Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Transcripción de voz con IA: la pregunta no es si funciona, sino si tu organización está preparada

por

La IA transcribe, pero la responsabilidad sigue siendo humana


La creciente adopción de herramientas de inteligencia artificial para transcribir reuniones, llamadas o conversaciones está transformando la forma en que las organizaciones gestionan la información. Agilidad, automatización y eficiencia son ventajas evidentes. Sin embargo, detrás de esa mejora operativa existe una cuestión que muchas empresas todavía no se han planteado: ¿quién responde cuando la tecnología se equivoca?


La reciente reflexión de la AEPD recuerda una idea esencial: utilizar IA para transcribir voz no implica trasladar la responsabilidad al proveedor tecnológico. La organización que decide implantar estas herramientas sigue siendo responsable del tratamiento y de sus consecuencias.


Cuando un error de transcripción deja de ser un error menor


Los errores pueden tener un impacto mucho mayor de lo que parece. Una transcripción puede atribuir una declaración a la persona equivocada, eliminar matices relevantes o registrar datos incorrectos. Un nombre mal identificado, un cargo erróneo o una frase sacada de contexto pueden afectar a la calidad de la información y, en determinados escenarios, generar riesgos jurídicos y de cumplimiento.


La cuestión no es si la tecnología falla—porque puede hacerlo—, sino si la organización ha previsto qué ocurrirá cuando suceda.


Transparencia, conservación y derechos: riesgos que suelen pasar desapercibidos


La transparencia también ocupa un papel central. Las personas deben conocer de forma clara cuándo su voz está siendo tratada mediante sistemas de IA, con qué finalidad y qué uso posterior puede darse a esa información.


Además, es necesario revisar aspectos que con frecuencia pasan desapercibidos: ¿las grabaciones se conservan más tiempo del necesario?, ¿los datos se utilizan para reentrenar modelos?, ¿existen mecanismos sencillos para rectificar errores o ejercer derechos?


La experiencia demuestra que muchas organizaciones incorporan soluciones de transcripción automática como una funcionalidad más dentro de plataformas colaborativas o herramientas de productividad, sin analizar realmente las implicaciones de privacidad y gobernanza que incorporan.


La verdadera pregunta: ¿ha revisado tu organización todo lo que debería?


Quizá la pregunta relevante ya no sea si utilizar o no estas herramientas. La cuestión es otra: ¿tu organización ha revisado realmente todo lo que debería revisar?


  • ¿Ha analizado el papel y las responsabilidades del proveedor?
  • ¿Existen protocolos para validar y corregir transcripciones erróneas?
  • ¿Se han definido periodos adecuados de conservación?
  • ¿Se informa correctamente a empleados, clientes o participantes?
  • ¿Se han evaluado los riesgos desde una perspectiva de privacidad y cumplimiento?

La inteligencia artificial puede aportar una enorme ventaja competitiva, pero la innovación sostenible exige algo más que implementar tecnología: requiere hacerlo con garantías.


Las organizaciones que obtendrán mayor valor de estas herramientas no serán necesariamente las que adopten más IA, sino aquellas que hayan dedicado tiempo a entender sus implicaciones y a implantarla con garantías.


Como siempre, cuidad los datos y ¡cuidaos!

XII Congreso Internacional de Privacidad e Inteligencia Artificial de APEP·IA

por

Los pasados 7 y 8 de mayo el equipo de Tecnolawyer asistió al XII Congreso Internacional de Privacidad e Inteligencia Artificial organizado por APEP·IA, un encuentro de referencia para profesionales del ámbito de la privacidad, la protección de datos y la gobernanza de la inteligencia artificial.


Durante las distintas sesiones y mesas de debate, el Congreso reunió a representantes institucionales, expertos jurídicos, académicos y compañías tecnológicas para analizar los retos que plantea la rápida evolución de la IA desde una perspectiva regulatoria, ética y operativa. A lo largo de las jornadas se abordaron cuestiones especialmente relevantes relacionadas con la aplicación práctica de la normativa de protección de datos, la gestión de riesgos, la transparencia de los sistemas de IA y la necesidad de avanzar hacia modelos de gobernanza responsables y sostenibles.


