Los principales retos se centran en estructurar el modelo de gobierno de la IA y avanzar en la automatización de la función del DPO mediante el uso de tecnología e inteligencia artificial.

Más de 450 profesionales acudieron al XVIII Foro de la Privacidad, organizado por el Data Privacy Institute e ISMS Forum, que reunió a ponentes como Lorenzo Cotino, presidente de la AEPD; Jan Ellerman, Senior Specialist de la Data Protection Function de Europol; José Luis Piñar, catedrático de Derecho Administrativo y presidente de la Sección de Derecho Público de la Comisión General de Codificación; Moisés Barrio, letrado del Consejo de Estado; y F. Javier Sempere, letrado y delegado de Protección de Datos del Consejo General del Poder Judicial, entre otros, para abordar distintos debates sobre la IA y su impacto en la protección de datos.

La gestión de las brechas de seguridad sigue siendo la principal preocupación de los Delegados de Protección de Datos, junto con el régimen sancionador. Así lo refleja la Séptima Edición del Estudio sobre el Nivel de Madurez en la Aplicación del Reglamento General de Protección de Datos, que constata un incremento de brechas, reclamaciones y análisis de riesgos. El 60 % de las organizaciones cuenta ya con sistemas definidos, documentados e implementados, lo que evidencia un avance hacia modelos más estructurados y automatizados de gobernanza. El estudio pone de relieve, no obstante, que este progreso se produce en un entorno cada vez más exigente. Aunque la función del DPO ha ganado peso en la toma de decisiones y su profesionalización es evidente, persisten carencias estructurales, especialmente en recursos, gestión de transferencias internacionales y supervisión de terceros.

Asimismo, la convergencia del RGPD con la DORA y la NIS2 obliga a los DPOs a integrar riesgos tecnológicos que no pueden abordarse exclusivamente desde el ámbito jurídico, sino mediante modelos de gobernanza más amplios que integren privacidad, riesgos, tecnología y cumplimiento. En este contexto, la comunidad del DPI plantea como conclusión la necesidad de reforzar la preparación operativa mediante ejercicios de simulación que permitan gestionar de forma más eficaz las brechas de seguridad y consolidar un enfoque preventivo. El reto para 2026 pasa por transformar la madurez formal en madurez efectiva, anticipar riesgos digitales con mayor amplitud y reforzar la capacidad de respuesta de las organizaciones.

El informe fue presentado durante el evento en una mesa redonda moderada por Carlos Saiz, Partner and Head of Privacy, Risk & Compliance de Ecix Tech; director del DPI y vicepresidente de ISMS Forum, y en la que participaron Roberto Baratta, Director of Loss Prevention, Business Continuity and Security y DPO de Abanca y presidente de ISMS Forum; Víctor Antunes, Legal & Compliance en Nationale-Nederlanden; Edison Hernández, DPO de WiZink; y Carla Garde, DPO de Sacyr. Según señalaron, principales retos se centran en estructurar el modelo de gobierno de la IA y avanzar en la automatización de la función del DPO mediante el uso de tecnología e inteligencia artificial.

Ejercicios de simulación para la gestión avanzada de brechas

En este contexto, en una mesa redonda específica, Gary Robertson, Manager en Privacidad, Riesgos y Cumplimiento Normativo de Ecix Tech y miembro del GIA de ISMS Forum, presentó uno de los proyectos estratégicos de 2026: Privacy Breach Management, una iniciativa pionera en España centrada en la gestión avanzada de brechas de datos mediante ejercicios de simulación dirigidos a DPOs, en línea con los table-top exercises que ISMS Forum desarrolla junto a INCIBE en el ámbito de la ciberseguridad. El proyecto invita a las organizaciones a ponerse a prueba a través de un ejercicio práctico que permitirá evaluar su capacidad real de respuesta ante una brecha de privacidad, entrenar la toma de decisiones en entornos de presión y reforzar la coordinación operativa entre las áreas implicadas. Como herramienta de apoyo, tanto para los simulacros como para la gestión de incidentes reales, la Guía de Gestión de Brechas del DPI aporta un marco claro y operativo para clasificar, evaluar y notificar brechas conforme a los requisitos regulatorios, consolidándose como documento de referencia para los profesionales de privacidad.

Gary Robertson intervino junto a Francisco Lázaro, CISO & DPO de Renfe, Co-Director del grupo de Inteligencia Artificial y Board Member de ISMS Forum, y Irene Robledo, DPO de Ferrovial, en una mesa moderada por Alfonso Menchén, DPO de Iberdrola. La iniciativa se estructura en tres fases. La primera definirá el enfoque práctico y los criterios de evaluación. La segunda consistirá en la ejecución del ejercicio de simulación. La tercera, cinco meses después, contemplará la evaluación de resultados y la elaboración de un informe individualizado para cada organización participante, así como un informe agregado por sectores.

Sanciones sobre el RGPD

En el transcurso de este XVIII Foro de la Privacidad se presentó el Informe de Sanciones RGPD 2025, con la participación de Sara Saceda, directora de Privacidad y Seguridad de la Información de Aleatica; Berta Balanzategui Vidal, consultora especializada en privacidad; y Henry Velásquez, delegado de Protección de Datos en Publicis Groupe, co- Founder del Data Clean Room y miembro del Comité del Data Privacy Institute. La sesión fue moderada por Esmeralda Saracibar, abogada, Partner of Governance, Risk & Compliance de Ecix Group y miembro del Comité del Data Privacy Institute. La presentación permitió analizar el ranking de los 17 artículos del RGPD que han generado mayor número de sanciones y sus correspondientes cuantías, así como las principales tendencias en la actividad sancionadora en España y Europa.

