Cuidado con las cancelaciones de seguros en BBVA: una experiencia real que debes conocer

Durante años pensé que la época en la que los bancos aprovechaban la confianza de la gente para hacerles firmar documentos sin explicar realmente su contenido había quedado atrás. Aquellos tiempos en los que uno se sentaba frente a una persona trajeada, que hablaba con seguridad y acababas firmando cualquier documento que te entregaba confiando en el y en la entidad bancaria. Creí que, después del estallido de la burbuja inmobiliaria, de los escándalos, de las reclamaciones masivas y de los daños que tantas familias sufrieron, las entidades financieras habrían aprendido la lección y abandonado esas prácticas tan cuestionables.

Pero no. Lo que he vivido recientemente demuestra que esas dinámicas no han desaparecido; simplemente se han desplazado a otros productos menos vigilados: los seguros.

Por mi actividad profesional, muy vinculada al ámbito de la protección de datos, estoy acostumbrado a analizar cláusulas, consentimientos y bases jurídicas. Y quizá por eso este tipo de situaciones me indignan especialmente. Me pregunto si el Delegado de Protección de Datos responsable de estas sucursales es consciente del uso que se está haciendo de ciertos documentos informativos y de consentimiento, y de hasta qué punto se están empleando de manera inapropiada para finalidades que nada tienen que ver con lo que se está gestionando.

Si alguna vez has intentado cancelar un seguro con tu banco, quizá te suene esta historia. Si no, te conviene leerla con atención, porque lo que te voy a contar puede evitarte disgustos, pérdida de tiempo y, sobre todo, que firmes documentos que no deberías firmar.

Hace apenas un mes terminé de pagar completamente mi hipoteca con BBVA. Con la libertad de no estar ya vinculado a ningún producto obligatorio, decidí cancelar el seguro de hogar que tenía con ellos y contratar uno más económico con otra compañía. Hasta aquí, todo normal.

Pedí cita en mi oficina para gestionar la cancelación. Cuando llegué, me dijeron que no podían hacerlo allí, que “eso ahora se gestiona por teléfono con el gestor asignado”. Primera pérdida de tiempo. Primera señal de alarma.

La llamada…

Llamo al número que me facilitan. Explico que quiero cancelar el seguro de hogar. Me dicen que me enviarán dos documentos obligatorios que debo firmar para tramitar la cancelación. Acepto, porque entiendo que habrá algún tipo de formulario de baja.

Accedo a la web del banco, abro los documentos… y aquí empieza la parte preocupante.

Documento 1: un consentimiento de protección de datos que no tiene sentido

El primer documento es un consentimiento de protección de datos. Hasta ahí, nada raro. Lo extraño es la finalidad que aparece:

• Finalidad: Estudio, propuesta de seguro y, en su caso, formalización del contrato.
• Legitimación: Ejecución de un contrato.
• Destinatarios: Cesión a terceros colaboradores de la compañía y ficheros comunes del sector asegurador Transferencias internacionales intragrupo.
• Procedencia: El interesado a través del mediador de seguros.

¿Perdón?

Estoy intentando cancelar un seguro, no contratar uno nuevo. No hay ninguna “ejecución de contrato” pendiente. No necesito que cedan mis datos a terceros. No necesito que me estudien ni me propongan nada.

Y lo más grave: me dijeron por teléfono que era obligatorio firmarlo para cancelar el seguro.

Esto es una mala praxis de manual. Un consentimiento no puede ser obligatorio si no es necesario para la finalidad. Y aquí la finalidad no tiene nada que ver con la cancelación.

Cualquier persona mayor, despistada o confiada habría firmado sin darse cuenta de que estaba autorizando un tratamiento de datos totalmente innecesario y potencialmente invasivo.

Documento 2: el supuesto “documento de cancelación”… que en realidad es una renovación

El segundo documento supuestamente era el formulario para cancelar el seguro. Pero cuando lo abro, descubro que es el contrato actual del seguro, como si quisieran que lo firmara de nuevo.

Una maniobra que, siendo generosos, solo puede calificarse como confusa. Siendo realistas, parece un intento de que “pique” y renueve sin darme cuenta.

Intento de aclaración… y más evasivas

Vuelvo a llamar. Me dicen que la persona que me envió los documentos no está y que me llamarán enseguida. No llaman.

Llamo por la tarde. Otra persona me atiende. Le explico que:

• El consentimiento no tiene base legal para una cancelación.
• No es obligatorio firmarlo.
• El segundo documento no es una cancelación, sino una renovación.

Al principio insiste en que sí es obligatorio. Cuando ve que entiendo aspectos legales de la protección de datos, cambia el discurso: “Bueno, si no quieres firmarlo, no hace falta”.

Respecto al documento de renovación, me dice que “puede ser un error” y que mañana me enviarán el correcto.

¿Qué está pasando aquí?

Lo que está pasando es simple:

• Se intenta forzar la firma de un consentimiento innecesario para legitimar el tratamiento del contrato y el servicio.
• Se intenta colocar un documento que no corresponde.
• Se juega con la desinformación del cliente.
• Se dificulta la cancelación para ver si desistes o renuevas sin querer.

No digo que sea ilegal porque somos nosotros los que debemos leer e informarnos, pero que pasa con la gente que confía? o con la gente joven o mayor que no entiende los tecnicismos de los documentos? Pienso que es una mala práctica que vulnera principios básicos de transparencia y minimización de datos sobre todo si te engañan diciendo que debes firmar los documentos, el de protección de datos y el de cancelación pero tales documentos no son para dichos propósitos.