Uno de los aspectos más destacados del evento fue el enfoque práctico de muchas de las intervenciones, centradas en cómo las organizaciones pueden adaptarse al nuevo contexto tecnológico y regulatorio. La creciente integración de herramientas de inteligencia artificial en procesos empresariales y entornos laborales está generando nuevos desafíos en materia de privacidad, seguridad de la información y cumplimiento normativo, lo que exige una aproximación cada vez más transversal y estratégica.


El Congreso también puso de manifiesto el papel clave que está desempeñando Europa en la definición de estándares regulatorios en torno a la inteligencia artificial y la protección de datos. Los distintos debates reflejaron la importancia de encontrar un equilibrio entre innovación y garantía de derechos fundamentales, así como la necesidad de que empresas y profesionales se mantengan preparados ante un marco normativo en constante evolución.


Nuestra asistencia a este encuentro ha supuesto una excelente oportunidad para conocer de primera mano las tendencias y prioridades que marcarán el desarrollo de la IA en los próximos años, así como para compartir experiencias con otros profesionales del sector.


Desde nuestra firma, seguimos apostando por una visión de la innovación tecnológica alineada con el cumplimiento normativo, la protección de datos y la adopción responsable de soluciones de inteligencia artificial.


Agradecemos a APEP·IA la organización de un Congreso de gran nivel técnico y plenamente conectado con los desafíos actuales del entorno digital.


Como siempre, cuidad los datos y ¡cuidaos!

Píxeles en email marketing: el «invisible» que puede costarte 100.000 €

por

El email marketing sigue siendo una de las herramientas más rentables para las empresas. Pero hay un detalle técnico que muchas organizaciones utilizan sin cuestionarlo—y que ya está generando sanciones relevantes—: los píxeles de seguimiento.


Esos pequeños fragmentos de código que permiten saber si alguien abre un correo, cuándo lo hace o desde qué dispositivo. Útiles, sí. Inofensivos, no siempre.


La Agencia Española de Protección de Datos (AEPD) ya ha dejado claro el mensaje: no puedes rastrear sin permiso, aunque sí puedas enviar el email.


1. Recibir emails no significa aceptar ser monitorizado


Uno de los principales errores detectados es asumir que la aceptación de comunicaciones comerciales incluye, de forma implícita, el consentimiento para el seguimiento de la actividad del destinatario.


Desde el punto de vista normativo, esto no es correcto.


El uso de píxeles implica acceder al terminal del usuario para recabar información, lo que sitúa esta práctica dentro del ámbito del artículo 22.2 de la LSSI, en línea con el régimen aplicable a cookies y tecnologías similares.


Esto exige información previa clara y consentimiento específico, expreso y separado.


2. El píxel «invisible» no es neutro


Desde el punto de vista técnico, el píxel funciona como una orden al dispositivo del usuario para enviar información a un servidor externo.


Esto puede incluir:


  • si ha abierto el email,
  • a qué hora,
  • desde qué dispositivo,
  • e incluso patrones de comportamiento.

Cuando esta recogida se produce sin conocimiento del destinatario, puede vulnerar los principios de transparencia y lealtad establecidos en el RGPD.


3. Europa lo tiene claro: esto es como una cookie


El Comité Europeo de Protección de Datos ha equiparado el uso de píxeles a otras tecnologías de seguimiento, lo cual consolida la exigencia de consentimiento válido conforme a los estándares del Tribunal de Justicia de la Unión Europea.


Esto implica, entre otras cuestiones: exclusión de mecanismos basados en consentimiento tácito, invalidez de casillas premarcadas y necesidad de una acción afirmativa clara por parte del usuario.


Por lo tanto, el consentimiento debe ser claro, informado y verificable.


4. No es solo tu proveedor: la responsabilidad también es tuya


Otro punto crítico (y muy relevante a nivel comercial) es que muchas empresas utilizan herramientas de email marketing sin revisar qué hacen exactamente. Sin embargo, el hecho de que el tracking lo proporcione una plataforma externa no elimina tu responsabilidad.


