Un vistazo al 2024: desafíos regulatorios, la omnipresente IA y miles de reclamaciones

La Agencia Española de Protección de Datos («AEPD» o «Agencia») publicó el pasado día 26 de mayo su Memoria de actuación 2024 («Memoria»), sobre la cual es especialmente destacable resaltar el detalle de los principales hitos de 2024, los desafíos para la privacidad -tanto jurídicos, como tecnológicos- y los retos de futuro, si bien no hay que dejar de lado las campañas de concienciación realizadas, las colaboraciones con otras entidades u organismos, o las inspecciones gestionadas en un año que recibió un 13% menos de reclamaciones presentadas con respecto al año anterior 2023.

Lo que marcó el 2024

De entre las principales materias que se pueden reseñar como claves en la Memoria, cabe subrayar las siguientes:

• Inteligencia Artificial («IA»). En 2024, se publicó en el Diario Oficial de la Unión Europea («DOUE») el Reglamento de Inteligencia Artificial («RIA»), constituyéndose como el elemento normativo clave del año, en cuanto que establece el marco normativo básico para el desarrollo, comercialización y uso de sistemas de IA. La AEPD intensificó su rol en este tema con artículos, nuevas guías y actualización de materiales existentes; rol que complementa con el liderazgo del «Espacio de estudio sobre inteligencia artificial», un grupo interdisciplinar que analiza los retos y oportunidades de la IA, y la contribución activa en el Comité Europeo de Protección de Datos («CEPD») y las guías publicadas por este. 
  
  Otro de los ejes relevantes de actuación de la AEPD, considerando el potencial existente en la reutilización de datos para fines distintos a aquellos para los que fueron recolectados originalmente, fue el desarrollo de los espacios de datos, fundamentales para el entrenamiento de modelos de IA, aunque también generador de riesgos para la privacidad; sobre todo, los datos sanitarios. La AEPD ha manifestado su intención de colaborar con otras autoridades y entidades y apostar en lo posible por facilitar el uso de datos para finalidades de interés público.
   
• Neurodatos. La AEPD fomentó uno de sus proyectos más potentes e innovadores, centrado en el tratamiento de los neurodatos -datos cerebrales-, habida cuenta de la escasez de guía o normativa concreta que asuma los retos que plantea este campo. Se ha de tener en cuenta que los neurodatos pueden revelar información íntima sobre el estado de salud, pensamientos o emociones y pueden identificar a una persona de manera única, con las implicaciones para los derechos fundamentales de las personas que ello acarrea. Por eso, la AEPD trabajó con el Supervisor Europeo de Protección de Datos («SEPD») y con la Red Iberoamericana de Protección de Datos («REDIPD»), para ofrecer recomendaciones específicas en aras de la protección de tales derechos fundamentales en el entorno digital.
   
• Códigos de conducta. La Agencia aprobó en diciembre de 2024 el Código de conducta para la regulación de controversias de protección de datos en el sector de las comunicaciones electrónicas, promovido por algunas reconocidas operadoras de telefonía. Este código de conducta regula el procedimiento para la resolución extrajudicial de controversias entre entidades adheridas y los interesados, en materia de protección de datos. A través de este procedimiento de resolución extrajudicial de controversias se podrán tramitar reclamaciones que tengan como objeto tratamientos de datos personales derivados o que afecten a alguno de los motivos o materias comprendidos dentro del ámbito objeto de aplicación del propio Código, p.ej.: falta de atención o no atención en plazo de los derechos reconocidos en protección de datos, comunicación de datos sin base de legitimación en el marco de una cesión de deuda, o faltas de transparencia e información en materia de privacidad a los afectados.
   
• Ámbito internacional. Por último, en el plano internacional, la AEPD decidió destacar la actividad del CEPD en el trabajo de una serie de materiales, como los Principios europeos de alto nivel para sistemas de verificación de edad, las Directrices sobre blockchain, las Directrices sobre acceso biométrico a servicios físicos, o el Dictamen sobre el consentimiento válido en el contexto de los modelos de consentimiento o pago aplicados por servicios digitales que no son grandes plataformas en línea. 

Retos en materia de privacidad

La Agencia Española de Protección de Datos ha querido identificar tres desafíos para la privacidad en el texto de la Memoria, correspondiéndose con: 

1. RIA. De nuevo, la regulación de la Inteligencia Artificial, abordada en el cuerpo normativo del RIA y sobre cuya implementación gradual el equipo de Tech & Data de Fieldfisher España informó en este artículo, supone de las mayores complejidades para el mercado único europeo. La AEPD presume un enfoque multidisciplinar y de colaboración continua entre los diferentes actores involucrados para la implementación efectiva de su contenido.
    
