Guías de la Agencia Española de Protección de Datos (AEPD) para la innovación y la privacidad digital

La Agencia Española de Protección de Datos (AEPD), a través de su propia sección de Innovación y Tecnología desempeña una labor didáctica esencial al proporcionar un corpus documental que traduce las obligaciones legales del Reglamento General de Protección de Datos (RGPD) a realidades tecnológicas concretas. Su valor reside en su capacidad para ofrecer seguridad jurídica y pautas técnicas en áreas donde la normativa aún está encontrando su encaje práctico, como la inteligencia artificial o la biometría.

Se trata de guías de referencia, artículos y otros materiales didácticos orientados especialmente a pymes y personas emprendedoras. En este post presentamos algunas de las más recientes, ordenadas según sector y materia.

Las nuevas tendencias de la inteligencia artificial y su despliegue seguro

La evolución de la inteligencia artificial hacia sistemas cada vez más autónomos plantea nuevos retos en materia de protección de datos. Por ello, la Agencia Española de Protección de Datos ha desarrollado diversas guías y documentos orientados a facilitar un despliegue seguro y responsable de esta tecnología. En general, la IA es una de las áreas de mayor actividad documental de la AEPD debido a su impacto transversal. Los recursos de la Agencia cubren desde la gestión interna hasta las tecnologías de última generación.

• Guía inteligencia artificial agéntica desde la perspectiva de protección de datos: la denominada IA agéntica es aquella capaz de tomar decisiones y actuar con cierto grado de independencia. A diferencia de los modelos puramente reactivos, una IA agéntica puede llevar a cabo múltiples tareas de forma autónoma y adoptar decisiones intermedias durante procesos complejos. Esta guía analiza los riesgos de la pérdida de control humano y establece criterios para asegurar que la trazabilidad de las decisiones no se pierda en la automatización.
• Política general para el uso de la IA generativa en procesos administrativos de la AEPD: la inteligencia artificial generativa (IAG o GenAI) es un tipo de IA capaz de producir contenido nuevo, como texto, imágenes, audio o código a partir de patrones aprendidos. Este documento establece una política interna para su uso responsable en procesos administrativos.
• Anexo de implementación de la política general IAG de la AEPD: este anexo al documento anterior incluye los casos de uso permitidos, el tipo de sistemas recomendados (externos, internos o ad hoc), el nivel de riesgo asociado a cada aplicación y las obligaciones específicas de revisión, control humano, seguridad y protección de datos.
• Resumen básico de obligaciones y recomendaciones para la gestión de IA generativa: se trata de un esquema sintetizado sobre aspectos de gobernanza, diseño y desarrollo de casos de uso, tratamiento de datos personales e información sensible, transparencia y explicabilidad, y uso responsable de herramientas, entre otros.
• Informe sobre aprendizaje federado: el aprendizaje federado es un enfoque de inteligencia artificial que permite entrenar modelos de forma colaborativa sin centralizar los datos, mejorando la privacidad y alineándose con el RGPD. Esta guía explica en qué consiste, dónde puede haber un tratamiento de datos personales y cuáles son los beneficios y desafío en la protección de datos.

Para complementar esta información, los usuarios también pueden visitar el blog de la AEPD, que sirve como un observatorio de tendencias donde se analizan los riesgos visibles e invisibles de las tecnologías de consumo. Algunas de las temáticas que se trata son:

• Tratamiento de imagen y voz: se han publicado análisis sobre la transcripción de voz con IA y el uso de servicios que convierten fotografías a otros formatos (como animaciones). Estos artículos alertan sobre el tratamiento de datos biométricos y la propiedad de los datos en la nube.
• Alfabetización algorítmica: recursos como "Abordando conceptos erróneos de la IA" buscan elevar el nivel de juicio crítico de los usuarios y responsables frente a la opacidad de los algoritmos.
• Equilibrio de derechos: destaca el análisis sobre la protección del menor en el entorno digital y el diseño de contratos públicos que integren la privacidad desde el diseño.

Cartera europea de identidad digital

La evolución hacia una Europa interconectada exige estándares de identidad robustos y medidas de seguridad accesibles para todos los niveles empresariales.

La construcción de una identidad digital segura, interoperable y confiable es uno de los pilares de la transformación digital en Europa. La futura cartera europea de identidad digital es un proyecto que plantea permitir a la ciudadanía identificarse electrónicamente y compartir atributos personales de forma controlada en múltiples servicios, tanto públicos como privados.

