Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > 25 autoridades reguladoras de la UE están a punto de auditar tus avisos de privacidad: esto es lo que debes corregir antes de que lleguen

25 autoridades reguladoras de la UE están a punto de auditar tus avisos de privacidad: esto es lo que debes corregir antes de que lleguen

by Marc ten Eikelder updated mayo 20, 2026 Cumplimiento Regulatorio
Reading Time: 10 minutes

Conclusiones clave

  1. La aplicación del EDPB en 2026 pone el foco en la transparencia. Aproximadamente 25 autoridades de protección de datos de la UE auditarán las obligaciones de información del GDPR bajo los artículos 5(1)(a), 12, 13 y 14 mediante cuestionarios e investigaciones.
  2. La mayoría de los avisos de privacidad no cumplen los requisitos regulatorios. Las organizaciones suelen carecer de avisos por capas, divulgaciones just-in-time en los puntos de recogida y bases legales documentadas, incluyendo evaluaciones de interés legítimo.
  3. La aplicación se intensifica con multas récord. Las multas del GDPR alcanzaron 1,2 mil millones de euros en 2025, con un aumento del 22% en notificaciones de brechas, siendo las violaciones de transparencia uno de los motivos más citados.
  4. La IA multiplica exponencialmente las brechas de cumplimiento. Los agentes de IA que procesan datos personales generan nuevas obligaciones de divulgación y explicabilidad sobre decisiones automatizadas bajo el GDPR y la Ley de IA de la UE, que pocas organizaciones han mapeado.

Imagina que un investigador de una autoridad de protección de datos contacta a tu organización con un cuestionario estructurado. Las preguntas son directas: ¿Puedes demostrar que los titulares de datos reciben información clara y concisa sobre cada propósito para el que se procesan sus datos? ¿Puedes mostrar que tus avisos de privacidad cubren todas las bases legales, incluyendo evaluaciones de interés legítimo? ¿Puedes aportar pruebas de que se ofrecen divulgaciones just-in-time en cada punto de recogida de datos —no solo en tu web, sino también en tus apps, formularios, flujos de correo electrónico y herramientas impulsadas por IA?

La llamada está cerca — y la mayoría no está preparada

Esto no es un supuesto. El Comité Europeo de Protección de Datos anunció en marzo de 2026 que su acción del Marco de Aplicación Coordinada 2026 se centrará en la transparencia y las obligaciones de información bajo el GDPR. Aproximadamente 25 autoridades de protección de datos en la UE y el EEE evaluarán cómo los responsables cumplen estas obligaciones, usando acciones de aplicación e investigaciones, con resultados que guiarán acciones de seguimiento específicas en todos los sectores.

El Informe de Multas y Brechas del GDPR de DLA Piper (edición 2026) documentó 1,2 mil millones de euros en multas del GDPR durante 2025, con un aumento anual del 22% en notificaciones de brechas, promediando 443 por día. La aplicación ahora se centra en los artículos 5(1)(a) — licitud, lealtad y transparencia — y 5(1)(f) — integridad y confidencialidad. La acción coordinada del EDPB apunta directamente al primero de estos dos puntos críticos.

5 conclusiones clave

1. El Marco de Aplicación Coordinada 2026 del EDPB se centra en la transparencia.

Unas 25 autoridades de protección de datos evaluarán simultáneamente cómo los responsables cumplen las obligaciones de información y transparencia del GDPR — usando investigaciones, cuestionarios y recopilación de hechos que pueden derivar en acciones formales de aplicación. El alcance cubre los artículos 5(1)(a), 12, 13 y 14. Los equipos de cumplimiento del GDPR que no hayan mapeado explícitamente su organización frente a estos artículos no pueden evaluar su exposición.

2. Esto sigue un patrón de intensificación — no de orientación suave.

Ciclos anteriores del CEF se centraron en el derecho de acceso (2022), funciones del DPO (2023) y el derecho de supresión (2025). Cada uno produjo acciones de aplicación de seguimiento. El enfoque en transparencia para 2026 indica que las autoridades esperan encontrar brechas generalizadas — y los datos de aplicación lo confirman: las violaciones de transparencia bajo el artículo 5(1)(a) son de los motivos más citados en decisiones formales del GDPR.

