Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

EE. UU. endurece el control digital a turistas: redes sociales y privacidad en el centro del debate

por

Viajar a Estados Unidos podría dejar de ser un trámite relativamente sencillo para millones de personas. La Administración Trump ha anunciado una propuesta que obligaría a los viajeros que utilicen el Visa Waiver Program (VWP) a declarar los identificadores de redes sociales usados en los últimos cinco años como parte del proceso de autorización de viaje.


La medida, publicada por la U.S. Customs and Border Protection (CBP), forma parte de una estrategia más amplia destinada a reforzar el control migratorio y «examinar a los visitantes al máximo nivel posible». Si se aprueba, entraría en vigor el 8 de febrero y afectaría a ciudadanos de 42 países, principalmente europeos, además de Australia y otros socios tradicionales de EE. UU.


Más datos personales, más preguntas


El cambio no se limita a las redes sociales. El formulario ESTA pasaría a exigir también:


  • Todas las direcciones de correo electrónico utilizadas en los últimos diez años.
  • Información detallada sobre familiares directos (padres, hermanos, hijos y cónyuges), incluyendo nombres, fechas y lugares de nacimiento y domicilios.

Aunque el aviso se encuentra en fase de consulta pública durante 60 días, el alcance de la información solicitada ha generado inquietud inmediata, tanto dentro como fuera del país.


El impacto en el turismo y los negocios


Desde el sector turístico estadounidense, las reacciones han sido cautelosas pero preocupadas. La U.S. Travel Association ha advertido de que un proceso de entrada demasiado intrusivo puede provocar que los viajeros internacionales opten por otros destinos.


Esta preocupación no es menor si se tiene en cuenta el contexto: Estados Unidos será uno de los anfitriones del Mundial de Fútbol de 2026, un evento que se espera atraiga a millones de visitantes y contribuya a revitalizar el turismo internacional, que ha sufrido un descenso en los últimos años.


Las críticas no se han hecho esperar. La senadora demócrata Patty Murray ha ironizado e indicado que «sería más fácil prohibir directamente el turismo». Desde el ámbito académico, algunos analistas han señalado que el nivel de control propuesto resulta incluso más restrictivo que el aplicado por países con políticas fronterizas tradicionalmente duras.


Estas comparaciones han alimentado el debate sobre si la medida es realmente eficaz desde el punto de vista de la seguridad o si, por el contrario, supone un coste reputacional para EE. UU.


Privacidad digital: el gran debate de fondo


Desde una perspectiva de derecho digital, la propuesta plantea cuestiones clave sobre privacidad y tratamiento de datos personales. La recopilación masiva de información online y familiar contrasta con principios como la minimización y la proporcionalidad, ampliamente consolidados en normativas como el Reglamento General de Protección de Datos (RGPD) en Europa.


Aunque estas normas no sean directamente aplicables en EE. UU., sí influyen en la percepción que ciudadanos y empresas extranjeras tienen sobre la seguridad y el uso de sus datos.


Seguridad, dinero y contradicciones


De forma paralela, la Administración ha lanzado programas como la denominada «gold card», que permitiría obtener la residencia permanente a quienes inviertan un millón de dólares, o una futura «platinum card» de cinco millones. Una dualidad que refuerza la sensación de que el control no se aplica de igual forma a todos los perfiles.


En un mundo cada vez más digital, las fronteras ya no solo se controlan con pasaportes, sino también con datos. Y la pregunta clave sigue abierta: ¿hasta dónde estamos dispuestos a llegar en nombre de la seguridad?


Como siempre, cuidad los datos y ¡cuidaos!

Nano Banana Pro: el nuevo desafío para la identidad digital y la seguridad del futuro

por

La irrupción del modelo Nano Banana Pro de Google, capaz de generar imágenes sintéticas de documentos de identidad y rostros con una precisión sin precedentes, ha reabierto un debate crítico: ¿cómo proteger la identidad digital en un entorno donde la vista humana—e incluso ciertos sistemas automatizados—pueden ser engañados con una facilidad creciente?


