de Protección de Datos

 

La adopción de esta Política promueve la transparencia, la seguridad y la confianza en la implementación de estos sistemas con garantías.

 

El objetivo es reforzar la capacidad tecnológica y organizativa de la Agencia, asegurando una transformación digital segura, ética y conforme con el marco normativo vigente.

 

Su puesta en marcha incorpora un proceso continuo de evaluación y adaptación para dar respuesta a los avances tecnológicos y normativos.

 

Su publicación se integra en Plan estratégico 2025-2030 de la AEPD, que apuesta por promover de forma interna el uso seguro y responsable de la IA.

 

La Agencia Española de Protección de Datos (AEPD) ha publicado su Política general interna para el uso de IA generativa , un documento que marca las líneas generales de implementación, gobernanza y uso responsable de estos sistemas en el ámbito interno.

 

Esta Política, la primera de este tipo en el sector público, sitúa a la Agencia como una institución pionera en el uso responsable, legal y transparente de la inteligencia artificial y la automatización en la Administración Pública. Ha sido aprobada en ejercicio de las facultades de la AEPD como Autoridad Administrativa Independiente y forma parte de su Política de Información, promoviendo la transparencia, la seguridad y la confianza en la implementación con garantías de estos sistemas. Su objetivo es reforzar la capacidad tecnológica y organizativa de la Agencia, asegurando una transformación digital segura, ética y conforme con el marco normativo vigente.

 

La publicación de esta Política se integra en el Eje 1 del Plan estratégico 2025-2030 de la Agencia, que apuesta por una política de IA first, promoviendo el uso seguro y responsable de la inteligencia artificial desde el convencimiento de que estos sistemas deben integrarse como un proceso normal en el funcionamiento de las administraciones públicas, al igual que en otros sectores.

 

El documento proporciona una hoja de ruta para abordar la transformación tecnológica de forma controlada y alineada con el interés público. La implantación progresiva de estos sistemas bajo una gobernanza sólida y con supervisión humana tiene como finalidad contribuir a que la Agencia continúe mejorando su eficiencia y capacidad técnica, manteniendo sus funciones y potestades.

 

La Política detalla casos de uso específicos en el ámbito administrativo, mostrando cómo se aplicará esta tecnología en la práctica. El apartado de análisis de riesgos identifica los desafíos asociados a la IA generativa, mientras que la sección de gobernanza, políticas y gestión establece el marco operativo. Estos puntos definen aspectos clave como la selección de soluciones, el tratamiento de datos personales, el diseño de casos de uso, la transparencia, la explicabilidad y la protección de derechos fundamentales. Por último, describe los procedimientos para la redacción, aprobación, revisión, incorporación de nuevos casos de uso, gestión de incidentes y supervisión continua, asegurando una implementación ordenada y alineada con los valores de la entidad.

 

El alcance de esta Política interna se limita al uso de IA generativa en los procesos administrativos de la AEPD, sin que suponga una verificación, evaluación, certificación o forma indirecta de aplicación del Reglamento de Inteligencia Artificial. Su implementación estará acompañada de un proceso continuo de evaluación, adaptación y mejora, de forma que pueda dar respuesta a los avances tecnológicos y los cambios normativos.

Fuente: Agencia Española de Protección de Datos

 

A partir del 1 de enero de 2026 será obligatorio que los vehículos utilicen la baliza V16 conectada para señalizar averías o situaciones de emergencia en carretera. En relación con los mensajes que están circulando en diversos foros sobre este tema y con el propósito de ofrecer información a la ciudadanía, la Agencia Española de Protección de Datos expone lo siguiente:

 

La baliza de preseñalización de peligro V16 incorpora una luz visible y envía un aviso automático a los sistemas de tráfico cuando se activa. Esta comunicación transmite el lugar donde se encuentra el vehículo detenido y un identificador técnico del propio dispositivo. Ese identificador no está asociado a una persona o matrícula, sin que exista un registro que vincule el dispositivo con la identidad de quien lo utiliza.

 

La persona que adquiere la baliza no tiene que dar sus datos personales a ninguna administración al adquirirlo, por lo que la Dirección General de Tráfico (DGT) no conocería quién ha comprado el dispositivo.

 

Mientras no se activa, la baliza no transmite ningún dato y, en caso de ser activada ante una situación de emergencia, la información que se envía no permitiría conocer quién es la persona que conduce ni reconstruir sus desplazamientos. La baliza emite una señal mientras está encendida y deja de hacerlo al apagarse, sin generar historiales de movimientos o envío de datos de manera continua.

