Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Copiar y pegar en IA generativa: el riesgo no es la respuesta, es el dato

por

Las herramientas de inteligencia artificial generativa se han convertido en un aliado cotidiano en el trabajo: resumir documentos, redactar correos o analizar información en segundos. El gesto es simple y cada vez más habitual: copiar un texto, pegarlo en una herramienta de IA y pedir un resultado.


Sin embargo, detrás de esa aparente inocuidad se esconde uno de los principales riesgos actuales en protección de datos y seguridad de la información. El problema no suele ser la respuesta que genera la IA, sino los datos que introducimos en ella.


La Agencia Española de Protección de Datos (AEPD) lo ha recordado recientemente en su Decálogo de recomendaciones para proteger la privacidad al usar inteligencia artificial, en el que advierte de los riesgos de compartir información sensible con este tipo de herramientas sin analizar previamente su impacto.


1. El origen de muchos incidentes: un simple «copiar y pegar»


Gran parte de los incidentes vinculados al llamado Shadow AI—uso de herramientas de IA fuera de los canales autorizados por la organización—comienzan con una acción aparentemente trivial.


Un empleado necesita ayuda para revisar un texto, resumir un contrato o entender un informe. Copia el contenido y lo pega en una herramienta de IA generativa para obtener una respuesta rápida. En ese momento, sin ser plenamente consciente, puede estar introduciendo en un sistema externo información confidencial, datos personales o información estratégica de la empresa.


Según la AEPD, antes de utilizar estas herramientas es fundamental evaluar qué tipo de información se está compartiendo y si el servicio garantiza un uso adecuado de los datos.


2. La pérdida de control del dato


Cuando se introduce información en una herramienta de IA generativa, el usuario puede perder visibilidad sobre cómo se gestiona ese contenido. Dependiendo del proveedor y de su configuración, los datos pueden:


  • Almacenarse temporalmente o durante más tiempo del esperado.
  • Utilizarse para mejorar o entrenar modelos.
  • Generar registros de uso o metadatos.
  • Procesarse en infraestructuras ubicadas fuera del Espacio Económico Europeo.

Esto no significa que todas las herramientas utilicen los datos con esos fines, pero sí que el control sobre la información puede diluirse si no se analizan previamente las condiciones de uso del servicio.


Por ello, la AEPD insiste en que el uso responsable de la IA implica conocer qué ocurre con los datos introducidos y qué garantías ofrece el proveedor.


3. Una lista breve de lo que nunca debería salir del perímetro


Para reducir riesgos, una buena práctica consiste en establecer reglas claras sobre qué tipo de información no debe introducirse en herramientas de IA generativa. Entre los ejemplos más habituales se encuentran:


  • Datos personales de clientes o empleados.
  • Documentos contractuales confidenciales.
  • Información financiera o estratégica de la empresa.
  • Credenciales, claves o información de acceso a sistemas.
  • Bases de datos internas o listados de clientes.

Este tipo de información forma parte del perímetro de seguridad de la organización, y su exposición en plataformas externas puede generar riesgos legales, reputacionales o de seguridad.


Conclusión: el problema no es usar IA, sino cómo se usa


La inteligencia artificial generativa puede aportar grandes beneficios en términos de productividad e innovación. El reto está en utilizarla con criterios claros de gobernanza del dato.


El mayor riesgo no suele ser la respuesta que produce la herramienta, sino el contenido que se introduce en ella sin una evaluación previa. Por eso, las organizaciones necesitan políticas internas, formación y criterios claros sobre el uso de estas tecnologías.


Porque en la era de la IA generativa, la pregunta clave ya no es si usamos estas herramientas, sino qué información estamos dispuestos a compartir con ellas.


 


Como siempre, cuidad los datos y ¡cuidaos!

Subcontratación en cadena y RGPD: 15.000 € por olvidar que el control no se delega

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio. 


Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD. 


Los hechos: una cadena de subencargos sin control efectivo 


ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado. 


A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico: 


  • No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado. 

  • Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO. 

  • Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD. 

La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable. 


Artículo 28.2 RGPD: la autorización no es un formalismo 


El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable. 


En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO. 


La AEPD aprecia dos infracciones del artículo 28.2 RGPD: 


  • Subencargar sin autorización previa y por escrito. 

  • No informar al responsable sobre cambios en la cadena de subcontratación. 

El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento. 


Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado 


La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado. 


Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico. 


La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable. 


La sanción: tres infracciones, 15.000 euros 


Finalmente, la AEPD impone: 


  • 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD). 

  • 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD). 

  • 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 


Conclusión: la responsabilidad en cadena también es responsabilidad jurídica 


Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento. 


Para responsables y encargados, la lección es evidente: 


  • Identificar y documentar todos los subencargados. 

  • Exigir autorización previa cuando así se establezca. 

  • Formalizar contratos plenamente alineados con el RGPD. 

  • Mantener trazabilidad y control real sobre la cadena de proveedores. 

En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica. 


Como siempre, cuidad los datos y ¡cuidaos! 


Para leer la resolución, haga clic aquí. 

El verdadero precio de las caricaturas creadas con IA: cuando el producto eres tú

por

Una tendencia viral que parece inofensiva 


En las últimas semanas, muchas personas han pedido a ChatGPT la generación de una caricatura que les represente y, especialmente, su profesión. El resultado: imágenes divertidas, virales y perfectamente diseñadas para circular en redes sociales. A simple vista, parece un juego inocente.  


Sin embargo, detrás de esta tendencia se esconde una realidad mucho más compleja que merece una reflexión pausada, especialmente desde el punto de vista de la protección de datos y la estrategia digital. 


Qué datos estamos entregando realmente 


Al subir una fotografía personal a una plataforma de IA, no se comparte únicamente una imagen. Se están entregando datos biométricos, considerados por el Reglamento General de Protección de Datos (RGPD) como una categoría especial de datos personales. A esto se suma el contexto que rodea a la imagen: profesión, intereses, entorno social o red de contactos, especialmente cuando la caricatura se comparte en perfiles profesionales. 


Además, las imágenes contienen metadatos que pueden revelar información sobre el dispositivo utilizado, la ubicación aproximada o el momento en que fue tomada la fotografía. El valor del conjunto no está en un dato aislado, sino en su capacidad de ser correlacionado. 


El verdadero mecanismo: ego, validación y marketing 


OpenAI—como muchas otras empresas tecnológicas—no ha necesitado pedir explícitamente estos datos. Los usuarios los han entregado voluntariamente, impulsados por un mecanismo muy bien conocido en el marketing digital: la validación socialLikes, comentarios y visibilidad funcionan como una pirámide de dopamina perfectamente diseñada. La estrategia no consiste en pedir datos, sino en lograr que los usuarios los entreguen con entusiasmo. 


Este enfoque elimina la fricción legal y emocional. No hay sensación de cesión de datos, sino de participación en una experiencia compartida. Desde el punto de vista estratégico, es una jugada especialmente eficaz. 


Entrenamiento de modelos y riesgos emergentes 


Cada caricatura generada contribuye al entrenamiento de modelos de inteligencia artificial cada vez más precisos para asociar rostros con contextos específicos. Hoy se utiliza para crear ilustraciones; mañana, para generar deepfakes hiperpersonalizados, suplantaciones de identidad o fraudes en entornos profesionales, como videollamadas o procesos de verificación. 


No hablamos de un escenario hipotético. Estos riesgos ya existen y están siendo explotados, lo que plantea desafíos relevantes en materia de ciberseguridad, protección de datos y responsabilidad empresarial. 


Datos: el verdadero activo en la economía de la IA 


La pregunta incómoda es evidente: ¿por qué una empresa con una valoración de cientos de miles de millones necesita que millones de personas entreguen gratuitamente su imagen y su contexto profesional? Porque, en la economía digital, los datos son el activo estratégico por excelencia. 


En este modelo, el producto visible—la caricatura—es solo el anzuelo. El verdadero valor reside en la información que permite mejorar algoritmos, crear nuevas aplicaciones y consolidar ventajas competitivas. 


Conclusión: de usuarios pasivos a decisiones informadas 


La inteligencia artificial no es el problema. El problema es la falta de conciencia sobre el valor de los datos personales y el impacto de su uso masivo. En la era de la IA, el verdadero producto rara vez es el servicio gratuito que se ofrece, sino las personas que lo utilizan. 


Como profesionales, empresas y ciudadanos digitales, el reto no es dejar de participar en tendencias, sino entender qué estamos entregando y con qué consecuencias. La próxima vez que una moda viral nos invite a «jugar», conviene hacerse una pregunta clave: ¿estoy ganando solo una imagen… o estoy pagando con algo mucho más valioso? 