El Informe de Sanciones RGPD 2025 sitúa el volumen acumulado de sanciones por encima de los 7.100 millones de euros desde la aplicación del Reglamento, lo que equivale a una media cercana a 1.000 millones de euros anuales. Las áreas con mayor impacto sancionador se concentran en brechas de seguridad, transferencias internacionales de datos y ausencia o deficiencia en las evaluaciones de impacto. En términos comparativos, España lidera el ranking europeo por número de sanciones publicadas desde la entrada en vigor del RGPD, con una cifra que casi triplica la de Italia, segundo país en la clasificación, y con una media cercana a 400 resoluciones anuales. No obstante, en el ranking europeo por importe total de sanciones, España se sitúa en sexta posición, con 164 millones de euros acumulados. La existencia de multas superiores a los 10 millones de euros confirma que, junto a sanciones de menor cuantía, las autoridades aplican criterios cada vez más exigentes en los casos de mayor gravedad o impacto.

Con este informe, ISMS Forum refuerza su compromiso con la excelencia regulatoria y la generación de métricas sólidas que permitan anticipar riesgos, identificar tendencias y elevar la madurez del cumplimiento en las organizaciones.

Paquete Ómnibus Digital: equilibrio entre innovación y protección

El cierre del XVIII Foro de la Privacidad corrió a cargo de Lorenzo Cotino, presidente de la AEPD, quien abordó las implicaciones del Paquete Ómnibus Digital en materia de protección de datos, ciberseguridad e inteligencia artificial. Durante su intervención, Lorenzo Cotino explicó la posición trasladada por los reguladores europeos ante la propuesta de simplificación del marco regulatorio digital de la Unión Europea, orientada a reducir cargas administrativas y reforzar la competitividad. En este contexto, subrayó que el eje central del debate reside en encontrar un equilibrio entre innovación y seguridad jurídica. En relación con la inteligencia artificial, señaló la conveniencia de fraccionar los tratamientos de datos a lo largo de las cadenas de valor para preservar el anonimato cuando sea posible. Asimismo, advirtió sobre la necesidad de redefinir con cautela el concepto de dato personal, evitando interpretaciones que puedan debilitar el nivel de protección. Respecto al uso de categorías especiales de datos en sistemas de IA y en el ámbito de la investigación científica, indicó que su utilización debe limitarse a los supuestos estrictamente necesarios y acompañarse de medidas claras para minimizar riesgos y sesgos.

En materia de notificación de brechas, expuso el debate existente sobre la elevación del umbral de riesgo que activa la obligación de notificar a la autoridad competente y sobre la posible ampliación de los plazos, medidas orientadas a racionalizar cargas administrativas. Asimismo, apuntó a la progresiva normalización de la autenticación biométrica no centralizada, siempre bajo el control del interesado, como fórmula para reforzar la protección sin frenar el desarrollo tecnológico. También hizo referencia a la importancia de armonizar el concepto de investigación científica a nivel europeo con el fin de aportar mayor seguridad jurídica. eIDAS2 e IA agéntica Otro de los debates centrales del Foro abordó la propuesta de modificación del Reglamento eIDAS, conocido como eIDAS2. En la mesa participaron Marta Beltrán, jefa del Área Científica de la Agencia Española de Protección de Datos (AEPD), y Carlos Balmisa, secretario general técnico del Colegio de Registradores de España, moderados por Joseba García, responsable de Zero Trust y gestión de identidades en Naturgy Energy Group.

Durante la sesión se analizó el estado de implementación del nuevo marco europeo de identidad digital y su impacto en empresas, administraciones y ciudadanos. Los ponentes expusieron cómo esta normativa pretende dotar al ecosistema europeo de herramientas digitales seguras para la identificación, el intercambio de información y la realización de operaciones sensibles, reforzando al mismo tiempo las garantías en materia de protección de datos. Por su parte, José Luis Piñar, catedrático de Derecho Administrativo y presidente de la Sección de Derecho Público de la Comisión General de Codificación, centró su intervención en la denominada IA agéntica. Señaló que este tipo de inteligencia artificial, caracterizada por su capacidad de actuar de forma autónoma y nutrirse de múltiples fuentes externas de información, plantea retos significativos en materia de protección de datos, especialmente en relación con el alcance y trazabilidad de los tratamientos. En este contexto, subrayó la necesidad de reforzar el cumplimiento de los artículos 24 y 25 del RGPD, relativos a la responsabilidad proactiva y a la protección de datos desde el diseño y por defecto, como ejes para garantizar y demostrar el respeto a los derechos fundamentales en entornos tecnológicos de creciente complejidad. Asimismo, apuntó que la expansión de la IA agéntica abre un escenario de gran proyección, pero exige una reflexión regulatoria sólida. Su desarrollo supone un desafío adicional para los DPO, los CISO y las nuevas figuras responsables de gobernanza de la IA, al implicar formas de tratamiento masivo de datos que, en determinados supuestos, pueden resultar difíciles de delimitar y supervisar.

