Ofrecido por
El año 2025 se presenta como un año importante y convulso en la evolución del panorama relacionado con la privacidad y la IA. En el presente artículo, Leonardo Cervera-Navas, secretario general del comité Supervisor Europeo de Protección de Datos (SEPD), y Carlos Alberto Saiz Peña, vicepresidente de ISMS Forum y socio de Ecix Tech, conmemoran el Día Europeo de la Protección de Datos, señalando brevemente los principales retos a los que consideramos que se van a enfrentar en 2025 las Autoridades de Control y los DPOs de grandes organizaciones.
Las autoridades de protección de datos europeas afrontan muchos desafíos al final de este primer cuarto del siglo XXI. Algunos de estos desafíos pueden considerarse como una especie de herencia de las acciones u omisiones de los últimos años. Ese es el caso, por ejemplo, de las dificultades existentes para el enforcement netamente europeo (paliadas solo hasta cierto punto por el Comité Europeo de Protección de Datos), o las derivadas de una falta de armonización en algunas cuestiones específicas (como la cuestión pendiente de la aplicación uniforme de las excepciones en materia de investigación, un asunto sobre el que Ricard Martínez viene trabajando ya desde hace muchos años). Se trata de disfuncionalidades que tienen un origen sistémico y que, quizás, puedan resolverse en una próxima revisión del RGPD.
Centrándonos en los nuevos desafíos, hay dos particularmente relevantes: el nuevo contexto internacional que se abre con la llegada de Donald Trump y Elon Musk a la Casa Blanca estadounidense, y el impacto de las nuevas tecnologías de Inteligencia Artificial. Solo cabe especular sobre el impacto de la nueva geopolítica, pero no parece probable que la protección de datos pueda ganar mayor protagonismo en la agenda europea o mundial. Esto dificultará probablemente que las autoridades de protección de datos puedan hacer valer su función como garantes de este derecho fundamental.
En lo relativo a las nuevas tecnologías de Inteligencia Artificial, la nueva Ley Europea aprobada en agosto de 2024 empezará a desplegar sus efectos el año 2025, de manera paulatina. Las autoridades de protección de datos tendrán que aprender a convivir con esta nueva reglamentación. En algunos casos, como autoridades con poderes específicos en el ámbito especial de sistemas de IA utilizados para propósitos de law enforcement, y en general, en la medida que los sistemas de IA procesan datos personales y, por tanto, caen dentro del ámbito de aplicación del RGPD. Ni existe un conocimiento amplio sobre estas cuestiones tan novedosas, ni las autoridades disponen de un gran margen de maniobra para dedicar los escasos recursos existentes a supervisar este nuevo ámbito de actuación, por lo que se trata en mi opinión de un desafío considerable que requerirá de mucha imaginación y una actitud probablemente más pragmática por parte de los supervisores.
En cuanto a los retos de los DPOs de grandes organizaciones podemos poner el acento en el cumplimiento dinámico frente a nuevas regulaciones globales. No solo el Reglamento Europeo de Inteligencia Artificial (AI Act) tendrá un papel protagonista, será importante conocer e implantar la Ley de Mercados Digitales (DMA), normativas de transposición de la Directiva NIS2 sobre ciberseguridad para muchos sectores, entrará en vigor DORA para el sector financiero y asegurador, y tendremos regulaciones específicas en protección de datos en países del continente americano y asiático.
Los DPOs tendrán que lidiar con marcos normativos fragmentados y en constante evolución, debiendo anticiparse a los criterios de resoluciones y normativas emergentes y generar unos KPIs adecuados para la Dirección. Para lograrlo será necesario acelerar los procesos de digitalización de la propia función del DPO a través de sistemas automatizados, uso de IA y procesos más sofisticados y eficientes de cumplimiento regulatorio: observatorio normativo, realización y actualización de RATs y PIAs, gestión de riesgo de terceros, supervisión de los modelos de control en privacidad, etc.
Será fundamental para los DPOs consolidar equipos multidisciplinares con conocimientos legales, técnicos y de procesos, que sumen las habilidades necesarias para hacer frente a los desafíos que van a plantear las tecnologías emergentes, la presión regulatoria y el desarrollo de los negocios en el entorno ultra competitivo que vivimos. Asimismo, los DPOs tendrán un rol fundamental en la gestión de riesgos en el uso de la IA y el cumplimiento de los requisitos que establece el Reglamento Europeo: respeto de los principios de privacidad (privacy by design, minimización de datos, transparencia, etc.), evaluaciones de impacto en derechos fundamentales, aplicación de criterios éticos y de no discriminación, control de cumplimiento en ecosistemas descentralizados y espacios de datos, etc.
Por último, cabe señalar la importancia de dos aspectos operativos:
Todos estos desafíos y sus posibles soluciones serán objeto de debate en el próximo XVII Foro de la Privacidad del Data Privacy Institute, organizado por ISMS Forum el 13 de febrero, en el que participarán Leonardo Cervera-Navas y Carlos Alberto Saiz Peña para abordar las ideas expuestas. Este evento se posiciona como un punto de encuentro clave para los DPOs a nivel nacional y una oportunidad única para profesionales interesados en las últimas tendencias en ciberseguridad, privacidad de datos y compliance.
Producido por EcoBrands