Si se decide usar esas métricas, se definen sus parámetros o se obtienen beneficios de ellas, se está participando en el tratamiento de datos, por lo que eso te convierte en responsable (o corresponsable) del tratamiento.


Este aspecto resulta especialmente relevante en contextos de auditoría o inspección.


5. El precedente: 100.000 € por rastrear sin informar


La AEPD ya ha sancionado este tipo de prácticas en casos en los que no se informaba adecuadamente al usuario, no existía una base jurídica válida, y el tratamiento se realizaba de forma opaca.


En uno de sus últimos expedientes (PS/00328/2022), la sanción ha alcanzado la suma total de 100.000 €. En este sentido, la AEPD ha subrayado que la utilidad comercial de estas herramientas no justifica su uso sin garantías adecuadas. Esta sanción ha sido ratificada posteriormente en el recurso de reposición.


Conclusión: el problema no es medir, es cómo se hace


Medir resultados en marketing es necesario, pero hacerlo sin control puede salir caro.


El verdadero riesgo no está en usar tecnología de analítica, sino en hacerlo:


  • sin consentimiento adecuado,
  • sin transparencia,
  • y sin entender qué datos se están tratando realmente.

Aquí es donde muchas empresas fallan: no en la herramienta, sino en la configuración.


En un contexto de creciente exigencia regulatoria, resulta imprescindible que las organizaciones puedan responder con claridad a una cuestión básica: ¿qué datos se están recogiendo en nuestras campañas de email y bajo qué legitimación?


Cuando esta respuesta no está claramente definida, el riesgo deja de ser teórico y pasa a ser operativo.


Como siempre, cuidad los datos y ¡cuidaos!

De la IA al control biométrico: cuando la tecnología se pasa de frenada

por

En los últimos posts del blog hemos hablado mucho de inteligencia artificial: automatización, eficiencia, toma de decisiones… Pero hay otro fenómeno que avanza en paralelo y plantea retos igual de relevantes: el uso de tecnologías cada vez más intrusivas en el entorno laboral.


Porque no todo pasa por la IA. A veces, el problema está en algo más cotidiano: cómo controlamos el acceso o la actividad de los empleados.


La reciente sentencia de la Audiencia Nacional nº59/2026 lo deja claro: no todo lo técnicamente posible es jurídicamente válido, especialmente cuando hablamos de datos biométricos.


El caso: control excesivo para un problema menor


El asunto analizado parte de una medida que, en apariencia, buscaba mejorar la seguridad: utilizar sistemas de identificación biométrica (como la huella dactilar) para controlar el acceso de empleados a zonas como vestuarios o aseos.


El problema no fue la finalidad, sino el medio elegido.


La Audiencia Nacional concluye que la medida no superaba el análisis exigido en protección de datos:


  • no era necesaria,
  • no era proporcional,
  • y existían alternativas menos invasivas.

En otras palabras: se utilizó una solución desproporcionada para un problema que podía resolverse de forma más sencilla.


Datos biométricos: un nivel de exigencia más alto


No estamos ante datos cualquiera. Los datos biométricos—como la huella o el reconocimiento facial—tienen una protección reforzada en el RGPD.


¿Por qué? Porque permiten identificar de forma única a una persona y, además, son datos que no se pueden cambiar.


Esto implica que su uso debe ser excepcional y estar especialmente justificado. No basta con que sea útil o cómodo para la empresa.


El criterio clave: ¿de verdad no hay otra alternativa?


La sentencia pone el foco en una idea muy práctica que muchas organizaciones pasan por alto: antes de implantar una medida intrusiva, hay que preguntarse si existe otra menos invasiva.


En este caso, la respuesta era clara: sí, existían alternativas (tarjetas, códigos, controles físicos…). Y, cuando existen, el uso de biometría deja de estar justificado.


Más allá de la sanción: el riesgo real


Aunque, en este caso, la sanción económica se sustituyó por un apercibimiento, el mensaje es relevante. El problema no fue una mala intención, sino un mal diseño.


Y esto es clave para las empresas: muchos riesgos en protección de datos no vienen de decisiones deliberadas, sino de no analizar bien el impacto de las medidas que se implantan.


