La digitalización acelerada, la automatización de decisiones y el avance imparable de la inteligencia artificial han colocado los datos personales en el centro de una nueva tensión social, jurídica y tecnológica. En este contexto, el próximo 28 de enero, Europa celebra el Día de la Protección de Datos, una efeméride que va mucho más allá de lo simbólico.
Con motivo de esta fecha, El Diario de Madrid conversa con José Luis Sánchez Calvo, co-founder de Leasba Consulting, abogado especialista en Derecho Digital y de las Nuevas Tecnologías y director del área de LegalTech, Privacidad, Compliance & ESG de Leasba, para analizar hasta qué punto empresas, administraciones y ciudadanos son realmente conscientes del valor —y de la fragilidad— de la privacidad en la era digital.
El Día Europeo de la Protección de Datos tiene su origen hace más de 40 años. ¿Por qué sigue siendo hoy una fecha clave?
Porque el problema no solo persiste, sino que se ha agravado. El 28 de enero se conmemora la firma, en 1981, del Convenio 108 del Consejo de Europa, el primer instrumento internacional que reconoció la protección de datos personales como un derecho a salvaguardar.
Desde entonces, la tecnología ha avanzado de forma exponencial y el volumen de datos personales tratados se ha multiplicado. Hoy hablamos de privacidad en un contexto de hiperconectividad, plataformas digitales, algoritmos y sistemas de inteligencia artificial. Eso hace que la protección de datos sea, más que nunca, una cuestión estructural de nuestras sociedades.
El gran hito normativo reciente es el Reglamento General de Protección de Datos. ¿Qué cambió realmente con su entrada en vigor?
El RGPD, aplicable desde mayo de 2018, supuso un auténtico cambio de paradigma. No se limita a imponer obligaciones formales, sino que introduce el principio de responsabilidad proactiva: las organizaciones no solo deben cumplir, sino poder demostrar que cumplen.
Eso obliga a analizar riesgos, implantar medidas técnicas y organizativas, documentar procesos, formar al personal y revisar de forma continua los tratamientos de datos. Ya no vale improvisar ni reaccionar solo cuando surge un problema.
A menudo se habla de “datos” de forma genérica. ¿Qué es exactamente un dato personal?
Es una confusión muy extendida. Un dato personal es cualquier información que identifique o pueda identificar a una persona física, directa o indirectamente: un nombre, un correo electrónico, una dirección IP, datos biométricos, hábitos de consumo o localización.
Un dato empresarial, financiero o estratégico, por relevante que sea, no es un dato personal si no se refiere a una persona física identificada o identificable. La normativa de protección de datos protege derechos individuales, no secretos empresariales.
Desde el punto de vista empresarial, ¿la protección de datos dificulta la operativa diaria?
Existe una tensión natural entre el impulso del negocio y el cumplimiento normativo. Los proyectos buscan rapidez y resultados; el marco legal impone límites. El reto está en encontrar el equilibrio.
Nuestro trabajo como asesores, delegados de protección de datos y juristas especializados consiste precisamente en eso: acompañar al negocio, identificar riesgos y permitir que los proyectos avancen sin vulnerar derechos fundamentales. Cumplir la normativa no tiene por qué frenar la innovación si se integra desde el diseño.
¿Ese equilibrio se logra igual en grandes empresas que en pymes?
No. En las pymes, el principal problema sigue siendo la concienciación. Muchas perciben la protección de datos como un coste o una imposición burocrática, cuando en realidad es una obligación legal desde el momento en que tratan datos personales de clientes, empleados o proveedores.
No hablamos de sistemas complejos, sino de lo esencial: análisis de riesgos, registro de actividades de tratamiento, protocolos básicos y formación. El verdadero riesgo aparece cuando no hay absolutamente nada implantado. Ahí es donde las sanciones pueden ser más severas.
Europa es mucho más exigente que otros mercados. ¿Eso nos resta competitividad?
Europa ha optado claramente por la protección de los derechos fundamentales, incluida la privacidad. Estados Unidos o China tienen marcos regulatorios mucho más laxos, lo que les permite avanzar más rápido en determinados desarrollos tecnológicos.
La metáfora es sencilla: si no hay límites de velocidad, se llega antes. Europa ha decidido poner límites, aunque eso implique un menor ritmo de innovación. Es un modelo distinto, con ventajas y desventajas, pero coherente con su tradición jurídica y social.
La inteligencia artificial introduce nuevos riesgos. ¿Cómo encaja con la protección de datos?
La IA amplifica los riesgos existentes: recopilación masiva de datos, perfilados automatizados, falta de transparencia, decisiones discriminatorias o usos sin consentimiento. Por eso, además del RGPD, entra en juego el Reglamento Europeo de Inteligencia Artificial.
Cuando la IA trata datos personales, ambos marcos deben aplicarse conjuntamente. Las empresas deben analizar qué sistemas utilizan, con qué datos y para qué fines. La tecnología no puede convertirse en una vía para eludir derechos reconocidos.
Desde el punto de vista del ciudadano, ¿somos realmente conscientes de nuestros derechos?
Muy poco. La mayoría acepta políticas de privacidad sin leerlas. Jurídicamente, al marcar “he leído y acepto”, se entiende que el consentimiento existe, aunque en la práctica no haya una comprensión real.
Eso no legitima usos ilícitos. Cuando hay tratamientos sin consentimiento, cesiones indebidas, suplantaciones de identidad o fraudes, hablamos de infracciones graves e incluso delitos. En esos casos se puede acudir tanto a la Agencia Española de Protección de Datos como, si procede, a las fuerzas de seguridad y a los tribunales.
¿Qué papel juega la formación en todo este ecosistema?
Es clave. El RGPD contempla la formación obligatoria como una medida de seguridad. Cualquier persona que maneje datos personales debe conocer los principios básicos: qué puede hacer, qué no y cuáles son los riesgos.
Sin formación no hay cumplimiento real. La protección de datos no es solo documentación; es una cultura organizativa que debe interiorizarse.
Para cerrar, ¿qué mensaje lanza en este Día Europeo de la Protección de Datos?
Que la protección de datos no es un gasto, sino una inversión estratégica. Mejora el gobierno corporativo, reduce riesgos legales, refuerza la confianza y evita problemas graves en el futuro.
Implantar un programa de cumplimiento no basta: hay que mantenerlo vivo, revisarlo y actualizarlo. Quien no hace nada se expone a sanciones mucho más duras. En la era de la inteligencia artificial, proteger los datos personales es proteger derechos fundamentales.