Como siempre, cuidad los datos y ¡cuidaos! 

Email marketing ≠ publicidad en redes sociales: la sanción de 3’5 M€ que todo equipo de marketing debería conocer

por

La autoridad francesa de protección de datos (CNIL) ha impuesto una sanción administrativa de 3’5 millones de euros a una empresa por múltiples incumplimientos del Reglamento General de Protección de Datos (RGPD). El caso es especialmente relevante porque gira en torno a una infracción tan habitual como peligrosa: utilizar datos personales para una finalidad distinta de aquella para la que fueron recogidos.


La decisión, adoptada el 30 de diciembre de 2025 en cooperación con 16 autoridades europeas, afecta a más de 10’5 millones de personas y ha sido publicada con fines ejemplarizantes, dada la extensión de estas prácticas en el mercado.


¿Qué ocurrió?


Desde febrero de 2018, la empresa transmitía direcciones de correo electrónico y números de teléfono de los miembros de su programa de fidelización a una red social, con el objetivo de mostrarles publicidad personalizada mediante técnicas de custom audiences o CRM matching.


La empresa alegó contar con el consentimiento de los usuarios. Sin embargo, dicho consentimiento se había recabado únicamente para el envío de comunicaciones comerciales por SMS y correo electrónico, no para la comunicación de datos a un tercero ni para la segmentación publicitaria en redes sociales.


El problema clave: el consentimiento no era válido


El tratamiento carecía de base legal válida (art. 6 RGPD) porque:


  • En el formulario de adhesión al programa de fidelización no se informaba de la cesión de datos a una red social.
  • La política de privacidad era confusa, incompleta o directamente errónea, y no permitía comprender la finalidad real del tratamiento.
  • No existía un consentimiento específico, informado e inequívoco, como habría sido, por ejemplo, una casilla separada que mencionara expresamente la publicidad personalizada en redes sociales.

Otros incumplimientos sancionados


Además del problema de base legal, la CNIL identificó múltiples infracciones adicionales:


  • Falta de transparencia ( 12 y 13 RGPD): Las finalidades no se vinculaban claramente con sus bases jurídicas, faltaba información sobre plazos de conservación y se seguía mencionando el Privacy Shield, ya invalidado.
  • Deficiencias en la seguridad ( 32 RGPD): Las políticas de contraseñas no eran suficientemente robustas y se utilizaba SHA-256 para el almacenamiento de contraseñas, un método que no se considera adecuado frente a ataques de fuerza bruta.
  • Ausencia de análisis de impacto (DPIA / AIPD) ( 35 RGPD). El tratamiento implicaba:
    • grandes volúmenes de datos,
    • cruce de información,
    • publicidad personalizada en plataformas de terceros.



Todo ello exigía una evaluación de impacto previa, que nunca se realizó.



Lecciones clave para las empresas


Este caso deja varios mensajes claros:


  • El consentimiento no es reutilizable: cada finalidad exige su propia base legal.
  • El CRM matching y la publicidad en redes sociales no son extensiones naturales del email o SMS marketing.
  • La transparencia no es un trámite formal, sino un requisito material.
  • Si hay segmentación, cruce de datos y gran escala, la DPIA no es opcional.
  • La seguridad técnica (contraseñas, hashing) sigue siendo un pilar esencial del cumplimiento.

Conclusión


La sanción de la CNIL refuerza un principio básico del RGPD: los datos pueden utilizarse únicamente para las finalidades específicas, explícitas y legítimas para las que fueron recogidos.


En un contexto de marketing cada vez más sofisticado y dependiente de plataformas externas, este tipo de decisiones recuerdan que el cumplimiento en protección de datos empieza en el diseño del tratamiento, no cuando llega una inspección.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Minimización mal entendida: 1’2 millones de euros por destruir datos de salud

por

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.200.000 euros a IDCQ Hospitales y Sanidad, S.L.U. (Quirón Salud Madrid) por la eliminación indebida de pruebas médicas aportadas por un paciente. El caso pone el foco en un aspecto crítico—y a menudo mal entendido—de la protección de datos en el ámbito sanitario: la conservación de la documentación clínica, incluso cuando no ha sido generada por el propio centro.