Mientras algunos expertos advierten de que esta tecnología permite fabricar pasaportes, carnés de conducir o identificaciones universitarias falsas con un realismo alarmante, otros recuerdan que los sistemas modernos de verificación no se basan exclusivamente en análisis visuales. Ambas perspectivas son válidas y, de hecho, subrayan la conclusión más importante: el modelo tradicional de identificación está bajo una tensión sin precedentes.


Identidades sintéticas: un riesgo que ya no es teórico


El gran salto cualitativo del Nano Banana Pro es su capacidad para replicar patrones visuales con un nivel de fidelidad que supera lo que hace apenas unos meses parecía plausible. Esto supone un riesgo real para procesos que siguen apoyándose, parcial o totalmente, en pruebas fotográficas o en la correspondencia entre «persona en cámara» y «foto en documento».


Algunos casos especialmente sensibles son:


  • Verificación de edad mediante documentos físicos o imágenes.
  • Monitorización de exámenes con validación puntual de identidad.
  • Alta de usuarios en plataformas bancarias o fintech mediante una foto del documento.
  • Procesos de on-boarding en empresas, telemedicina o voluntariado.

El fenómeno del face swapping aplicado sobre una identidad verificable amplifica aún más el problema: el atacante ya no necesita manipular un documento, sino superponer un rostro falso sobre un usuario real durante la verificación.


No todo es apocalipsis: los sistemas serios ya no dependen solo de imágenes


Es cierto que los documentos actuales—especialmente en Europa—incorporan múltiples capas de seguridad físicas y electrónicas: hologramas dinámicos, microimpresiones, filigranas, MRZ, chips NFC y firmas criptográficas. Ninguna IA puede replicar estos elementos a través de una simple imagen generada, y los procesos robustos de on-boarding exigen lectura de chip, validación criptográfica y pruebas de vida avanzadas.


Dicho de otro modo: las organizaciones que ya usan métodos modernos no están desprotegidas, pero el ecosistema global sí enfrenta un reto importante, porque aún hay multitud de servicios que se basan en capturas de pantalla, fotos o verificaciones visuales básicas.


¿Qué deben hacer las organizaciones ahora?


  1. Abandonar la foto como única prueba de identidad. La imagen es un factor, pero ya no puede ser el factor decisivo.
  2. Adoptar modelos de confianza en capas. Verificación continua, señales de comportamiento, lectura de chip, biometría dinámica y metadatos de procedencia.
  3. Tratar la gobernanza de la IA como un área operativa. La supervisión pasiva no sirve frente a amenazas que evolucionan a gran velocidad.
  4. Preparar un plan de respuesta para fraude sintético. Cualquier institución que gestione identidades debe anticipar escenarios de suplantación avanzada.

Conclusión: un aviso y una hoja de ruta


El Nano Banana Pro no destruye de un día para otro la identificación digital, pero sí marca un antes y un después. La autenticidad ya no puede apoyarse únicamente en lo visual. La seguridad—en privacidad, identidad y ciberseguridad—dependerá de nuestra capacidad para evolucionar hacia modelos donde la verificación no sea un instante, sino un proceso continuo y resiliente.


Como siempre, cuidad los datos y ¡cuidaos!

Biometría en turbulencias: qué revela la sanción millonaria de la AEPD a AENA

por

La Agencia Española de Protección de Datos ha impuesto a AENA la multa más elevada de su historia: 10.043.002 € por la utilización de sistemas de reconocimiento facial en varios aeropuertos sin haber llevado a cabo una Evaluación de Impacto en Protección de Datos (EIPD) completa y válida, conforme a lo exigido por el artículo 35 del RGPD. La resolución, extensa y detallada, ofrece un análisis exhaustivo de las deficiencias detectadas en el diseño y la documentación del tratamiento de datos biométricos por parte de la entidad.


El expediente deja claro que el problema no fue la adopción de tecnología biométrica como concepto, sino cómo se diseñó y se justificó su implantación. La Agencia concluye que AENA no acreditó adecuadamente la necesidad, proporcionalidad ni los riesgos del sistema, aspectos que constituyen el núcleo de una EIPD robusta y previa.


