La Agencia tramitó 18.855 reclamaciones y 19.722 entradas totales en 2024, con un descenso del 13% respecto a 2023. Las brechas de datos supusieron el 37% del total de sanciones, alcanzando los 13,1 millones de euros. La inteligencia artificial, los espacios de datos y los neurodatos destacan como prioridades regulatorias. Se incrementaron las intervenciones urgentes y el uso del Canal Prioritario (+72%), y se superaron los 119.000 delegados de protección de datos comunicados. La AEPD presenta su Memoria 2024 con cifras récord en inspección y retos emergentes La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria de actuación 2024, destacando una intensa actividad reguladora y un aumento en la complejidad de los casos gestionados. A lo largo del año, la Agencia recibió 18.855 reclamaciones de ciudadanos, a las que se sumaron casos transfronterizos y actuaciones iniciadas de oficio, elevando el total de entradas a 19.722. Aunque se registró una disminución del 13% en las reclamaciones respecto a 2023, las cifras siguen siendo un 25% superiores a 2022 y representan el segundo mayor volumen de reclamaciones en la historia de la AEPD. IA, espacios de datos y neurodatos: desafíos clave en protección de datos Entre los grandes retos emergentes, la Agencia destaca la inteligencia artificial, los espacios de datos sectoriales y los neurodatos. La disponibilidad masiva de datos, especialmente sanitarios, plantea importantes riesgos para la privacidad. La AEPD ha colaborado activamente en la elaboración de guías junto al Comité Europeo de Protección de Datos (EDPB), con especial atención al vínculo entre el RGPD y el Reglamento de Inteligencia Artificial. En cuanto a los neurodatos —información capaz de revelar aspectos íntimos como pensamientos o emociones—, se considera que su uso conlleva un riesgo elevado para los derechos fundamentales, debido a su sensibilidad y potencial capacidad de identificación única. Brechas de datos y sanciones millonarias: el foco de la inspección Durante 2024, la AEPD impuso 281 sanciones económicas, que suman un total de 35,6 millones de euros. El 37% del importe se relaciona con brechas de seguridad de datos personales, con 30 procedimientos sancionadores y multas por valor de 13,1 millones de euros. Las principales causas de infracción incluyen pérdida de confidencialidad, ausencia de medidas de seguridad adecuadas o falta de notificación a la autoridad y afectados. Los sectores con mayores multas fueron: Energía/agua: 11,6 millones € Entidades financieras: 5,3 millones € Servicios de internet: 4,5 millones € Telecomunicaciones: 3,3 millones € Contratación fraudulenta: 2,5 millones € Reclamaciones más comunes y eficacia en la tramitación Las áreas que concentraron más reclamaciones fueron: Videovigilancia (+19%) Servicios de internet (+8%) Comercio, transporte y hostelería (+7%) Asuntos laborales, con un incremento destacado del 49% En paralelo, la Agencia resolvió reclamaciones en un plazo medio de 77 días mediante la vía del traslado, y solo un 5% derivó en procedimientos sancionadores. Esta herramienta permite una resolución ágil y, en el 88% de los casos, satisfactoria para los reclamantes. Casos transfronterizos, canal prioritario y asistencia ciudadana En el ámbito europeo, la AEPD lideró 22 casos transfronterizos como autoridad principal y participó en 348 como autoridad interesada, incluyendo casos relevantes con empresas como Meta, LinkedIn, Uber o Glovo. El uso del Canal Prioritario, que permite solicitar la retirada urgente de contenidos sensibles en Internet, creció un 72%, con 62 intervenciones urgentes realizadas. Además, el número de delegados de protección de datos comunicados superó los 119.800 al cierre del año, y las consultas ciudadanas aumentaron más de un 42%, impulsadas por un fuerte crecimiento del uso del chatbot de ayuda (+145%). Una agencia reforzada frente a nuevos escenarios regulatorios La Memoria 2024 refleja un esfuerzo por consolidar la AEPD como una autoridad proactiva y alineada con los desafíos que plantea la digitalización acelerada. Las acciones de inspección, cooperación internacional y guías regulatorias sobre IA y neurotecnología reafirman su papel central en el ecosistema europeo de protección de datos.