Además, el contexto agrava la situación: estamos hablando de espacios como vestuarios o zonas de descanso, en los cuales la expectativa de privacidad es mayor.


Conclusión: más tecnología no siempre es mejor control


La tecnología ofrece cada vez más posibilidades para controlar accesos, medir actividad o reforzar la seguridad. Pero eso no significa que todas deban utilizarse.


Igual que ocurre con la inteligencia artificial, la clave no está en lo que la tecnología permite hacer, sino en lo que es adecuado hacer en cada contexto.


Antes de implantar sistemas biométricos—o cualquier medida intensiva—conviene hacerse una pregunta sencilla: ¿estoy resolviendo el problema… o complicándolo innecesariamente?


Porque en protección de datos, elegir la herramienta más potente no siempre es la mejor decisión. A veces, es justo lo contrario.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la sentencia, haga clic aquí.

El error más común al usar IA en emails (y por qué puede costarte caro)

por

La inteligencia artificial se ha convertido en una aliada habitual para redactar emails: respuestas rápidas, textos más claros, mejor tono… Todo parece una mejora evidente en productividad.


Pero hay un error que se repite constantemente en empresas de todos los tamaños: copiar datos reales en el prompt para que la IA «mejore» el email.


Lo que parece un gesto inocente puede convertirse en una fuga de datos con implicaciones legales y reputacionales. La Agencia Española de Protección de Datos (AEPD), en sus recomendaciones sobre el uso de IA, insiste precisamente en este punto: el riesgo no está en la respuesta, sino en la información que se introduce.


El gesto más habitual (y más peligroso)


El escenario es muy común:


  • «Voy a mejorar este email a un cliente»
  • «Que lo haga más profesional»
  • «Que resuma este hilo»

Y para ello, se copia el contenido completo del correo en la herramienta de IA.


El problema es que ese contenido puede incluir:


  • datos personales de clientes o empleados,
  • información contractual,
  • datos financieros,
  • o incluso conversaciones sensibles.

En ese momento, esa información sale del entorno controlado de la empresa.


¿Qué ocurre realmente con esos datos?


No todas las herramientas de IA funcionan igual, pero la AEPD advierte de algo clave:
cuando se introduce información en estos sistemas, se puede perder el control sobre ella.


Dependiendo del proveedor, los datos pueden:


  • almacenarse temporalmente,
  • generar registros (logs),
  • o utilizarse para mejorar el servicio.

Esto no significa que siempre ocurra, pero sí que no se puede asumir que el dato desaparece tras obtener la respuesta.


El problema no es técnico, es de uso


Aquí está la clave: la mayoría de los riesgos no vienen de la tecnología, sino de cómo se utiliza.


El uso de IA en emails no es problemático por sí mismo. Lo problemático es introducir información que no debería salir del perímetro de la organización.


Por eso, la AEPD recomienda aplicar un principio básico: minimizar los datos que se introducen en herramientas de IA.


Cómo evitar el error (sin dejar de usar IA)


No se trata de dejar de usar estas herramientas, sino de usarlas mejor. Algunas buenas prácticas:


  • Evitar copiar datos reales: sustituir nombres, cifras o referencias por ejemplos ficticios.
  • Trabajar con plantillas: pedir a la IA estructuras o mejoras generales, no sobre casos reales.
  • Revisar condiciones del proveedor: entender qué ocurre con los datos introducidos.
  • Formar a los equipos: muchos errores vienen del desconocimiento, no de la mala fe.

El objetivo es claro: aprovechar la IA sin comprometer la información.


Conclusión: la productividad no puede ir por delante del control


La IA puede ayudarte a escribir mejores emails en menos tiempo. Pero ese beneficio no puede venir a costa de perder el control sobre los datos.


El error más común no es usar la herramienta, sino hacerlo sin criterio.


Porque en el día a día, una simple acción como «copiar y pegar» puede parecer insignificante…
hasta que deja de serlo.


Y, en protección de datos, ese momento suele llegar demasiado tarde.


Como siempre, cuidad los datos y ¡cuidaos!