 

La norma recoge que estos dispositivos están destinados exclusivamente a la visibilización del vehículo accidentado y el envío de la ubicación de un incidente al activarse, prohibiendo expresamente que incorporen funcionalidades adicionales.

 

La obligatoriedad de la utilización de la baliza V16 está recogida en el Real Decreto 159/2021 que regula los servicios de auxilio en las vías públicas, modificado por el Real Decreto 1030/2022.

Fuente: Agencia Española de Protección de Datos.

 

La AEPD ha publicado una resolución en la que declara que un ayuntamiento vulneró la normativa de protección de datos al incluir en los sobres que se enviaban por vía postal expresiones que revelaban el contenido de las notificaciones (“Diligencia de embargo” y “Providencia de apremio”). Ello implica una infracción del deber de confidencialidad previsto en el artículo 5.1.f) al permitir conocer información económica del ciudadano.

 

La resolución completa, que puede consultarse en este enlace, es susceptible de recurso

 

Una persona había recibido dos notificaciones postales por parte de un ayuntamiento en cuyos sobres figuraban, de manera visible, además de su identificación, las expresiones “Diligencia de embargo” y “Notificación providencia de apremio”, junto con el número de expediente correspondiente. Estas menciones, impresas en el anverso, permitían a cualquier persona con acceso al sobre conocer la existencia de un procedimiento de apremio y una deuda tributaria. Ello no era necesario ni para la entrega postal ni para la identificación del envío por parte del propio ayuntamiento.

 

La AEPD considera la infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que establece que el responsable del tratamiento debe aplicar medidas técnicas y organizativas que eviten accesos no autorizados a datos personales, garantizando su integridad y confidencialidad. Tales medidas no se aplicaron al incluir en los sobres las expresiones “Diligencia de embargo” y “Providencia de apremio”, lo cual permitió que personas ajenas al procedimiento pudieran conocer información que revelaba la existencia de deudas y actuaciones ejecutivas.

 

Durante la fase de alegaciones, el ayuntamiento reconoció los hechos y acreditó haber eliminado las referencias explícitas al contenido de las notificaciones en los sobres, sustituyéndolas por la expresión genérica “Notificación administrativa”.

Fuente: Agencia Española de Protección de Datos.

 

Estas novedades se suman a ‘Emprendimiento, innovación, experiencias y maratones de privacidad e IA Ángela Ruiz Robles’; ‘Protección de datos de colectivos vulnerables y frente a la violencia digital’; ‘Buenas prácticas de cumplimiento normativo y de responsabilidad social’; ‘Comunicación’; ‘Formación, educación y concienciación en protección de datos’, ‘Investigación en protección de datos personales ‘Emilio Aced’’ y ‘Difusión de la protección de datos en redes sociales’

 

Los premios de la Agencia Española de Protección de datos reconocen el compromiso tanto de personas como de proyectos conjuntos, y de organismos públicos y empresas

 

El plazo para la presentación de candidaturas finaliza el 31 de enero de 2026

 

El resumen de cada una de las categorías puede consultarse en este enlace

 

Las bases completas de los premios se publicarán próximamente en el BOE

 

La Agencia Española de Protección de Datos (AEPD) ha publicado un extracto de las convocatorias de los ‘Premios Protección de Datos Personales 2025’, que en esta edición incorporan dos nuevas categorías para distinguir el trabajo de las personas Delegadas de Protección de Datos (DPD) y la cooperación en el espacio iberoamericano.

 

Esta edición está compuesta por un total de nueve categorías, ya que las novedades mencionadas se suman las ya existentes en ediciones anteriores: ‘Emprendimiento, innovación, experiencias y maratones de privacidad e IA ‘Ángela Ruiz Robles’’; ‘Protección de datos personales de colectivos vulnerables y frente a la violencia digital’; ‘Premio a las buenas prácticas de cumplimiento normativo y de responsabilidad social en el tratamiento de datos’; ‘Comunicación’; ‘Premio a la formación, educación y concienciación en protección de datos’; ‘Investigación en protección de datos personales ‘Emilio Aced’’ y ‘Difusión del derecho fundamental a la protección de datos en redes sociales’.

 

Con estos premios, la Agencia quiere reconocer el trabajo realizado para difundir este derecho fundamental en ámbitos como el de los DPD, el iberoamericano, el educativo, el empresarial, la investigación científico-técnica, las redes sociales, las Administraciones Públicas, o los medios de comunicación. El plazo para la presentación de candidaturas finaliza el 31 de enero de 2026.

