Grupo Atico34 analiza los desafíos que afrontan los nuevos responsables de la AEPD

La Agencia Española de Protección de Datos (AEPD) afronta una nueva etapa bajo el liderazgo de Lorenzo Cotino como presidente y Francisco Pérez Bes como adjunto. Su llegada se produce en un momento de transformación digital acelerada, con desafíos inéditos en materia de privacidad y cumplimiento normativo. La protección de datos ya no es un asunto secundario, sino un pilar fundamental para empresas, administraciones públicas y ciudadanos de un mundo hiperconectado.

España se ha consolidado como el país con mayor número de sanciones por infracciones de privacidad en Europa. En 2024, la AEPD registró cerca de 19.000 reclamaciones y aplicó multas por un total de 35,6 millones de euros, lo que refleja la magnitud del reto al que se enfrentan sus nuevos responsables. No se trata solo de hacer cumplir la normativa, sino de anticiparse a los riesgos y garantizar que la digitalización no comprometa los derechos fundamentales de los ciudadanos.

Los expertos en protección de datos advierten que el mandato de Cotino y Pérez Bes estará marcado por cuestiones clave como la regulación de la inteligencia artificial, la adaptación a las normativas europeas, la reducción de infracciones y el impacto del tratamiento masivo de datos en sectores críticos. “Las nuevas tecnologías han cambiado por completo el paradigma de la privacidad. La AEPD tiene la difícil tarea de encontrar el equilibrio entre innovación y protección de derechos en un entorno donde las reglas están en constante evolución”, explica desde Grupo Atico34 Grupo Atico34 Miguel Quintanilla, experto en protección de datos de la compañía.

El reto de la inteligencia artificial: supervisión y transparencia

La inteligencia artificial (IA) ha revolucionado la forma en que se gestionan y procesan los datos personales. Herramientas como los algoritmos de toma de decisiones automatizadas, el reconocimiento facial o los modelos de IA generativa han incrementado exponencialmente los riesgos para la privacidad. A nivel europeo, la Ley de Inteligencia Artificial de la UE introduce nuevas obligaciones para garantizar un uso seguro y transparente de estas tecnologías, pero su implementación real en España depende en gran medida del papel de la AEPD.

“La IA supone un desafío sin precedentes. No basta con establecer normas, sino que hay que garantizar que las empresas y administraciones públicas las cumplan de manera efectiva”, señala Quintanilla. La AEPD deberá colaborar estrechamente con la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) para garantizar que los sistemas de IA respeten los principios del Reglamento General de Protección de Datos (RGPD) y no vulneren derechos fundamentales.

Y una de sus principales labores pasa por ejercer de pilar informativo con guías como la que elaboraron recientemente sobre el machine learning o aprendizaje automático. Pero para ello deben ir siempre, como mínimo, un paso por delante del resto.

España, líder en sanciones: la urgencia de un enfoque preventivo

El alto número de sanciones en España pone de manifiesto que muchas empresas aún no han integrado una cultura de cumplimiento normativo en protección de datos. Con casi 19.000 reclamaciones anuales, la AEPD ha endurecido su actuación en sectores sensibles como la banca, las telecomunicaciones y la administración pública.

“No se trata sólo de sancionar, sino de prevenir. Muchas compañías no cometen infracciones por mala fe, sino por desconocimiento o falta de asesoramiento adecuado”, explican desde la legaltech. Para reducir esta cifra, los expertos abogan por un cambio de estrategia: en lugar de centrarse en castigar incumplimientos, la AEPD debería reforzar la formación y orientación a empresas y organismos públicos, promoviendo el cumplimiento desde una perspectiva más proactiva.

En este sentido, iniciativas como auditorías de privacidad, evaluaciones de impacto y programas de formación en protección de datos podrían ayudar a reducir las infracciones de manera significativa. “El cumplimiento normativo no puede ser visto como un obstáculo, sino como un valor añadido que genera confianza en clientes y usuarios”, insiste Quintanilla.

El desafío de las nuevas normativas europeas

El marco regulador de la protección de datos en Europa está en constante evolución. Además del RGPD, que sigue siendo la referencia en privacidad, se espera la entrada en vigor del Reglamento ePrivacy, que endurecerá las normas sobre cookies y comunicaciones electrónicas. También se prevé que la Regulación Europea de Protección de Datos en el Sector Digital introduzca nuevas obligaciones para las plataformas digitales y redes sociales.

“La AEPD no solo debe hacer cumplir la normativa vigente, sino anticiparse a los cambios regulatorios que están por venir. Las empresas necesitan orientación clara para adaptarse a tiempo y evitar sanciones”, apunta Quintanilla. Esto significa que la Agencia deberá actualizar continuamente sus guías, criterios de interpretación y mecanismos de supervisión para garantizar que España no se quede rezagada en la aplicación de las nuevas normativas.

El uso masivo de datos en sectores estratégicos

El avance de la digitalización ha multiplicado la cantidad de datos personales que se manejan en sectores estratégicos como la sanidad, la educación y el comercio electrónico. La pandemia aceleró la implementación de herramientas digitales en la atención médica, con el consiguiente incremento de historiales clínicos electrónicos e información sanitaria sensible.

El sector sanitario es uno de los más críticos en términos de privacidad. Se manejan datos extremadamente sensibles que requieren medidas de seguridad reforzadas. La AEPD tendrá que garantizar que hospitales, clínicas y aseguradoras cumplan con los más altos estándares de protección de datos para evitar filtraciones o accesos indebidos.

Otro ámbito clave es el de la educación, donde el uso de plataformas digitales para la enseñanza ha disparado la recopilación de información sobre menores. “El tratamiento de datos de menores es especialmente delicado. La Agencia debe velar por que las plataformas educativas respeten la privacidad de los menores y obtengan los consentimientos adecuados”, añade el experto.

La brecha entre grandes empresas y pymes en protección de datos

Mientras que las grandes corporaciones cuentan con departamentos específicos de cumplimiento normativo, muchas pymes siguen viendo la protección de datos como un aspecto secundario. La falta de recursos y conocimiento hace que estas empresas sean más vulnerables a sanciones y ciberataques.

“Las pymes representan el grueso del tejido empresarial español y muchas de ellas aún no han integrado la protección de datos en su operativa diaria”, afirma Quintanilla. La AEPD deberá reforzar su apoyo a este sector, proporcionando herramientas prácticas y formación específica para facilitar el cumplimiento normativo sin que ello suponga una carga excesiva.

Conclusión: una AEPD fuerte, moderna y proactiva

El nuevo equipo al frente de la AEPD se enfrenta a una etapa crucial en la que la protección de datos será más relevante que nunca. La regulación de la inteligencia artificial, la reducción de sanciones mediante un enfoque preventivo, la adaptación a nuevas normativas y la supervisión del uso masivo de datos en sectores clave son solo algunos de los retos que marcarán su mandato.

Para lograrlo, la Agencia deberá adoptar una actitud proactiva, proporcionando orientación clara y accesible a empresas y ciudadanos, y asegurándose de que la protección de datos no se perciba como una traba burocrática, sino como un pilar fundamental para la confianza digital.

“Estamos en un punto de inflexión. La protección de datos ya no es solo una cuestión legal, sino un elemento clave para la competitividad y la reputación de las empresas. La AEPD tiene la oportunidad de liderar este cambio y marcar el camino para una digitalización responsable y segura”, concluyen desde Grupo Atico34.