Durante dos días, Madrid se convirtió en el punto de encuentro nacional del debate sobre privacidad e inteligencia artificial con la celebración del XII Congreso Internacional de Privacidad e Inteligencia Artificial, organizado por la Asociación Profesional Española de Privacidad e Inteligencia Artificial (APEP·IA). Bajo el lema "Gobierno y gestión de la IA y protección de datos. Del cumplimiento a la innovación tecnológica", el congreso reunió a más de 400 profesionales del sector en torno a una premisa clara: aprovechar el potencial transformador de la tecnología de forma ética, segura y responsable.
La jornada inaugural contó con la participación de Lorenzo Cotino Hueso, Presidente de la Agencia Española de Protección de Datos (AEPD), y Luis Bermúdez Odriozola, Secretario General de Mutua Madrileña, junto a Miguel Recio, presidente de APEP·IA, que situaron el congreso en el contexto de una transformación sin precedentes para el sector.
Tecnología proactiva
El pulso normativo dominó buena parte de la primera jornada. Cotino Hueso, en su conferencia inaugural, abordó los retos específicos que plantea la IA agéntica -sistemas capaces de actuar de forma autónoma- desde la perspectiva de la protección de datos, defendiendo un enfoque garantista que no renuncie a la innovación responsable: "Ya no estamos ante un simple instrumento, sino ante una tecnología proactiva que toma iniciativas. Lo que proyectábamos a 30, 40 o 50 años ya es inminente, y frente a peligros exponenciales solo hay una respuesta: gobernanza, gobernanza y gobernanza."
Beatriz de Anchorena, Chair del Consejo Consultivo del Convenio 108+ del Consejo de Europa, reivindicó este instrumento como referente global en materia de privacidad y situó el debate en el terreno de la responsabilidad institucional frente al avance de la IA. Esa misma idea de construcción normativa y adaptación regulatoria atravesó la intervención de Aleida Alcaide García, Directora General de Inteligencia Artificial del Ministerio para la Transformación Digital y de la Función Pública, que detalló el estado de aplicación del Reglamento de IA en España y avanzó elementos clave del Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial , que iniciará próximamente su tramitación parlamentaria y que introduce dos novedades relevantes para la Administración General del Estado: el inventario de sistemas de IA y la figura del delegado de inteligencia artificial, inspirada en el ya consolidado delegado de protección de datos.
En este escenario de evolución regulatoria, la sesión sirvió también para avanzar algunos de los aspectos del acuerdo alcanzado en el trílogo sobre el paquete Ómnibus de IA, que introduce novedades relevantes, a propuesta española, incorporados sistemas prohibidos a) aquellos capaces de generar o manipular imágenes, vídeos o audios realistas (‘deepfakes’) de partes íntimas o que identifiquen a personas en actividades sexuales sin consentimiento expreso del afectado, y b) aquellos capaces de generar o manipular pornografía infantil. La reforma incluye también la actualización de los plazos de aplicación y la simplificación del registro para sistemas que no sean considerados de alto riesgo.
La dimensión europea del debate se enriqueció con la participación de las asociaciones de privacidad de Francia e Italia -AFCDP y ASSO DPO-, que trasladaron las implicaciones de los paquetes Ómnibus para la práctica diaria de los profesionales del sector, con el foco en la redefinición del concepto de dato personal, las novedades relativas a la notificación de brechas de seguridad o el alcance del derecho de acceso apoyándose en los resultados del CEDPO Omnibus Survey.
El reto regulatorio
La segunda parte del programa puso el foco en la aplicación práctica de la IA dentro de las organizaciones, con un mensaje que se repitió en distintas mesas y desde distintos ángulos: el verdadero reto no es regulatorio, sino cultural y organizativo.
Andrea Simándi, Assistant General Counsel de Microsoft, reflexionó sobre cómo construir confianza digital en Europa en un momento marcado por la rápida evolución tecnológica y las tensiones geopolíticas, articulando su intervención en torno a los cinco Compromisos Digitales Europeos de la compañía: inversión en el ecosistema europeo de IA y cloud, resiliencia digital, protección de la privacidad, ciberseguridad e impulso a la competitividad,
Ana Regidor, Head of Privacy Regulatory de Amadeus, llevó precisamente la competitivdad al terreno concreto con un modelo de gobernanza construido sobre tres ejes: cumplimiento regulatorio, integración de la IA en productos para clientes y aceleración interna, y advirtió: "El cumplimiento es solo una de las patas: nos quedamos cortos si nos limitamos a eso. La verdadera transformación va mucho más allá."
