La Agencia tramitó 18.855 reclamaciones y 19.722 entradas totales en 2024, con un descenso del 13% respecto a 2023. Las brechas de datos supusieron el 37% del total de sanciones, alcanzando los 13,1 millones de euros. La inteligencia artificial, los espacios de datos y los neurodatos destacan como prioridades regulatorias. Se incrementaron las intervenciones urgentes y el uso del Canal Prioritario (+72%), y se superaron los 119.000 delegados de protección de datos comunicados. La AEPD presenta su Memoria 2024 con cifras récord en inspección y retos emergentes La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria de actuación 2024, destacando una intensa actividad reguladora y un aumento en la complejidad de los casos gestionados. A lo largo del año, la Agencia recibió 18.855 reclamaciones de ciudadanos, a las que se sumaron casos transfronterizos y actuaciones iniciadas de oficio, elevando el total de entradas a 19.722. Aunque se registró una disminución del 13% en las reclamaciones respecto a 2023, las cifras siguen siendo un 25% superiores a 2022 y representan el segundo mayor volumen de reclamaciones en la historia de la AEPD. IA, espacios de datos y neurodatos: desafíos clave en protección de datos Entre los grandes retos emergentes, la Agencia destaca la inteligencia artificial, los espacios de datos sectoriales y los neurodatos. La disponibilidad masiva de datos, especialmente sanitarios, plantea importantes riesgos para la privacidad. La AEPD ha colaborado activamente en la elaboración de guías junto al Comité Europeo de Protección de Datos (EDPB), con especial atención al vínculo entre el RGPD y el Reglamento de Inteligencia Artificial. En cuanto a los neurodatos —información capaz de revelar aspectos íntimos como pensamientos o emociones—, se considera que su uso conlleva un riesgo elevado para los derechos fundamentales, debido a su sensibilidad y potencial capacidad de identificación única. Brechas de datos y sanciones millonarias: el foco de la inspección Durante 2024, la AEPD impuso 281 sanciones económicas, que suman un total de 35,6 millones de euros. El 37% del importe se relaciona con brechas de seguridad de datos personales, con 30 procedimientos sancionadores y multas por valor de 13,1 millones de euros. Las principales causas de infracción incluyen pérdida de confidencialidad, ausencia de medidas de seguridad adecuadas o falta de notificación a la autoridad y afectados. Los sectores con mayores multas fueron: Energía/agua: 11,6 millones € Entidades financieras: 5,3 millones € Servicios de internet: 4,5 millones € Telecomunicaciones: 3,3 millones € Contratación fraudulenta: 2,5 millones € Reclamaciones más comunes y eficacia en la tramitación Las áreas que concentraron más reclamaciones fueron: Videovigilancia (+19%) Servicios de internet (+8%) Comercio, transporte y hostelería (+7%) Asuntos laborales, con un incremento destacado del 49% En paralelo, la Agencia resolvió reclamaciones en un plazo medio de 77 días mediante la vía del traslado, y solo un 5% derivó en procedimientos sancionadores. Esta herramienta permite una resolución ágil y, en el 88% de los casos, satisfactoria para los reclamantes. Casos transfronterizos, canal prioritario y asistencia ciudadana En el ámbito europeo, la AEPD lideró 22 casos transfronterizos como autoridad principal y participó en 348 como autoridad interesada, incluyendo casos relevantes con empresas como Meta, LinkedIn, Uber o Glovo. El uso del Canal Prioritario, que permite solicitar la retirada urgente de contenidos sensibles en Internet, creció un 72%, con 62 intervenciones urgentes realizadas. Además, el número de delegados de protección de datos comunicados superó los 119.800 al cierre del año, y las consultas ciudadanas aumentaron más de un 42%, impulsadas por un fuerte crecimiento del uso del chatbot de ayuda (+145%). Una agencia reforzada frente a nuevos escenarios regulatorios La Memoria 2024 refleja un esfuerzo por consolidar la AEPD como una autoridad proactiva y alineada con los desafíos que plantea la digitalización acelerada. Las acciones de inspección, cooperación internacional y guías regulatorias sobre IA y neurotecnología reafirman su papel central en el ecosistema europeo de protección de datos.