Para analizar sus implicaciones desde el punto de vista de la privacidad, la Agencia Española de Protección de Datos ha publicado una serie de cuatro artículos monográficos a lo largo de 2025. En ellos, la Agencia desglosa la relación entre la nueva cartera de identidad digital y el RGPD.

Estos contenidos abordan cuestiones clave como:

• La minimización de datos y el principio de proporcionalidad en el intercambio de información: explica cómo el Reglamento eIDAS2 impulsa la cartera europea de identidad digital. Este reglamento establece un marco para una identificación electrónica segura, interoperable y centrada en el usuario, alineada con el RGPD para garantizar el control y la protección de los datos personales en toda la UE.
• Los riesgos asociados a la interoperabilidad entre sistemas: profundiza en cómo evitar que el uso de la Cartera Europea de Identidad Digital permita rastrear a los ciudadanos cuando presentan credenciales en distintos servicios públicos o privados, destacando la necesidad de soluciones criptográficas avanzadas.
• La necesidad de garantizar el control del usuario sobre sus credenciales: examina las amenazas de identificación en las carteras de identidad digital bajo eIDAS2, destacando que, sin garantías sólidas como seudonimización y no vinculación, incluso la revelación selectiva de datos puede permitir la identificación y el perfilado indebido de los usuarios.
• Las medidas de seguridad necesarias para evitar usos indebidos o brechas de datos: plantea las amenazas de inexactitud en las carteras de identidad digital bajo eIDAS2, destacando cómo datos desactualizados o mecanismos criptográficos vinculables pueden provocar decisiones erróneas y comprometer la privacidad. Para solucionarlo, subraya la necesidad de soluciones que garanticen tanto la fiabilidad como la negación plausible (que no exista ninguna prueba técnica que permita demostrar que una persona ha realizado una acción concreta con su cartera o credencial digital).

A través de esta serie, se ofrece una visión progresiva que ayuda a comprender tanto el potencial de la identidad digital europea como los desafíos que plantea su implementación desde una perspectiva de protección de datos.

Cifrado de protección de datos personales en las PYMES

Para muchas pequeñas y medianas empresas, garantizar la seguridad de los datos personales sigue siendo un desafío, especialmente por la falta de recursos técnicos o conocimiento especializado. En este contexto, el cifrado se presenta como una herramienta fundamental para proteger la confidencialidad e integridad de la información.

Con el objetivo de acercar este concepto a un público no experto, la Agencia Española de Protección de Datos ha publicado la Guía de cifrado para autónomos y pymes, acompañada de una infografía explicativa.

Estos recursos explican de manera clara y práctica:

• Qué es el cifrado y por qué es importante en la protección de datos.
• Qué tipos de cifrado existen y en qué casos se aplican.
• Cómo implementar medidas de cifrado en situaciones habituales, como el envío de correos electrónicos o el almacenamiento de información.
• Qué herramientas pueden utilizarse sin necesidad de conocimientos avanzados.

Investigación científica y marco legal europeo

Para los perfiles que requieren un análisis más profundo y académico, la Agencia ha impulsado la publicación de artículos científicos en diversos medios internacionales, que conectan la tecnología con la ética y el derecho. Algunos ejemplos son:

• Patrones adictivos: análisis sobre cómo el diseño de interfaces afecta al comportamiento humano.
• Neurotecnología: estudio sobre los riesgos de las interfaces cerebro-computador.
• Gobernanza algorítmica: un análisis integral que alinea el RGPD con el Reglamento europeo de inteligencia artificial (AI Act), la Ley de Servicios Digitales (DSA, Digital Services Act) y la Ley de Ciberresiliencia.

El valor didáctico de estos materiales reside en su capacidad para ofrecer una visión de 360 grados sobre el dato. Desde la investigación académica de vanguardia hasta las infografías de cifrado para una pequeña empresa, la AEPD proporciona los pilares para una innovación que no sacrifique la privacidad.

En conjunto, estos materiales que comparte la Agencia Española de Protección de datos ayudan a incorporar medidas de seguridad eficaces y a cumplir con los requisitos del Reglamento General de Protección de Datos de forma proporcionada y accesible. Todos ellos, y algunos otros, están recopilados y ordenados por temática en su apartado web, disponible aquí.