Los hechos: un CD que nunca volvió


En noviembre de 2021, un paciente entregó al hospital un CD con resonancias magnéticas realizadas entre 2018 y 2020 en otros centros, con el objetivo de que fueran comparadas clínicamente con una nueva prueba antes de someterse a su tratamiento asistencial en el hospital. Meses después, al solicitar la devolución del soporte, el hospital le comunicó que las imágenes ya no estaban disponibles debido a su política interna de eliminación de archivos por falta de espacio.


La respuesta fue clara: el soporte había sido destruido tras no ser recogido en el plazo de un mes.


La defensa del hospital: minimización y criterio médico


El hospital alegó que el CD no formaba parte de la historia clínica oficial al ser una prueba proveniente de otros centros, que la información relevante ya había sido incorporada al informe médico y que conservar las imágenes originales sería contrario al principio de minimización de datos. Además, sostuvo que el paciente había sido informado del plazo de recogida, por lo que su falta de acción durante ese plazo legitimaba la destrucción del soporte.


Un planteamiento que, sobre el papel, parecía alinearse con ciertos principios del RGPD. Pero que no convenció a la AEPD.


El criterio de la AEPD: documentación clínica no es solo historia clínica


La Agencia rechaza de forma tajante estas alegaciones. Apoyándose en la Ley 41/2002, de autonomía del paciente, recuerda que existe una diferencia clave entre historia clínica y documentación clínica.


Esta última incluye cualquier soporte que contenga información asistencial, con independencia de su origen o de quién lo haya generado. Es decir, la ley no diferencia entre si la documentación clínica ha sido aportada por el paciente o generada por el centro.


Por lo tanto, aquí está el punto central: las pruebas aportadas por el paciente también son documentación clínica, y como tal, deben conservarse durante al menos cinco años (art. 17 de la Ley 41/2002), precisamente para garantizar la continuidad asistencial y la seguridad del paciente.


Las infracciones: un fallo que va más allá de un error puntual


La AEPD aprecia tres infracciones graves del RGPD:


  • Artículo 9 RGPD (100.000 €): supresión de datos de salud—categoría especial—sin que concurriera ninguna de las excepciones del artículo 9.2.
  • Artículo 6 RGPD (100.000 €): tratamiento (en este caso, eliminación) sin base jurídica válida.
  • Artículo 25 RGPD (1.000.000 €): ausencia de privacidad desde el diseño y por defecto, al evidenciarse un problema estructural en la gestión de soportes con datos de salud.

La Agencia subraya que no se trata de un descuido aislado, sino de una deficiencia sistémica en los procedimientos internos.


Conclusiones


Entre los factores agravantes destacan el elevado volumen de negocio de la empresa, la extrema sensibilidad de los datos, la naturaleza sanitaria de su actividad y el daño irreversible causado al paciente, que podría afectar a estudios médicos futuros.


La resolución deja un mensaje claro para el sector sanitario: la minimización de datos no puede convertirse en una excusa para suprimir información que la ley obliga a conservar. Y menos aún cuando hablamos de datos de salud.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Navidades… ¿demasiado inteligentes? Los peligros ocultos de los juguetes con IA para niños

por

La nueva estrella de los regalos navideños


Estas Navidades, los juguetes con inteligencia artificial integrada se han convertido en uno de los productos más llamativos del mercado. Robots interactivos, peluches «conversacionales» y figuras animadas prometen hablar con los niños, responder preguntas, contar historias e incluso «aprender» de cada interacción.


Aunque juguetes parlantes existen desde hace décadas—basta recordar a los Furbies—, la diferencia ahora es sustancial: muchos de estos productos están conectados a modelos avanzados de IA, similares a los chatbots que utilizan los adultos. Y ahí es donde empiezan los problemas.


Tecnología novedosa, efectos desconocidos


Una reciente investigación del U.S. Public Interest Research Group (PIRG) y pruebas independientes realizadas por NBC News han encendido las alarmas. Los expertos advierten de que se trata de una tecnología poco probada en menores, cuyos efectos a medio y largo plazo se desconocen.


La pregunta clave, según los investigadores, es inquietante: ¿estamos «experimentando» con niños utilizando tecnologías que ni siquiera los adultos comprendemos del todo?