Un tratamiento de alto riesgo sin una EIPD adecuada


A lo largo de la resolución, la AEPD identifica diversas carencias estructurales en la evaluación presentada por AENA:


  • Insuficiencia en el análisis de necesidad y proporcionalidad. Las EIPD no demostraban por qué era imprescindible recurrir a un sistema de identificación 1:N, basado en comparación contra bases de datos centralizadas, cuando existían métodos menos invasivos que podían cumplir la misma finalidad operativa.
  • Análisis de riesgos incompleto y desalineado con el proyecto inicial. La documentación aportada no incluía el análisis de riesgos original de 2021; en su lugar, se presentó uno elaborado en 2023, desconectado del diseño previo y, por tanto, incapaz de justificar el tratamiento desde su concepción.
  • Metodología inadecuada para un proyecto de alta complejidad. La Agencia subraya que se utilizaron herramientas orientadas a organizaciones más pequeñas, no adecuadas para un sistema implantado en varios aeropuertos y que trataba datos de categoría especial.
  • Falta de coherencia entre las advertencias recibidas y la continuidad del proyecto. AENA había planteado consultas previas en las que reconocía dificultades para reducir el riesgo a niveles aceptables, pero, aun así, avanzó hacia fases piloto y operativas sin disponer de una EIPD completa.

Un matiz importante: la AEPD no rechaza la biometría en aeropuertos


Aunque la sanción sea contundente, la Agencia no cuestiona que la biometría pueda utilizarse legítimamente en aeropuertos. De hecho, la propia resolución alude al Dictamen 11/2024 del Comité Europeo de Protección de Datos, que describe modelos de uso compatibles con el RGPD.


La clave está en el diseño. Existen escenarios en los que la tecnología biométrica se basa en:


  • Plantillas almacenadas únicamente en el dispositivo del pasajero.
  • Comparaciones 1:1 locales y efímeras.
  • Ausencia de almacenamiento centralizado por parte del operador.

Este tipo de soluciones, menos intrusivas y más contenidas, podrían superar el juicio de necesidad y proporcionalidad que exige el RGPD y que la AEPD ha echado en falta en el caso de AENA.


Conclusión: un aviso y una hoja de ruta


La sanción no cierra la puerta a la biometría, pero sí marca un estándar claro: cualquier tratamiento de este tipo exige justificación sólida, metodología adecuada y una EIPD exhaustiva, previa y bien fundamentada. La innovación y la eficiencia operativa son compatibles con la protección de datos, siempre que se integren desde el diseño las garantías necesarias.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Reglamento Ómnibus Digital: ¿simplificación o giro de rumbo en la regulación europea?

por

La Comisión Europea ha presentado la esperada Propuesta de Reglamento Ómnibus Digital, un paquete ambicioso que pretende armonizar, actualizar y «desburocratizar» varios pilares del ecosistema normativo europeo: protección de datos, inteligencia artificial, ciberseguridad, cookies y acceso a datos. Su objetivo declarado es claro: facilitar la innovación, reducir cargas a las empresas y garantizar coherencia entre normas. Pero… ¿estamos ante una modernización necesaria o una revisión que puede alterar equilibrios fundamentales?


Un RGPD más flexible, pero también más permeable


Uno de los puntos más llamativos es la reapertura del RGPD, algo que hace apenas unos años parecía impensable. La propuesta introduce cambios que, si bien buscan claridad jurídica, pueden tener efectos profundos:


  • Nueva definición de datos personales, que incorpora doctrina del TJUE: si la reidentificación no es razonablemente posible para quien trata los datos, deja de considerarse dato personal.
  • Nuevas excepciones del artículo 9.2, que permiten tratar datos biométricos para verificación cuando estén bajo control del interesado, o para el desarrollo y funcionamiento de modelos de IA.
  • Interés legítimo para IA, salvo que el derecho nacional exija consentimiento.
  • Deber de información más laxo, que permite omitir información «si ya se presume conocida por el interesado».
  • Brechas de seguridad: notificación solo cuando exista «alto riesgo» y ampliación a 96 horas.

