Más de 450 profesionales acudieron al XVIII Foro de la Privacidad, organizado por el Data Privacy Institute e ISMS Forum, que reunió a ponentes como Lorenzo Cotino, presidente de la AEPD; Jan Ellerman, Senior Specialist de la Data Protection Function de Europol; José Luis Piñar, catedrático de Derecho Administrativo y presidente de la Sección de Derecho Público de la Comisión General de Codificación; Moisés Barrio, letrado del Consejo de Estado; y F. Javier Sempere, letrado y delegado de Protección de Datos del Consejo General del Poder Judicial, entre otros, para abordar distintos debates sobre la IA y su impacto en la protección de datos.

Carlos Saiz, partner and Head of Privacy, Risk & Compliance de EcixTech; director del DPI y vicepresidente de ISMS Forum, expresó su satisfacción al término del XVIII Foro de la Privacidad, subrayando que el encuentro permitió abordar la problemática del DPO y su entorno regulatorio desde una perspectiva transversal y operativa. Reconoció que el proyecto Privacy Breach Management constituye, en la práctica, un modelo de ciberejercicios aplicado al ámbito de los Delegados de Protección de Datos. El objetivo es que los DPO participen en simulaciones que reproduzcan escenarios reales de brechas o fugas de información, con el fin de evaluar su capacidad de respuesta y disponer de métricas comunes que permitan comparar cómo cada profesional gestiona este tipo de situaciones.

En su valoración, se trata de una iniciativa útil para comprobar si la gestión de incidentes se realiza conforme a la metodología y los plazos exigidos por el marco normativo. El planteamiento traslada al entorno de la privacidad el modelo de ejercicios ya consolidado entre los CISO. Tras su presentación en el Foro, se prevé la participación de DPO y organizaciones interesadas en su desarrollo e implementación. Saiz recordó que la gestión de brechas continúa siendo la principal preocupación de los DPO, seguida por el régimen sancionador, con amplia diferencia respecto de otros factores. Asimismo, destacó que, en estos diez años de aplicación del RGPD, el DPI ha desempeñado un papel relevante en la identificación y puesta en común de los retos emergentes del colectivo.

El XVIII Foro de la Privacidad estuvo marcado por el décimo aniversario del RGPD y por el despliegue de nuevas iniciativas regulatorias europeas que están redefiniendo el ecosistema, como el Paquete Ómnibus Digital y la nueva cartera europea de identidad digital (eIDAS2), junto con la irrupción de lainteligencia artificial agéntica. La jornada se articuló en dos bloques temáticos —Compliance & Experiences y Trends & Policies— orientados, respectivamente, a casos prácticos y experiencias de implantación, y a tendencias regulatorias, impacto de la IA, identidad digital europea y nuevas obligaciones derivadas del marco comunitario.

Gestión de brechas: eje prioritario en la agenda del DPO

La gestión de las brechas de seguridad sigue siendo la principal preocupación de los Delegados de Protección de Datos, junto con el régimen sancionador. Así lo refleja la Séptima Edición del Estudio sobre el Nivel de Madurez en la Aplicación del Reglamento General de Protección de Datos, que constata un incremento de brechas, reclamaciones y análisis de riesgos. El 60 % de las organizaciones cuenta ya con sistemas definidos, documentados e implementados, lo que evidencia un avance hacia modelos más estructurados y automatizados de gobernanza.

El estudio pone de relieve, no obstante, que este progreso se produce en un entorno cada vez más exigente. Aunque la función del DPO ha ganado peso en la toma de decisiones y su profesionalización es evidente, persisten carencias estructurales, especialmente en recursos, gestión de transferencias internacionales y supervisión de terceros. Asimismo, la convergencia del RGPD con la DORA y la NIS2 obliga a los DPOs a integrar riesgos tecnológicos que no pueden abordarse exclusivamente desde el ámbito jurídico, sino mediante modelos de gobernanza más amplios que integren privacidad, riesgos, tecnología y cumplimiento.

La comunidad del DPI plantea, como conclusión, la necesidad de reforzar la preparación operativa mediante ejercicios de simulación que permitan gestionar de forma más eficaz las brechas de seguridad y consolidar un enfoque preventivo. El reto para 2026 pasa por transformar la madurez formal en madurez efectiva, anticipar riesgos digitales con mayor amplitud y reforzar la capacidad de respuesta de las organizaciones.