Las nuevas normativas como NIS2, DORA y CRA amplían las exigencias legales en ciberseguridad. Las pymes con más de 50 empleados o 10 millones de euros de facturación están obligadas a cumplir medidas preventivas y de notificación. Fabricantes de software y hardware deberán certificar la seguridad de sus productos para operar en la UE. Las empresas del sector financiero estarán sujetas a auditorías y controles avanzados de ciberprotección. La ciberseguridad ya no es opcional: impacto normativo en las empresas Durante mucho tiempo, la ciberseguridad fue percibida como una responsabilidad exclusiva de grandes compañías o sectores críticos. Sin embargo, la legislación europea ha evolucionado hasta convertirla en una obligación legal que afecta directamente a pymes, autónomos y fabricantes tecnológicos. El punto de partida fue el Reglamento General de Protección de Datos (RGPD), que desde 2018 exige a todas las empresas garantizar la seguridad de los datos personales. Pero las nuevas normativas van más allá, exigiendo medidas concretas para asegurar la continuidad operativa, prevenir incidentes y proteger toda la cadena digital. NIS2: ciberseguridad obligatoria para más sectores y empresas La Directiva NIS2 supone un antes y un después. No solo se dirige a sectores estratégicos como salud, telecomunicaciones, energía o logística, sino también a cualquier empresa con más de 50 empleados o una facturación superior a los 10 millones de euros. Estas organizaciones deberán adoptar medidas de ciberseguridad activas y, en caso de incidente, notificarlo en un plazo máximo de 24 horas. Esto obliga a muchas pymes a implementar políticas de prevención y reacción que hasta ahora no contemplaban. DORA: refuerzo de la ciberresiliencia en el sector financiero El Reglamento DORA (Digital Operational Resilience Act) establece un marco regulador específico para las entidades del sector financiero y los proveedores tecnológicos que colaboran con ellas. Impone auditorías, controles de acceso y medidas de protección reforzadas con el objetivo de evitar vulnerabilidades que puedan comprometer la integridad del sistema financiero. Las fintech, aseguradoras y plataformas tecnológicas deben adaptarse rápidamente a este nuevo marco normativo, que prioriza la resiliencia operativa digital como un elemento estratégico. CRA: la ciberseguridad como requisito para comercializar productos digitales El Cyber Resilience Act (CRA) introduce una obligación crucial para los fabricantes: certificar que sus productos cumplen con estándares de ciberseguridad antes de salir al mercado europeo. Esto aplica a dispositivos conectados a Internet, cámaras, routers, software y cualquier tecnología digital. Este enfoque representa un giro hacia la seguridad por diseño, exigiendo a las empresas de desarrollo y fabricantes que incorporen medidas desde la fase inicial del producto. Para muchos, será la condición indispensable para operar dentro del mercado comunitario. Transformación digital con enfoque de seguridad La normativa europea de ciberseguridad está redefiniendo el panorama empresarial. Lo que antes eran recomendaciones, ahora son obligaciones legales que afectan a miles de negocios. Las empresas deben adaptarse a este nuevo entorno regulatorio, invirtiendo en tecnología, formación y protocolos de seguridad que garanticen su continuidad, reputación y cumplimiento normativo.

La Agencia Española de Protección de Datos estudia el papel de la IA en la interpretación de solicitudes de oposición en mensajes comerciales. El sistema automatizado no reconocía respuestas que no incluyeran la palabra “BAJA”, prevista como mecanismo de oposición. La AEPD considera deseable, pero no obligatorio, que la IA comprenda múltiples expresiones humanas. Se recuerda la futura obligación de informar cuando una persona interactúe con un sistema de IA, exigible desde agosto de 2026. Análisis del caso: interacción con un chatbot comercial La Agencia Española de Protección de Datos (AEPD) ha analizado una reclamación en la que una persona denunciaba el envío de mensajes comerciales no autorizados a través de una aplicación de mensajería instantánea. Los mensajes eran generados por un sistema de inteligencia artificial de una empresa con la que existía una relación contractual previa. A pesar de que los mensajes incluían una instrucción clara para oponerse al tratamiento de datos —responder con la palabra “BAJA”—, el destinatario optó por enviar respuestas explicativas en lugar de seguir esa indicación. Limitaciones del sistema de IA en la interpretación de derechos El sistema automatizado no estaba diseñado para comprender solicitudes de baja expresadas de manera diferente a la prevista. La AEPD señala que, aunque sería deseable que estos sistemas interpretaran diversas formulaciones humanas, actualmente no es exigible que lo hagan. No se puede imponer a los sistemas de IA la obligación de entender cualquier expresión humana relativa al ejercicio de derechos de protección de datos. Asimismo, la Agencia recuerda que la interacción con el chatbot no era el único canal para ejercitar dichos derechos, ya que existían alternativas con atención humana vía correo electrónico o web. Futuro marco normativo y recomendaciones