La lectura optimista habla de reducción de cargas y mayor claridad. La lectura crítica, sin embargo, alerta de un riesgo de erosión progresiva de la protección: datos inferidos menos protegidos, mayor margen para entrenar sistemas de IA, y opacidad reforzada por nuevas excepciones informativas.


Ciberseguridad y notificaciones: un único punto de acceso


En el ámbito de la ciberseguridad, la propuesta crea un punto único de notificación de incidentes, simplificando uno de los procesos más fragmentados del marco NIS2. Esta medida puede aportar eficiencia real para empresas multinacionales y sectores con múltiples obligaciones regulatorias.


Cookies y ePrivacy: hacia menos banners (y más cambios estructurales)


El Ómnibus introduce modificaciones relevantes sobre cookies y ePrivacy:


  • Reducción de banners mediante preferencias centralizadas en navegador o sistema operativo.
  • Nuevo artículo 88 a) sobre consentimiento para acceso/almacenamiento en terminales.
  • Un 88 b) que fija el respeto obligatorio de señales automatizadas de preferencias.

Aunque el discurso oficial habla de «mejorar la experiencia del usuario», algunos expertos alertan de que el efecto combinado podría debilitar el marco ePrivacy al integrarlo parcialmente en el RGPD modificado.


IA y acceso a datos: alineación con la Ley de IA


El paquete vincula la aplicación de normas de IA de alto riesgo a la disponibilidad de herramientas de apoyo (estándares, guías, metodologías). También impulsa el acceso a datos como motor de innovación, buscando coherencia con la Data Act y la Estrategia Europea de Datos.


¿Qué viene ahora?


La Comisión ha abierto la segunda fase del proceso, con una Evaluación de Aptitud Digital (Fitness Check) hasta marzo de 2026. Será un momento clave: las empresas, administraciones y sociedad civil deberán posicionarse sobre si el Ómnibus representa una simplificación necesaria o una reforma que modifica la esencia del RGPD y ePrivacy.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la Propuesta, haga clic aquí.

Seguridad o privacidad: el pulso judicial por el fichaje con huella digital

por

La reciente Sentencia nº 370/2025 del Juzgado de lo Social nº 3 de A Coruña ha reabierto el debate sobre la legalidad del registro de jornada mediante sistemas biométricos en el entorno laboral. En un contexto marcado por la cautela de la Agencia Española de Protección de Datos (AEPD) y la tendencia empresarial a abandonar estos sistemas, el fallo avala la utilización de la huella digital como mecanismo de control horario en un hospital público, calificándola de «poco invasiva» y «proporcionada».


Un caso con implicaciones más allá del hospital


El conflicto enfrentaba al comité de empresa y a la Confederación Intersindical Galega frente al Instituto Policlínico Santa Teresa S.A. Los representantes sindicales alegaban vulneración de los derechos fundamentales a la intimidad, la salud y la libertad sindical por el uso obligatorio de un sistema de fichaje mediante huella dactilar.


El tribunal, sin embargo, desestimó íntegramente la demanda y consideró que el sistema biométrico empleado—basado en plantillas no identificativas y con medidas de seguridad avanzadas—respetaba los principios del RGPD y la LOPDGDD, resultando idóneo para garantizar el registro horario exigido por el artículo 34.9 del Estatuto de los Trabajadores.


Un argumento jurídico polémico


El punto más controvertido radica en la base jurídica elegida por el juzgado para legitimar el tratamiento de datos biométricos: la excepción del artículo 9.2.i) del RGPD, relativa al tratamiento necesario por razones de interés público en el ámbito de la salud pública.
Aplicar esta excepción—concebida para amenazas sanitarias o seguridad asistencial—al simple registro de jornada laboral resulta, cuanto menos, discutible. El tribunal justifica su decisión al considerar el hospital una infraestructura crítica (Ley 8/2011), donde la verificación biométrica contribuiría a la seguridad de pacientes, medicamentos y personal. No obstante, este razonamiento confunde dos tratamientos distintos: el control de acceso (más defendible desde la perspectiva de la seguridad) y el registro horario, cuya finalidad es puramente laboral.