El informe fue presentado durante el evento en una mesa redonda moderada por Carlos,director del DPI y vicepresidente de ISMS Forum,y en la que participaron Roberto Baratta, director of Loss Prevention, Business Continuity and Security y DPO de Abanca y presidente de ISMS Forum; Víctor Antunes, Legal & Compliance en Nationale-Nederlanden; Edison Hernández, DPO de WiZink; y Carla Garde, DPO de Sacyr. Según señalaron, los principales retos se centran en estructurar el modelo de gobierno de la IA y avanzar en la automatización de la función del DPO mediante el uso de tecnología e inteligencia artificial.

En este contexto, Carlos Saiz subrayó que del informe se extraen conclusiones relevantes sobre la evolución de la profesión. Indicó que el rol del DPO continúa avanzando en madurez, aunque persisten desafíos ya identificados en ejercicios anteriores, como la necesidad de reforzar recursos y superar resistencias internas. Señaló que el reto estratégico inmediato se sitúa en dos ejes: “estructurar adecuadamente el modelo de gobierno de la inteligencia artificial y avanzar en la automatización de la función del DPO mediante el uso de tecnología e IA”. Los expertos coincidieron en que el incremento sostenido de brechas, reclamaciones y análisis de riesgo exige automatizar una parte significativa de las tareas operativas.

Ejercicios de simulación para la gestión avanzada de brechas

En este contexto, en una mesa redonda específica, Gary Robertson, Manager en Privacidad, Riesgos y Cumplimiento Normativo de Ecix Tech y miembro del GIA de ISMS Forum, presentó uno de los proyectos estratégicos de 2026: Privacy Breach Management, una iniciativa pionera en España centrada en la gestión avanzada de brechas de datos mediante ejercicios de simulación dirigidos a DPOs, en línea con los table-top exercises que ISMS Forum desarrolla junto a INCIBE en el ámbito de la ciberseguridad.

El proyecto invita a las organizaciones a ponerse a prueba a través de un ejercicio práctico que permitirá evaluar su capacidad real de respuesta ante una brecha de privacidad, entrenar la toma de decisiones en entornos de presión y reforzar la coordinación operativa entre las áreas implicadas.

Como herramienta de apoyo, tanto para los simulacros como para la gestión de incidentes reales, la Guía de Gestión de Brechas del DPIaporta un marco claro y operativo para clasificar, evaluar y notificar brechas conforme a los requisitos regulatorios, consolidándose como documento de referencia para los profesionales de privacidad.

Gary Robertsonintervino junto a Francisco Lázaro, CISO & DPO de Renfe, Co-Director del grupo de Inteligencia Artificial y Board Member de ISMS Forum, y Irene Robledo, DPO de Ferrovial, en una mesa moderada por Alfonso Menchén, DPO de Iberdrola.

La iniciativa se estructura en tres fases. La primera definirá el enfoque práctico y los criterios de evaluación. La segunda consistirá en la ejecución del ejercicio de simulación. La tercera, cinco meses después, contemplará la evaluación de resultados y la elaboración de un informe individualizado para cada organización participante, así como un informe agregado por sectores.

Sanciones sobre el RGPD

En el transcurso de este XVIII Foro de la Privacidad se presentó el Informe de Sanciones RGPD 2025, con la participación de Sara Saceda, directora de Privacidad y Seguridad de la Información de Aleatica; Berta Balanzategui Vidal, consultora especializada en privacidad; y Henry Velásquez, delegado de Protección de Datos en Publicis Groupe, co-Founder del Data Clean Room y miembro del Comité del Data Privacy Institute. La sesión fue moderada por Esmeralda Saracibar, abogada, Partner of Governance, Risk & Compliance de Ecix Group y miembro del Comité del Data Privacy Institute.

La presentación permitió analizar el ranking de los 17 artículos del RGPD que han generado mayor número de sanciones y sus correspondientes cuantías, así como las principales tendencias en la actividad sancionadora en España y Europa.

El Informe de Sanciones RGPD 2025 sitúa el volumen acumulado de sanciones por encima de los 7.100 millones de euros desde la aplicación del Reglamento, lo que equivale a una media cercana a 1.000 millones de euros anuales. Las áreas con mayor impacto sancionador se concentran en brechas de seguridad, transferencias internacionales de datos y ausencia o deficiencia en las evaluaciones de impacto.

