Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > El RGPD cumple diez años: la década de la IA pondrá a prueba si las reglas resisten

El RGPD cumple diez años: la década de la IA pondrá a prueba si las reglas resisten

by Danielle Barbour updated mayo 26, 2026 Cumplimiento de GDPR
Reading Time: 9 minutes

5 conclusiones clave

  1. La primera década del GDPR fue la década de los datos en reposo. Inventarios, RoPA, notificaciones de filtraciones, EIPD. La próxima década será la de los datos en movimiento — prompts, corpus de entrenamiento, pesos de modelos, acciones de agentes.
  2. La aplicación en el primer trimestre de 2026 ya era estricta antes de que llegaran los casos de IA. Multas que suman €68,18 millones en los primeros tres meses del año, con Francia y el Reino Unido a la cabeza. La tendencia es ascendente, no plana.
  3. Free Mobile es la señal de advertencia. Una multa de €27 millones de la CNIL en enero de 2026 por autenticación VPN débil, falta de detección de anomalías y retención excesiva de datos de exclientes. Fallos operativos, no de política.
  4. El EDPB ya ha identificado el problema de la IA. Los modelos de IA entrenados con datos personales no pueden, en todos los casos, considerarse anónimos. Esa sola frase redefine la carga de la prueba para cualquier modelo que procese datos de la UE.
  5. La respuesta arquitectónica está en la capa de datos. Los contratos y políticas no pueden garantizar soberanía, retención ni límites de procesamiento de IA. Solo la arquitectura puede hacerlo — y solo la arquitectura resistirá la próxima década de aplicación.

El aniversario que nadie debería celebrar todavía

Este año se cumplen diez años desde que la Unión Europea adoptó el Reglamento General de Protección de Datos (RGPD). Comenzó a aplicarse en toda la UE el 25 de mayo de 2018, y desde entonces ha transformado todos los programas de privacidad del continente y la mayoría fuera de él. Según informes en CSO Online, el consenso es agridulce — la regulación logró estandarizar las reglas, elevar el nivel de protección de datos y exportar un modelo global, pero aún no ha logrado el control individual significativo sobre los datos personales que prometieron sus redactores.

El problema más complejo es que el mundo para el que se redactó el RGPD ya no existe. Quienes lo escribieron en 2016 pensaban en banners de cookies, rastreadores de terceros y perfiles de consumidores. No pensaban en generación aumentada por recuperación, agentes de IA autónomos, modelos fundacionales entrenados en la web abierta ni prompts que cruzan tres jurisdicciones antes de devolver una respuesta.

Los próximos diez años de aplicación del RGPD estarán definidos por cómo los reguladores aplican un marco de 2016 a la tecnología de 2026. Las señales iniciales no son alentadoras para las organizaciones que han tratado el cumplimiento de privacidad como un ejercicio documental.

El primer trimestre de 2026 ya muestra hacia dónde va la aplicación

Los primeros tres meses de 2026 generaron €68,18 millones en multas acumuladas por RGPD, según datos recopilados por la plataforma financiera Finbold. Francia y el Reino Unido lideraron la tabla de aplicación. El ritmo equivale a aproximadamente €757.600 por día solo en el primer trimestre.

La acción principal llegó el 13 de enero de 2026, cuando la CNIL de Francia impuso €42 millones en multas combinadas a Free Mobile (€27 millones) y su matriz Free SAS (€15 millones) por la filtración de octubre de 2024 que expuso datos personales de 24 millones de contratos de suscriptores, incluidos IBAN. La CNIL identificó tres infracciones distintas del RGPD: autenticación VPN débil y detección de anomalías inadecuada (artículo 32), notificación de filtración incompleta (artículo 34) y retención excesiva de datos de exclientes (artículo 5(1)(e)).

La decisión sobre Free Mobile es instructiva porque las infracciones no fueron exóticas. La empresa tenía una VPN con autenticación insuficiente, telemetría de seguridad que no detectó una filtración activa y un proceso de retención de datos que dejó más de 15 millones de contratos terminados hace más de cinco años en sistemas de producción — incluidos 3 millones terminados hace más de una década. Ninguna de esas fallas requirió investigación avanzada para identificarlas. Eran brechas de higiene operativa que se tradujeron en una multa de €27 millones.

Esa es la postura de aplicación que las organizaciones deben esperar en la próxima década. La CNIL no multó a la empresa por faltar una casilla en un documento de política. La multó por la distancia entre lo que decía la política y lo que realmente hacía la arquitectura.