Respuestas peligrosas e inapropiadas


Las pruebas realizadas por la NBC News a varios juguetes populares revelaron comportamientos preocupantes. Algunos peluches y robots fueron capaces de:


  • Dar instrucciones detalladas para encender cerillas o afilar cuchillos.
  • Responder de forma explícita a preguntas sobre sexo, drogas o prácticas sexuales.
  • Ofrecer contenidos ideológicos o políticos sin ningún tipo de contexto.

En conversaciones prolongadas, los llamados «guardarraíles» de seguridad—diseñados para evitar contenidos inapropiados—fallaban con frecuencia, dejando pasar respuestas claramente incompatibles con un público infantil.


Privacidad infantil: el gran olvidado


Más allá del contenido, la protección de datos es otro de los grandes riesgos. Algunos de estos juguetes recogen y almacenan:


  • Grabaciones de voz.
  • Conversaciones completas.
  • Datos biométricos como rostro, tono emocional o patrones de uso.

En ciertos casos, estas informaciones pueden conservarse durante años y compartirse con terceros, pese a que el propio juguete asegure verbalmente al niño que «no contará nada a nadie». Una contradicción especialmente grave cuando hablamos de menores.


Dependencia emocional y vínculo artificial


Los expertos en desarrollo infantil alertan también del riesgo de apego emocional. Muchos de estos juguetes están diseñados para fomentar interacciones prolongadas, hacer preguntas constantes y «recompensar» al niño por seguir jugando.


El problema es que, a edades tempranas, este tipo de vínculo con una IA puede afectar al desarrollo del lenguaje, la socialización y la capacidad de relacionarse con personas reales. No es casualidad que pediatras y asociaciones infantiles recomienden limitar el tiempo de exposición a pantallas y dispositivos inteligentes.


¿Qué deberían tener en cuenta las familias esta Navidad?


La inteligencia artificial no es, en sí misma, el enemigo. Pero, aplicada sin suficiente regulación, transparencia ni estudios previos, puede convertirse en un riesgo real para los niños.


Estas Navidades, antes de colocar un juguete «inteligente» bajo el árbol, conviene hacerse algunas preguntas básicas: ¿qué datos recoge?, ¿quién los controla?, ¿qué tipo de respuestas puede dar?, ¿pueden los padres limitar su uso?


A veces, el mejor regalo no es el más tecnológico, sino aquel que fomenta el juego compartido, la creatividad y la conexión familiar. Porque no todo lo que habla… debería hacerlo.


Como siempre, cuidad los datos y ¡cuidaos!

EE. UU. endurece el control digital a turistas: redes sociales y privacidad en el centro del debate

por

Viajar a Estados Unidos podría dejar de ser un trámite relativamente sencillo para millones de personas. La Administración Trump ha anunciado una propuesta que obligaría a los viajeros que utilicen el Visa Waiver Program (VWP) a declarar los identificadores de redes sociales usados en los últimos cinco años como parte del proceso de autorización de viaje.


La medida, publicada por la U.S. Customs and Border Protection (CBP), forma parte de una estrategia más amplia destinada a reforzar el control migratorio y «examinar a los visitantes al máximo nivel posible». Si se aprueba, entraría en vigor el 8 de febrero y afectaría a ciudadanos de 42 países, principalmente europeos, además de Australia y otros socios tradicionales de EE. UU.


Más datos personales, más preguntas


El cambio no se limita a las redes sociales. El formulario ESTA pasaría a exigir también:


  • Todas las direcciones de correo electrónico utilizadas en los últimos diez años.
  • Información detallada sobre familiares directos (padres, hermanos, hijos y cónyuges), incluyendo nombres, fechas y lugares de nacimiento y domicilios.

Aunque el aviso se encuentra en fase de consulta pública durante 60 días, el alcance de la información solicitada ha generado inquietud inmediata, tanto dentro como fuera del país.


El impacto en el turismo y los negocios


Desde el sector turístico estadounidense, las reacciones han sido cautelosas pero preocupadas. La U.S. Travel Association ha advertido de que un proceso de entrada demasiado intrusivo puede provocar que los viajeros internacionales opten por otros destinos.


Esta preocupación no es menor si se tiene en cuenta el contexto: Estados Unidos será uno de los anfitriones del Mundial de Fútbol de 2026, un evento que se espera atraiga a millones de visitantes y contribuya a revitalizar el turismo internacional, que ha sufrido un descenso en los últimos años.