 

PREMIO A LA LABOR DE LAS PERSONAS DELEGADAS DE PROTECCIÓN DE DATOS

 

El galardón tiene por objeto reconocer proyectos o actuaciones desarrolladas en el marco de las funciones propias del DPD que supongan una aportación innovadora en la implantación efectiva del cumplimiento normativo en protección de datos; el fomento de la cultura de privacidad en las organizaciones; la formación del personal o el impulso de la participación de la comunidad de profesionales y la difusión de buenas prácticas en el ámbito profesional.

 

En este sentido, se destacarán aquellos proyectos impulsados bajo el liderazgo de la persona que ejerza como DPD, y se valorará especialmente su carácter innovador, su impacto contrastable y su posible transferibilidad a otras entidades.

 

Entre los requisitos necesarios para poder participar en el este premio se requiere que las personas candidatas acrediten estar inscritas en el Registro de delegados de protección de datos de la AEPD en la fecha en que se hubieran llevado a cabo las actuaciones presentadas.

 

El galardón cuenta con dos modalidades: la del sector privado, que está dotada con un premio de 3.000 euros, y la del sector público, a cuyo ganador se le otorgará un diploma con mención honorífica y un trofeo acreditativo. El jurado podrá proponer la concesión de hasta dos accésits, para la modalidad del sector público y para la del sector privado.

 

PREMIO DE PRIVACIDAD Y PROTECCIÓN DE DATOS EN IBEROAMÉRICA

 

Dotado con 3.000 euros y la difusión de la candidatura premiada a través de la web de la AEPD, este premio pretende distinguir y fomentar la cooperación científica, técnica e institucional sobre protección de datos en el espacio iberoamericano.

 

El jurado valorará investigaciones relevantes en el ámbito jurídico realizadas en países de Iberoamérica que supongan una aportación significativa al conocimiento o la práctica de la protección de datos; proyectos de carácter público o privado que tengan conexión con la labor de la Agencia o con acciones conjuntas en el marco de la Red Iberoamericana de Protección de Datos; conjuntos de actuaciones destacadas de investigadores, profesionales o instituciones, y documentos técnicos, guías, protocolos, observatorios o herramientas prácticas que hayan contribuido a la cultura de privacidad o al ejercicio efectivo de los derechos en Iberoamérica.

 

Podrán optar al premio investigadores individuales, grupos de investigación, universidades, instituciones públicas, autoridades de protección de datos, organizaciones internacionales, empresas y entidades privadas con sede o actividad principal en países de Iberoamérica.

 

PREMIO AL EMPRENDIMIENTO, LA INNOVACIÓN, EXPERIENCIAS Y MARATONES DE PRIVACIDAD E IA «ÁNGELA RUIZ ROBLES

 

Este premio está dotado con 3.000 euros y tiene por objeto premiar el desarrollo de soluciones que integren la privacidad desde el diseño, la transparencia algorítmica y la gestión avanzada del consentimiento, así como proyectos y evidencias surgidos de hackatones, datatones u otras iniciativas colaborativas que promuevan el cumplimiento normativo en protección de datos o el uso responsable de la inteligencia artificial. El jurado podrá, asimismo, proponer la concesión de un accésit dotado con 1.500 euros.

 

En esta edición se priorizarán aquellas actividades que apliquen el principio de responsabilidad proactiva establecida en el Reglamento General de Protección de Datos (RGPD) y la gestión de los riesgos cuando se utilizan tecnologías disruptivas; que traten sobre categorías especiales de datos; tratamientos considerados de alto riesgo o que afecten a grupos vulnerables como menores, personas con discapacidad, mayores, víctimas de violencia de género u otras situaciones de especial exposición.

 

PREMIO A LA PROTECCIÓN DE DATOS PERSONALES DE COLECTIVOS VULNERABLES Y GRENTE A LA VIOLENCIA DIGITAL

 

El galardón está orientado a reconocer una actividad, producto o servicio del ámbito público o privado que tenga como características la originalidad, creatividad, innovación y el impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas pertenecientes a colectivos en situación de vulnerabilidad, así como en la prevención y lucha contra la violencia digital. Se estructura en dos modalidades: protección frente a la violencia digital de género y protección de otros colectivos vulnerables.

 

Se considerarán de especial interés las actividades que fomenten la prevención y sensibilización sobre los riesgos de la exposición digital y el tratamiento inadecuado de datos personales o que desarrollen herramientas accesibles o protocolos que contribuyan a la protección efectiva de las víctimas o personas vulnerables, entre otras.

 

El premio consistirá en una dotación económica de 3.000 euros si el proyecto ganador corresponde a una persona física o entidad privada. En el caso de que la candidatura ganadora del premio fuese una entidad pública, se concederá una mención honorífica.

