Hoy, 14 de julio de 2026, la Agencia Española de Protección de Datos (AEPD) ha publicado unas recomendaciones para reforzar el cumplimiento del Reglamento General de Protección de Datos (RGPD) en las Administraciones Públicas, acompañadas del impulso de un modelo común de cumplimiento destinado a mejorar la gobernanza de la protección de datos en el sector público.
La iniciativa no introduce nuevas obligaciones legales ni modifica el marco establecido por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Su objetivo es proporcionar un marco organizativo de referencia que facilite la aplicación homogénea de la normativa, impulse una cultura de responsabilidad proactiva y fortalezca el papel de la protección de datos como elemento estratégico en la gestión pública.
Aunque las recomendaciones están dirigidas específicamente a las Administraciones Públicas, muchas de las cuestiones que aborda trascienden este ámbito y resultan igualmente relevantes para las empresas, especialmente en un contexto marcado por la transformación digital, el uso creciente de sistemas de inteligencia artificial y la progresiva aplicación del Reglamento Europeo de Inteligencia Artificial (AI Act).
Un proyecto construido desde la colaboración institucional
Uno de los aspectos más destacados de la iniciativa es su origen. El modelo impulsado por la AEPD no responde a una actuación aislada de la Agencia, sino al trabajo desarrollado durante los últimos meses junto con la Administración General del Estado y una amplia representación de Delegados de Protección de Datos del sector público.
Este proceso colaborativo ha permitido identificar necesidades comunes, compartir experiencias y elaborar un conjunto de recomendaciones orientadas a mejorar la organización interna del cumplimiento y reforzar la coordinación entre los distintos actores implicados. El resultado es una propuesta que pretende servir como referencia común para las Administraciones Públicas y favorecer una aplicación más uniforme de la normativa de protección de datos.
El documento sitúa en el centro uno de los principios fundamentales del RGPD: la responsabilidad proactiva (accountability).
Cumplir la normativa ya no consiste únicamente en disponer de cláusulas informativas, registros de actividades o políticas internas. Las organizaciones deben demostrar que cuentan con procedimientos eficaces, estructuras organizativas adecuadas y mecanismos permanentes de supervisión capaces de garantizar el respeto de los derechos de las personas.
La AEPD propone avanzar hacia un modelo de cumplimiento integrado en la gestión ordinaria de la organización, en el que la protección de datos forme parte de los procesos de planificación, decisión y evaluación, y no se limite a una revisión posterior de carácter documental.
La participación temprana del Delegado de Protección de Datos
Uno de los mensajes más relevantes de las recomendaciones consiste en reforzar el papel del Delegado de Protección de Datos (DPD). La Agencia pone el acento en la necesidad de garantizar su independencia y de favorecer su participación desde las primeras fases de aquellas actuaciones que puedan tener incidencia en la protección de datos personales.
En particular, recomienda que el DPD intervenga de forma temprana en la elaboración de normas, en los procedimientos de contratación pública, en los proyectos tecnológicos y en todas aquellas iniciativas que impliquen tratamientos de datos personales.
Este enfoque permite anticipar riesgos, incorporar la privacidad desde el diseño y mejorar la calidad jurídica y técnica de las decisiones adoptadas por la organización.
La protección de datos desde el diseño como principio de gobernanza
Las recomendaciones refuerzan igualmente el principio de protección de datos desde el diseño y por defecto, previsto en el artículo 25 del RGPD.
La privacidad debe integrarse desde el momento en que nace un proyecto y mantenerse durante todo su ciclo de vida, desde la planificación inicial hasta su implantación, seguimiento y revisión.
Este planteamiento resulta especialmente relevante en proyectos de transformación digital, contratación de nuevas tecnologías e implantación de sistemas basados en inteligencia artificial, donde la identificación temprana de riesgos permite adoptar medidas preventivas antes de que estos lleguen a materializarse.
Una iniciativa que se enmarca en la evolución del ecosistema regulatorio europeo
La publicación de estas recomendaciones no constituye un hecho aislado. Hace apenas unos días analizábamos en Acountax la decisión de la Comisión Europea de considerar adecuado el Código de Buenas Prácticas sobre Transparencia del Contenido Generado por Inteligencia Artificial, concebido para facilitar el cumplimiento de las obligaciones de transparencia previstas en el artículo 50 del AI Act.