3. Las multas del GDPR alcanzaron 1,2 mil millones de euros en 2025 con un aumento del 22% en notificaciones de brechas.

El entorno de aplicación es más exigente que nunca desde la entrada en vigor del reglamento. Las violaciones de privacidad de datos bajo los artículos 5(1)(a) y 5(1)(f) son un foco creciente de decisiones formales — y es justo ahí donde se dirige la acción coordinada del EDPB en 2026. Las organizaciones con brechas de transparencia están entrando en un ciclo de aplicación diseñado para detectarlas.

4. La mayoría de los avisos de privacidad no superan la prueba real de los reguladores.

La diferencia entre «tenemos una política de privacidad» y el cumplimiento demostrable con avisos por capas, divulgaciones just-in-time y bases legales específicas por propósito es donde surgen las acciones de aplicación. El Informe de Amenazas de Datos Thales 2026 encontró que solo el 33% de las organizaciones conoce completamente dónde almacena sus datos — y no puedes describir con precisión un procesamiento que no puedes localizar.

5. Los sistemas de IA amplifican exponencialmente el reto de la transparencia.

Cada agente de IA que procesa datos personales genera obligaciones de documentación, explicabilidad y transparencia que la mayoría no ha mapeado. La brecha de gobernanza de datos de IA se cruza directamente con la aplicación de transparencia del EDPB y los hitos de la Ley de IA de la UE que llegan simultáneamente en 2026.

¿Qué estándares de cumplimiento de datos importan?

Lee ahora

¿Qué busca realmente el EDPB?

La obligación de transparencia bajo el GDPR no es un único requisito. Es un conjunto de deberes por capas que abarcan los artículos 5(1)(a), 12, 13 y 14, que en conjunto exigen a los responsables proporcionar información concisa, transparente, inteligible, fácilmente accesible y en lenguaje claro y sencillo.

En la práctica, la investigación del EDPB evaluará varias dimensiones. Los responsables deben demostrar que los titulares de datos están informados sobre la identidad y datos de contacto del responsable, los propósitos y bases legales del tratamiento (incluyendo evaluaciones de interés legítimo cuando corresponda), las categorías de datos personales tratados, los destinatarios o categorías de destinatarios, los plazos de conservación y los derechos de los titulares. Esta información debe proporcionarse en el momento de la recogida (artículo 13) o en un plazo razonable cuando los datos se obtienen indirectamente (artículo 14).

El Informe de Amenazas de Datos Thales 2026 reveló que solo el 33% de las organizaciones conoce completamente dónde almacena sus datos y solo el 39% puede clasificar todos sus datos. Si las organizaciones no pueden localizar o clasificar sus datos, no pueden describir con precisión sus actividades de tratamiento en los avisos de privacidad. La obligación de transparencia exige una especificidad que la infraestructura de gobernanza de datos de la mayoría no puede sostener.

Por qué deberían preocuparte los ciclos anteriores del CEF

El Marco de Aplicación Coordinada no es nuevo. El EDPB lo ejecuta anualmente desde 2022, siguiendo siempre el mismo patrón: investigación coordinada, hallazgos agregados, publicación de orientaciones y luego aplicación dirigida en los años siguientes.

El CEF 2022 se centró en el derecho de acceso bajo el artículo 15. El ciclo de 2023 examinó el papel de los responsables de protección de datos. El ciclo de 2025 apuntó al derecho de supresión bajo el artículo 17. Cada ciclo produjo conclusiones que las autoridades usaron después para definir prioridades de aplicación y decisiones formales.

El enfoque en transparencia para 2026 indica que las autoridades esperan encontrar brechas generalizadas — y los datos de aplicación lo confirman. Un análisis de Aphaia indica que las violaciones de transparencia son de los motivos más citados en decisiones de aplicación del GDPR, pero siguen siendo de los controles menos implementados de forma consistente en los programas de cumplimiento de la mayoría.

La brecha en los avisos de privacidad: dónde fallan realmente las organizaciones

La diferencia entre lo que las organizaciones creen tener y lo que esperan los reguladores es estructural. La mayoría tiene una política de privacidad en su web. Muy pocas han implementado todas las medidas de transparencia que exige realmente el GDPR.

Faltan avisos por capas o están incompletos. El artículo 12 exige que la información se proporcione de forma concisa, transparente y fácilmente accesible. Para actividades de tratamiento complejas, el EDPB recomienda desde hace tiempo avisos por capas — una primera capa breve con información esencial, enlazada a capas suplementarias detalladas. La mayoría solo tiene una política de privacidad monolítica que falla tanto en concisión como en accesibilidad.