¿Usas IA para contratar? Esto es lo que debes revisar antes de decidir

por

La inteligencia artificial ha llegado con fuerza a los procesos de selección: filtrado de CVs, análisis de candidatos, entrevistas automatizadas… La promesa es clara: más eficiencia, menos sesgos y decisiones más rápidas. 


Pero hay una pregunta que muchas organizaciones aún no se hacen: ¿estamos usando la IA en selección de forma legal y controlada? 


Recordemos que el Reglamento Europeo de Inteligencia Artificial (AI Act/RIA, Reglamento (UE) 2024/1689) introduce reglas muy claras, especialmente, cuando la IA afecta a decisiones laborales. 


Y aquí el nivel de exigencia sube. Ya introdujimos este tema en el blog (puedes releerlo aquí), pero hoy hablaremos del uso específico de la IA en procesos de selección. 


La IA en selección es «alto riesgo» (y no es una etiqueta menor) 


El RIA clasifica como sistemas de alto riesgo aquellos que se utilizan para: 


  • selección de candidatos,  
  • evaluación de CVs,  
  • toma de decisiones en contratación o promoción.  

Esto significa que no estamos ante una herramienta más, sino ante un sistema sujeto a obligaciones estrictas. 


¿Por qué? Porque estas decisiones tienen un impacto directo en la vida de las personas. 


No basta con que la herramienta funcione: hay que controlarla 


Uno de los mensajes clave del Reglamento es claro: usar IA no implica delegar la decisión. 


Las empresas deben garantizar: 


  • supervisión humana real 
  • comprensión del funcionamiento del sistema,  
  • y capacidad de intervenir o corregir decisiones.  

Es decir, la IA puede ayudar… pero no sustituir completamente el criterio humano. 


El riesgo invisible: sesgos y decisiones automatizadas 


Muchos sistemas de IA aprenden de datos históricos. Y ahí está el problema: 
si los datos están sesgados, la IA puede reproducir—o incluso amplificar—esos sesgos. 


En selección, esto puede traducirse en: 


  • discriminación indirecta,  
  • exclusión sistemática de ciertos perfiles,  
  • decisiones difíciles de explicar.  

El RIA obliga a las organizaciones a evaluar y mitigar estos riesgos, no a ignorarlos. 


Transparencia: el candidato debe saberlo 


Otro punto clave: si utilizas IA en procesos de selección, debes informarlo. 


Los candidatos tienen derecho a saber: 


  • que están siendo evaluados mediante sistemas automatizados, 
  • cómo influye eso en la decisión,  
  • y qué papel tiene la intervención humana.  

No es solo una cuestión legal, también lo es de confianza. 


Revisar el proceso, no solo la herramienta 


Un error habitual es centrarse únicamente en la tecnología: «¿la herramienta cumple?» 


Pero la pregunta correcta es otra: ¿cumple todo el proceso de selección? 


El riesgo no está solo en el software, sino en cómo se integra en la toma de decisiones. 


Esto implica revisar: 


  • cómo se usa la herramienta,  
  • quién toma la decisión final,  
  • y qué evidencias puedes aportar si alguien cuestiona el proceso.  

Conclusión: la IA no elimina la responsabilidad, la aumenta 


La inteligencia artificial puede mejorar los procesos de selección, pero también introduce nuevos riesgos. 


El RIA no prohíbe su uso, pero sí deja claro algo fundamental: quien decide sigue siendo responsable, aunque use IA. 


Por eso, más allá de la eficiencia, la clave está en el control. Porque en selección de personal, no solo importa elegir bien, sino que también importa poder demostrar que se ha hecho correctamente. 


Como siempre, cuidad los datos y ¡cuidaos! 

Copiar y pegar en IA generativa: el riesgo no es la respuesta, es el dato

por

Las herramientas de inteligencia artificial generativa se han convertido en un aliado cotidiano en el trabajo: resumir documentos, redactar correos o analizar información en segundos. El gesto es simple y cada vez más habitual: copiar un texto, pegarlo en una herramienta de IA y pedir un resultado.


Sin embargo, detrás de esa aparente inocuidad se esconde uno de los principales riesgos actuales en protección de datos y seguridad de la información. El problema no suele ser la respuesta que genera la IA, sino los datos que introducimos en ella.


