José Carlos Erdozain, Of Counsel de PONS IP: “El desafío central es conciliar el uso de la IA con el pleno respeto a la privacidad, evitando que se comprometan derechos fundamentales.”
En la entrevista conocemos los ámbitos más afectados con respecto a la aplicación del RIA, el impacto en la función del abogado y del DPO y su opinión sobre los usos correctos de la IA en la protección de datos de despachos y empresas.
José Carlos Erdozain, Of Counsel en PONS IP, es abogado y doctor en Derecho por la Universidad Autónoma de Madrid, con más de 25 años de experiencia en propiedad intelectual, industrial y derecho del entretenimiento. Reconocido por Leaders League y World Trademark Review (WRT 1000), actualmente Erdozain es árbitro en la OMPI y la Corte Internacional de Arbitraje de Shenzhen (SCIA), y profesor colaborador doctor en las universidades CEU San Pablo e ICADE.
José Carlos Erdozain es miembro activo de ALADDA y AIPPI, es autor de numerosas publicaciones y conferenciante habitual en foros especializados.
El 28 de enero se conmemora el Día internacional de la Protección de Datos. Esto es así desde el año 2006, en que el Consejo de Europa establece esta fecha para festejar el Día de la Protección de Datos en Europa y conmemorar el aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa.
Después de 20 años, ¿Puede darnos su valoración con principales retos cumplidos en la aplicación práctica de la normativa de protección de datos en empresas y despachos en España?
A lo largo de estas dos décadas, el avance ha sido realmente significativo. Destacaría varios hitos clave: por un lado, la creciente concienciación de las empresas acerca del valor estratégico de los datos personales, entendidos hoy como un activo esencial cuya protección exige una aplicación rigurosa de la normativa. Por otro, la madurez alcanzada por los propios interesados, que ejercen sus derechos ante la AEPD de forma exponencial y sostenida. Finalmente, subrayaría la progresiva profesionalización del consultor de protección de datos, un perfil que requiere cada vez más una combinación actualizada de conocimientos jurídicos y tecnológicos.
¿Las organizaciones han interiorizado de manera adecuada la privacidad como una pieza clave del modelo de negocio aportando valor estratégico o que siguen viéndola como una obligación formal? ¿Por qué creo que esto es así?
Sin duda, sí. A ello ha contribuido el creciente valor del dato personal como intangible y el potencial comercial que genera. Además, no puede obviarse el riesgo reputacional y sancionador, especialmente ante posibles reclamaciones por parte de clientes y consumidores.
¿Cuáles han sido los principales fallos de las empresas y despachos profesionales a la hora de aplicar el RGPD?
En el caso de las empresas, persisten dificultades para cumplir los plazos en la atención de derechos, así como para implementar medidas técnicas y organizativas que garanticen la integridad y disponibilidad de la información. En los despachos profesionales, quizá el reto principal haya sido la adaptación —a veces lenta— a un escenario de asesoramiento en el que el conocimiento en protección de datos es imprescindible, especialmente en firmas tradicionales menos familiarizadas con las exigencias tecnológicas actuales.
¿Cuáles son las principales recomendaciones que daría para evitar o solucionar estos fallos?
Resulta esencial contar con un Plan de Contingencia adecuado que incorpore procedimientos claros para aplicar correctamente la normativa. asimismo, disponer de un consultor especializado que aporte rigor y acompañe en la gestión del día a día es clave para minimizar riesgos.
Usted ha indicado que la privacidad y la propiedad intelectual son “los grandes campos de batalla” de la IA. En el momento actual ¿Cuáles diría que siguen siendo los principales desafíos? ¿Qué herramientas serán esenciales en el uso de la IA? ¿puede decirnos el reto más destacado respecto al uso de datos personales para entrenar modelos de IA?
El desafío central es conciliar el uso de la IA con el pleno respeto a la privacidad, evitando que un tratamiento inadecuado comprometa derechos fundamentales, como ocurre con los deepfakes. También, será esencial establecer un equilibrio entre los intereses legítimos de las empresas para realizar comunicaciones comerciales y los derechos de los ciudadanos sobre sus datos.
El año 2026 ¿será un año clave en la aplicación del Reglamento de Inteligencia Artificial con respecto a la protección de datos? ¿Por qué esto es así? ¿cree que empresas y despachos son conscientes de esta situación y están tomando las medidas necesarias? ¿Cuáles serían las principales cuestiones que debieran abordar y qué riesgos deberían evitar?
Este 2026 será determinante porque entran en vigor los criterios de transparencia, que obligan a los proveedores a declarar qué mecanismos o algoritmos utilizan para acceder o tratar datos personales. Ello permitirá a los ciudadanos comprender mejor cómo se usan sus datos y con qué finalidad.
¿Cree que el RIA en su aplicación y convivencia con el RGPD puede dar a lugar a fricciones? ¿en qué aspectos?
Es previsible que, al inicio, surjan tensiones relacionadas con la necesidad de conciliar los derechos de los ciudadanos con el interés legítimo de las empresas en tratar datos con fines comerciales.
La cuestión clave será determinar claramente la legitimidad del tratamiento en cada caso.
Siguiendo con el RGPD, ¿considera que su aplicación ha mostrado algún tipo de incongruencia o posible mejora que se debería tener en cuenta de manera urgente?
Sería conveniente flexibilizar determinadas normas relativas al uso de IA en el marco de la protección de datos. Asimismo, debería revisarse el tratamiento de los datos biométricos en circunstancias específicas donde su uso podría considerarse proporcionado.
Las empresas y despachos en el 2026 ¿Cuáles son las prioridades que deberían tener en cuenta para afrontar el cumplimiento del Reglamento de IA con las garantías necesarias?
En mi opinión, resultará fundamental integrar el análisis normativo en materia de protección de datos con la evaluación del uso de la IA, asegurando coherencia, seguridad y responsabilidad en ambos planos.
Con respecto al papel del DPO en el futuro inmediato. ¿cambia su rol con el uso y aplicación de la IA? ¿en qué medida o en qué aspectos prácticos?
Su función evolucionará claramente. el DPO deberá profundizar en el conocimiento técnico de estas tecnologías y comprender cómo pueden impactar en los derechos y libertades de los ciudadanos. Cada vez será más necesaria una combinación sólida de competencias jurídicas y tecnológicas.