En términos comparativos, España lidera el ranking europeo por número de sanciones publicadas desde la entrada en vigor del RGPD, con una cifra que casi triplica la de Italia, segundo país en la clasificación, y con una media cercana a 400 resoluciones anuales. No obstante, en el ranking europeo por importe total de sanciones, España se sitúa en sexta posición, con 164 millones de euros acumulados.

La existencia de multas superiores a los 10 millones de euros confirma que, junto a sanciones de menor cuantía, las autoridades aplican criterios cada vez más exigentes en los casos de mayor gravedad o impacto.

Con este informe, ISMS Forum refuerza su compromiso con la excelencia regulatoria y la generación de métricas sólidas que permitan anticipar riesgos, identificar tendencias y elevar la madurez del cumplimiento en las organizaciones.

Marco sancionador europeo: tipología de procedimientos y criterios de aplicación en el entorno RGPD e IA

En su ponencia,F. Javier Sempere, letrado y delegado de Protección de Datos del CGPJ, analizó el marco sancionador europeo y su aplicación en materia de Inteligencia Artificial en el ámbito del RGPD y del Reglamento de IA. Realizó un repaso de los distintos procedimientos de reclamación y su tipología, diferenciando entre procedimientos transfronterizos, transfronterizos locales y locales, así como los procedimientos de urgencia, extrafronterizos y los vinculados a la LSSI.

Durante su intervención abordó las implicaciones prácticas de estos procedimientos sancionadores, los criterios que orientan la imposición de sanciones y los retos actuales para las organizaciones y los DPO. Asimismo, explicó cuáles son las reclamaciones más habituales ante la AEPD, entre las que destacan las relacionadas con videovigilancia, servicios de Internet, ficheros de morosidad y reclamaciones de deudas.

Paquete Ómnibus Digital: equilibrio entre innovación y protección

El cierre del XVIII Foro de la Privacidad corrió a cargo de Lorenzo Cotino, presidente de la AEPD, quien abordó las implicaciones del Paquete Ómnibus Digital en materia de protección de datos, ciberseguridad e inteligencia artificial.

Durante su intervención, Lorenzo Cotino explicó la posición trasladada por los reguladores europeos ante la propuesta de simplificación del marco regulatorio digital de la Unión Europea, orientada a reducir cargas administrativas y reforzar la competitividad. En este contexto, subrayó que el eje central del debate reside en encontrar un equilibrio entre innovación y seguridad jurídica.

En relación con la inteligencia artificial, señaló la conveniencia de fraccionar los tratamientos de datos a lo largo de las cadenas de valor para preservar el anonimato cuando sea posible. Asimismo, advirtió sobre la necesidad de redefinir con cautela el concepto de dato personal, evitando interpretaciones que puedan debilitar el nivel de protección.

Respecto al uso de categorías especiales de datos en sistemas de IA y en el ámbito de la investigación científica, indicó que su utilización debe limitarse a los supuestos estrictamente necesarios y acompañarse de medidas claras para minimizar riesgos y sesgos.

En materia de notificación de brechas, expuso el debate existente sobre la elevación del umbral de riesgo que activa la obligación de notificar a la autoridad competente y sobre la posible ampliación de los plazos, medidas orientadas a racionalizar cargas administrativas.

Asimismo, apuntó a la progresiva normalización de la autenticación biométrica no centralizada, siempre bajo el control del interesado, como fórmula para reforzar la protección sin frenar el desarrollo tecnológico. También hizo referencia a la importancia de armonizar el concepto de investigación científica a nivel europeo con el fin de aportar mayor seguridad jurídica.

Reglamento de IA y protección de datos

En la conferencia inaugural del panel Trends & Policies, Moisés Barrio, letrado del Consejo de Estado, abordó el impacto de la implementación del Reglamento de Inteligencia Artificial (RIA). A su juicio, su correcta aplicación exige comprender con precisión el ámbito territorial y subjetivo del Reglamento, así como evaluar los niveles de riesgo asociados a cada sistema de IA. Asimismo, analizó cómo el papel que desempeña cada organización dentro de la cadena de valor —proveedor, usuario, distribuidor o importador— determina requisitos y obligaciones específicas. Durante su intervención también examinó la interacción de la regulación de la IA con otras normas clave, como la protección de datos, la responsabilidad y la ciberseguridad, en un ecosistema regulatorio que debe impulsarse desde una perspectiva integral de cumplimiento.