Si aquel documento aportaba orientaciones prácticas sobre la forma en que las organizaciones deben cumplir determinadas obligaciones relacionadas con la inteligencia artificial, las recomendaciones publicadas hoy por la AEPD ponen el foco en la organización interna necesaria para hacer efectivo el cumplimiento de la normativa sobre protección de datos.
Ambas iniciativas responden a una misma evolución del Derecho europeo: avanzar desde la mera aprobación de normas hacia la creación de modelos de gobernanza, herramientas prácticas y criterios organizativos que permitan aplicar esas obligaciones de forma eficaz y homogénea.
Gobernanza, protección de datos e inteligencia artificial
Aunque el documento de la AEPD no desarrolla el contenido del AI Act, sí comparte plenamente la filosofía que inspira esta nueva regulación europea.
La inteligencia artificial exige estructuras de gobernanza, mecanismos de supervisión, evaluación de riesgos, documentación adecuada y una clara asignación de responsabilidades.
Del mismo modo, la protección de datos ya no puede entenderse como una obligación aislada del área jurídica, sino como una función transversal que requiere la participación coordinada de los responsables tecnológicos, los equipos de ciberseguridad, los departamentos de compliance, la asesoría jurídica y los órganos de dirección.
Esta visión integrada constituye, probablemente, uno de los principales retos que deberán afrontar tanto las Administraciones Públicas como las empresas durante los próximos años.
Precisamente desde esa perspectiva, la gobernanza de la inteligencia artificial puede resumirse en tres grandes ámbitos de actuación: los principios que deben inspirar cualquier proyecto, los riesgos que conviene identificar desde el inicio y las medidas organizativas que permiten garantizar un cumplimiento eficaz.
Aspectos que toda organización debería revisar antes de implantar soluciones de inteligencia artificial
|
Principio Clave
|
Riesgo Principal
|
Acción Recomendada
|
|---|---|---|
|
Privacidad desde el inicio
|
Fugas de datos corporativos.
|
Reforzar la figura del Delegado de Protección de Datos (DPD).
|
|
Supervisión experta
|
Dependencia excesiva de la IA.
|
Involucrar al DPD en todos los proyectos tecnológicos.
|
|
Capacitación del equipo
|
Pérdida de conocimiento interno.
|
Establecer protocolos claros de uso y supervisión.
|
|
Gestión de riesgos
|
Uso de datos sensibles en IA.
|
Coordinar privacidad, cumplimiento y ciberseguridad.
|
|
Colaboración total
|
Falta de control y supervisión.
|
Crear un Comité de IA y formar a los usuarios.
|
Aunque las recomendaciones están dirigidas al sector público, muchas de sus conclusiones resultan plenamente trasladables al ámbito empresarial.
Las organizaciones deberían aprovechar para revisar si la protección de datos participa desde el inicio de sus proyectos tecnológicos, si el Delegado de Protección de Datos interviene de forma efectiva en la toma de decisiones, si existen protocolos internos para el uso de herramientas de inteligencia artificial y si las áreas jurídica, tecnológica, compliance y ciberseguridad trabajan de forma coordinada.
La experiencia demuestra que las organizaciones que integran el cumplimiento desde las fases iniciales de sus proyectos reducen riesgos regulatorios, mejoran la calidad de sus decisiones y fortalecen la confianza de clientes, empleados, inversores y demás grupos de interés.
La iniciativa presentada hoy por la AEPD confirma una tendencia que viene consolidándose en el ámbito europeo: la protección de datos, la inteligencia artificial, la ciberseguridad y el cumplimiento normativo ya no pueden abordarse como materias independientes. El futuro pasa por implantar modelos de gobernanza capaces de integrar todas estas disciplinas dentro de una misma estrategia organizativa, basada en la prevención, la transparencia y la responsabilidad.
En Acountax consideramos que este enfoque representa una oportunidad para que empresas y Administraciones evolucionen hacia sistemas de gestión más sólidos, capaces de afrontar con mayores garantías los desafíos jurídicos y tecnológicos que plantea la transformación digital.
¿Dudas sobre su caso? Escríbanos y le orientamos.
Puede ponerse en contacto con nosotros escribiéndonos a clientes@acountax.es, llamándonos de forma gratuita al 900 264 785 o rellenando el siguiente formulario de contacto que ponemos a su disposición. Le responderemos en menos de 24 horas.
