La Agencia alerta de la pérdida de control sobre la imagen personal y la posible afectación a derechos como el honor, la intimidad y la propia imagen. Se identifican riesgos visibles como la sexualización sintética y otros menos evidentes, como la retención no consentida de datos biométricos. El documento subraya la gravedad de los impactos cuando se ven afectados menores o personas vulnerables. En caso de indicios de delito, la actuación corresponde a las fuerzas de seguridad, la Fiscalía o los tribunales. La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa en la que analiza en profundidad los riesgos asociados al uso de imágenes de terceros en sistemas de inteligencia artificial (IA). El documento, divulgado el 13 de enero de 2026, pone el foco tanto en los impactos más evidentes como en aquellos menos visibles, pero igualmente relevantes, que pueden derivarse del uso de tecnologías de IA con contenidos visuales personales. Riesgos visibles: contenidos sintéticos y atribuciones falsas En primer lugar, la Agencia señala los riesgos visibles, aquellos derivados de la creación y difusión de imágenes generadas mediante IA. Se destacan situaciones especialmente graves como: La sexualización o creación de contenido íntimo sintético. La atribución de hechos o conductas no reales, con consecuencias reputacionales. La descontextualización de imágenes reales para generar significados falsos. El uso de imágenes que involucran a menores de edad o a personas en situación de especial vulnerabilidad. Estas prácticas, subraya la AEPD, suponen una pérdida efectiva de control sobre la imagen de las personas y pueden tener un impacto profundo en su vida personal, social y profesional. Riesgos invisibles: pérdida de control y reutilización sin consentimiento Más allá de los efectos tangibles, el documento pone énfasis en los riesgos menos visibles, aquellos que pueden producirse incluso sin que las imágenes generadas lleguen a difundirse. Entre estos riesgos, la Agencia menciona: La pérdida de control sobre la imagen al intervenir un sistema tecnológico que retiene y procesa los contenidos. La existencia de copias no visibles y la posible retención de datos en servidores externos. La generación de metadatos y la reutilización de rasgos biométricos en otros contextos. La participación de múltiples actores tecnológicos, lo que dificulta rastrear responsabilidades. El riesgo de identificación persistente a través de sistemas capaces de extraer, almacenar y replicar características personales. Estos procesos pueden ocurrir incluso en contextos aparentemente triviales o privados, y ponen de relieve la necesidad de evaluar el uso de la IA desde una perspectiva de riesgo preventivo. Ámbitos de especial atención para la AEPD La nota también delimita los escenarios en los que la AEPD presta una atención reforzada, especialmente cuando: La imagen de la persona se utiliza de forma que reduce su capacidad de control sobre su representación pública. Se genera contenido verosímil que induce a error sobre hechos o conductas atribuidas. Se ven involucrados menores o colectivos especialmente vulnerables. El contenido contiene elementos de humillación, descrédito o sexualización no consentida. La difusión se realiza en entornos donde el daño personal, social o profesional puede ser elevado. En estos supuestos, los riesgos para los derechos fundamentales se amplifican considerablemente, por lo que se hace necesaria una respuesta adecuada desde el ámbito regulador, técnico y jurídico. Protección de derechos fundamentales y actuaciones penales La AEPD recuerda que estas prácticas pueden afectar directamente a derechos como el honor, la intimidad y la propia imagen, protegidos por el marco jurídico nacional y europeo. En los casos en los que existan indicios claros de delito, será competencia de las autoridades policiales, la Fiscalía y los órganos judiciales investigar y, en su caso, sancionar estos comportamientos. De este modo, el uso no autorizado de imágenes de terceros en sistemas de IA puede llegar a constituir conductas tipificadas penalmente, dependiendo del contexto y de los efectos generados sobre la persona afectada. Un llamamiento a la prevención y al uso responsable de la IA Con esta nota, la Agencia reafirma su compromiso con la prevención y la concienciación ciudadana, proporcionando criterios claros para evaluar los riesgos y consecuencias del uso de sistemas de IA con imágenes personales. El objetivo es fomentar un uso ético, respetuoso y legal de estas tecnologías, evitando vulneraciones de derechos y promoviendo entornos digitales más seguros y justos.  