Las críticas no se han hecho esperar. La senadora demócrata Patty Murray ha ironizado e indicado que «sería más fácil prohibir directamente el turismo». Desde el ámbito académico, algunos analistas han señalado que el nivel de control propuesto resulta incluso más restrictivo que el aplicado por países con políticas fronterizas tradicionalmente duras.


Estas comparaciones han alimentado el debate sobre si la medida es realmente eficaz desde el punto de vista de la seguridad o si, por el contrario, supone un coste reputacional para EE. UU.


Privacidad digital: el gran debate de fondo


Desde una perspectiva de derecho digital, la propuesta plantea cuestiones clave sobre privacidad y tratamiento de datos personales. La recopilación masiva de información online y familiar contrasta con principios como la minimización y la proporcionalidad, ampliamente consolidados en normativas como el Reglamento General de Protección de Datos (RGPD) en Europa.


Aunque estas normas no sean directamente aplicables en EE. UU., sí influyen en la percepción que ciudadanos y empresas extranjeras tienen sobre la seguridad y el uso de sus datos.


Seguridad, dinero y contradicciones


De forma paralela, la Administración ha lanzado programas como la denominada «gold card», que permitiría obtener la residencia permanente a quienes inviertan un millón de dólares, o una futura «platinum card» de cinco millones. Una dualidad que refuerza la sensación de que el control no se aplica de igual forma a todos los perfiles.


En un mundo cada vez más digital, las fronteras ya no solo se controlan con pasaportes, sino también con datos. Y la pregunta clave sigue abierta: ¿hasta dónde estamos dispuestos a llegar en nombre de la seguridad?


Como siempre, cuidad los datos y ¡cuidaos!

Nano Banana Pro: el nuevo desafío para la identidad digital y la seguridad del futuro

por

La irrupción del modelo Nano Banana Pro de Google, capaz de generar imágenes sintéticas de documentos de identidad y rostros con una precisión sin precedentes, ha reabierto un debate crítico: ¿cómo proteger la identidad digital en un entorno donde la vista humana—e incluso ciertos sistemas automatizados—pueden ser engañados con una facilidad creciente?


Mientras algunos expertos advierten de que esta tecnología permite fabricar pasaportes, carnés de conducir o identificaciones universitarias falsas con un realismo alarmante, otros recuerdan que los sistemas modernos de verificación no se basan exclusivamente en análisis visuales. Ambas perspectivas son válidas y, de hecho, subrayan la conclusión más importante: el modelo tradicional de identificación está bajo una tensión sin precedentes.


Identidades sintéticas: un riesgo que ya no es teórico


El gran salto cualitativo del Nano Banana Pro es su capacidad para replicar patrones visuales con un nivel de fidelidad que supera lo que hace apenas unos meses parecía plausible. Esto supone un riesgo real para procesos que siguen apoyándose, parcial o totalmente, en pruebas fotográficas o en la correspondencia entre «persona en cámara» y «foto en documento».


Algunos casos especialmente sensibles son:


  • Verificación de edad mediante documentos físicos o imágenes.
  • Monitorización de exámenes con validación puntual de identidad.
  • Alta de usuarios en plataformas bancarias o fintech mediante una foto del documento.
  • Procesos de on-boarding en empresas, telemedicina o voluntariado.

El fenómeno del face swapping aplicado sobre una identidad verificable amplifica aún más el problema: el atacante ya no necesita manipular un documento, sino superponer un rostro falso sobre un usuario real durante la verificación.


No todo es apocalipsis: los sistemas serios ya no dependen solo de imágenes


Es cierto que los documentos actuales—especialmente en Europa—incorporan múltiples capas de seguridad físicas y electrónicas: hologramas dinámicos, microimpresiones, filigranas, MRZ, chips NFC y firmas criptográficas. Ninguna IA puede replicar estos elementos a través de una simple imagen generada, y los procesos robustos de on-boarding exigen lectura de chip, validación criptográfica y pruebas de vida avanzadas.


Dicho de otro modo: las organizaciones que ya usan métodos modernos no están desprotegidas, pero el ecosistema global sí enfrenta un reto importante, porque aún hay multitud de servicios que se basan en capturas de pantalla, fotos o verificaciones visuales básicas.


¿Qué deben hacer las organizaciones ahora?