No existen divulgaciones just-in-time. Cuando se recogen datos personales mediante formularios, apps, chatbots o herramientas impulsadas por IA, la transparencia exige que la información relevante se proporcione en el punto de recogida — no enterrada en una política de privacidad general a tres clics. Ahora la mayoría de las organizaciones intercambia datos sensibles a través de múltiples canales distintos — correo electrónico seguro, uso compartido de archivos, SFTP, MFT, APIs, formularios web e integraciones de IA. Cada canal conlleva obligaciones de transparencia que una sola política de privacidad no puede cubrir.

La documentación de la base legal es vaga. El artículo 13(1)(c) exige a los responsables indicar la base legal de cada actividad de tratamiento. Muchas organizaciones recurren por defecto al «interés legítimo» sin documentar el test de equilibrio, o citan el «consentimiento» para tratamientos donde el consentimiento no es ni libre ni revocable. Cuando un investigador pide ver la evaluación de interés legítimo para una actividad concreta, la ausencia de documentación ya es un hallazgo.

Las especificaciones de propósito son demasiado generales. Decir que los datos personales se tratan «para mejorar nuestros servicios» no supera el test de especificidad. Cada propósito debe ser lo bastante específico para que el titular entienda qué se hace con sus datos y por qué. El Informe de Amenazas Internas DTEX/Ponemon 2026 halló que el 92% de las organizaciones afirma que GenAI ha cambiado la forma en que los empleados comparten información — pero la mayoría de los avisos de privacidad no se han actualizado para reflejar actividades de tratamiento impulsadas por IA.

La IA complica exponencialmente el problema de la transparencia

La acción de aplicación sobre transparencia del EDPB llega justo cuando las organizaciones están implementando sistemas de IA que generan categorías totalmente nuevas de obligaciones de transparencia — y la mayoría no las ha mapeado.

Cada agente de IA que procesa datos personales genera obligaciones bajo el GDPR y la próxima Ley de IA de la UE. Según el GDPR, hay que informar de la existencia de decisiones automatizadas (artículo 13(2)(f)), aportar información significativa sobre la lógica implicada y explicar la importancia y consecuencias previstas para el titular. Bajo la Ley de IA de la UE, los sistemas de IA de alto riesgo enfrentan requisitos adicionales de transparencia y documentación para agosto de 2026.

El Informe de Perspectivas Kiteworks 2026 halló que el 100% de las organizaciones encuestadas tiene IA agentica en su hoja de ruta, pero el 63% no puede imponer limitaciones de propósito a los agentes de IA. Si un agente de IA procesa datos personales sin vinculación de propósito, el responsable no puede describir con precisión el propósito en el aviso de transparencia — creando una brecha de cumplimiento que se agrava con cada interacción de IA no documentada.

El Informe de Amenazas de Datos Thales 2026 reveló que el 70% de los encuestados cita el cambio acelerado del ecosistema de IA como el riesgo relacionado con IA que más les preocupa. Las obligaciones de transparencia exigen que los avisos de privacidad reflejen las actividades de tratamiento actuales. Cuando el panorama de la IA cambia cada trimestre, las revisiones anuales de avisos de privacidad son estructuralmente insuficientes.

El mosaico de privacidad en EE. UU. amplifica el reto

La acción de aplicación del EDPB no ocurre en aislamiento. Las organizaciones que procesan datos personales en varias jurisdicciones enfrentan obligaciones de transparencia convergentes de múltiples regímenes regulatorios a la vez.

En Estados Unidos, 19 estados ya tienen leyes integrales de privacidad de datos en vigor, incluyendo nuevas como Indiana, Kentucky y Rhode Island, que entraron en vigor en enero de 2026. La CPPA de California finalizó regulaciones sobre tecnología de decisiones automatizadas con aplicación desde enero de 2027, sumando obligaciones de transparencia específicas de IA para organizaciones que atienden a residentes de California.

Para las organizaciones que operan en la UE y EE. UU. a la vez, el reto de la transparencia no es solo cumplir un estándar — es mantener avisos consistentes y precisos en jurisdicciones donde los requisitos difieren en detalle pero se solapan en principio. El Informe de Brechas de Terceros Black Kite 2026 documentó que entre los 50 principales proveedores compartidos, el 62% tenía credenciales corporativas en registros de stealer y el 80% mostró exposición a phishing — lo que significa que las organizaciones más propensas a notificar una brecha son también las que más escrutinio regulatorio recibirán sobre sus prácticas de transparencia después de una brecha.