El nuevo Laboratorio forma parte del Plan estratégico 2025-2030 de la Agencia Española de Protección de Datos. Su objetivo es impulsar el conocimiento, la investigación y la reflexión interdisciplinar sobre privacidad, tecnologías emergentes y derechos digitales. Entre sus iniciativas destacan una revista científica, un blog colaborativo, diálogos audiovisuales y fórmulas de cooperación institucional. El proyecto refuerza el compromiso de la AEPD con la innovación responsable y la protección de los derechos fundamentales en entornos digitales. La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha el Laboratorio de la AEPD, una iniciativa estratégica que se enmarca en su Plan 2025-2030 con el propósito de impulsar la generación de conocimiento, el análisis prospectivo y la colaboración interdisciplinar en materia de protección de datos. Este nuevo espacio busca convertirse en un referente técnico y conceptual en la promoción de una cultura de privacidad adaptada a los desafíos tecnológicos del presente y del futuro. Investigación, análisis y difusión en el centro de la estrategia El Laboratorio nace con una vocación clara: ofrecer un entorno abierto, colaborativo y riguroso para investigar, reflexionar y compartir buenas prácticas sobre protección de datos. Su actividad gira en torno a tres pilares fundamentales: Investigación en privacidad y tecnologías emergentes. Difusión de contenidos y proyectos innovadores. Apoyo a propuestas y actividades externas de interés público. Con esta iniciativa, la AEPD busca articular un espacio de trabajo que no solo aborde la prevención y gestión de riesgos en privacidad, sino que también fomente el diálogo interdisciplinar y la identificación de tendencias tecnológicas emergentes. Revista de Privacidad, Innovación y Tecnología Una de las propuestas más destacadas del Laboratorio es la creación de la Revista de Privacidad, Innovación y Tecnología, una publicación científica de acceso abierto promovida por la AEPD. Esta revista está orientada a la reflexión académica, el análisis crítico y la difusión de estudios que exploren la relación entre avances tecnológicos, derechos fundamentales y marcos regulatorios. El objetivo es generar un diálogo sólido entre la comunidad investigadora, el sector público, la empresa privada y la sociedad civil, integrando perspectivas jurídicas, éticas, técnicas y sociales. La revista contará con un sistema de revisión ciega por pares, garantizando así la calidad y la independencia de los contenidos publicados. Blog Lab: un espacio para la reflexión abierta El Blog Lab es otra de las herramientas integradas en el Laboratorio. Se trata de una plataforma editorial en la que pueden colaborar profesionales, académicos e investigadores externos interesados en los ámbitos de la privacidad, los derechos digitales y la innovación. Bajo una política editorial basada en el rigor, la veracidad y la independencia, este blog se configura como un canal abierto al debate, la reflexión crítica y la divulgación de conocimiento. Diálogos de Privacidad: conversaciones con especialistas En el formato audiovisual, el Laboratorio incluye la sección Diálogos de Privacidad, una serie de encuentros entre el presidente de la AEPD, Lorenzo Cotino, y el adjunto de la Agencia, Francisco Pérez Bes, con representantes institucionales y expertos del ecosistema digital. El objetivo es abordar de forma divulgativa y cercana los retos actuales en protección de datos, facilitando un intercambio de visiones que enriquezca el análisis de las oportunidades y amenazas que plantea el entorno tecnológico. Fórmulas de colaboración e interacción institucional La AEPD ha diseñado además un marco específico de Fórmulas de colaboración, destinado a fortalecer alianzas con universidades, cátedras, centros de investigación, fundaciones y entidades especializadas. Este marco facilitará el apoyo a actividades externas, el intercambio de contenidos y la participación conjunta en proyectos relevantes para el avance en protección de datos. Novedades y seguimiento de la innovación en privacidad La sección de Novedades servirá como repositorio dinámico para recoger la actividad más reciente en materia de privacidad: desde informes técnicos e investigaciones aplicadas, hasta eventos especializados y actuaciones destacadas. Esta sección permitirá a profesionales, investigadores y ciudadanía seguir de cerca la evolución de proyectos que contribuyan al fortalecimiento de los derechos digitales. Una apuesta por la innovación y la cooperación transversal El lanzamiento del Laboratorio de la AEPD supone una evolución natural del papel de la Agencia como impulsora de conocimiento, diálogo y buenas prácticas en protección de datos. Con esta iniciativa, se abre un espacio innovador, multidisciplinar y abierto al ecosistema académico, técnico, institucional y social, en el que convergen la investigación aplicada, la divulgación científica y la colaboración intersectorial. A lo largo de los próximos años, el Laboratorio irá incorporando nuevas herramientas, contenidos y alianzas, consolidándose como un pilar clave en la construcción de una cultura de privacidad adaptada al avance tecnológico y centrada en la defensa de los derechos fundamentales.