Falta de doctrina unificada


El caso refleja la ausencia de una doctrina consolidada en torno al fichaje biométrico.
Mientras que la AEPD, en su Guía sobre uso de datos biométricos (noviembre de 2023), insiste en que estos sistemas son altamente intrusivos y de uso excepcional, algunos tribunales y organismos técnicos—como el CNPIC o el Consejo Español para el Registro de Jornada—mantienen posiciones más permisivas, especialmente en contextos de seguridad reforzada.


El resultado es un panorama fragmentado en el que la misma práctica puede considerarse ilícita o proporcional según el órgano que la valore.


Una sentencia que invita a la reflexión


El Juzgado de A Coruña ha ido más allá de la postura mayoritaria al calificar la huella digital como menos intrusiva que alternativas como las apps con geolocalización o los lectores de tarjetas NFC.
Esta valoración, sin embargo, parece minimizar la naturaleza sensible de los datos biométricos y el riesgo inherente a su tratamiento. Más que un paso hacia la modernización tecnológica, el fallo puede interpretarse como un retroceso en la cultura de protección de datos laborales.


En definitiva, esta sentencia nos invita a una reflexión urgente: ¿Estamos ante un cambio de tendencia judicial o ante un exceso de interpretación que desdibuja los límites del RGPD? Lo cierto es que, a día de hoy, la seguridad jurídica en materia de fichaje biométrico sigue tan difusa como las huellas que pretende registrar.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Ni anonimato ni IA: el RGPD se aplica incluso a las imágenes manipuladas digitalmente

por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.


Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.


Lo que dice el RGPD (y por qué importa aquí)


El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.


La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.


Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.


La IA no borra la responsabilidad


La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.


Lecciones que deja el caso


  • La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
  • Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
  • Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
  • El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones


La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.


Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.


El caso invita a un debate necesario:


  • ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
  • ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

La nueva fiebre digital: ¿cuánto cuesta tu voz en el mercado de la IA?

por

En apenas unos días, Neon se ha convertido en una de las aplicaciones más descargadas del momento. Su propuesta parece irresistible: pagar a los usuarios por grabar y vender sus llamadas telefónicas. Hasta 30 dólares al día por dejar que su voz—y las conversaciones que mantiene—se utilicen para entrenar modelos de inteligencia artificial.


La idea es sencilla: Neon registra las llamadas del usuario y, si ambos interlocutores tienen instalada la app, ambas voces se utilizan para alimentar sistemas de IA que aprenden a reconocer, imitar o analizar el lenguaje humano. A cambio, el usuario recibe una pequeña compensación económica por minuto grabado.


Pero detrás del atractivo modelo «tecnología a cambio de dinero», surgen enormes interrogantes legales y éticos. ¿Sabemos realmente qué estamos cediendo cuando aceptamos grabar nuestra voz?


Datos biométricos: la voz como identidad digital


A diferencia de un simple dato personal, la voz es un identificador biométrico único, pues permite reconocer, imitar y suplantar identidades. Por ello, el Reglamento General de Protección de Datos (RGPD) europeo la considera dato sensible y su tratamiento requiere un consentimiento explícito e informado.


El problema es que, según los términos de uso de Neon, el usuario otorga a la empresa una licencia amplia y prácticamente ilimitada para «reproducir, almacenar, modificar y distribuir» sus grabaciones. En la práctica, esto implica ceder el control total sobre un dato que no solo revela la voz, sino también información contextual, emocional y de terceros.


De hecho, si la llamada es con alguien que no utiliza Neon, la app igualmente graba la parte del usuario… pero inevitablemente se captan fragmentos de la otra persona. Esto plantea dudas serias en materia de consentimiento de los interlocutores y vulnera principios básicos de minimización y finalidad del RGPD.


Entre la curiosidad y el riesgo


La empresa asegura que las grabaciones se anonimizan antes de ser vendidas a terceros. Sin embargo, expertos en seguridad digital alertan: la voz es extraordinariamente difícil de anonimizar. Puede utilizarse para crear imitaciones perfectas mediante IA, abrir cuentas bancarias, o incluso suplantar a familiares en estafas telefónicas.


