Cumplimiento Normativo
Santiago de Compostela

El desarrollo de la computación cuántica amenaza con romper los sistemas de cifrado tradicionales, exponiendo información sensible. Los ciberdelincuentes están aplicando la estrategia de «cosechar ahora y descifrar después», robando datos encriptados para descifrarlos en el futuro. La Unión Europea ha marcado una hoja de ruta con el año 2030 como límite para implementar criptografía poscuántica en sectores de alto riesgo. Organizaciones y expertos subrayan la importancia de la «criptoagilidad» para adaptar las defensas de forma progresiva sin detener los servicios. La amenaza cuántica: un riesgo presente para el futuro La computación cuántica, aunque parezca una tecnología del futuro, plantea riesgos inminentes para la ciberseguridad actual. La principal amenaza es la desencriptación cuántica, mediante la cual ciberdelincuentes equipados con estas herramientas podrán romper los sistemas de cifrado convencionales. Conscientes de este peligro, los actores maliciosos ya están ejecutando una estrategia conocida como «cosechar ahora, descifrar después». Esta táctica consiste en robar y almacenar grandes volúmenes de datos encriptados que hoy son invulnerables, esperando a tener la tecnología cuántica necesaria para descifrarlos en los próximos años. Conciencia del riesgo y respuestas institucionales A pesar de la gravedad, una encuesta reciente de ISACA (2025) revela que solo un 5 % de los profesionales de ciberseguridad considera este riesgo como una alta prioridad. Sin embargo, instituciones como el think tank europeo CEPS advierten que la vulneración de la criptografía clásica no ocurrirá de golpe, sino de manera gradual. Para mitigar este riesgo, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publicó en 2024 los primeros algoritmos de criptografía poscuántica (PQC). Estos estándares están diseñados para resistir ataques ejecutados por ordenadores cuánticos y ya se encuentran en fase de prueba. Además, se están desarrollando sistemas de distribución de claves cuánticas (QKD) para las transmisiones de datos. Estos mecanismos utilizan las propiedades de la física cuántica para detectar brechas e intrusiones, funcionando como un sistema de alerta temprana. La estrategia de transición en Europa y España La Unión Europea ha diseñado una hoja de ruta para la transición hacia la criptografía poscuántica. La primera fase de despliegue está prevista para finales de 2026, estableciendo 2030 como límite para entornos de alto riesgo y 2035 para el resto. En España, el Instituto Nacional de Ciberseguridad (Incibe) se ha adelantado invirtiendo en proyectos de criptografía avanzada. A través de su programa de compra pública innovadora, financia iniciativas en distintas ciudades para desarrollar sistemas resistentes a los ataques cuánticos y fomentar su posterior comercialización. Criptoagilidad: la clave de la protección empresarial Para el sector privado, la transición debe ser progresiva y estratégica. Es fundamental evaluar qué información requiere confidencialidad a largo plazo y priorizar su protección. Aquí entra en juego el concepto de «criptoagilidad», que permite cambiar o combinar algoritmos criptográficos sin rediseñar por completo la arquitectura tecnológica. Las organizaciones que manejan datos sensibles no pueden esperar a tener certezas absolutas, ya que el riesgo puede volverse inaceptable. Normativas como el RGPD, NIS2 o DORA obligan a proteger la información sin limitar el horizonte temporal, lo que exige considerar la amenaza cuántica en las evaluaciones de seguridad. El sector financiero lidera la adaptación Entidades financieras como CaixaBank ya abordan este riesgo de manera proactiva. Han diseñado un plan con horizonte 2029 centrado en lograr un modelo sólido de criptoagilidad. Esto incluye analizar la incorporación ordenada de nuevos esquemas PQC para proteger los datos en tránsito y en reposo. El objetivo es automatizar los ciclos de vida de los activos criptográficos, contar con inventarios exhaustivos y monitorizar continuamente para detectar desviaciones. Además, colaboran en foros sectoriales como el Quantum Safe Financial Forum para compartir buenas prácticas y asegurar una transición alineada con las exigencias regulatorias.

La Agencia Española de Protección de Datos incrementó un 16 % el número de sanciones en 2025, elevando la recaudación un 35 % hasta rozar los 50 millones de euros. Las reclamaciones directas tramitadas casi se duplicaron respecto al año anterior, superando los 30.000 expedientes gestionados. El informe evidencia una asimetría estructural que penaliza el cumplimiento de las empresas españolas frente a las grandes tecnológicas. El sector plantea tres cambios sistémicos para equilibrar el modelo, destacando una modulación proporcional de las multas según el tamaño empresarial. El crecimiento de la actividad supervisora y sancionadora La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria Anual correspondiente a 2025. El documento detalla exhaustivamente cómo ejerce la institución su potestad de supervisión y su poder sancionador en materia de privacidad. Los datos revelan un aparato regulatorio en plena expansión y con una actividad sin precedentes. Durante este último ejercicio, el número de sanciones impuestas experimentó un incremento del 16 %. Paralelamente, el volumen económico de las multas creció un 35 %, alcanzando una recaudación cercana a los 50 millones de euros. La sanción más elevada del año se impuso a la entidad AENA, rondando los 10 millones de euros. Un incremento exponencial en la tramitación de expedientes La Memoria oficial refleja que la AEPD gestionó cerca de 50.000 consultas ciudadanas y respondió a 429 peticiones de delegados de protección de datos. Además, la autoridad tramitó 2.765 notificaciones de brechas de seguridad. Estos graves incidentes llegaron a afectar a un total de 200 millones de personas. El dato más llamativo es la gestión de 30.931 reclamaciones presentadas directamente ante la Agencia, frente a las 18.855 del ejercicio anterior. También se tramitaron 1.118 casos transfronterizos procedentes de otras autoridades de la Unión Europea, frente a los 825 previos, mostrando un repunte muy significativo. La asimetría del modelo: pymes frente a gigantes tecnológicos La aplicación del Reglamento General de Protección de Datos (RGPD) evidencia una clara asimetría estructural. El sistema actual sanciona con mayor rapidez y facilidad a las entidades con domicilio, contabilidad y representación en España. Como resultado, las pymes asumen el mayor peso de esta estricta supervisión. Por el contrario, las grandes plataformas tecnológicas —como Meta, Google, TikTok o Amazon— operan bajo el mecanismo de ventanilla única. Al tener su sede en Irlanda, la AEPD actúa solo como autoridad interesada. Esto genera resoluciones lentas cuyas multas millonarias no impactan materialmente en las cuentas de estas corporaciones. El impacto económico del cumplimiento preventivo Existe una carga profunda que no aparece cuantificada en las estadísticas oficiales: el coste del cumplimiento preventivo. Las compañías que actúan con diligencia deben invertir recursos significativos para evitar infracciones. Esto abarca desde la contratación de profesionales especializados hasta la revisión de contratos con encargados del tratamiento. Casi la mitad de las organizaciones que acudieron a la Agencia buscando orientación sobre tratamientos de alto riesgo no comprendían correctamente el procedimiento. Esto se debe a la gran complejidad del sistema regulatorio, donde los recursos institucionales de apoyo para operadores medios siguen siendo insuficientes. Propuestas para un sistema sancionador más proporcional Para abordar las deficiencias expuestas en la Memoria 2025, se plantean tres modificaciones sistémicas. En primer lugar, se reclama una modulación más explícita de las sanciones en función del tamaño del infractor. El objetivo es evitar que multas idénticas asfixien a una pequeña empresa mientras resultan irrelevantes para los grandes bancos. En segundo lugar, resulta urgente dotar de mayor agilidad a la resolución de los procedimientos transfronterizos. El mecanismo de ventanilla única no debe actuar como un escudo protector para los grandes operadores tecnológicos, garantizando así la igualdad de todos los actores del mercado ante la ley. Finalmente, se requiere una inversión sostenida en orientación preventiva dirigida a los pequeños operadores. Aunque la AEPD contempla esta necesidad fundamental en su Plan Estratégico 2025-2030, reconoce carecer de los recursos necesarios. Esta brecha de medios afecta principalmente a la mediana y pequeña empresa española.

El Reglamento General de Protección de Datos celebra una década desde su entrada en vigor, consolidándose como un estándar internacional de privacidad. La normativa transformó el cumplimiento corporativo europeo instaurando principios clave como la responsabilidad proactiva y la privacidad por diseño. La evolución tecnológica ha desencadenado una avalancha de nuevas regulaciones digitales, generando fricciones e inseguridad jurídica para las organizaciones. El debate actual se centra en el Reglamento Ómnibus Digital, una propuesta de simplificación que los supervisores europeos piden ajustar para no debilitar derechos fundamentales. El 24 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), marcando un hito histórico para los derechos digitales en la Unión Europea. Esta normativa, aprobada el 14 de abril de ese mismo año tras complejas negociaciones, derogó la obsoleta directiva de 1995 que era incapaz de afrontar los retos tecnológicos. Aunque su aplicación obligatoria no comenzó hasta el 25 de mayo de 2018, su naturaleza de reglamento garantizó su aplicación directa sin necesidad de trasposición nacional. El propósito principal fue armonizar las legislaciones fragmentadas de los Estados miembros e instaurar un nivel de seguridad y transparencia común en todo el continente. Un marco de referencia internacional y el cambio corporativo Durante esta década, el éxito del reglamento se ha evidenciado a través del denominado «efecto Bruselas», convirtiéndose en un faro para legisladores de todo el mundo. Su influencia es notable en normativas de jurisdicciones estadounidenses como California, Virginia y Colorado, así como en países de América Latina como Brasil, Chile y Perú, y en la ley china de 2021. En el ámbito corporativo, la norma impulsó la transición de un modelo puramente reactivo a uno basado en la prevención. Las organizaciones adoptaron el principio de accountability o responsabilidad proactiva, integrando la privacidad desde el diseño y por defecto en todos sus procesos. La ampliación de derechos y las nuevas obligaciones de cumplimiento El reglamento eliminó prácticas abusivas como las casillas premarcadas para obtener el consentimiento, exigiendo autorizaciones explícitas e informadas. Paralelamente, reconoció nuevos mecanismos de control para los ciudadanos, incluyendo el derecho al olvido, la portabilidad de la información y la protección contra decisiones automatizadas. Para las empresas, esto se tradujo en nuevas obligaciones documentales, como mantener un registro interno de las actividades de tratamiento. También se impuso la obligación de realizar evaluaciones de impacto ante operaciones de alto riesgo y se reguló la comunicación de brechas de seguridad en un plazo máximo de 72 horas. A nivel estructural, la normativa instauró la figura del Delegado de Protección de Datos y endureció drásticamente el régimen sancionador económico. Pese a las diferencias de criterio entre las distintas agencias supervisoras nacionales, el balance general demuestra un aumento significativo en el control de la información ciudadana. La hiperregulación tecnológica y sus riesgos asociados A pesar de las luces de esta década, la aplicación del reglamento se ha enfrentado a severos desafíos prácticos y momentos de sombra. La gestión de transferencias internacionales, la debilidad de los sistemas de cooperación transfronteriza y la implantación de sistemas de identificación biométrica han generado constantes debates legales. Actualmente, el reto más acuciante deriva del auge de la inteligencia artificial y el uso masivo de información para entrenar estos algoritmos. Esta rápida evolución ha provocado un incremento sin precedentes de la presión regulatoria dentro de las instituciones europeas, afectando directamente a las empresas. La controversia en torno al Reglamento Ómnibus Digital El ecosistema legal se ha saturado con normas como DORA, NIS 2, la Ley de Servicios Digitales (DSA), el Reglamento de IA, la Ley de Mercados Digitales (DMA) y el Data Act. La falta de alineación entre estos textos está provocando el efecto contrario al deseado: más fricción, riesgo de incumplimiento y profunda inseguridad jurídica. Frente a esta avalancha normativa, ha surgido la propuesta del Reglamento Ómnibus Digital, diseñado para simplificar la burocracia y mejorar la competitividad europea. Sin embargo, el Comité Europeo de Protección de Datos y el Supervisor Europeo emitieron en febrero el dictamen conjunto 2/2026, alertando sobre ciertos peligros de esta iniciativa. Estos organismos instan a la Comisión Europea a paralizar cambios críticos, como la posible redefinición legal del concepto de “datos personales”. Los expertos del sector advierten que flexibilizar en exceso las bases jurídicas para el desarrollo de la inteligencia artificial podría desmantelar el modelo europeo de privacidad. El éxito tecnológico y la innovación en Europa requerirán una unificación real del mercado digital mediante leyes coherentes. Cualquier esfuerzo por reducir la carga administrativa deberá mantener un equilibrio absoluto con los derechos y libertades fundamentales construidos durante estos diez años.

La Agencia Española de Protección de Datos eleva al Comité Europeo de Protección de Datos un informe sobre la vulnerabilidad de los asistentes de IA. El estudio preliminar de Imdea Networks advierte que rastreadores de terceros pueden acceder a los diálogos de los usuarios y su actividad en la red. El organismo regulador español solicita una evaluación conjunta aplicando el mecanismo de ventanilla única del Reglamento General de Protección de Datos. La investigación detecta graves deficiencias, como la exposición de enlaces permanentes y políticas de privacidad que ocultan el verdadero flujo de información. Una iniciativa clave para la protección de datos a nivel europeo La Agencia Española de Protección de Datos (AEPD) ha dado un paso decisivo en la vigilancia de las nuevas tecnologías al trasladar una importante nota informativa al Comité Europeo de Protección de Datos. Este documento se centra en el estudio preliminar denominado ‘Tu asistente de IA está filtrando tus conversaciones’, una investigación técnica desarrollada por el Instituto de investigación Imdea Networks. En su comunicación, el ente regulador español ha solicitado formalmente que este informe se difunda entre todas las autoridades de protección de datos de Europa. El objetivo principal de esta medida es asegurar que todos los organismos tengan conocimiento de los riesgos detectados para proceder a su valoración exhaustiva. Además, la AEPD ha impulsado de manera prioritaria que esta problemática tecnológica se incluya en el orden del día de la próxima reunión plenaria de autoridades, la cual está programada para los días 8 y 9 de junio de 2026. Coordinación mediante el Reglamento General de Protección de Datos La Agencia considera que es de vital importancia abordar los preocupantes resultados de este estudio de una forma plenamente coordinada con sus homólogas a nivel europeo. Para garantizar la eficacia y el rigor de esta acción conjunta, la estrategia se fundamenta en la aplicación del mecanismo de ventanilla única. Dicho mecanismo es un pilar esencial recogido en el vigente Reglamento General de Protección de Datos (RGPD), diseñado específicamente para facilitar la cooperación transfronteriza y unificar criterios ante posibles infracciones normativas que afecten a usuarios en múltiples países. Los asistentes de IA y el rastreo masivo de información de los usuarios El núcleo del estudio desarrollado por Imdea Networks se centra en analizar en profundidad si algunos de los sistemas de inteligencia artificial más populares de la actualidad están comprometiendo la privacidad ciudadana. La investigación revela que estas herramientas emplean rastreadores informáticos que abrirían la puerta a entidades ajenas al servicio original. De este modo, estas integraciones permitirían a terceros, entre los que se incluyen conocidos proveedores de análisis y publicidad digital como Google, Meta o TikTok, acceder a información sensible. Esta recopilación masiva abarcaría tanto el contenido íntegro de las conversaciones como los detalles de la actividad general. Tres vulnerabilidades críticas en la gestión de la privacidad El informe elaborado por los investigadores logra identificar tres problemas principales que ponen en grave riesgo la seguridad de la información personal. El primero de ellos advierte sobre la peligrosa exposición de enlaces permanentes de las conversaciones, los cuales quedan al descubierto frente a rastreadores de terceros. En segundo lugar, la auditoría alerta sobre la sofisticada capacidad tecnológica para vincular estas interacciones directas con las identidades reales de los usuarios a través de diversos mecanismos de seguimiento. Finalmente, la investigación subraya la existencia de controles y políticas de privacidad deficientes, las cuales podrían estar fallando al no reflejar con precisión a los usuarios cuáles son los flujos reales de los datos procesados.