La Agencia Española de Protección de Datos (AEPD) gestionó 2.765 notificaciones de brechas en 2025, mayoritariamente del sector privado. Ransomware e intrusiones en sistemas CRM figuran entre los ciberincidentes que más personas afectaron. Más de 200 millones de comunicaciones fueron remitidas a personas afectadas por brechas con alto riesgo. La notificación no implica un procedimiento sancionador, pero sí refleja la diligencia del responsable del tratamiento. En 2025, la Agencia Española de Protección de Datos (AEPD) recibió un total de 2.765 notificaciones de brechas de datos personales, una cifra que refleja el elevado número de ciberincidentes y errores operativos que pueden suponer un riesgo real para los derechos y libertades de las personas. Estos datos reafirman la necesidad de mantener altos niveles de protección y capacidad de respuesta ante incidentes que comprometan la seguridad de la información personal. Del total de notificaciones recibidas, el 80 % provino del sector privado y el 20 % del sector público, consolidando la tendencia que sitúa a las entidades privadas como principales emisoras de estos avisos. Ciberincidentes masivos y vectores de ataque más comunes Los casos que afectaron a un mayor número de personas están relacionados, principalmente, con ataques de ransomware y exfiltraciones masivas de datos por intrusiones en sistemas de información. Estas brechas han tenido un impacto especialmente alto cuando han afectado a plataformas CRM, utilizadas habitualmente por encargados del tratamiento para gestionar relaciones con clientes. Uno de los vectores de ataque más frecuentes ha sido el acceso indebido a VPNs corporativas o aplicaciones web mediante credenciales comprometidas, un tipo de brecha que puede evitarse eficazmente con la implementación de doble factor de autenticación. No obstante, las brechas no siempre están vinculadas a ataques cibernéticos sofisticados. La AEPD también ha identificado situaciones frecuentes de envío de datos personales a destinatarios incorrectos, así como la exposición accidental de información sensible por errores humanos o fallos en los procesos internos. Más de 200 millones de personas fueron notificadas Uno de los aspectos más relevantes del informe de la AEPD es el volumen de personas informadas tras la detección de brechas con alto riesgo: más de 200 millones de comunicaciones fueron enviadas por los responsables del tratamiento. Esta obligación, establecida en el artículo 34 del RGPD, es fundamental para que las personas afectadas puedan conocer los riesgos específicos que enfrentan y tomar las medidas oportunas para protegerse. La comunicación a los afectados también se valora como un indicador de diligencia por parte de la organización. En cambio, la negativa a informar a las personas afectadas puede motivar la apertura de inspecciones por parte de la Agencia. La notificación como parte de la responsabilidad proactiva La notificación de brechas de seguridad no implica necesariamente la apertura de un procedimiento sancionador. Según establece el artículo 33 del Reglamento General de Protección de Datos (RGPD), los responsables del tratamiento deben notificar a la autoridad de control aquellas brechas que puedan constituir un riesgo para las personas. Esta acción se enmarca dentro de la responsabilidad proactiva y es interpretada como una muestra de cumplimiento y transparencia. En 2025, de las 2.765 notificaciones recibidas, solo 11 casos fueron trasladados a investigación adicional por tratarse de situaciones de alta severidad en las que se apreciaron posibles deficiencias en la respuesta de la organización o en las medidas preventivas adoptadas. Recomendaciones y herramientas de la AEPD La Agencia recuerda que la prevención es esencial para evitar brechas de datos personales. Por ello, promueve medidas como: Minimización de datos. Borrado