de la AEPD La AEPD alude al artículo 50 del futuro Reglamento de Inteligencia Artificial, que será aplicable desde agosto de 2026. Dicho artículo establece que se deberá informar expresamente a las personas cuando estén interactuando con un sistema de IA. Aunque aún no es obligatorio, la Agencia recomienda anticiparse a esta exigencia. En este caso concreto, dado el formato del lenguaje utilizado por el sistema y la reiteración de respuestas automáticas, resultaba evidente que la interacción era con un chatbot. Por tanto, se estima que el interesado podía haber ejercido su derecho mediante el canal previsto (enviando “BAJA”) o contactando con un agente humano. Conclusión del criterio de la Agencia La resolución de la AEPD subraya que, aunque los avances tecnológicos permiten automatizar comunicaciones comerciales, las empresas deben ofrecer mecanismos efectivos y comprensibles para que las personas puedan ejercer sus derechos. No obstante, no se puede exigir que los sistemas de IA comprendan toda forma de expresión natural. Lo relevante es que exista un procedimiento claro, gratuito y accesible para ejercer esos derechos, como ocurría en este caso.

Puede parecer un simple trámite. Una casilla de correo, un buzón anónimo o una plataforma que se instala y ya. Pero si eso es lo que crees que significa tener un canal de denuncias, estás cometiendo uno de los errores más costosos y frecuentes que hemos visto en los últimos meses. Desde la entrada en vigor de la Directiva (UE) 2019/1937, miles de organizaciones se han lanzado a cumplir a toda prisa. Lo preocupante no es que implementen mal. Lo preocupante es que creen haber cumplido. Esta falsa sensación de seguridad está dejando a muchas empresas expuestas a sanciones, conflictos laborales y daños reputacionales irreversibles. La solución no es una herramienta. Es una estrategia integral. Y por eso el punto de partida debe ser un enfoque profesional como el que ofrece el Canal ético. Los errores invisibles que lo arruinan todo ¿Estás seguro de que tu canal garantiza la confidencialidad real? ¿Sabes cómo gestionar una denuncia sin vulnerar derechos laborales? ¿Tienes definidos los plazos, responsables y protocolos de actuación? Este error lo hemos visto decenas de veces: empresas que implementan un canal sin pensar en la gestión posterior. Resultado: denuncias mal tratadas, represalias encubiertas, empleados desmotivados… y una pista de auditoría que juega en su contra. Lo que muchos no ven es que un canal de denuncias no se mide por su existencia, sino por su eficacia. Por eso, el Canal ético de Audidat incluye no solo la herramienta, sino el acompañamiento experto para definir criterios, formar a los equipos y garantizar la trazabilidad exigida por la ley. Riesgos reales por inacción o cumplimiento aparente Implementar mal es peor que no implementar. Porque crea una falsa seguridad, mientras las consecuencias legales siguen intactas: Sanciones de hasta 1.000.000 € por incumplimiento normativo Pérdida de confianza de empleados y stakeholders Filtración de información sensible Demandas por vulneración de derechos fundamentales Y no hablamos de teoría. Hablamos de casos reales que han salido a la luz porque no se supo gestionar adecuadamente una comunicación interna. Lo que exige la normativa (y muchos pasan por alto) La Directiva europea y su transposición al ordenamiento español son claras: el canal debe ser seguro, confidencial, accesible, eficaz y garantizar la no represalia. Esto implica mucho más que un software: Políticas internas alineadas Formación continua Protocolos de actuación claros Registro y trazabilidad documentada Todo esto forma parte del servicio que provee el Canal ético de Audidat. Porque no se trata de cubrir el expediente, sino de proteger a tu organización. El coste oculto de no hacerlo bien Puede que pienses que «ya tienes algo montado». O que «en tu empresa nunca ha pasado nada». Pero esa es precisamente la trampa. La mayoría cree que cumple, pero no lo ha verificado con expertos. Y cuando llega el primer caso serio, ya es tarde. Lo más costoso no es la multa. Es el tiempo, el desgaste, la reputación. Es la sensación de haber podido evitarlo. Antes de que eso ocurra, habla con un consultor. Evaluamos tu situación actual, identificamos riesgos ocultos y te ayudamos a implementar un sistema eficaz, alineado con la normativa y con las expectativas reales de tus equipos. Todo esto, desde el enfoque profesional del Canal ético. Preguntas frecuentes sobre cómo poner en marcha un canal de denuncias ¿Es obligatorio tener un canal de denuncias? Sí. Desde la transposición de la Directiva europea, es obligatorio para entidades de más de 50 empleados y para ciertas actividades reguladas. ¿Qué debe incluir un canal de denuncias eficaz? Acceso seguro, garantía de confidencialidad, protocolo de gestión, formación del personal y documentación trazable. ¿Puedo utilizar una herramienta gratuita o genérica? No es recomendable. La herramienta es solo una parte. Lo crítico es la estrategia, la adaptación legal y la gestión posterior. ¿Quién debe gestionar las denuncias internas? Un responsable designado, con formación y garantías de imparcialidad. Idealmente, con soporte externo especializado.