 

PREMIO COMUNICACIÓN DE PROTECCIÓN DE DATOS PERSONALES

 

Con una dotación de 3.000 euros para el premio y 1.500 euros para el accésit, este premio tiene por objeto reconocer los trabajos periodísticos de medios de comunicación que supongan una aportación destacada a la difusión y promoción de los principios de protección de datos entre la ciudadanía y/o fomenten la concienciación de quienes manejan información personal.

 

Podrán optar al mismo los trabajos individuales difundidos en un medio de comunicación −como un editorial, noticia, reportaje, o programa de radio o televisión− o los proyectos periodísticos y campañas audiovisuales que definan un compromiso editorial con la promoción de la protección de datos. Las candidaturas podrán ser presentadas tanto por periodistas (por sus trabajos publicados en un medio de comunicación) o por el medio de comunicación, incluyendo los blogs integrados en los mismos, como una campaña global. Los trabajos y acciones presentadas deben haberse difundido entre el 16 de octubre de 2024 y el 31 de enero de 2025.

 

En esta edición se priorizan los trabajos que hayan contribuido a difundir la protección de datos desde un plano social, y especialmente aquellos que aborden la expansión de tecnologías innovadoras o disruptivas y su relación con la protección de datos.

 

PREMIO A LA FORMACIÓN, EDUCACIÓN Y CONCIENCIACIÓN EN PROTECCIÓN DE DATOS

 

Este galardón tiene por objeto premiar las iniciativas (programas, recursos didácticos, metodologías, campañas de sensibilización…) que promuevan el conocimiento y ejercicio del derecho fundamental a la protección de datos en los distintos ámbitos educativos y sociales.

 

El galardón se convoca en dos modalidades: Enseñanzas (Educación infantil, Primaria, ESO, Bachillerato, FP, Universidades y otros centros de enseñanza reglada no universitaria), con una dotación económica de 3.000 euros y Ciudadanía, con un galardón honorífico.

 

En la modalidad ‘Enseñanzas’ podrán ser candidatos a este premio centros educativos, docentes, comunidades de aprendizaje, universidades y asociaciones de estudiantes o profesorado, mientras que en la modalidad ‘Ciudadanía’ podrán optar tanto grupos de investigación, como organizaciones, asociaciones, plataformas, investigadores y grupos de investigación que desarrollen iniciativas innovadoras en formación y cultura de privacidad dirigidas a la ciudadanía.

 

PREMIO A LAS BUENAS PRÁCTICAS DE CUMPLIMIENTO NORMATIVO Y DE RESPONSABILIDAD SOCIAL EN EL TRATAMIENTO DE DATOS

 

El premio reconoce la proactividad, las buenas prácticas y la incorporación de mecanismos éticos y de responsabilidad institucional en el tratamiento de datos, valorando de manera específica las estructuras de gobernanza, auditorías internas, canales participativos y estrategias organizativas que refuercen la protección de los derechos. Se tendrán en cuenta los supuestos que presenten una especial dificultad para el cumplimiento de la normativa por incluir tratamientos de datos de alto riesgo.

 

El premio, que consiste en una mención honorífica, se convoca en dos modalidades: ‘Buenas prácticas llevadas a cabo por empresas, asociaciones y fundaciones del sector privado’ y ‘Buenas prácticas de instituciones, entidades, organismos, órganos y departamentos del sector público’.

 

PREMIOS DE INVESTIGACIÓN EN PROTECCIÓN DE DATOS PERSONALES «EMILIO ACED»

 

Con un premio de 3.000 euros y un accésit de 1.500 euros, este galardón reconoce trabajos y proyectos realizados en el contexto de la investigación científico-técnica en el que se estudie, analice o desarrolle de forma práctica la aplicación de los principios de protección de datos.

 

Se considerarán especialmente los trabajos relativos a la aplicación de la responsabilidad proactiva establecida en el RGPD y la gestión de los riesgos en tecnologías disruptivas, aquellas que traten sobre categorías especiales de datos, tratamientos de alto riesgo o que afecten a una parte significativa de la sociedad o grupos más expuestos como menores, personas con discapacidad o personas en situaciones de violencia de género u otras situaciones de acoso.

 

PREMIO A LA DIFUSIÓN DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS EN REDES SOCIALES

 

Finalmente, con una dotación de 3.000 euros y un accésit de 1.500 euros, este premio reconocerá aquellos perfiles en redes sociales que supongan una aportación destacada a la promoción y difusión del derecho a la protección de datos. Se priorizarán aquellos que hayan contribuido a difundir en mayor medida la protección de datos desde un plano social -tanto entre la ciudadanía como entre quienes tratan datos- así como a visibilizar las iniciativas y acciones lanzadas por la Agencia.