  1. Abandonar la foto como única prueba de identidad. La imagen es un factor, pero ya no puede ser el factor decisivo.
  2. Adoptar modelos de confianza en capas. Verificación continua, señales de comportamiento, lectura de chip, biometría dinámica y metadatos de procedencia.
  3. Tratar la gobernanza de la IA como un área operativa. La supervisión pasiva no sirve frente a amenazas que evolucionan a gran velocidad.
  4. Preparar un plan de respuesta para fraude sintético. Cualquier institución que gestione identidades debe anticipar escenarios de suplantación avanzada.

Conclusión: un aviso y una hoja de ruta


El Nano Banana Pro no destruye de un día para otro la identificación digital, pero sí marca un antes y un después. La autenticidad ya no puede apoyarse únicamente en lo visual. La seguridad—en privacidad, identidad y ciberseguridad—dependerá de nuestra capacidad para evolucionar hacia modelos donde la verificación no sea un instante, sino un proceso continuo y resiliente.


Como siempre, cuidad los datos y ¡cuidaos!

Biometría en turbulencias: qué revela la sanción millonaria de la AEPD a AENA

por

La Agencia Española de Protección de Datos ha impuesto a AENA la multa más elevada de su historia: 10.043.002 € por la utilización de sistemas de reconocimiento facial en varios aeropuertos sin haber llevado a cabo una Evaluación de Impacto en Protección de Datos (EIPD) completa y válida, conforme a lo exigido por el artículo 35 del RGPD. La resolución, extensa y detallada, ofrece un análisis exhaustivo de las deficiencias detectadas en el diseño y la documentación del tratamiento de datos biométricos por parte de la entidad.


El expediente deja claro que el problema no fue la adopción de tecnología biométrica como concepto, sino cómo se diseñó y se justificó su implantación. La Agencia concluye que AENA no acreditó adecuadamente la necesidad, proporcionalidad ni los riesgos del sistema, aspectos que constituyen el núcleo de una EIPD robusta y previa.


Un tratamiento de alto riesgo sin una EIPD adecuada


A lo largo de la resolución, la AEPD identifica diversas carencias estructurales en la evaluación presentada por AENA:


  • Insuficiencia en el análisis de necesidad y proporcionalidad. Las EIPD no demostraban por qué era imprescindible recurrir a un sistema de identificación 1:N, basado en comparación contra bases de datos centralizadas, cuando existían métodos menos invasivos que podían cumplir la misma finalidad operativa.
  • Análisis de riesgos incompleto y desalineado con el proyecto inicial. La documentación aportada no incluía el análisis de riesgos original de 2021; en su lugar, se presentó uno elaborado en 2023, desconectado del diseño previo y, por tanto, incapaz de justificar el tratamiento desde su concepción.
  • Metodología inadecuada para un proyecto de alta complejidad. La Agencia subraya que se utilizaron herramientas orientadas a organizaciones más pequeñas, no adecuadas para un sistema implantado en varios aeropuertos y que trataba datos de categoría especial.
  • Falta de coherencia entre las advertencias recibidas y la continuidad del proyecto. AENA había planteado consultas previas en las que reconocía dificultades para reducir el riesgo a niveles aceptables, pero, aun así, avanzó hacia fases piloto y operativas sin disponer de una EIPD completa.

Un matiz importante: la AEPD no rechaza la biometría en aeropuertos


Aunque la sanción sea contundente, la Agencia no cuestiona que la biometría pueda utilizarse legítimamente en aeropuertos. De hecho, la propia resolución alude al Dictamen 11/2024 del Comité Europeo de Protección de Datos, que describe modelos de uso compatibles con el RGPD.


La clave está en el diseño. Existen escenarios en los que la tecnología biométrica se basa en:


  • Plantillas almacenadas únicamente en el dispositivo del pasajero.
  • Comparaciones 1:1 locales y efímeras.
  • Ausencia de almacenamiento centralizado por parte del operador.

Este tipo de soluciones, menos intrusivas y más contenidas, podrían superar el juicio de necesidad y proporcionalidad que exige el RGPD y que la AEPD ha echado en falta en el caso de AENA.


Conclusión: un aviso y una hoja de ruta


La sanción no cierra la puerta a la biometría, pero sí marca un estándar claro: cualquier tratamiento de este tipo exige justificación sólida, metodología adecuada y una EIPD exhaustiva, previa y bien fundamentada. La innovación y la eficiencia operativa son compatibles con la protección de datos, siempre que se integren desde el diseño las garantías necesarias.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Revisión Textos Legales Web