El EDPB ya ha redefinido la cuestión de la IA

Mientras la CNIL construía el caso de Free Mobile, el Comité Europeo de Protección de Datos respondía a la pregunta que definirá la segunda década del RGPD. El 17 de diciembre de 2024, el EDPB adoptó la Opinión 28/2024 sobre modelos de IA y datos personales, en respuesta a una solicitud de la Comisión de Protección de Datos de Irlanda.

La conclusión más importante de la opinión es una frase: los modelos de IA entrenados con datos personales no pueden, en todos los casos, considerarse anónimos. Es un rechazo directo a la suposición conveniente de que un modelo entrenado está matemáticamente separado de sus datos de entrenamiento. El EDPB sostuvo que el anonimato debe evaluarse caso por caso, considerando tanto los riesgos de extracción directa como probabilística, y con una alta carga de prueba para el responsable del tratamiento.

La consecuencia es estructural. Si un modelo entrenado con datos personales de la UE no es automáticamente anónimo, entonces cada responsable que implemente ese modelo está procesando datos personales bajo el RGPD. Eso activa los principios del artículo 5, los requisitos de base legítima del artículo 6, la protección de datos desde el diseño del artículo 25, las obligaciones de seguridad del artículo 32 y los requisitos de EIPD del artículo 35 — tanto para el modelo como para cada uso posterior.

Para las organizaciones que han construido estrategias de IA asumiendo que las salidas del modelo no están reguladas, el EDPB acaba de ampliar el perímetro regulatorio a donde sea que llegue el modelo. Ese perímetro no es opcional. Es el mínimo.

Por qué los programas de privacidad diseñados para 2018 no sirven para la próxima década

Los programas de privacidad que se crearon para cumplir el RGPD en 2018 estaban pensados para un mundo donde los datos personales residían en bases de datos, circulaban por flujos de procesamiento documentados y estaban protegidos por controles de acceso aplicados a sistemas. Inventarios, registros de actividades de tratamiento, evaluaciones de impacto de protección de datos, procedimientos de notificación de filtraciones — todo el kit de cumplimiento asumía que los datos personales tenían una ubicación conocida, un propósito definido y un conjunto de usuarios identificados.

Esa suposición ha desaparecido. El Informe de Riesgos de Seguridad y Cumplimiento de Datos de Kiteworks: Pronóstico 2026 encontró que solo el 36% de las organizaciones tienen visibilidad sobre cómo sus socios gestionan los datos en sistemas de IA, y el 30% cita la gestión de proveedores de IA de terceros como una de sus principales preocupaciones de seguridad. Solo el 43% cuenta con una puerta de enlace de datos IA centralizada — lo que significa que el 57% ejecuta IA agente a través de controles fragmentados, ad hoc o parciales.

El mismo patrón se observa en los datos sobre soberanía. El Informe de Riesgos de Seguridad y Cumplimiento de Datos de Kiteworks 2026: Soberanía de Datos en Europa halló que el 32% de los encuestados europeos experimentó un incidente relacionado con la soberanía en los últimos 12 meses y el 44% cita preocupaciones sobre las garantías de soberanía del proveedor como una barrera para adoptar soluciones en la nube europeas — el porcentaje más alto de todas las regiones encuestadas. La conciencia regulatoria en Europa es alta; el 80% se describe como «bien» o «muy bien» informado. La tasa de incidentes prueba que la conciencia no es control.

Los datos del sector muestran la distancia entre el cumplimiento declarado y el control demostrable. Esa brecha es la que la próxima década de aplicación del RGPD cerrará — mediante multas, hallazgos de auditoría y litigios. Las organizaciones que cierren la brecha antes de la llegada de los reguladores estarán bien. Las que sigan confiando solo en contratos y políticas, no.

Lo que realmente exige la década de la IA

Quienes redactaron el RGPD lo construyeron en torno a seis principios del artículo 5: licitud, lealtad, transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del almacenamiento; e integridad y confidencialidad. El artículo 5(2) añadió un séptimo — responsabilidad — que exige que los responsables puedan demostrar el cumplimiento, no solo afirmarlo.