En Audidat nos complace anunciar la apertura de una nueva delegación en Mallorca, un paso clave en nuestra estrategia de expansión nacional para ofrecer un servicio más cercano, eficaz y adaptado a las necesidades del tejido empresarial balear. Esta nueva oficina responde al aumento de la demanda de asesoramiento en cumplimiento normativo y transformación digital en la región. ¿Por qué Mallorca y las Islas Baleares? Mallorca, como motor económico del archipiélago balear, reúne una gran diversidad de sectores: turismo, construcción, comercio, servicios tecnológicos y náutica, entre otros. Todos ellos están cada vez más implicados en procesos de digitalización y en la necesidad de cumplir con normativas cada vez más estrictas en materia de protección de datos, ciberseguridad, medioambiente y responsabilidad social corporativa. El marco normativo europeo y nacional evoluciona rápidamente, y las empresas de Baleares necesitan contar con un equipo especializado que conozca no solo la legislación, sino también las particularidades del entorno económico y social insular. Por eso, creemos que esta nueva delegación será un recurso valioso para empresas locales que buscan soluciones adaptadas y acompañamiento profesional. ¿Qué ofrece la delegación de Mallorca? Con la apertura de esta oficina, las organizaciones de Mallorca y del resto de Baleares podrán acceder a un asesoramiento cercano y personalizado en áreas clave como auditorías de cumplimiento, análisis de riesgos, elaboración de planes de acción correctivos y formación especializada. Nuestro equipo en Mallorca está preparado para ayudar a empresas de todos los tamaños —especialmente pymes y negocios del sector turístico— a adaptarse eficazmente a las exigencias normativas actuales. Gracias a nuestro conocimiento del contexto local, podemos ofrecer soluciones prácticas que contribuyen a la sostenibilidad y competitividad de cada organización. Audidat: compromiso con un cumplimiento normativo inteligente En Audidat no solo nos centramos en el cumplimiento legal, sino que ayudamos a transformar las obligaciones normativas en una ventaja estratégica. A través de nuestros servicios, acompañamos a las empresas desde la identificación de riesgos hasta la implementación de medidas preventivas y la elaboración de informes técnicos útiles para la toma de decisiones. La delegación en Mallorca refuerza nuestra capacidad de respuesta inmediata, con consultores que comprenden los retos específicos de las empresas en entornos turísticos, insulares y altamente regulados. Un nuevo impulso para la adaptación normativa en Baleares Tener acceso directo a expertos en normativa, conocedores del panorama empresarial local, marca la diferencia cuando se trata de anticiparse a cambios legislativos y evitar sanciones. La presencia de Audidat en Mallorca reafirma nuestro compromiso con la cercanía, la especialización y la excelencia en el servicio. Si tu empresa está en Baleares y necesita asesoramiento normativo de confianza, estamos aquí para ayudarte. Conócenos mejor en www.audidat.com.

La AEPD considera que solicitar la copia del DNI supone un tratamiento excesivo y vulnera el principio de minimización. En su nota informativa, recalca que la visualización del documento es suficiente para la identificación presencial. El envío digital de una copia del DNI no permite verificar con certeza la identidad del remitente. Se recomienda usar certificados digitales o métodos alternativos en reservas online. Solicitar copia del DNI no es legal ni necesario La Agencia Española de Protección de Datos (AEPD) ha emitido una nota informativa en la que recuerda que los titulares de establecimientos de hospedaje no están autorizados a solicitar una copia del DNI o del pasaporte a sus clientes. Según el organismo, esta práctica supone un tratamiento excesivo de datos personales y vulnera el principio de minimización que exige la normativa de protección de datos. Esta aclaración se ha remitido tanto al Ministerio del Interior como a la confederación de empresas del sector hotelero. El decreto de 2021 no justifica la copia del documento Aunque la normativa vigente —un decreto aprobado en 2021— obliga a los alojamientos a recoger determinados datos de los huéspedes, la AEPD advierte que esto no habilita a pedir una fotocopia del DNI. El documento oficial incluye datos que exceden los requeridos por la ley, como la fotografía, la fecha de caducidad o los nombres de los progenitores, lo cual incrementa los riesgos de suplantación de identidad. La autenticación puede hacerse sin una copia del DNI La Agencia insiste en que mostrar el documento en persona es suficiente para la verificación de identidad en contextos presenciales. En entornos digitales, propone métodos más seguros como: El uso de certificados digitales. La comprobación de datos asociados al método de pago. La autenticación mediante códigos enviados al teléfono o correo del cliente. Estas alternativas permiten cumplir con la normativa sin incurrir en un tratamiento innecesario de información sensible. El envío de copias tampoco garantiza la autenticación Además de ser excesivo, el envío de una copia del DNI por medios digitales no asegura la autenticidad del remitente, según recalca la AEPD. Por tanto, no es un procedimiento válido ni recomendable para verificar la identidad del cliente en reservas online.  

La filtración no proviene de un ataque directo a empresas como Apple, Google o Facebook, sino de una recopilación masiva de credenciales. Los datos expuestos incluyen nombres de usuario, contraseñas y URLs de acceso a diversos servicios. Se almacenaban en servidores mal configurados y estuvieron disponibles brevemente antes de ser eliminados. Expertos subrayan la importancia de medidas como la autenticación multifactor y la actualización periódica de contraseñas. Una de las mayores filtraciones de la historia pone en alerta a usuarios y empresas Tras descubrirse la exposición de más de 16.000 millones de registros de inicio de sesión, expertos en ciberseguridad han lanzado una advertencia clara: es momento de actualizar contraseñas y reforzar las medidas de protección digital. Aunque las credenciales podrían vincularse a servicios como Facebook, Apple o Google, no se ha producido una violación centralizada de datos en estas plataformas. La filtración fue detectada por Cybernews, que señala que la información se encontraba en servidores remotos mal configurados. No se trata de usuarios individuales, sino de combinaciones de datos Tal como han aclarado los investigadores, los 16.000 millones de registros no equivalen al mismo número de personas afectadas. En realidad, muchos de esos datos corresponden a combinaciones de nombres de usuario, contraseñas y URLs específicas, recopiladas a lo largo del tiempo mediante malware especializado. Esta práctica de robo y almacenamiento es habitual en los ladrones de información, que capturan los datos directamente de los dispositivos infectados y los agrupan en bases de datos que luego se difunden o comercializan en la red. Qué medidas recomiendan los expertos Peter Mackenzie, director de la firma de ciberseguridad Sophos, destaca que no estamos ante una amenaza nueva, sino ante una muestra del volumen de información que ya circula en manos de ciberdelincuentes. Entre las medidas clave que recomiendan los expertos se encuentran: Actualizar contraseñas de forma periódica. Evitar la reutilización de contraseñas en distintos servicios. Activar la autenticación multifactor (MFA), preferiblemente mediante apps o códigos enviados por SMS. Mantener el software actualizado y evitar fuentes no oficiales de descarga. Además, se aconseja el uso de gestores de contraseñas seguros y verificar si se ha sido afectado mediante servicios como HaveIBeenPwned.   Un volumen de datos que aún se está investigando El equipo de Cybernews logró descargar los archivos antes de que fueran eliminados, con la intención de contactar a las personas y empresas afectadas. Sin embargo, dada la magnitud de los datos, el análisis llevará tiempo. Aunque el periodo de exposición fue breve, fue suficiente para confirmar el acceso a millones de credenciales, lo que evidencia la facilidad con la que los ciberdelincuentes podrían aprovechar este tipo de vulnerabilidades. Un recordatorio sobre la importancia de la higiene digital Este caso vuelve a poner sobre la mesa la necesidad de que usuarios y empresas adopten hábitos digitales seguros. La seguridad en línea ya no puede considerarse opcional, y cada acción preventiva puede marcar la diferencia frente a ataques futuros.