La gobernanza de datos centró también la mesa protagonizada por Ángela Manceñido Fernández, de KPMG, y Pablo Díaz Ortiz, DPO de CaixaBank. El diagnóstico fue preciso: alinear la gestión del riesgo con los objetivos de negocio exige coordinación real entre áreas jurídicas, tecnológicas, de privacidad y negocio, una coordinación que, reconocieron, sigue siendo una asignatura pendiente en muchas organizaciones.
En su intervención, Cecilia Alvarez, Data and Privacy Policy Director de Meta, destacó que la UE “ha construido un marco regulatorio digital complejo y a veces incoherente que puede suponer un freno a sus propias aspiraciones de empleo, competitividad y progreso social. El Digital Omnibus, ofrece una oportunidad para recuperar el equilibrio que consagra la Carta de Derechos Fundamentales: proteger a la persona en su conjunto -intimidad, libertad de empresa, educación, salud, etc.- en lugar de perpetuar interpretaciones maximalistas que elevan un único derecho a categoría absoluta y utilizan el RGPD como respuesta a todo problema digital. Innovación con protección es posible cuando la regulación es proporcionada y predecible, y cuando los reguladores apoyan la innovación contribuyendo a que la UE genere riqueza en el marco de los derechos fundamentales."
Esa misma tensión entre cumplimiento e innovación recorrió la mesa con participantes del Grupo Mutua Madrileña, la Secretaría de Estado de Digitalización e Inteligencia Artificial y TrustWorks. Su conclusión desmontó uno de los lugares comunes del sector: los principales frenos a la innovación no son regulatorios, sino culturales y organizativos. Una IA bien diseñada, coincidieron, no solo es compatible con la protección de datos, sino que puede contribuir a reforzarla.
El rol del DPO
La figura del delegado de protección de datos centró también un debate propio. En un entorno cada vez más condicionado por la inteligencia artificial, los participantes coincidieron en que la función del DPO atraviesa un momento de redefinición: el reto consiste en evolucionar hacia modelos de supervisión capaces de garantizar el cumplimiento normativo sin convertirse en un freno para la adopción responsable de la IA dentro de las organizaciones. Una idea que el congreso elevó a conclusión general: el delegado de protección de datos no es una figura de control, sino un actor estratégico e insustituible en el camino hacia una innovación sostenible.
El congreso reservó también espacio para los retos que plantea la IA en las Administraciones Públicas y en el ámbito laboral. Las autoridades de protección de datos del País Vasco, Cataluña y Andalucía, así como la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, coincidieron en tres imperativos para las administraciones: transparencia y explicabilidad de los sistemas de IA, evaluación rigurosa del riesgo antes de su implantación, e incertidumbre jurídica derivada de un marco normativo todavía en construcción.
El mundo del trabajo aportó otra perspectiva igualmente urgente. Expertos en derecho laboral debatieron sobre discriminación algorítmica, biometría, neurodatos y los riesgos de las herramientas de IA no autorizadas en las empresas, con una conclusión compartida: la IA en la gestión del talento debe desplegarse de forma justa, transparente y respetuosa con los derechos fundamentales.
El congreso cerró con una mesa sobre transferencias internacionales de datos y usos de IA, que abordó los modelos de garantía disponibles cuando intervienen sistemas de inteligencia artificial y las implicaciones del lugar de ejecución de los modelos. Un cierre apropiado para dos jornadas que dejaron una certeza: la gobernanza de la IA no es una opción, sino la condición para una innovación sostenible.
Una comunidad que lidera la transformación
Esta XII edición ha reafirmado el papel de APEP·IA como principal punto de encuentro para los profesionales de la privacidad y la inteligencia artificial en España. En palabras de su presidente, Miguel Recio “APEP·IA está preparada y comprometida con liderar una nueva etapa en la que privacidad e inteligencia artificial avancen juntas, con el delegado de protección de datos como figura clave para convertir el cumplimiento en confianza, gobernanza e innovación responsable”.