Cada uno de esos principios es más difícil de cumplir cuando los datos circulan por un sistema de IA en vez de estar en una base de datos. La limitación de la finalidad se rompe cuando un modelo entrenado para un propósito puede reutilizarse sin reentrenar. La minimización de datos falla cuando la generación aumentada por recuperación extrae más contexto del necesario. La limitación del almacenamiento se pierde cuando el ajuste fino incrusta datos personales en los pesos del modelo sin fecha de caducidad. La responsabilidad se pierde cuando el modelo se reemplaza y desaparece la trazabilidad asociada.

Los datos del sector muestran la realidad operativa. La mayoría de las organizaciones no puede imponer limitaciones de finalidad a los agentes de IA. La mayoría no puede terminar rápidamente un agente que se comporta mal. La mayoría no puede aislar los sistemas de IA del acceso a la red más amplia. La mayoría no puede validar las entradas de IA. Cada una de esas brechas es un futuro hallazgo del artículo 5 esperando a ser documentado.

La próxima década de aplicación del RGPD no tratará de si las organizaciones tienen una política de privacidad. Se tratará de si su arquitectura puede demostrar que la política se cumple. Esa prueba debe estar por debajo de la capa del modelo, por debajo de la capa de prompts, por debajo del marco de agentes — porque cualquier capa por encima de los datos puede ser actualizada, reemplazada o comprometida de formas que borren la evidencia.

La respuesta arquitectónica es la capa de datos

El patrón arquitectónico que sobrevivirá la próxima década de aplicación del RGPD es la gobernanza a nivel de datos, independiente del modelo y del tiempo de ejecución. Cada acceso a datos personales se autentica contra el usuario humano en cuyo nombre actúa el agente. Cada decisión de autorización se evalúa según políticas basadas en atributos que respetan la clasificación, jurisdicción y consentimiento. Cada operación genera un registro de auditoría inalterable que sobrevive al modelo que la inició.

Este es el patrón sobre el que plataformas como Kiteworks han construido su propuesta. La Red de Datos Privados de Kiteworks consolida correo electrónico, uso compartido de archivos, transferencia de archivos gestionada, SFTP y formularios de datos en una única plataforma de confianza cero, donde cada archivo está controlado, rastreado y protegido durante todo su ciclo de vida. Registros de auditoría centralizados e inmutables y reportes de cumplimiento automatizados — con plantillas preconfiguradas para RGPD, NIS 2, DORA y otros — ofrecen la evidencia exportable que reguladores y clientes exigen cada vez más. Kiteworks Secure MCP Server y Kiteworks Compliant AI extienden la misma gobernanza a la IA — permitiendo que aplicaciones LLM y pipelines RAG accedan a datos empresariales mediante autenticación OAuth 2.0 y el motor de políticas de datos de Kiteworks, con cada operación de IA registrada.

El argumento arquitectónico no es que una sola plataforma resuelva el cumplimiento del RGPD. Es que los controles que exigen los artículos 5 y 32 — limitación de finalidad demostrable, minimización de datos demostrable, seguridad demostrable, responsabilidad demostrable — solo pueden aplicarse donde residen los datos. Todo lo que esté por encima de esa capa es una afirmación de política. Por debajo, está la evidencia que satisface al regulador.

Las organizaciones que cierren la brecha entre cumplimiento declarado y control demostrable serán las que superen el próximo ciclo de auditoría. El resto serán los casos de estudio del próximo artículo de aniversario.

Qué deben hacer los programas de privacidad antes del próximo aniversario

  1. Primero, actualiza cada RoPA y EIPD para incluir el procesamiento de IA como actividad principal. Los registros de actividades de tratamiento del artículo 30 y las evaluaciones de impacto de protección de datos del artículo 35 no fueron diseñados para capturar corpus de entrenamiento, registros de prompts, recuperación RAG ni cadenas de acciones de agentes. Ahora deben hacerlo. La razón por la que la mayoría de las organizaciones no puede imponer limitaciones de finalidad a los agentes de IA es que nunca se inventarió correctamente la IA como actividad de tratamiento.

  2. Segundo, audita la retención en todos los sistemas que contengan datos personales. El caso de Free Mobile demostró que la limitación del almacenamiento bajo el artículo 5(1)(e) es ahora un objetivo principal de aplicación, no secundario. Los datos del sector muestran que las organizaciones han invertido en vigilar la IA más que en detenerla — la monitorización continua supera la adopción de kill-switch en casi 20 puntos porcentuales. El riesgo de retención no es teórico; está en los sistemas de producción.

