España lidera en sanciones por protección de datos con casi 19.000 reclamaciones anuales

Con más de 30 años dedicados al estudio y aplicación del derecho, Lorenzo Cotino, catedrático de Constitucional, ha asumido la presidencia de la Agencia Española de Protección de Datos (AEPD). Su llegada se produce en un momento crucial, con España a la cabeza de las sanciones en materia de protección de datos y un volumen creciente de reclamaciones que el año pasado llegó a rozar las 19.000 escritos. Esta misma semana, el Gobierno ha dado luz verde al anteproyecto de ley para un uso ético, inclusivo y beneficioso de la inteligencia artificial (IA) que encomienda a la agencia la vigilancia de los usos prohibidos en relación con sistemas biométricos y para la gestión de fronteras. Un cambio de paradigma para la agencia.

Cotino ha destacado en un encuentro con la prensa que, aunque España es el país que más sanciones impone, no es el más severo en términos de cuantía. En comparación con Luxemburgo o Irlanda, que supervisan a las grandes tecnológicas, la política española se distingue por su sistema jurídico que permite una amplia admisión de procedimientos. Para gestionar este alto volumen, la AEPD apuesta por mecanismos de resolución alternativos y por una estrategia basada en la prevención y la seguridad jurídica, con el fin de optimizar la relación con empresas y administraciones públicas.

El nuevo presidente de la Agencia de Protección de datos ha reconocido que la institución precisa de más recursos sobre todo para asumir las nuevas funciones encomendadas en materia de inteligencia artificial, una tecnología transveral. Actualmente cuentan con 250 personas, las mismas con las que comenzó el organismo. Cotino ha señalado que el Gobierno aprobó hace dos años un incremento presupuestario que se traducía en 30 personas más, que no se llegó a ejecutar. En este sentido, para ganar en productividad, el presidente de la AEPD se ha mostrado partidario del uso de la ia: “La AEPD apuesta por el uso responsable de la inteligencia artificial como una herramienta para mejorar la eficiencia y dar ejemplo en la administración pública. Vamos a quitar los miedos”, ha afirmado.

Referente en privacidad

Uno de los pilares de la nueva presidencia será la innovación y la influencia en el desarrollo normativo internacional. Cotino subraya la importancia de la presencia española en la red iberoamericana de protección de datos y en la Unión Europea, promoviendo la exportación del modelo europeo a países como Chile, que está implantando una nueva legislación en la materia.

En un contexto de transformación digital acelerada, la inteligencia artificial (IA) y el uso de datos biométricos representan desafíos clave. La AEPD centrará sus esfuerzos en la supervisión de tratamientos de datos con IA y en la colaboración con organismos como la AESIA y el Banco de España. Además, la nueva regulación europea sobre IA exigirá la implementación de estudios de impacto en derechos fundamentales y la designación de responsables en corporaciones.

Plan estratégico

Con la llegada de la nueva dirección, la AEPD ha iniciado la elaboración de su plan quinquenal, una hoja de ruta que definirá sus líneas de actuación para los próximos cinco años. Francisco Pérez Bes, profesor de derecho de ciberseguridad y nuevo adjunto a la presidencia, ha compartido el calendario: en el próximo mes se abrirá un plazo de consulta pública (un proceso participativo en el que intervendrán los principales agentes del sector, incluidas empresas, administraciones públicas y el tercer sector) y se pretende tener el documento definitivo antes del próximo mes de julio.

En líneas generales, se reforzará la colaboración con organismos nacionales e internacionales, buscando una alineación normativa que facilite el cumplimiento y reduzca la incertidumbre regulatoria. Además, se desarrollarán guías y herramientas prácticas para ayudar a empresas y ciudadanos a comprender y aplicar correctamente la normativa. Uno de los ejes centrales será la reducción de los tiempos de respuesta ante reclamaciones y procedimientos, garantizando una gestión más ágil y eficiente dentro de las capacidades del organismo.

Francisco Pérez Bes ha adelantado alguno de los datos más destacados de la memoria de la actividad de la Agencia que verá la luz próximamente. Durante 2024, la AEPD tramitó cerca de 19.000 reclamaciones, cifra que incluye actuaciones por escritos, iniciativa propia y casos transfronterizos. Pérez Bes ha señalado que los estos últimos, procedentes de otras autoridades de control del Espacio Económico Europeo, han aumentado un 17% respecto de 2023. En cási el 40% de los casos se han reportado brechas de seguridad. Si bien España lidera en número de multas, se queda por detrás en el volumen de las sanciones. En total, se impusieron 35,6 millones de euros. La tendencia en las multas, advirtió Pérez Bes, es al alza debido al impulso de la UE por armonizar los sistemas. La AEPD consiguió el año pasado mejorar los tiempos de respuesta en las reclamaciones, un dato que, según el adjunto, es reflejo del buen hacer del equipo de la agencia. “Estos datos reflejan una mayor madurez ciudadana en la protección de datos y un esfuerzo continuo por agilizar la gestión de la AEPD”, ha señalado.

Vigilancia en IA

Desde el 2 de febrero de 2025 han entrado en vigor las restricciones a determinadas aplicaciones de IA que atentan contra los derechos fundamentales. A partir del 2 de agosto de 2025, su incumplimiento podrá conllevar sanciones económicas de hasta 35 millones de euros o un porcentaje significativo del volumen de negocio de la empresa responsable. Entre estas prácticas prohibidas se incluyen la clasificación biométrica de personas en función de raza, ideología o sexualidad, y la puntuación de ciudadanos basada en su comportamiento o características personales.

Conforme al anteproyecto de ley citado, la AEPD asumirá la responsabilidad de vigilar y sancionar el uso indebido de la IA en sistemas biométricos y para el control de fronteras. Unas funciones que deberán coordinar con otras autoridades y organismos competentes, como la recién creada Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en La Coruña, el Banco de España o el Consejo General del Poder Judicial. Lorenzo Cotino ha indicado que fomentará una acción coordinada sin perjuicio de la acción independiente de cada organismo: “Vamos a promover guías conjuntas”, ha aseverado.

La inteligencia artificial está revolucionando la sociedad y la manera de trabajar por lo que el presidente de la AEPD, con Cotino a la cabeza, cree necesaria la figura del responsable de IA en las empresas. Un propósito fundamental de la agencia es trazar fronteras claras y ofrecer un camino ordenado para estos responsables, distinguiéndolos con precisión de los delegados de protección de datos, 120.000 profesionales registrados por la agencia, de los cuales 110.000 pertenecen al sector privado.