2. Datos genéticos. Un segundo gran reto actual es el relativo a los avances tecnológicos en el análisis de datos genéticos y su aplicabilidad en el campo de la salud, la investigación y la vertiente comercial. Dada la naturaleza altamente sensible de la información derivada de los datos genéticos y lo que esta pudiese revelar de los interesados, el desafío radica en cómo gestionar de forma prudente este tipo de datos, en cumplimiento con los derechos de los interesados y de la legislación de aplicación. En este escenario, la AEPD ha unido fuerzas con el Consejo de Transparencia y Protección de Datos de la Junta de Andalucía y el proyecto “Espacio de Datos sobre Genética”, cuyo objetivo es tratar de crear un entorno común de análisis y propuestas para garantizar el respeto a los derechos de los interesados.
    
3. Interacción normativa. La conexión entre el RIA y el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD») plantea cuestiones básicas en torno al análisis de riesgos, las evaluaciones de impacto y el consentimiento informado. Estos dos textos normativos requieren de evaluaciones específicas cuando se tratan datos personales, especialmente en sistemas de alto riesgo, y demandan un consentimiento explícito. La jurisprudencia europea y las directrices del SEPD refuerzan la necesidad de estas evaluaciones para garantizar que las normas sean proporcionales y respeten los derechos fundamentales. En este contexto, la AEPD ha elaborado guías para identificar cuándo deben aplicarse estas evaluaciones e insiste en incluir cláusulas específicas de protección de datos en todas las normativas generales.

Lo que depara el futuro

Sin perjuicio de la aprobación del Plan Estratégico 2025-2030 -hito prioritario para la Agencia-, que marcará las líneas de actuación del organismo durante ese período, la AEPD continuará también con labores de asesoramiento a emprendedores y desarrolladores tecnológicos, impulsando proyectos en colaboración con universidades y fomentando la protección de datos desde el ámbito académico y práctico.

La Agencia emprenderá una serie de medidas para responder ante el significante aumento de carga operativa: fortalecer sus recursos humanos, la mejora de la eficiencia mediante la digitalización de procesos, y la adaptación del marco legal vigente. En este último terreno, contempla modificaciones en normativas relacionadas con la protección de menores en entornos digitales, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»), y otros aspectos vinculados a funciones institucionales y sistemas de exclusión publicitaria. Además, la Agencia anticipa una mayor implicación ante los potenciales efectos del RIA, lo que podría traducirse en una ampliación de sus funciones y la necesidad de contar con más recursos para afrontar adecuadamente estas nuevas tareas.

¿Y las reclamaciones? 

La creciente cantidad de entradas recibidas en los últimos años, que mostraba una curva con una inclinación positiva destacable, experimentó una desaceleración en 2024. Sin embargo, las reclamaciones registradas este año pasado 2024 fueron un 25% más altas que las de 2022 y un 36% superiores a las de 2021, alcanzando el segundo volumen más alto de la historia de la AEPD, solo por debajo de la cifra establecida en 2023.

Pero ¿qué molesta a la ciudadanía? Los asuntos relativos a videovigilancia son el grupo de actividad que supuso un mayor número de reclamaciones durante 2024: la grabación en exceso de vías públicas, la falta de información en los carteles de videovigilancia o la grabación de zonas comunes, por referir algunos. A la videovigilancia le sigue las cuestiones relacionadas con los servicios de internet, comercio y publicidad. 

Pese a que el número total de multas derivadas de los procedimientos sancionadores abiertos por las categorías de reclamaciones anteriores fue menor que en el año 2023, el importe de estas es bastante superior a ese año, considerando la Agencia que ello refleja una mayor complejidad en su alcance y tratamientos analizados, perteneciendo las empresas con mayor cifra infractora a los sectores bancario, energético y de electricidad, y de telecomunicaciones. 

Consideraciones finales: el futuro es hoy

La Memoria de actuación 2024 de la Agencia Española de Protección de Datos evidencia un año en el que la autoridad ha intentado centrar sus esfuerzos en incrementar la transparencia, mejorar la eficiencia de sus procesos y ser consciente de lo que necesita, así como fortalecer su presencia en el ámbito europeo, con la finalidad de abordar las complejidades que se están comenzando a derivar para los tratamientos de datos en tecnologías emergentes -y no tan emergentes-.

En el contexto venidero, la AEPD se prepara para hacer frente a todos los retos procedentes de la evolución tecnológica mencionados a lo largo de este artículo; sin ser exhaustivos: la Inteligencia Artificial, el uso de datos genéticos y de salud y el número creciente de reclamaciones que tengan por objeto el uso de tecnologías disruptivas, sin dejar de lado la cooperación internacional -tan necesaria-, las acciones encaminadas a la sensibilización y educación a nivel nacional y el desarrollo de una infraestructura organizativa lo suficientemente firme como para poder abarcar lo que la sociedad espera y necesita de esta: la supervisión y aplicación del RGPD y la LOPDGDD.