La Agencia Española de Protección de Datos (AEPD) lo ha recordado recientemente en su Decálogo de recomendaciones para proteger la privacidad al usar inteligencia artificial, en el que advierte de los riesgos de compartir información sensible con este tipo de herramientas sin analizar previamente su impacto.


1. El origen de muchos incidentes: un simple «copiar y pegar»


Gran parte de los incidentes vinculados al llamado Shadow AI—uso de herramientas de IA fuera de los canales autorizados por la organización—comienzan con una acción aparentemente trivial.


Un empleado necesita ayuda para revisar un texto, resumir un contrato o entender un informe. Copia el contenido y lo pega en una herramienta de IA generativa para obtener una respuesta rápida. En ese momento, sin ser plenamente consciente, puede estar introduciendo en un sistema externo información confidencial, datos personales o información estratégica de la empresa.


Según la AEPD, antes de utilizar estas herramientas es fundamental evaluar qué tipo de información se está compartiendo y si el servicio garantiza un uso adecuado de los datos.


2. La pérdida de control del dato


Cuando se introduce información en una herramienta de IA generativa, el usuario puede perder visibilidad sobre cómo se gestiona ese contenido. Dependiendo del proveedor y de su configuración, los datos pueden:


  • Almacenarse temporalmente o durante más tiempo del esperado.
  • Utilizarse para mejorar o entrenar modelos.
  • Generar registros de uso o metadatos.
  • Procesarse en infraestructuras ubicadas fuera del Espacio Económico Europeo.

Esto no significa que todas las herramientas utilicen los datos con esos fines, pero sí que el control sobre la información puede diluirse si no se analizan previamente las condiciones de uso del servicio.


Por ello, la AEPD insiste en que el uso responsable de la IA implica conocer qué ocurre con los datos introducidos y qué garantías ofrece el proveedor.


3. Una lista breve de lo que nunca debería salir del perímetro


Para reducir riesgos, una buena práctica consiste en establecer reglas claras sobre qué tipo de información no debe introducirse en herramientas de IA generativa. Entre los ejemplos más habituales se encuentran:


  • Datos personales de clientes o empleados.
  • Documentos contractuales confidenciales.
  • Información financiera o estratégica de la empresa.
  • Credenciales, claves o información de acceso a sistemas.
  • Bases de datos internas o listados de clientes.

Este tipo de información forma parte del perímetro de seguridad de la organización, y su exposición en plataformas externas puede generar riesgos legales, reputacionales o de seguridad.


Conclusión: el problema no es usar IA, sino cómo se usa


La inteligencia artificial generativa puede aportar grandes beneficios en términos de productividad e innovación. El reto está en utilizarla con criterios claros de gobernanza del dato.


El mayor riesgo no suele ser la respuesta que produce la herramienta, sino el contenido que se introduce en ella sin una evaluación previa. Por eso, las organizaciones necesitan políticas internas, formación y criterios claros sobre el uso de estas tecnologías.


Porque en la era de la IA generativa, la pregunta clave ya no es si usamos estas herramientas, sino qué información estamos dispuestos a compartir con ellas.


 


Como siempre, cuidad los datos y ¡cuidaos!

Subcontratación en cadena y RGPD: 15.000 € por olvidar que el control no se delega

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio. 


Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD. 


Los hechos: una cadena de subencargos sin control efectivo 


ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado. 


A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico: 


  • No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado. 

  • Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO. 

  • Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD. 

La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable. 


Artículo 28.2 RGPD: la autorización no es un formalismo 


El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable. 


En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO. 


La AEPD aprecia dos infracciones del artículo 28.2 RGPD: 


  • Subencargar sin autorización previa y por escrito. 

  • No informar al responsable sobre cambios en la cadena de subcontratación. 

El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento. 


Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado 


La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado. 


Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico. 


La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable. 


La sanción: tres infracciones, 15.000 euros 


Finalmente, la AEPD impone: 


  • 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD). 

  • 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD). 

  • 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 


Conclusión: la responsabilidad en cadena también es responsabilidad jurídica 


Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento. 


Para responsables y encargados, la lección es evidente: 


  • Identificar y documentar todos los subencargados. 