Las nuevas normativas como NIS2, DORA y CRA amplían las exigencias legales en ciberseguridad. Las pymes con más de 50 empleados o 10 millones de euros de facturación están obligadas a cumplir medidas preventivas y de notificación. Fabricantes de software y hardware deberán certificar la seguridad de sus productos para operar en la UE. Las empresas del sector financiero estarán sujetas a auditorías y controles avanzados de ciberprotección. La ciberseguridad ya no es opcional: impacto normativo en las empresas Durante mucho tiempo, la ciberseguridad fue percibida como una responsabilidad exclusiva de grandes compañías o sectores críticos. Sin embargo, la legislación europea ha evolucionado hasta convertirla en una obligación legal que afecta directamente a pymes, autónomos y fabricantes tecnológicos. El punto de partida fue el Reglamento General de Protección de Datos (RGPD), que desde 2018 exige a todas las empresas garantizar la seguridad de los datos personales. Pero las nuevas normativas van más allá, exigiendo medidas concretas para asegurar la continuidad operativa, prevenir incidentes y proteger toda la cadena digital. NIS2: ciberseguridad obligatoria para más sectores y empresas La Directiva NIS2 supone un antes y un después. No solo se dirige a sectores estratégicos como salud, telecomunicaciones, energía o logística, sino también a cualquier empresa con más de 50 empleados o una facturación superior a los 10 millones de euros. Estas organizaciones deberán adoptar medidas de ciberseguridad activas y, en caso de incidente, notificarlo en un plazo máximo de 24 horas. Esto obliga a muchas pymes a implementar políticas de prevención y reacción que hasta ahora no contemplaban. DORA: refuerzo de la ciberresiliencia en el sector financiero El Reglamento DORA (Digital Operational Resilience Act) establece un marco regulador específico para las entidades del sector financiero y los proveedores tecnológicos que colaboran con ellas. Impone auditorías, controles de acceso y medidas de protección reforzadas con el objetivo de evitar vulnerabilidades que puedan comprometer la integridad del sistema financiero. Las fintech, aseguradoras y plataformas tecnológicas deben adaptarse rápidamente a este nuevo marco normativo, que prioriza la resiliencia operativa digital como un elemento estratégico. CRA: la ciberseguridad como requisito para comercializar productos digitales El Cyber Resilience Act (CRA) introduce una obligación crucial para los fabricantes: certificar que sus productos cumplen con estándares de ciberseguridad antes de salir al mercado europeo. Esto aplica a dispositivos conectados a Internet, cámaras, routers, software y cualquier tecnología digital. Este enfoque representa un giro hacia la seguridad por diseño, exigiendo a las empresas de desarrollo y fabricantes que incorporen medidas desde la fase inicial del producto. Para muchos, será la condición indispensable para operar dentro del mercado comunitario. Transformación digital con enfoque de seguridad La normativa europea de ciberseguridad está redefiniendo el panorama empresarial. Lo que antes eran recomendaciones, ahora son obligaciones legales que afectan a miles de negocios. Las empresas deben adaptarse a este nuevo entorno regulatorio, invirtiendo en tecnología, formación y protocolos de seguridad que garanticen su continuidad, reputación y cumplimiento normativo.

La Agencia Española de Protección de Datos estudia el papel de la IA en la interpretación de solicitudes de oposición en mensajes comerciales. El sistema automatizado no reconocía respuestas que no incluyeran la palabra “BAJA”, prevista como mecanismo de oposición. La AEPD considera deseable, pero no obligatorio, que la IA comprenda múltiples expresiones humanas. Se recuerda la futura obligación de informar cuando una persona interactúe con un sistema de IA, exigible desde agosto de 2026. Análisis del caso: interacción con un chatbot comercial La Agencia Española de Protección de Datos (AEPD) ha analizado una reclamación en la que una persona denunciaba el envío de mensajes comerciales no autorizados a través de una aplicación de mensajería instantánea. Los mensajes eran generados por un sistema de inteligencia artificial de una empresa con la que existía una relación contractual previa. A pesar de que los mensajes incluían una instrucción clara para oponerse al tratamiento de datos —responder con la palabra “BAJA”—, el destinatario optó por enviar respuestas explicativas en lugar de seguir esa indicación. Limitaciones del sistema de IA en la interpretación de derechos El sistema automatizado no estaba diseñado para comprender solicitudes de baja expresadas de manera diferente a la prevista. La AEPD señala que, aunque sería deseable que estos sistemas interpretaran diversas formulaciones humanas, actualmente no es exigible que lo hagan. No se puede imponer a los sistemas de IA la obligación de entender cualquier expresión humana relativa al ejercicio de derechos de protección de datos. Asimismo, la Agencia recuerda que la interacción con el chatbot no era el único canal para ejercitar dichos derechos, ya que existían alternativas con atención humana vía correo electrónico o web. Futuro marco normativo y recomendaciones de la AEPD La AEPD alude al artículo 50 del futuro Reglamento de Inteligencia Artificial, que será aplicable desde agosto de 2026. Dicho artículo establece que se deberá informar expresamente a las personas cuando estén interactuando con un sistema de IA. Aunque aún no es obligatorio, la Agencia recomienda anticiparse a esta exigencia. En este caso concreto, dado el formato del lenguaje utilizado por el sistema y la reiteración de respuestas automáticas, resultaba evidente que la interacción era con un chatbot. Por tanto, se estima que el interesado podía haber ejercido su derecho mediante el canal previsto (enviando “BAJA”) o contactando con un agente humano. Conclusión del criterio de la Agencia La resolución de la AEPD subraya que, aunque los avances tecnológicos permiten automatizar comunicaciones comerciales, las empresas deben ofrecer mecanismos efectivos y comprensibles para que las personas puedan ejercer sus derechos. No obstante, no se puede exigir que los sistemas de IA comprendan toda forma de expresión natural. Lo relevante es que exista un procedimiento claro, gratuito y accesible para ejercer esos derechos, como ocurría en este caso.