o anonimización temprana. Segmentación de accesos. Restricción por defecto del tratamiento. Además, la AEPD pone a disposición de las organizaciones varias herramientas prácticas para facilitar la gestión de incidentes: Asesora Brecha, que orienta sobre la necesidad de notificar la brecha. Comunica-Brecha RGPD, que ayuda a valorar si es necesario comunicar la brecha a las personas afectadas. Cumplimiento, transparencia y preparación Los datos de 2025 subrayan que las brechas de datos personales continúan siendo un riesgo significativo en el entorno digital. Notificar adecuadamente estos incidentes no solo es una obligación legal, sino también una demostración de responsabilidad y diligencia. En un contexto de amenazas crecientes, la preparación preventiva y la comunicación transparente son pilares clave para garantizar la protección de los datos personales y la confianza de las personas afectadas.

La inteligencia artificial impulsa tanto los ciberataques como las estrategias defensivas. El informe de Google Cloud señala la urgencia de integrar la ciberseguridad en la gobernanza empresarial. Se redefine la gestión de identidades ante la proliferación de agentes de IA. La resiliencia operativa se convierte en el nuevo estándar para medir la preparación digital. La ciberseguridad en 2026 atraviesa un momento de profunda transformación. El informe Cybersecurity Forecast 2026, publicado por Google Cloud, ofrece una perspectiva integral sobre cómo las amenazas digitales evolucionan y cómo deben responder las organizaciones ante este nuevo escenario. Con la participación de equipos expertos en inteligencia de amenazas, consultores de Mandiant y profesionales en primera línea, el documento señala que la ciberseguridad ya no puede abordarse como un gasto operativo, sino como un eje estratégico para la continuidad y competitividad empresarial. La inteligencia artificial cambia las reglas del juego La IA deja de ser una herramienta opcional para convertirse en un elemento estratégico clave tanto para ciberatacantes como para defensores. Según el informe, los cibercriminales están utilizando IA para automatizar ataques con mayor precisión, credibilidad y alcance. Entre las principales amenazas emergentes se destacan: Campañas de phishing y deepfakes generadas por IA, difíciles de detectar. Identificación automática de vulnerabilidades en sistemas empresariales. Escalamiento masivo de ataques con poco esfuerzo humano. Estos métodos, que antes se consideraban innovadores o experimentales, en 2026 pasan a formar parte del arsenal común de los actores maliciosos. Por su parte, las defensas también se adaptan. Surgen los llamados SOCs agentic, centros de operaciones de seguridad que incorporan agentes de inteligencia artificial capaces de: Detectar patrones anómalos en tiempo real. Analizar grandes volúmenes de datos sin intervención humana constante. Permitir que los analistas humanos se concentren en decisiones críticas. En un entorno donde los ataques pueden desplegarse en cuestión de horas, la velocidad de respuesta es un factor determinante. Seguridad como cultura transversal Más allá de la implementación tecnológica, el informe destaca un aspecto central: la necesidad de adoptar una cultura de ciberseguridad compartida. Ya no basta con contar con equipos técnicos capacitados; es fundamental que todos los miembros de la organización comprendan los riesgos y sepan cómo actuar frente a ellos. Para lograrlo, se recomienda: Capacitar a los empleados en el uso seguro y ético de la IA. Realizar simulacros de crisis y ejercicios tipo war games. Incluir la seguridad digital en los planes de formación continua. Promover la corresponsabilidad de todas las áreas en la protección de los activos digitales. Este cambio cultural permite integrar la ciberseguridad en los procesos cotidianos de la empresa y anticiparse a posibles