¿Qué puedes aprender de esta experiencia?

1. Nunca firmes un consentimiento de datos que no tenga sentido para la gestión que estás realizando.
2. Nadie puede obligarte a firmar un consentimiento para cancelar un servicio por regla general.
3. Lee siempre los documentos que te envían, aunque te digan que son “los obligatorios”.
4. Si algo no cuadra, pide explicaciones.
5. Si te marean, insiste. Tienes derecho a cancelar cualquier seguro con un simple escrito.

Conclusión

La protección de datos no es un trámite burocrático: es una herramienta diseñada para evitar abusos y garantizar que las personas conserven el control sobre su información. Y, desde luego, la cancelación de un seguro no debería convertirse en una carrera de obstáculos. Sin embargo, todavía existen empresas que utilizan la protección de datos como excusa para justificar consentimientos innecesarios o para generar una falsa sensación de obligatoriedad, aprovechando que muchos usuarios confían en que “si es por protección de datos, será por mi seguridad”.

También es frecuente encontrar organizaciones que recurren al comodín del “por protección de datos no podemos” para denegar derechos o evitar responsabilidades, a veces por desconocimiento y otras por interés intencionado. Es triste ver cómo una ley creada para proteger al ciudadano puede terminar utilizándose en algunos casos más a favor de la empresa que del usuario.

Si esta experiencia sirve para que otros estén más atentos, habrá merecido la pena contarla. La protección de datos existe precisamente para defendernos de prácticas como esta, no para convertirse en un obstáculo o en un arma en nuestra contra.

El objetivo de compartir esta historia es claro: alertarte para que no te dejes engañar. Tus datos y tu derecho a elegir libremente un seguro no deberían convertirse en un juego de trampas. Si has vivido algo parecido, compartir esta información puede ayudar a otros a no caer en lo mismo.

Y, por último, un recordatorio importante: si tienes dudas como empresa o como usuario, acude siempre a un consultor profesional de confianza. En este sector conviven perfiles muy distintos: profesionales que trabajan para proteger a la empresa y a sus usuarios, y otros que, por desconocimiento o por una interpretación interesada, pueden ofrecer un enfoque mas proteccionista de la empresa. Igual que existen empresas que se toman en serio la protección de datos teniendo en cuenta a sus empleados y usuarios, también las hay que solo la utilizan como escudo, sin preocuparse realmente por la privacidad de las personas.

La Agencia Española de Protección de Datos (AEPD) ha dado un paso importante en su estrategia de apoyo a autónomos y pequeñas empresas con la publicación de una Guía de cifrado. Este documento práctico busca ofrecer herramientas claras y accesibles para que sectores con menos recursos tecnológicos puedan proteger la información personal que manejan en su día a día. El lanzamiento se enmarca dentro del Plan Estratégico 2025-2030, cuyo objetivo es acompañar especialmente a micropymes y autónomos en el cumplimiento normativo y en la adopción de buenas prácticas de seguridad.

El cifrado, técnica central de la guía, consiste en transformar la información en un formato ilegible para cualquiera que no disponga de la clave de descifrado. De esta manera, se convierte en una barrera eficaz frente a accesos no autorizados y reduce el impacto de posibles brechas de seguridad. La AEPD subraya que esta medida no es exclusiva de grandes corporaciones: puede aplicarse de forma sencilla en tareas cotidianas como el envío de correos electrónicos, el almacenamiento en la nube o la protección de datos en dispositivos portátiles.

Uno de los aspectos más relevantes del documento es que se apoya en casos reales de incidentes comunicados a la Agencia. Entre ellos se incluyen pérdidas o robos de dispositivos, publicaciones accidentales de datos personales, envíos erróneos de información confidencial y accesos indebidos por abuso de privilegios. Estos ejemplos muestran cómo la falta de medidas preventivas puede tener consecuencias graves para las personas afectadas. La guía propone soluciones concretas que, de haberse aplicado, habrían evitado o al menos mitigado los daños.

Además del cifrado, la AEPD insiste en la importancia de aplicar el principio de minimización: tratar únicamente la información personal estrictamente necesaria en cada fase del proceso. Esta práctica reduce la exposición de datos y limita el impacto en caso de que falle alguna medida de seguridad. El enfoque se alinea con el Reglamento General de Protección de Datos (RGPD), que en su Considerando 83 reconoce el cifrado como una herramienta clave para garantizar la seguridad de las comunicaciones y la protección de la información.

La guía no se limita a explicar conceptos técnicos, sino que ofrece un enfoque pedagógico y accesible. Su propósito es que cualquier autónomo o pyme pueda implementar estas medidas sin necesidad de conocimientos avanzados. En este sentido, se convierte en un recurso valioso para quienes buscan cumplir con la normativa y, al mismo tiempo, reforzar la confianza de sus clientes en el manejo responsable de sus datos.

En conclusión, la publicación de esta guía representa un avance significativo en la democratización de la seguridad digital. Al poner al alcance de autónomos y pequeñas empresas herramientas prácticas y ejemplos reales, la AEPD contribuye a que sectores tradicionalmente más vulnerables puedan proteger mejor la información personal que gestionan. Se trata de una iniciativa que no solo responde a las exigencias legales, sino que también promueve una cultura de responsabilidad y prevención en el tratamiento de datos. En un entorno cada vez más digitalizado, este tipo de recursos se convierten en aliados imprescindibles para garantizar la confidencialidad, integridad y disponibilidad de la información.