Además, las incongruencias detectadas entre las tarifas anunciadas en la App Store y las publicadas en la web de Neon generan dudas sobre la transparencia real del modelo.


Conclusión: el verdadero precio de la voz


El éxito viral de Neon demuestra una tendencia preocupante: cada vez más usuarios están dispuestos a monetizar su privacidad a cambio de beneficios inmediatos. La «economía del dato» evoluciona hacia un escenario donde la identidad se convierte en un activo comercializable, sin que muchos comprendan las consecuencias a largo plazo.


Ceder la voz no es inocuo, es ceder una parte irrepetible de nuestra identidad digital. Por eso, antes de aceptar los «términos y condiciones», conviene preguntarse: ¿cuánto vale realmente mi voz? ¿Y quién la escuchará cuando ya no sea mía?


Como siempre, cuidad los datos y ¡cuidaos!

Albania apuesta por una ministra artificial: entre la innovación y el riesgo

por

Albania ha dado un paso histórico —y polémico—: se ha convertido en el primer país del mundo en nombrar a una inteligencia artificial como ministra. Su nombre es Diella, inspirado en la palabra «diell» (sol, en albanés), como símbolo de transparencia.


La nueva «ministra» se encargará de evaluar licitaciones públicas, detectar irregularidades y asistir en trámites electrónicos. Su creación responde a un objetivo político muy concreto: convencer a Bruselas de la voluntad de Albania de luchar contra la corrupción de cara a su adhesión a la Unión Europea en 2030.


La puesta en escena no ha podido ser más simbólica: en las presentaciones oficiales, Diella aparece como una joven sonriente, con traje típico albanés, saludando desde la pantalla. Sin embargo, tras el gesto de modernidad, surgen muchas incógnitas.


Luces y sombras de la iniciativa


El gobierno albanés pretende mostrar un compromiso con la transparencia en un país marcado por sospechas de corrupción, favoritismo y blanqueo de capitales en las adjudicaciones públicas. Pero el movimiento despierta más dudas que certezas.


Delegar un cargo ministerial en una IA podría ser problemático por varios motivos:


  • No se ha aclarado si habrá algún tipo de supervisión humana sobre las decisiones de Diella.
  • No han informado sobre cuál ha sido el algoritmo utilizado, los datos de entrenamiento y los mecanismos de validación de sus resultados.
  • Como cualquier IA, existe un riesgo elevado de sesgos en las adjudicaciones y de falta de trazabilidad en los procesos.
  • Se abren vulnerabilidades de ciberseguridad en un contexto geopolítico delicado.

A estas críticas se suma otro factor: la viabilidad. Según estudios del MIT, el 95 % de los proyectos de IA a gran escala fracasan por falta de retorno o por costes excesivos. ¿Está Albania preparada para gestionar un sistema tan complejo y delicado?


El riesgo de sustituir en vez de complementar


La IA puede ser un aliado poderoso para reforzar la transparencia administrativa, pero su función debería ser acompañar y mejorar el trabajo humano, no reemplazarlo. La sustitución completa de un rol político de alto nivel plantea un escenario inédito y con implicaciones democráticas profundas: ¿quién asume la responsabilidad última de las decisiones?


Otros países ya experimentan con IA en la administración: Ucrania tiene un avatar portavoz, México una asistente virtual judicial, y Brasil avanza en esa línea. Pero el caso albanés va más allá: no es un asistente, sino una «ministra».


Conclusión


Albania busca con Diella enviar un mensaje claro a la Unión Europea: compromiso con la transparencia y voluntad de modernización. Pero el experimento plantea serias dudas de legitimidad, control y seguridad.


La innovación tecnológica es bienvenida, siempre que no sustituya el juicio crítico humano ni ponga en riesgo la confianza en las instituciones. La pregunta sigue abierta: ¿es Diella un rayo de luz contra la corrupción o un salto demasiado arriesgado en la política digital?


Como siempre, cuidad los datos y ¡cuidaos!

Cuando el control de accesos sobrepasa la huella de la legalidad

por

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?


Hechos


Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.


La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.


Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.


La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.


Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.


Conclusión


Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:


  • Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
  • La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
  • El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.

Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

Revisión Textos Legales Web