Por su parte, Jan Ellermann, de la Oficina del DPO de Europol y primer ponente del panel de Compliance, aportó su visión sobre la relación entre protección de datos e interés legítimo en el tratamiento de información. Señaló que proteger los datos, asegurar la infraestructura digital y desplegar la IA de forma responsable resulta esencial para salvaguardar los pilares democráticos. Expuso cómo confluyen estas tres dimensiones, los desafíos emergentes y las oportunidades para reforzar prácticas de aplicación de la ley más sólidas y respetuosas con los derechos fundamentales.

Asimismo, profundizó en los desarrollos regulatorios más recientes, incluido el Ómnibus Digital, actualmente objeto de intenso debate. Advirtió que una protección insuficiente de los datos puede comprometer directamente los derechos fundamentales y erosionar la confianza institucional.

eIDAS2 e IA agéntica

Otro de los debates centrales del Foro abordó la propuesta de modificación del Reglamento eIDAS, conocido como eIDAS2. En la mesa participaron Marta Beltrán, jefa del Área Científica de la Agencia Española de Protección de Datos (AEPD), y Carlos Balmisa, secretario general técnico del Colegio de Registradores de España, moderados por Joseba García, responsable de Zero Trust y gestión de identidades en Naturgy Energy Group.

Durante la sesión se analizó el estado de implementación del nuevo marco europeo de identidad digital y su impacto en empresas, administraciones y ciudadanos. Los ponentes expusieron cómo esta normativa pretende dotar al ecosistema europeo de herramientas digitales seguras para la identificación, el intercambio de información y la realización de operaciones sensibles, reforzando al mismo tiempo las garantías en materia de protección de datos.

Por su parte, José Luis Piñar, catedrático de Derecho Administrativo y presidente de la Sección de Derecho Público de la Comisión General de Codificación, centró su intervención en la denominada IA agéntica. Señaló que este tipo de inteligencia artificial, caracterizada por su capacidad de actuar de forma autónoma y nutrirse de múltiples fuentes externas de información, plantea retos significativos en materia de protección de datos, especialmente en relación con el alcance y trazabilidad de los tratamientos.

En este contexto, subrayó la necesidad de reforzar el cumplimiento de los artículos 24 y 25 del RGPD, relativos a la responsabilidad proactiva y a la protección de datos desde el diseño y por defecto, como ejes para garantizar y demostrar el respeto a los derechos fundamentales en entornos tecnológicos de creciente complejidad.

Asimismo, apuntó que la expansión de la IA agéntica abre un escenario de gran proyección, pero exige una reflexión regulatoria sólida. Su desarrollo supone un desafío adicional para los DPO, los CISO y las nuevas figuras responsables de gobernanza de la IA, al implicar formas de tratamiento masivo de datos que, en determinados supuestos, pueden resultar difíciles de delimitar y supervisar.

Soberanía digital y cooperación transatlántica

Henry Velásquez, delegado de Protección de Datos en Publicis Groupe; co-Founder de Data Clean Room y miembro del Comité del Data Privacy Institute, volvió a entrevistar a Peter Winn, Acting Chief Privacy and Civil Liberties Officer del United States Department of Justice, por cuarto año consecutivo. En esta ocasión, la conversación se centró en la soberanía digital, un elemento que influye en materia de privacidad y en la toma de decisiones en un contexto de tensiones geopolíticas.

Durante el diálogo abordaron la autonomía digital, en relación con el deseo de Europa de reducir su dependencia de infraestructuras tecnológicas externas, dado su impacto directo en la economía y en los servicios del entorno digital.

Asimismo, analizaron el uso de la soberanía digital como mecanismo para evitar prácticas autoritarias que puedan surgir desde los gobiernos y advirtieron del riesgo de fragmentación del ecosistema digital global en un escenario de fragilidad política. No obstante, Peter Winn descartó que ese escenario llegue a materializarse. Señaló que los países comparten valores democráticos y principios vinculados a derechos fundamentales, entre ellos la protección de datos. Desde su perspectiva, la clave reside en reforzar la cooperación en el marco transatlántico y en los tratados vigentes que impulsan marcos regulatorios comunes. Ambos ponentes se mostraron optimistas respecto al mantenimiento de relaciones sólidas entre Estados Unidos y Europa, pese a las actuales tensiones geopolíticas.

Con esta edición, el XVIII Foro de la Privacidad organizado por el Data Privacy Institute e ISMS Forumse consolida como espacio de referencia para el análisis estratégico del ecosistema regulatorio europeo y la evolución del rol del DPO.