Descarga la nueva guía

3 de septiembre de 2025 – Una reciente decisión del Tribunal General de la Unión Europea ha dado un respaldo importante al marco que permite el intercambio de datos personales entre la Unión Europea y Estados Unidos, conocido como el EU-US Data Privacy Framework. Este acuerdo, aprobado por la Comisión Europea en julio de 2023, facilita que empresas y organizaciones transfieran información personal, como nombres, correos electrónicos o datos de clientes, entre ambos continentes sin necesidad de permisos adicionales.

La Agencia Española de Protección de Datos (AEPD) ha celebrado esta sentencia, destacando que trae estabilidad y confianza para las empresas y ciudadanos que dependen de estas transferencias de datos. Pero, ¿qué significa esto para el público general? Vamos a explicarlo de forma sencilla.

¿Por qué es importante este acuerdo?

Imagina que usas una aplicación o un servicio online, como una red social, una tienda virtual o una plataforma de streaming. Muchas de estas empresas tienen servidores o socios en Estados Unidos, lo que significa que tus datos personales (como tu nombre o tus preferencias) pueden viajar desde Europa hasta allí. Para que esto sea seguro, la Unión Europea exige que los países fuera de Europa tengan reglas estrictas para proteger tu información, similares a las que existen en Europa.

El EU-US Data Privacy Framework es un conjunto de reglas que asegura que, cuando tus datos llegan a Estados Unidos, están protegidos de manera adecuada. La sentencia del Tribunal General confirma que este sistema funciona bien y cumple con los estándares europeos.

¿Qué ha dicho el Tribunal?

El Tribunal analizó un recurso presentado contra este acuerdo y decidió desestimarlo, es decir, no encontró problemas graves en él. Algunos puntos clave de su decisión son:

1. Independencia de los jueces en EE.UU.
   En Estados Unidos, se creó un tribunal especial llamado Data Protection Review Court (DPRC) para supervisar cómo se manejan los datos. Algunas personas dudaban de si este tribunal era realmente independiente, pero el Tribunal Europeo concluyó que sus jueces trabajan sin presiones del gobierno o las agencias de inteligencia, lo que garantiza decisiones justas.
2. Control sobre la vigilancia
   Había preocupaciones sobre si las agencias de inteligencia estadounidenses podían acceder a los datos de ciudadanos europeos sin control. El Tribunal explicó que, aunque no siempre se necesita un permiso previo para ciertas acciones, el DPRC revisa estas actividades después de que ocurren, asegurando que todo se haga de forma correcta y respetando la privacidad.
3. Revisión constante
   La Comisión Europea no se queda de brazos cruzados. Tiene la obligación de vigilar que Estados Unidos siga cumpliendo con estas reglas. Si algo cambia en el futuro, la Comisión puede ajustar o incluso cancelar el acuerdo para proteger mejor los datos.

¿Qué significa para las empresas y los ciudadanos?

Para las empresas, esta sentencia es una buena noticia porque les da seguridad para seguir trabajando entre Europa y Estados Unidos sin temor a sanciones o problemas legales. Por ejemplo, una empresa española que usa un servicio de almacenamiento en la nube con servidores en EE.UU. puede estar tranquila sabiendo que cumple con la ley.

Para los ciudadanos, significa que sus datos están mejor protegidos cuando se envían a Estados Unidos. Además, la supervisión constante asegura que cualquier problema que surja será abordado rápidamente.

Un paso hacia la estabilidad digital

La AEPD ha destacado que esta decisión fortalece la confianza en el intercambio de datos a nivel internacional, algo clave en un mundo donde la tecnología conecta a personas y empresas de distintos países. Este fallo no solo beneficia a Europa y EE.UU., sino que también establece un precedente para acuerdos similares con otros países.

Resumen de los puntos clave

• Sentencia favorable: El Tribunal General de la UE confirma la validez del EU-US Data Privacy Framework, permitiendo transferencias seguras de datos entre la UE y EE.UU.
• Protección garantizada: El sistema estadounidense ofrece un nivel de protección adecuado para los datos personales, según el Tribunal.
• Supervisión judicial: El Data Protection Review Court en EE.UU. asegura que las actividades de inteligencia respeten la privacidad.
• Vigilancia continua: La Comisión Europea supervisará que EE.UU. cumpla con el acuerdo y podrá modificarlo si es necesario.
• Impacto positivo: La decisión aporta estabilidad para empresas y confianza para los ciudadanos en la protección de sus datos.

En un contexto de rápida evolución tecnológica, la Agencia Española de Protección de Datos (AEPD) ha emitido un recordatorio clave sobre su capacidad para intervenir en sistemas de inteligencia artificial (IA) que procesan datos personales, especialmente aquellos clasificados como prohibidos bajo el Reglamento Europeo de IA (RIA, Reglamento 2024/1689). Esta nota de prensa, publicada el 15 de julio de 2025, subraya que la AEPD puede actuar de inmediato para proteger los derechos de privacidad, incluso antes de la plena entrada en vigor de la normativa. [AEPD, 2025] Con la fecha crítica del 2 de agosto de 2025 aproximándose, cuando entrarán en vigor las prohibiciones y el régimen sancionador de ciertos artículos del RIA, esta actualización resalta la intersección entre IA y protección de datos en España.

Antecedentes y Alcance de la Intervención de la AEPD

La AEPD ha analizado sus competencias en relación con el Artículo 5 del RIA, que detalla prácticas de IA prohibidas por su potencial daño a los derechos fundamentales. [RIA Artículo 5] Aunque España aún no ha aprobado su ley nacional de IA, lo que retrasa la designación formal de la AEPD como autoridad de vigilancia del mercado, la agencia mantiene su autoridad en materia de protección de datos. Esto le permite supervisar y sancionar tratamientos de datos personales en sistemas de IA prohibidos, como la identificación biométrica remota en tiempo real en espacios públicos, siempre que afecten a la privacidad individual. [AEPD, 2025] La AEPD enfatiza la necesidad de reforzar sus recursos técnicos, humanos y presupuestarios para asumir plenamente estas funciones una vez implementada la legislación nacional.

Prácticas de IA Prohibidas Según el Artículo 5 del RIA

El Artículo 5 del Reglamento Europeo de IA establece una lista exhaustiva de prácticas prohibidas, diseñadas para salvaguardar la dignidad humana, la libertad y la privacidad. Entre las prohibiciones destacan:

• Técnicas subliminales o manipuladoras que distorsionan el comportamiento, causando daños significativos, sin excepciones explícitas. [RIA Artículo 5]
• Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica, también sin permisos.
• Categorización biométrica para inferir características sensibles como opiniones políticas o orientación sexual, permitida solo para etiquetado o filtrado legal de conjuntos de datos biométricos.
• Puntuación social que clasifica individuos por comportamiento, con excepciones para evaluaciones legales específicas.
• Identificación biométrica remota en tiempo real en espacios públicos para fines policiales, autorizada excepcionalmente para búsquedas de víctimas, amenazas a la vida o localización de sospechosos de delitos graves, con requisitos como autorización judicial y límites temporales/geográficos. [RIA Artículo 5]
• Evaluaciones de riesgo criminal basadas en perfiles, permitidas si no se basan solo en rasgos de personalidad y incluyen datos objetivos.
• Raspado no dirigido de internet para bases de datos de reconocimiento facial, sin excepciones.
• Reconocimiento de emociones en entornos laborales o educativos, permitido por razones médicas o de seguridad.

Estas prohibiciones se alinean con el RGPD, priorizando la minimización de datos y la protección por diseño. [RIA Artículo 5] La AEPD puede intervenir si estos sistemas procesan datos personales, incluso antes del 2 de agosto de 2025.

Controversias y Casos Recientes Relacionados

El anuncio llega en medio de un aumento en reclamaciones relacionadas con IA. En 2024, la AEPD recibió 19.000 quejas, destacando retos como la IA, espacios de datos y neurodatos. [AEPD Reclamaciones] Un caso notable es la sanción impuesta por el uso de datos biométricos con IA en exámenes universitarios online, considerado ilegal por su intrusividad, aunque se apuntan posibilidades normativas bajo ciertas condiciones. [Sanción Universidad] Además, la entrada en vigor de prohibiciones iniciales en febrero de 2025, como el reconocimiento de emociones en workplaces, ha generado debates sobre multas de hasta 35 millones de euros. [Europarl]

En redes sociales, profesionales del derecho y empresas han compartido preocupaciones sobre el impacto en negocios, como la identificación biométrica, instando a adaptaciones inmediatas. [X Debate] Publicaciones en X destacan cómo esto afecta a sectores como el turismo o la educación, con llamadas a consultar blogs especializados para cumplimiento.

Consecuencias para Empresas y Recomendaciones

Las implicaciones son significativas: ignorar estas normas podría resultar en sanciones millonarias y daños reputacionales. La AEPD recomienda a entidades que implementen IA preparar medidas de cumplimiento, como evaluaciones de impacto y transparencia. [AEPD, 2025] En contextos laborales, sindicatos y expertos urgen a prohibir usos como la detección de emociones, alineados con el RIA. [Europarl] Para consultores, esto representa una oportunidad para asesorar en auditorías proactivas, integrando el RGPD con el RIA.

En resumen, el posicionamiento de la AEPD fortalece la protección de datos en la era de la IA, equilibrando innovación y derechos fundamentales. Con la fecha del 2 de agosto de 2025 en el horizonte, empresas deben actuar con urgencia para evitar riesgos en un panorama regulatorio cada vez más estricto.

Fuentes

1. AEPD. (2025). La AEPD recuerda que ya puede actuar ante sistemas de IA.
2. Reglamento (UE) 2024/1689, Artículo 5.
3. AEPD. (2025). Reclamaciones en el primer semestre.
4. DataGuidance. (2024). Sanción a universidad por uso de datos biométricos.
5. Parlamento Europeo. (2023). EU AI Act.
6. X. (2025). Debate sobre impacto de la regulación de IA.

En un movimiento que resalta la prioridad de la minimización de datos en la era digital, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota técnica aclarando que no se permite solicitar copias del DNI o pasaporte en establecimientos de hospedaje. Esta directriz, alineada con el Reglamento General de Protección de Datos (RGPD), busca equilibrar las obligaciones de seguridad con el respeto a la privacidad individual, afectando directamente a hoteles, apartamentos turísticos y plataformas como Airbnb. Para consultores en adaptación a normativas de datos, esta actualización representa una oportunidad para revisar protocolos y evitar exposición a riesgos regulatorios.[AEPD]

Razones Detrás de la Prohibición

La AEPD argumenta que pedir una copia del DNI viola el principio de minimización establecido en el artículo 5.1.c del RGPD, ya que incluye información superflua como fotografías, fechas de caducidad o datos familiares no requeridos por el Real Decreto 933/2021. Este decreto obliga a recopilar datos específicos de huéspedes para fines de seguridad pública, como prevención de delitos, pero no justifica el tratamiento excesivo de datos sensibles. Además, la agencia destaca riesgos como la suplantación de identidad, ya que una copia no verifica de manera fiable la autenticidad del portador. Enviar o escanear documentos no solo incrementa vulnerabilidades cibernéticas, sino que también podría exponer a millones de usuarios a brechas de datos, un problema recurrente en el sector turístico.

Alternativas Recomendadas para Cumplir con la Normativa

Para facilitar el cumplimiento, la AEPD propone métodos alternativos que priorizan la eficiencia y la privacidad. Los huéspedes pueden completar formularios presenciales o digitales con los datos exactos exigidos, como nombre, dirección y detalles de contacto. En check-ins presenciales, basta con una verificación visual del documento. Para reservas online, se sugieren certificados digitales, validación mediante datos de pago o códigos de autenticación enviados por SMS o email. Estos enfoques no solo reducen riesgos, sino que agilizan procesos, permitiendo a las empresas mantener la operatividad sin comprometer la conformidad. Consultores pueden asesorar en la implementación de estas herramientas, integrando evaluaciones de impacto en protección de datos para personalizar soluciones.

Polémicas y Quejas de Usuarios: Un Debate en Aumento

La práctica de solicitar copias de DNI ha generado controversia significativa, con numerosas quejas de usuarios que denuncian invasiones a su privacidad. En redes sociales y foros, viajeros han reportado casos donde hoteles insisten en escanear documentos, exponiéndolos a potenciales estafas o robos de identidad, como alertó la Policía Nacional en campañas recientes.[Policía Nacional] Un ejemplo viral en TikTok involucra a un experto en ciberseguridad advirtiendo que «pueden hacer de todo» con una copia del DNI, desde fraudes hasta usos no autorizados.[TikTok] Otro caso destacado: un cliente denunció a un hotel por escanear su DNI, resultando en una sanción que generó debate sobre prácticas estandarizadas en la industria.[Caso Hotel] Estas polémicas se intensifican en plataformas como Facebook, donde usuarios comparten experiencias de rechazo a peticiones, argumentando que basta con mostrar el documento sin copiarlo.[Facebook] La AEPD ha respondido a estas inquietudes, reforzando que tales demandas son innecesarias y contraproducentes.

Consecuencias para las Empresas: Multas y Reputación en Juego

Las implicaciones para las compañías son severas. La AEPD ha impuesto sanciones ejemplares, como una multa de 75.000 euros a una cadena hotelera por exigir fotografías de DNI de forma rutinaria, o rebajas a 5.400 euros en casos menores tras admisión de culpa.[75.000€][5.400€] En incidentes más graves, las penalizaciones han alcanzado los 300.000 euros por violaciones sistemáticas del RGPD.[Multas Altas] Más allá de lo económico, las empresas enfrentan daños reputacionales, pérdida de confianza de clientes y posibles demandas colectivas. En un contexto de mayor escrutinio, como el nuevo registro de viajeros, ignorar estas directrices podría derivar en inspecciones y suspensiones operativas. Consultores recomiendan auditorías proactivas para mitigar estos riesgos, transformando la conformidad en una ventaja competitiva.

Implicaciones para Consultores en Adaptación a Protección de Datos

Para profesionales especializados, esta nota de la AEPD subraya la necesidad de guiar a clientes hacia prácticas sostenibles. Evaluar y rediseñar flujos de check-in, capacitar personal y monitorear actualizaciones regulatorias son pasos clave. Al integrar herramientas digitales seguras, los consultores pueden ayudar a evitar polémicas y fortalecer la resiliencia ante futuras normativas europeas.

En resumen, esta directriz no solo corrige una práctica común, sino que impulsa un sector turístico más ético y seguro. Con el aumento de quejas y sanciones, las empresas que se adapten rápidamente ganarán en credibilidad, mientras que los consultores jugarán un rol pivotal en esta transición.

En un entorno cada vez más marcado por la innovación digital y el escrutinio regulatorio, la Agencia Española de Protección de Datos (AEPD) ha informado de un notable incremento en las preocupaciones ciudadanas sobre el manejo de datos personales. El último informe semestral de actividades correspondiente a la primera mitad de 2025 revela un aumento del 30% en las reclamaciones presentadas en comparación con el período anterior, lo que subraya la necesidad de que los consultores prioricen estrategias de cumplimiento sólidas en medio de un creciente número de acciones sancionadoras. Este aumento, impulsado por problemas en sectores como telecomunicaciones, finanzas y servicios en línea, señala un cambio social hacia una mayor conciencia de los derechos de privacidad bajo el Reglamento General de Protección de Datos (RGPD).

Las cifras clave del informe muestran la magnitud de la carga de trabajo de la agencia. Se procesaron más de 8.656 notificaciones, lo que resultó en 2.307 admisiones para investigación adicional y 659 procedimientos sancionadores. Las brechas de datos siguen siendo un punto crítico, con 1.211 incidentes reportados entre diciembre de 2024 y junio de 2025, afectando a unos 54 millones de personas. Aunque las resoluciones que exigen notificar a los afectados por brechas disminuyeron ligeramente a cinco, el volumen resalta vulnerabilidades en las prácticas de seguridad de datos, áreas donde los consultores pueden aportar valor realizando evaluaciones de riesgos exhaustivas e implementando protocolos de respuesta a brechas.

Una tendencia destacada es la creciente intersección entre la inteligencia artificial (IA) y la protección de datos. Las consultas sobre aplicaciones de IA han aumentado, especialmente desde administraciones públicas que buscan orientación sobre el uso de IA para inspecciones, asesoramiento legal y optimización de recursos. En el sector sanitario, las consultas se centraron en la legitimación del uso de datos en investigaciones biomédicas y ensayos clínicos, incluyendo consideraciones éticas sobre clonación de voz e imágenes mediante IA. Para los consultores, esto representa una oportunidad para especializarse en cumplimiento de IA, especialmente con el nuevo Reglamento Europeo de IA en vigor. Adaptar los sistemas de los clientes a estas normas implica evaluar despliegues de IA de alto riesgo y garantizar la transparencia en el tratamiento de datos, evitando potencialmente sanciones millonarias.

La protección de grupos vulnerables, especialmente menores, es otro foco clave. El canal específico para jóvenes de la AEPD gestionó 1.106 consultas, con los padres representando el 61% de las mismas. Los problemas más comunes incluyeron la publicación no autorizada de imágenes de menores en redes sociales por parte de escuelas o familiares, y avisos de privacidad inadecuados en plataformas educativas. Los consultores que asesoren a instituciones educativas o proveedores de servicios digitales deben priorizar mecanismos de consentimiento adecuados a la edad y controles parentales. Recursos como el portal “tudecideseninternet.es” de la AEPD, con casi 30.000 visitas, ofrecen herramientas prácticas para campañas de concienciación que los consultores pueden aprovechar para desarrollar programas de formación personalizados que reduzcan riesgos y fomenten confianza.

La colaboración internacional también amplificó los esfuerzos de la AEPD, con participación en 96 reuniones en foros europeos y globales. El liderazgo en la Red Iberoamericana de Protección de Datos y las discusiones sobre neurorights y violencia digital destacan la naturaleza global de los desafíos de privacidad. Para los consultores que trabajen con clientes multinacionales, mantenerse al día con las directrices transfronterizas, como las opiniones del Comité Europeo de Protección de Datos sobre modelos de IA y blockchain, es crucial para navegar por los diversos marcos regulatorios.

Los avances tecnológicos apoyan aún más la adaptación. La AEPD mejoró herramientas como Facilita RGPD y Comunica-Brecha, asistentes web diseñados para el cumplimiento del RGPD y la notificación de brechas. Estas herramientas, ahora más accesibles y eficientes, pueden agilizar los flujos de trabajo de los consultores, desde auditorías iniciales hasta el monitoreo continuo. Además, la migración de la agencia a infraestructura en la nube y las capacidades de prueba de IA apuntan a un futuro enfoque en ciberseguridad, incluyendo preparación contra ransomware.

De cara al futuro, el trabajo preparatorio de la AEPD para su Plan Estratégico 2025-2030, con aportes de partes interesadas, sugiere prioridades en evolución en torno a la ética de la IA y la inclusión digital. Los consultores deben tomar esto como una señal para integrar elementos proactivos en sus servicios, como auditorías éticas de IA y evaluaciones de vulnerabilidades para datos de menores.

En resumen, el informe sirve como una hoja de ruta para los consultores: anticipar las complejidades de la IA, fortalecer las protecciones para grupos de riesgo y aprovechar las herramientas de la agencia para ofrecer soluciones de cumplimiento proactivas y de valor. A medida que las reclamaciones siguen aumentando, quienes se adapten rápidamente no solo ayudarán a sus clientes a evitar problemas, sino que también capitalizarán la demanda de orientación experta en un mundo cada vez más centrado en los datos.

La inteligencia artificial está transformando el tratamiento de datos, y las empresas deberán adaptar su documentación para cumplir con las nuevas exigencias. Todo tratamiento que se recabe, procese o delegue mediante sistemas de IA deberá someterse a medidas más estrictas y una vigilancia reforzada, garantizando así la protección efectiva de los derechos digitales.

Recientemente en el curso de verano de la Universidad Internacional Menéndez Pelayo, Cotino realizó una intervención en el curso de verano de la Universidad Internacional Menéndez y dejó claro que la AEPD no va a limitarse a reaccionar ante los cambios tecnológicos: va a liderarlos. Desde una perspectiva profesional, resulta especialmente relevante su apuesta por la creación de un Laboratorio de Privacidad, donde se integren conocimientos técnicos y jurídicos para generar soluciones aplicables.

Otro dato significativo es el aumento del 30 % en las reclamaciones ante la Agencia en el primer semestre del año. Este incremento refleja una ciudadanía más consciente de sus derechos, pero también la necesidad urgente de reforzar los recursos humanos y técnicos de la institución.

¿Pero quién es Lorenzo Cotino?

Lorenzo Cotino Hueso es una figura destacada en el ámbito jurídico español, especialmente en lo que respecta a derechos fundamentales y protección de datos. Catedrático de Derecho Constitucional en la Universitat de València, ha sido magistrado suplente del Tribunal Superior de Justicia de la Comunitat Valenciana y vocal del Consejo de Transparencia. Su trayectoria académica y profesional lo posiciona como un experto en el cruce entre tecnología, legalidad y derechos digitales.

Con más de 180 publicaciones científicas y la coordinación de redes sobre inteligencia artificial, administración electrónica y privacidad, Cotino representa una visión profundamente técnica y ética del futuro digital. Su nombramiento como presidente de la Agencia Española de Protección de Datos (AEPD) no solo es acertado, sino necesario.

Un plan estratégico con visión colaborativa

Cotino presentó el Plan Estratégico 2025–2030, compuesto por 45 objetivos y más de 200 medidas. Lo más destacable es que se ha construido desde la escucha activa, con más de 470 aportaciones de profesionales, empresas y ciudadanos. Esta forma de trabajo, basada en la co-creación, es precisamente lo que necesita una institución que debe adaptarse a un entorno digital cambiante.

¿Qué cambios se prevén en el RGPD y cómo afectarán a consultores y empresas?

La evolución del Reglamento General de Protección de Datos (RGPD) hacia 2025–2030 no implica una reforma radical, pero sí una reinterpretación más exigente en su aplicación. La Agencia Española de Protección de Datos (AEPD), bajo el liderazgo de Lorenzo Cotino, ha dejado claro que se apostará por una supervisión más proactiva, especialmente en el uso de tecnologías disruptivas como la inteligencia artificial y la biometría.

Actualización de documentación y registros adaptados para el tratamiento de IA

Los consultores deberán revisar y actualizar toda la documentación entregada a sus clientes, incluyendo:

• Registros de actividades de tratamiento: Se exigirá mayor detalle en los fines del tratamiento, las bases jurídicas y las medidas de seguridad aplicadas si el tratamiento se realiza con inteligencia artificial.
• Políticas de privacidad: Deberán incorporar cláusulas específicas sobre el uso de algoritmos, decisiones automatizadas y transferencias internacionales.
• Contratos con encargados del tratamiento: Se prevé una revisión más estricta de las cláusulas contractuales, especialmente en lo relativo a subencargados y auditorías.

Nuevas medidas técnicas y organizativas

La AEPD está promoviendo un enfoque basado en el riesgo, lo que implica que las medidas de seguridad ya no serán genéricas, sino adaptadas al tipo de tratamiento y al nivel de riesgo para los derechos de los interesados. Esto incluye:

• Cifrado y seudonimización avanzada.
• Auditorías periódicas de sistemas automatizados.
• Protocolos de respuesta ante brechas de seguridad más exigentes.

Evaluaciones de impacto y análisis de necesidad

Las Evaluaciones de Impacto en Protección de Datos (EIPD) serán más frecuentes y detalladas. La AEPD ha publicado listas orientativas de tratamientos que requieren o no requieren EIPD, pero se espera que estas listas se actualicen para incluir nuevos escenarios como:

• Tratamientos con IA generativa.
• Uso de datos biométricos en entornos laborales.
• Monitorización masiva en espacios públicos.

Además, los análisis de necesidad deberán justificar no solo la legalidad del tratamiento, sino su proporcionalidad y compatibilidad con los principios éticos del RGPD.

Nuevas exigencias para los clientes si se utiliza IA

Las empresas deberán asumir un rol más activo en el cumplimiento normativo. Esto implica:

• Designar Delegados de Protección de Datos (DPO) incluso en casos donde no era obligatorio antes.
• Implementar códigos de conducta sectoriales y sistemas de certificación.
• Participar en procesos de consulta previa con la AEPD cuando el tratamiento implique riesgos elevados.

Supuestos futuros: ¿hacia un RGPD más dinámico?

Aunque no hay una reforma legislativa en curso, se barajan escenarios como:

Protección de datos como derecho evolutivo: Se espera que el RGPD se interprete cada vez más como un marco ético, no solo legal, lo que exigirá a los consultores una formación continua y multidisciplinar.

RGPD 2.0: Una versión revisada que incorpore principios de gobernanza algorítmica, transparencia automatizada y derecho a la explicabilidad.

Interoperabilidad normativa: Mayor alineación con otras normativas como la Ley de Inteligencia Artificial de la UE o la futura Ley de Neurotecnologías.

La nota oficial de la noticia puede consultarse en la web de la Agencia Española de Protección de Datos (AEPD).

Recuerde que el encargado del control horario debería revisar las incidencias al menos una vez por semana.

Se recomienda utilizar los fichajes manuales solo en casos excepcionales, incidencias o para facilitar el trabajo del encargado, y no como método de fichaje habitual.

La nueva normativa de control horario está prevista para entrar en vigor durante el primer trimestre de 2025.

El uso excesivo de fichajes manuales puede reflejar una falta de transparencia y manipulación de las horas. Por favor, téngalo en cuenta.

Para garantizar el cumplimiento de la normativa y evitar posibles problemas legales, TecnoLOPD se reserva el derecho de eliminar la función de fichajes manuales si se considera necesario.

Toc Time es un programa de control horario que te ayuda a gestionar el tiempo de trabajo de tus empleados en tiempo real. Mira a continuación algunas de las características de nuestro software de control horario y mira todas las ventajas de descargar hoy nuestro programa.

Si algo es cierto, es que un empresario que no mide, no gestiona y si no gestiona, no controla. Así que mira de qué manera es que Toctime puede ayudarte a ti como empresario, desde el primer día.

Un software de control horario para registrar el tiempo de trabajo

Registra el tiempo de trabajo desde el escritorio

Con Toc Time es posible registrar el tiempo de trabajo de tus empleados en tiempo real, obteniendo así el tiempo dedicado a cada actividad determinada. De igual manera, nuestro programa de control horario te permite recibir información sobre cuánto tiempo le toma por ejemplo, al área de ventas; los asuntos discutidos con clientes por teléfono.

Todo esto desde cualquier dispositivo móvil o desde tu computadora de escritorio.

Gestiona tiempos, clientes y empresas con Toc Time

Gracias a las características administrativas online de Toc Time es posible administrar perfiles de clientes y perfiles de empresas mediante nuestro panel. Eso no es todo, con nuestro programa de control horario es posible administrar las horas que debemos pasar con cada uno de nuestros clientes para tener un máximo control sobre nuestras tareas diarias.

Toc time es también un programa de fichaje móvil

¿A qué nos referimos con fichaje móvil?Nuestro programa de control horario y de fichaje hará mucho más fácil el trabajo del área de recursos humanos. Controla las entradas de tus empleados instalando Toc Time en cualquiera de tus dispositivos, sin ningún tipo de límite. Podrás añadir tantos puntos de fichaje como te sean necesarios en diferentes zonas de tu empresa para que no exista pretexto.

Al tener este tipo de reportes, tanto el área de recursos humanos como el área de contabilidad podrán definir de manera automática si es necesario aplicar bonos por cumplimiento y/o puntualidad, o por el caso contrario, poder aplicar sanciones a ciertos empleados por incumplimiento. Todo esto de manera automatizada, dando oportunidad a las áreas involucradas en la gestión; poder ser más productivos de igual manera.

En el caso de que tus empleados no se encuentren en la ciudad, podrán fichar mediante un dispositivo móvil. Este punto de acceso te dará a conocer el área o la zona en donde se encuentran tus empleados en tiempo real y la hora de fichaje; teniendo control absoluto de las asistencias, aun si los miembros de nuestra compañía han tenido que salir por determinadas razones.

Toc time es un programa de control horario apto para cualquier tipo de empresa

Toc time proporciona, en forma de análisis, mucha información y datos estadísticos orientados a la organización de nuestro trabajo. Es posible descargar nuestro programa, no importando tu tipo de industria, ya que las operaciones de gestión de horario son generales y cualquier compañía que esté buscando optimizar su producción, debería de pensar en automatizar estas tareas.

Un programa de control horario

Ponte en contacto hoy con nosotros y descarga nuestro programa de control horario. Disfruta de actualizaciones totalmente gratuitas, copias de seguridad y recuperaciones de la información en caso de errores internos. Conoce más de Toc Time hoy y lleva tu empresa a otro nivel.

Un sistema para el control del tiempo para su compañía es más que una buena inversión. Su implementación puede resultar en una mayor productividad de los empleados de las diversas áreas de su empresa. El control a través de un sistema electrónico es de gran ayuda para los empleadores, además, el programa se ocupa no solo de la liquidación automática de las horas trabajadas, sino también del fichaje del personal, sin importar donde se encuentren y por medio de diversos dispositivos.

Una solución eficaz para empresas

El software funcionará de manera correcta sin importar cuántos empleados se encuentren en la nómina de su empresa. Su funcionamiento se puede adaptar a las necesidades individuales de la compañía, no importando el nicho. El programa permite contar con registros por empleado o por área de empleados, por ejemplo, para el director del proyecto o para la fuerza de ventas. Toc Time le permitirá asignar tareas administrativas específicas a las funciones realizadas. 

Esto facilitará el control del progreso del trabajo y le permitirá recibir los reportes correspondientes de una manera eficiente.

Tiempo dedicado a completar tareas

Saber cuánto tiempo lleva completar una tarea específica puede ayudarlo a planificar de manera más efectiva. Gracias a las funciones administrativas de Toc Time es posible comprobar las actividades de forma detallada. El resultado es un informe cuya aparición en la empresa puede ser el comienzo de una revolución gerencial. 

Nuestro programa para el control del tiempo también es muy sencillo de usar. Gracias a esto, nadie dentro de la empresa tendrá que pasar horas y horas aprendiendo a usarlo. Todos podrán trabajar en él de forma intuitiva.

Posibilidad de conexión remota

Toc Time permite mantener un control sobre las entradas y las salidas de los trabajadores, no importando donde estos se encuentren. Solo basta con vincular cualquier dispositivo móvil para que los empleados puedan hacer su fichaje a distancia.

Imagine que sus empleados tienen que vender un proyecto dentro de otra compañía. ¿Cómo hará para saber si llegaron a tiempo o si se encuentran dentro de esa empresa? Con el fichaje a distancia usted podrá saber la localización precisa de sus colaboradores y su hora de registro. El sistema Toc Time también permite a los empleados anexar fotos, para nutrir aún más las pruebas de su trabajo.

Funciones para todo tipo de compañías

Una ventaja importante de esta solución es que funciona perfectamente para cualquier tipo de empresa. Si una compañía quiere diversificar el sistema con opciones adicionales que serían útiles en una industria específica, es posible, ya que nuestro software es flexible y se puede complementar con módulos adicionales. (Le recomendamos que para esto contacte con nuestro equipo de soporte)

El uso de herramientas modernas para el control de empleados resulta en algo sumamente valioso para los propietarios de empresas. Descubrir lo que no está funcionando como debería es crucial. Gracias a los datos disponibles en los informes de nuestro programa, podemos lograr cambios significativos relacionados con una mejor gestión de nuestro personal.

Toc time, el software para el control del tiempo de su empresa

Toc time le permitirá llevar un estricto control de las actividades de sus empleados, así como de sus registros.

Póngase en contacto con nuestra área de soporte ahora, para recibir asesoría sobre nuestro programa de control del tiempo y su implementación hoy mismo.