  • Exigir autorización previa cuando así se establezca. 

  • Formalizar contratos plenamente alineados con el RGPD. 

  • Mantener trazabilidad y control real sobre la cadena de proveedores. 

En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica. 


Como siempre, cuidad los datos y ¡cuidaos! 


Para leer la resolución, haga clic aquí. 

El verdadero precio de las caricaturas creadas con IA: cuando el producto eres tú

por

Una tendencia viral que parece inofensiva 


En las últimas semanas, muchas personas han pedido a ChatGPT la generación de una caricatura que les represente y, especialmente, su profesión. El resultado: imágenes divertidas, virales y perfectamente diseñadas para circular en redes sociales. A simple vista, parece un juego inocente.  


Sin embargo, detrás de esta tendencia se esconde una realidad mucho más compleja que merece una reflexión pausada, especialmente desde el punto de vista de la protección de datos y la estrategia digital. 


Qué datos estamos entregando realmente 


Al subir una fotografía personal a una plataforma de IA, no se comparte únicamente una imagen. Se están entregando datos biométricos, considerados por el Reglamento General de Protección de Datos (RGPD) como una categoría especial de datos personales. A esto se suma el contexto que rodea a la imagen: profesión, intereses, entorno social o red de contactos, especialmente cuando la caricatura se comparte en perfiles profesionales. 


Además, las imágenes contienen metadatos que pueden revelar información sobre el dispositivo utilizado, la ubicación aproximada o el momento en que fue tomada la fotografía. El valor del conjunto no está en un dato aislado, sino en su capacidad de ser correlacionado. 


El verdadero mecanismo: ego, validación y marketing 


OpenAI—como muchas otras empresas tecnológicas—no ha necesitado pedir explícitamente estos datos. Los usuarios los han entregado voluntariamente, impulsados por un mecanismo muy bien conocido en el marketing digital: la validación socialLikes, comentarios y visibilidad funcionan como una pirámide de dopamina perfectamente diseñada. La estrategia no consiste en pedir datos, sino en lograr que los usuarios los entreguen con entusiasmo. 


Este enfoque elimina la fricción legal y emocional. No hay sensación de cesión de datos, sino de participación en una experiencia compartida. Desde el punto de vista estratégico, es una jugada especialmente eficaz. 


Entrenamiento de modelos y riesgos emergentes 


Cada caricatura generada contribuye al entrenamiento de modelos de inteligencia artificial cada vez más precisos para asociar rostros con contextos específicos. Hoy se utiliza para crear ilustraciones; mañana, para generar deepfakes hiperpersonalizados, suplantaciones de identidad o fraudes en entornos profesionales, como videollamadas o procesos de verificación. 


No hablamos de un escenario hipotético. Estos riesgos ya existen y están siendo explotados, lo que plantea desafíos relevantes en materia de ciberseguridad, protección de datos y responsabilidad empresarial. 


Datos: el verdadero activo en la economía de la IA 


La pregunta incómoda es evidente: ¿por qué una empresa con una valoración de cientos de miles de millones necesita que millones de personas entreguen gratuitamente su imagen y su contexto profesional? Porque, en la economía digital, los datos son el activo estratégico por excelencia. 


En este modelo, el producto visible—la caricatura—es solo el anzuelo. El verdadero valor reside en la información que permite mejorar algoritmos, crear nuevas aplicaciones y consolidar ventajas competitivas. 


Conclusión: de usuarios pasivos a decisiones informadas 


La inteligencia artificial no es el problema. El problema es la falta de conciencia sobre el valor de los datos personales y el impacto de su uso masivo. En la era de la IA, el verdadero producto rara vez es el servicio gratuito que se ofrece, sino las personas que lo utilizan. 


Como profesionales, empresas y ciudadanos digitales, el reto no es dejar de participar en tendencias, sino entender qué estamos entregando y con qué consecuencias. La próxima vez que una moda viral nos invite a «jugar», conviene hacerse una pregunta clave: ¿estoy ganando solo una imagen… o estoy pagando con algo mucho más valioso? 


Como siempre, cuidad los datos y ¡cuidaos! 

Revisión Textos Legales Web