La Red Iberoamericana actualiza el marco común de privacidad con especial atención a los neurodatos, la IA y las decisiones automatizadas

12 de Junio de 2026

La Red Iberoamericana de Protección de Datos (RIPD), con el impulso de la AEPD, ha aprobado por unanimidad una nueva versión de los Estándares Iberoamericanos, que refuerzan las garantías frente a los riesgos de las tecnologías emergentes
La actualización incorpora avances sobre inteligencia artificial, decisiones automatizadas, prevención de sesgos, gobernanza algorítmica, calidad de datos, neurodatos y protección reforzada de menores
Tras esta aprobación, los nuevos Estándares serán remitidos a la SEGIB para su posible adopción en el marco de la próxima Cumbre Iberoamericana de Jefes de Estado y de Gobierno, prevista para los días 4 y 5 de noviembre en Madrid

(15 de junio de 2026). La Red Iberoamericana de Protección de Datos (RIPD), foro en el que la Agencia Española de Protección de Datos (AEPD) ostenta la secretaría permanente, ha aprobado por unanimidaduna nueva versión de los Estándares de Protección de Datos para los Estados Iberoamericanos, un instrumento para contribuir a la modernización de las legislaciones nacionales de protección de datos, impulsar reglas comunes en la región y favorecer la cooperación entre autoridades.

Los nuevos Estándares, aprobados durante el Encuentro de la RIPD celebrado en Cartagena de Indias (Colombia) con el impulso de la Agencia, la participación de las autoridades iberoamericanas de protección de datos y el apoyo de la Secretaría General Iberoamericana (SEGIB), actualizan el marco regional de protección de datos para responder a los desafíos derivados de la transformación digital.

Esta actualización de los Estándares de 2017 se adapta a los retos actuales: la inteligencia artificial, las decisiones automatizadas, la biometría, los neurodatos, la protección de la infancia y la adolescencia en entornos digitales, la gobernanza algorítmica y la calidad de los datos utilizados por sistemas automatizados.

Los nuevos Estándares reflejan un cambio de paradigma. La protección de datos deja de concebirse únicamente como una regulación del uso de información personal y pasa a integrarse en un modelo más amplio de gobernanza digital, orientado a garantizar que la innovación tecnológica se desarrolle con respeto a la dignidad, la autonomía personal, la igualdad y los derechos fundamentales.

Tras esta aprobación, los nuevos Estándares serán remitidos a la SEGIB para su posible adopción en el marco de la próxima Cumbre Iberoamericana de Jefes de Estado y de Gobierno, prevista para los días 4 y 5 de noviembre en Madrid.

Neurodatos y tratamientos de alto riesgo

El texto incorpora por primera vez referencias específicas a los neurodatos dentro de las categorías especiales de datos sensibles. El texto define los neurodatos como aquellos relacionados con el funcionamiento, la actividad o la estructura del cerebro humano que permitan identificar o hacer identificable a una persona o inferir información relativa a su fisiología, salud o estados mentales.

Los Estándares establecen que el tratamiento de neurodatos deberá ser objeto de medidas especiales de responsabilidad reforzada y que deberá prestarse especial atención al cumplimiento de principios como la minimización, la exactitud, la transparencia, la seguridad y la responsabilidad proactiva.

Además, el documento identifica como tratamientos de alto riesgo aquellos destinados a inferir estados mentales o convicciones íntimas, modificar indebidamente la voluntad o el comportamiento de las personas, realizar vigilancia masiva en contextos laborales, educativos o gubernamentales o identificar personas mediante patrones neuronales.

Los Estándares señalan expresamente que este tipo de tratamientos podrían ser objeto de prohibiciones en las legislaciones de los Estados iberoamericanos.

Inteligencia artificial, decisiones automatizadas y derechos

El texto incorpora referencias a los tratamientos automatizados y a los sistemas de IA. Entre otras cuestiones, el texto promueve mecanismos de gobernanza algorítmica, trazabilidad, supervisión humana efectiva, evaluación continua de riesgos y auditoría periódica de sistemas automatizados y de inteligencia artificial.

Los Estándares refuerzan de forma significativa el principio de calidad y su proyección al ámbito de la IA. En sistemas automatizados o de inteligencia artificial, la calidad ya no se limita a que los datos sean exactos o estén actualizados. También exige valorar su representatividad, pertinencia, integridad y fiabilidad durante todo el ciclo de vida del sistema, incluidos los datos de entrenamiento, validación, prueba, ajuste y funcionamiento. Este avance es esencial para prevenir sesgos, inferencias erróneas, discriminación algorítmica o resultados desproporcionados o engañosos.

Uno de los cambios más relevantes es la evolución desde la idea clásica de decisiones “exclusivamente automatizadas” hacia decisiones “exclusiva o esencialmente automatizadas”. Este matiz reconoce que muchos sistemas actuales incorporan intervención humana solo de forma aparente o residual. Por ello, los Estándares exigen una intervención humana calificada, significativa y efectiva, con capacidad real para comprender el sistema, evaluar críticamente sus resultados y apartarse de ellos.

Asimismo, se refuerza el derecho de las personas a no ser objeto de decisiones basadas exclusiva o esencialmente en tratamientos automatizados cuando produzcan efectos jurídicos o impactos significativos. En estos casos, las personas tendrán derecho a obtener intervención humana, así como información clara sobre la lógica aplicada y los criterios principales utilizados en la decisión automatizada.

Además, el texto establece referencias específicas a evaluaciones de impacto vinculadas a tecnologías disruptivas, sistemas de IA, biometría, sistemas predictivos y neurotecnologías, especialmente cuando puedan implicar un alto riesgo para los derechos y libertades de las personas.

Protección reforzada para la infancia y adolescencia

La nueva versión de los Estándares fortalece las garantías específicas para la protección de la infancia y adolescencia en el entorno digital. El texto establece que el tratamiento de datos personales de menores deberá regirse por el principio del interés superior del niño/a, así como por criterios de autonomía progresiva y protección integral.

Los Estándares prevén además que el tratamiento de datos personales de menores sea objeto de medidas especiales de responsabilidad reforzada. Entre las medidas que se mencionan expresamente figuran las configuraciones de protección por defecto, las limitaciones de acceso, las restricciones a perfiles y publicidad comportamental, la verificación efectiva de edad y herramientas para bloquear, silenciar y controlar grupos.

Un marco regional para fortalecer la protección de datos

El texto también aborda el papel de las autoridades de control, subrayando la necesidad de que actúen con autonomía e independencia y cuenten con recursos suficientes para el ejercicio efectivo de sus funciones.

Con esta actualización, la Red Iberoamericana de Protección de Datos consolida un marco regional orientado a fortalecer la protección de los derechos fundamentales en un contexto de acelerada transformación tecnológica y creciente circulación internacional de datos.