brechas. Nuevos desafíos en la gestión de identidades digitales Con el avance de los agentes de IA autónomos, surge una nueva clase de identidades digitales no humanas que requieren enfoques diferenciados de gestión. Las soluciones tradicionales de Identity and Access Management (IAM) deberán evolucionar para incorporar: Políticas específicas de acceso para agentes de IA. Mecanismos de autenticación y monitoreo separados de los humanos. Controles que eviten la suplantación o abuso por parte de entidades automatizadas. La gestión de estas nuevas identidades será clave para evitar brechas que pueden derivar en ataques automatizados de gran escala. Amenazas automatizadas: una nueva era de ataques El informe prevé que en 2026 proliferarán los ataques impulsados por IA con una capacidad de adaptación sin precedentes. Algunos ejemplos incluyen: Malware dinámico que se ajusta al entorno infectado. Ransomware con mayores niveles de sofisticación y negociación automatizada. Exfiltración de datos de forma silenciosa y persistente. Para enfrentar este tipo de amenazas, será indispensable un equilibrio entre automatización defensiva e intervención humana estratégica, ya que los sistemas totalmente automatizados pueden ser insuficientes ante ataques diseñados por otras IAs. Cloud, multicloud y una nueva complejidad operativa Las infraestructuras cloud y multicloud, cada vez más comunes en organizaciones de todos los tamaños, también aumentan la superficie de ataque. En este contexto, se recomienda priorizar: Monitoreo continuo de accesos en entornos híbridos. Implementación de modelos Zero Trust ampliados. Evaluación constante de configuraciones y dependencias. La nube se convierte en un objetivo prioritario para atacantes avanzados, por lo que asegurar su entorno pasa a ser una necesidad crítica. Ciberespionaje y amenazas de origen estatal El informe también pone el foco en actores respaldados por estados-nación, cuyo objetivo va más allá del beneficio económico. Estos grupos suelen mantener accesos sigilosos y prolongados en sistemas críticos, con fines de espionaje, sabotaje o desestabilización. Sectores como energía, telecomunicaciones, servicios financieros o infraestructura crítica deben implementar controles adaptativos y resilientes ante estos riesgos. La ciberseguridad como cuestión de gobernanza En 2026, la ciberseguridad no puede tratarse como una función aislada. El informe subraya que debe integrarse en el núcleo de la gobernanza corporativa, lo que implica: Alinear los indicadores de seguridad con los objetivos financieros de la empresa. Incluir la ciberseguridad en la agenda del consejo directivo. Incorporar la gestión de riesgos digitales como parte del modelo operativo del negocio. La resiliencia organizacional, más que la prevención absoluta, será el estándar para medir la madurez en ciberseguridad. Recomendaciones estratégicas del informe Ante un entorno cada vez más complejo, automatizado y dinámico, Google Cloud propone una serie de recomendaciones para las organizaciones: Integrar la seguridad digital en la estrategia general del negocio. Impulsar la formación continua y la fluidez en IA dentro de todos los niveles. Rediseñar la gestión de identidades para contemplar entidades humanas y no humanas. Construir centros de operaciones de seguridad híbridos, con sinergia entre IA y humanos. Adoptar una mentalidad de ciberresiliencia en lugar de respuesta reactiva. La ciberseguridad como ventaja competitiva El informe Cybersecurity Forecast 2026 deja una conclusión clara: las empresas que logren anticiparse, adaptarse y construir una cultura resiliente no solo estarán más protegidas, sino que ganarán ventaja competitiva. En un mundo regido por datos, automatización e inteligencia artificial, la ciberseguridad ya no es solo un requisito técnico, sino un pilar esencial de sostenibilidad y éxito a largo plazo.