  3. Tercero, trata la Opinión 28/2024 del EDPB como línea base obligatoria. Cada implementación de IA que procese datos personales de la UE necesita una evaluación documentada de si el modelo puede considerarse anónimo, cómo se realiza el análisis de interés legítimo y qué ocurre si los datos de entrenamiento resultan haber sido tratados ilícitamente. La mayoría de las organizaciones no puede generar esa documentación bajo demanda porque carece de una puerta de enlace de datos IA centralizada — la base arquitectónica que lo hace posible.

  4. Cuarto, lleva la aplicación de políticas a la capa de datos. Los controles de identidad, barreras en tiempo de ejecución y prompts del sistema son necesarios pero insuficientes bajo el principio de responsabilidad del RGPD. La autorización para el acceso de IA a datos personales debe residir donde están los datos, con controles basados en atributos y registros de auditoría inalterables. La visibilidad sobre cómo los socios gestionan datos en sistemas de IA sigue siendo una brecha del sector, y esa brecha es precisamente la que hace imposible demostrar el cumplimiento del artículo 28 para encargados bajo cualquier auditoría rigurosa.

  5. Quinto, prepárate para un escrutinio de transferencias transfronterizas que no será más fácil. Los proveedores de IA agravan este riesgo — un prompt enviado a un proveedor de IA en la nube puede procesarse en otra jurisdicción, usarse para ajustar modelos alojados en otro lugar o generar salidas que crucen varias fronteras antes de regresar. La decisión Schrems II resolvió la cuestión legal; la arquitectura debe resolver la operativa.

La primera década del RGPD fue el ensayo de las reglas. La próxima década es la función.

Preguntas frecuentes

Céntrate en la brecha entre el cumplimiento declarado y el control demostrable. El Informe de Riesgos de Seguridad y Cumplimiento de Datos de Kiteworks: Pronóstico 2026 halló que solo el 43% de las organizaciones cuenta con una puerta de enlace de datos IA centralizada — la base arquitectónica que los auditores esperan cada vez más. Actualiza RoPA y EIPD para incluir el procesamiento de IA, audita la retención conforme al artículo 5(1)(e) y documenta la alineación con la Opinión 28/2024 del EDPB para cada modelo que procese datos personales de la UE.

Sí. La CNIL aplicó los artículos 32, 34 y 5(1)(e) del RGPD a fallos operativos concretos — autenticación VPN débil, falta de detección de anomalías, retención excesiva — que son habituales en organizaciones estadounidenses que operan en la UE. Aproximadamente uno de cada tres encuestados europeos ha experimentado un incidente relacionado con la soberanía en los últimos 12 meses, con brechas operativas como estas entre los factores más comunes. El estándar de aplicación se aplica a cualquier responsable que procese datos de residentes de la UE, sin importar la ubicación de la sede.

La Opinión 28/2024 del EDPB estableció que los modelos de IA entrenados con datos personales no pueden, en todos los casos, considerarse anónimos, lo que significa que cada implementación de RAG que procese datos de la UE está tratando datos personales bajo el RGPD. La mayoría de las organizaciones no puede imponer limitaciones de finalidad a los agentes de IA hoy — un control que exige el artículo 5(1)(b) del RGPD. Documenta la base legítima bajo el artículo 6, completa una EIPD bajo el artículo 35 y aplica la limitación de finalidad en la capa de datos.

Las cláusulas contractuales estándar siguen siendo un mecanismo de transferencia válido, pero cada vez son menos suficientes por sí solas. El Informe de Riesgos de Seguridad y Cumplimiento de Datos de Kiteworks 2026: Soberanía de Datos en Europa halló que el 44% de los encuestados europeos cita preocupaciones sobre las garantías de soberanía del proveedor como barrera — el porcentaje más alto de todas las regiones. Schrems II exige medidas técnicas complementarias junto a los contratos. Los controles a nivel de arquitectura sobre ubicación de procesamiento, custodia de claves y acceso son ahora parte de una postura defendible.

Tres prioridades. Inventariar cada actividad de procesamiento de IA como entrada principal en el RoPA, con base legítima documentada y alineación con la Opinión 28/2024 del EDPB. Llevar la aplicación de políticas a la capa de datos — la mayoría de las organizaciones hoy no puede terminar rápidamente un agente de IA que se comporta mal, el tipo de evidencia de contención que los reguladores piden cada vez más. Prepara paquetes de evidencia listos para auditoría para las obligaciones de los artículos 5, 32 y 35 en todo el entorno de IA.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks