Primera jornada del curso ‘Innovación y privacidad’ en la UIMP: el papel clave de los DPD, el desafío normativo y la perspectiva de las autoridades de supervisión y control

(9 de julio de 2025). La Agencia Española de Protección de Datos (AEPD) ha inaugurado hoy en Santander el curso ‘Innovación y privacidad en inteligencia artificial y espacios de datos’. La primera de las jornadas, centrada en la Inteligencia Artificial, ha contado con la participación de expertos del ámbito institucional, jurídico y tecnológico, que han abordado desde sus respectivos ámbitos de actuación la compatibilidad de la innovación con los derechos fundamentales de las personas.

La primera jornada del curso ha puesto de manifiesto que el despliegue de la IA no puede hacerse sin una reflexión sobre su impacto. Tanto las autoridades como los expertos han coincidido en que la regulación no debe verse como un obstáculo, sino como una herramienta para garantizar una transformación digital inclusiva y con garantías.

La jornada ha comenzado con la inauguración del presidente de la AEPD, Lorenzo Cotino, que ha destacado que la Agencia va a trabajar para que los tratamientos de datos personales con IA se realicen con todas las garantías; la necesidad de la Agencia de contar con más medios humanos para hacer frente a los nuevos retos normativos y tecnológicos, y la futura creación del Laboratorio de Privacidad, un espacio de cooperación con universidades, centros de investigación y profesionales del ámbito de la protección de datos, con los que ha anunciado que se colaborará para elaborar recursos de ayuda al cumplimiento (acceso a la nota de prensa completa).

La primera mesa redonda ha abordado la implicación creciente de los profesionales de la privacidad y delegados de protección de datos (DPD). Esmeralda Saracíbar, del Comité Operativo del DPI/ISMS Forum, ha señalado que el Reglamento de Inteligencia Artificial (RIA) está empujando a las organizaciones a redefinir sus modelos de cumplimiento, en los que el DPD está adquiriendo un protagonismo creciente. Esta figura se está convirtiendo en el referente para asumir funciones relacionadas con el cumplimiento del RIA, así como de otras normativas europeas conexas (DA, DGA, DSA, DMA, DORA, NIS2), con pilares y aspectos en común como la creación de autoridades de control y supervisión, el enfoque basado en riesgos, el sustento en principios, la gestión de incidentes, la diligencia debida y el control de la cadena de suministro. Saracíbar ha subrayado que la función del DPD debe seguir evolucionando para continuar aportando valor a las organizaciones, tanto en el cumplimiento de las obligaciones aún pendientes del RIA como en la automatización de procesos mediante el uso de herramientas inteligentes que mitiguen riesgos y maximicen el gobierno de los datos.

María Loza Corera, del Club del DPD de la Asociación Española para la Calidad, ha coincidido en la importancia del papel estratégico y esencial de los profesionales de la privacidad, además de obligatorio cuando los sistemas de IA traten datos personales, en la implementación de la gobernanza de la IA en una organización, destacando que cuentan con conocimientos y habilidades específicas fruto de la experiencia en la implementación del Reglamento General de Protección de Datos. Durante su intervención ha destacado cómo ha evolucionado la figura del DPD de forma proactiva, más allá del contenido legal de sus funciones y cómo, con la irrupción de la IA, el profesional de la privacidad es plenamente consciente de que debe conocer la tecnología y formarse, no sólo para asesorar y ser capaz de interpretar correctamente la normativa, sino como usuario de herramientas que le van a ayudar en su día a día.

El presidente de la Asociación Profesional Española de Privacidad (APEP), Marcos Judel, ha reforzado esta visión abordando el papel que deben asumir los profesionales de la privacidad y los DPD en la gobernanza de la inteligencia artificial como perfiles con formación, experiencia y visión transversal dentro de las organizaciones, e insistiendo en la necesidad urgente de reforzar la formación técnica y jurídica para afrontar con garantías los retos que plantea el nuevo marco normativo europeo. También ha destacado la importancia de desarrollar metodologías de evaluación, colaborar con otros departamentos y perfiles y participar desde el diseño en proyectos que impliquen IA con el objetivo de consolidar un enfoque práctico que permita compatibilizar la innovación tecnológica con el respeto efectivo a los derechos fundamentales.

Tras la finalización de la mesa redonda, la subdirectora general de Inspección de la Agencia, Olga Pérez Sanjuán, ha ofrecido una ponencia en la que ha abordado la evolución de los procedimientos de la Agencia en un entorno profundamente transformado por la digitalización. Pérez Sanjuán ha destacado que el uso masivo de datos personales por parte de plataformas tecnológicas, el crecimiento del Internet de las Cosas, la convergencia entre biotecnología, robótica y neurodatos o el desarrollo de sistemas de IA están desafiando los límites tradicionales de la regulación. Asimismo, la subdirectora ha ofrecido datos actualizados y ejemplos sobre procedimientos correctivos  de la AEPD.

A continuación se ha celebrado la segunda de las mesas redondas de la jornada. Con el título ‘IA y tecnologías disruptivas desde la perspectiva de las autoridades de supervisión y protección de datos: iniciativas y atribuciones’, en la que han intervenido distintas autoridades moderadas por el presidente de la AEPD.

El director general de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), Ignasi Belda, ha subrayado la relevancia del Reglamento Europeo de Inteligencia Artificial, centrado en proteger a los consumidores de los riesgos asociados con esta tecnología. Belda ha explicado que el objetivo es garantizar que los avances se realicen de manera segura y ética, minimizando los posibles daños a la ciudadanía. A continuación, ha realizado un repaso por cómo se clasifica la IA en el Reglamento en función de los riesgos y las competencias de la AESIA.

La directora de la Autoritat Catalana de Protecció de Dades, Meritxell Borràs, ha hablado de los "beneficios inagotables" de la inteligencia artificial y ha apostado por aprovecharlos al máximo, garantizando al mismo tiempo que se desarrolle de manera sostenible en el tiempo, en cuanto a los derechos y desde un punto de vista medioambiental. Borràs ha puesto en valor el impulso que está cogiendo el modelo FRIA catalán como referente para llevar a cabo evaluaciones de impacto en derechos fundamentales de sistemas de IA, una obligación del RIA en los casos en que se detecte un riesgo elevado para las personas. "Estamos en un momento histórico en el que las decisiones que tomemos hoy deben orientar la forma de la nueva sociedad que está surgiendo en torno a la tecnología y los datos", ha concluido.

El director del Consejo de Transparencia y Protección de Datos de Andalucía, Jesús Jiménez López, ha centrado su intervención en la nueva herramienta diseñada por el Consejo para ayudar a las administraciones públicas a implementar sistemas de IA de manera responsable y conforme a la normativa de protección de datos. "Se trata de una iniciativa que surge de la necesidad detectada durante las labores de supervisión del órgano de control", ha explicado Jiménez. La metodología desarrollada funciona como una guía paso a paso que acompaña a los responsables públicos desde la concepción inicial del proyecto hasta su puesta en funcionamiento, adaptándose al tipo y complejidad de cada proyecto y procediendo en función del riesgo real, es decir, a mayor impacto potencial, mayor nivel de supervisión, y viceversa.

Por su parte, el director de la Autoridad Vasca de Protección de Datos, Unai Aberasturi, ha destacado que las autoridades de control no tienen el objetivo de frenar el desarrollo tecnológico sino garantizar un uso responsable de la IA. Aberasturi, que ha insistido en la importancia de la transparencia para que tanto las autoridades como la ciudadanía tengan conocimiento de las herramientas que se están utilizando en el sector público, ha añadido varios retos. Entre ellos, ha destacado la importancia de la formación interna; la relevancia de la sensibilización y concienciación tanto de la ciudadanía como de las administraciones; la necesidad de que la AVPD realice una labor de acompañamiento al sector público vasco en la implantación y utilización de la IA; la necesidad de cooperación entre autoridades para adoptar criterios comunes y afrontar este proceso subrayando la importancia de realizar una catalogación adecuada y rigurosa del riesgo y aplicando siempre, en todo el proceso de implantación y uso de la IA, el principio de proporcionalidad.

Durante la jornada de tarde se ha continuado abordando el uso seguro de la IA por el sector público y la perspectiva de la autoridad portuguesa con las conferencias de la presidenta de la Comisión Nacional de Protección de Datos de Portugal (CNPD), Paula Meira,  y Juan Gustavo Corvalán, de la Universidad Buenos Aires, IALAB, Argentina.

Meira se ha centrado en la importancia de la protección de datos y la implementación ética de la IA, haciendo referencia a la guía Uso seguro de la IA por el sector público recientemente lanzada por la CNPD. Esta guía recoge principios como la transparencia, la robustez o la equidad. Asimismo, la presidenta la CNPD ha hecho referencia al trabajo de la autoridad, incluyendo la evaluación de sistemas de reconocimiento facial para el control de acceso en eventos deportivos y la evaluación remota de estudiantes, subrayando la importancia de la minimización de datos y la proporcionalidad.

Por su parte, Corvalán ha abordado desde diferentes proyectos prácticos cómo la IA en el sector público requiere una gestión de datos responsable y transparente, enfatizando que es esencial desarrollar sistemas de anonimización robustos y configurables según necesidades específicas para garantizar la privacidad y la transparencia. Corvalán destacó la importancia de adoptar estrategias basadas en el conocimiento técnico, el tipo de impacto de la IA y el proceso y las tareas.

El curso continuará en los próximos días con sesiones dedicadas a los espacios europeos de datos, la identidad digital, la protección de los neurodatos y la vulnerabilidad digital, ofreciendo una visión integral de los principales vectores de cambio en el ecosistema tecnológico actual.