Cómo ayuda Kiteworks a demostrar cumplimiento de transparencia

Cada intercambio de datos sensibles a través de la Red de Datos Privados de Kiteworks — correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web, APIs e integraciones de IA — queda registrado en una única trazabilidad de auditoría que documenta quién accedió a qué datos, cuándo, bajo qué política y por qué canal. Esta documentación de cadena de custodia es la base probatoria que exigen los investigadores: no una declaración de transparencia, sino un registro de cada actividad de tratamiento que describe el aviso de privacidad.

Los paneles de cumplimiento de Kiteworks ofrecen visibilidad continua sobre el estado regulatorio respecto a GDPR, HIPAA, CMMC y otros marcos, permitiendo a las organizaciones pasar de una preparación reactiva de auditorías a una gestión proactiva del cumplimiento. Cuando llegue el cuestionario del EDPB, Kiteworks aporta las pruebas — no una narrativa, sino un registro.

Para la gobernanza de IA específicamente, el servidor seguro MCP de Kiteworks y la puerta de enlace de datos IA aseguran que cada interacción de IA con datos personales esté gobernada, registrada y sea auditable — apoyando las obligaciones de transparencia que el tratamiento impulsado por IA genera bajo el artículo 13(2)(f) del GDPR y los requisitos de documentación de la Ley de IA de la UE.

Qué debes corregir antes de que llegue el investigador

Primero, audita tus avisos de privacidad frente a los requisitos de los artículos 13 y 14 — no frente a tu plantilla interna, sino al texto regulatorio real. Para cada actividad de tratamiento, verifica que el aviso especifique propósito, base legal (con evaluaciones de interés legítimo documentadas), categorías de datos, destinatarios, plazos de conservación y derechos del titular.

Segundo, implementa transparencia por capas y just-in-time. Tu política de privacidad web es necesaria pero no suficiente. Cada punto de recogida de datos — formularios web, chatbots, flujos de correo electrónico, portales de uso compartido de archivos, herramientas impulsadas por IA — necesita divulgación contextual en el momento de la recogida. La mayoría de las empresas intercambia datos sensibles a través de siete o más canales distintos; cada uno es una obligación de transparencia.

Tercero, mapea tus actividades de tratamiento de IA frente a los requisitos de transparencia. Si los agentes de IA procesan datos personales, tus avisos de privacidad deben informar de la existencia de decisiones automatizadas, la lógica implicada y las consecuencias. La aplicación de transparencia del EDPB y los requisitos de documentación de la Ley de IA de la UE convergen en la misma demanda: explica qué hacen tus sistemas con los datos personales, tanto a reguladores como a titulares.

Cuarto, prepara ya tus paquetes de pruebas. Cuando llegue el cuestionario, necesitas aportar registros de actividades de tratamiento (ROPA), evaluaciones de interés legítimo, registros de consentimiento, evaluaciones de impacto en la protección de datos y trazas de auditoría — no crearlas en ese momento. El informe de Thales halló que solo el 6% de las organizaciones que fallaron una auditoría no tenían historial de brechas, frente al 30% de las que aprobaron. Estar listo para la auditoría es prevenir brechas.

Quinto, establece una cadencia de revisión acorde a los cambios en tu tratamiento. Si tu hoja de ruta de IA añade nuevas actividades cada trimestre, las revisiones anuales de avisos de privacidad crean una brecha estructural de transparencia. Integra el ciclo de revisión en la gobernanza de la implementación de IA para que ninguna nueva actividad de tratamiento se ponga en marcha sin su actualización correspondiente de transparencia.

La acción coordinada del EDPB no es una sorpresa — está anunciada, su alcance es público y sus métodos de investigación son consistentes con los ciclos anteriores del CEF. Las organizaciones que se preparen ahora demostrarán cumplimiento. Las que no, engrosarán las estadísticas de aplicación del informe de DLA Piper del año que viene.

Para saber más sobre cómo proteger tus datos y demostrar cumplimiento de transparencia, solicita una demo personalizada hoy mismo.

Preguntas frecuentes

No. La aplicación coordinada del EDPB en 2026 examina si los responsables ofrecen avisos por capas, divulgaciones just-in-time en cada punto de recogida de datos y documentación de base legal específica por propósito. Una sola política de privacidad no cubre las obligaciones contextuales de transparencia derivadas de formularios, apps, flujos de correo electrónico y herramientas de IA — cada canal de recogida tiene su propia obligación bajo el artículo 13.

El GDPR aplica a cualquier organización que procese datos personales de la UE, sin importar su establecimiento. Las organizaciones estadounidenses deben auditar su cumplimiento de los artículos 13 y 14, asegurar que los avisos de privacidad cubran todos los propósitos y bases legales de tratamiento y preparar paquetes de pruebas que incluyan ROPA y evaluaciones de interés legítimo. Solo el 39% de las organizaciones puede clasificar todos sus datos según el informe Thales 2026 — una brecha que socava directamente el cumplimiento de transparencia.

El artículo 13(2)(f) del GDPR exige divulgar la toma de decisiones automatizada e información significativa sobre la lógica implicada. Los chatbots, copilotos y agentes de IA que procesan datos personales activan esta obligación. El informe de Perspectivas Kiteworks 2026 halló que el 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA — lo que significa que la mayoría no puede describir con precisión el tratamiento de IA en los avisos de transparencia. La puerta de enlace de datos IA y el servidor seguro MCP proporcionan la infraestructura de gobernanza y auditoría para cerrar esta brecha.

Ambas convergen en lo mismo: explicar qué hacen los sistemas con los datos personales. El GDPR exige transparencia sobre propósitos de tratamiento, bases legales y decisiones automatizadas. La Ley de IA de la UE suma requisitos de documentación, evaluación de conformidad y supervisión humana. Mapea los casos de uso de IA frente a ambos marcos usando una trazabilidad de auditoría y panel de cumplimiento unificados — crear paquetes de pruebas separados duplica esfuerzos y genera inconsistencias que los reguladores detectarán.

Los investigadores suelen solicitar registros de actividades de tratamiento (ROPA), avisos de privacidad para todas las actividades, evaluaciones de interés legítimo, EIPD, registros de consentimiento y evidencia de que las medidas de transparencia se aplican en cada punto de recogida. Prepáralas de forma proactiva — la encuesta GDPR de DLA Piper halló que los fallos de auditoría se correlacionan directamente con el historial de brechas, y la Red de Datos Privados de Kiteworks genera los paquetes de pruebas consolidados y exportables que convierten la respuesta a la autoridad en un ejercicio de documentación y no en una carrera contrarreloj.

Recursos adicionales

  • Artículo del Blog La lucha por tus datos: cómo las leyes CLOUD y SHIELD enfrentan seguridad y privacidad
  • Artículo del Blog Protege datos sensibles mapeando DSPM a tus objetivos de cumplimiento
  • Resumen Las 3 principales violaciones de FERPA y cómo evitarlas
  • Artículo del Blog Orden Ejecutiva 14117: Protegiendo los datos personales sensibles de los estadounidenses
  • Artículo del Blog ¿Necesitas cumplimiento NIS2? Empieza con ISO 27001

Preguntas frecuentes

El CEF 2026 pone el foco en la transparencia y las obligaciones de información bajo los artículos 5(1)(a), 12, 13 y 14 del GDPR. Aproximadamente 25 autoridades de protección de datos de la UE y el EEE usarán investigaciones, cuestionarios y recopilación de hechos para evaluar el cumplimiento, guiando acciones de aplicación específicas.

La mayoría de las organizaciones confía en una política de privacidad monolítica que carece de avisos por capas, divulgaciones just-in-time en cada punto de recogida de datos (formularios, apps, correo, herramientas de IA) y documentación específica de bases legales, incluyendo evaluaciones de interés legítimo. Los reguladores exigen información concisa, inteligible y específica por propósito bajo el artículo 12.

Los agentes de IA que procesan datos personales activan los requisitos del artículo 13(2)(f) de divulgar decisiones automatizadas, la lógica implicada y las consecuencias previstas. Muchas organizaciones no han mapeado estas actividades, y la Ley de IA de la UE añade requisitos de documentación adicionales para agosto de 2026, complicando aún más el reto.

Los responsables deben tener listos registros de actividades de tratamiento (ROPA), avisos de privacidad para todos los canales, evaluaciones de interés legítimo, EIPD, registros de consentimiento y trazas de auditoría que demuestren divulgaciones just-in-time. La preparación proactiva con registros unificados y paneles de cumplimiento ayuda a evitar acciones de aplicación.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks