En un contexto de rápida evolución tecnológica, la Agencia Española de Protección de Datos (AEPD) ha emitido un recordatorio clave sobre su capacidad para intervenir en sistemas de inteligencia artificial (IA) que procesan datos personales, especialmente aquellos clasificados como prohibidos bajo el Reglamento Europeo de IA (RIA, Reglamento 2024/1689). Esta nota de prensa, publicada el 15 de julio de 2025, subraya que la AEPD puede actuar de inmediato para proteger los derechos de privacidad, incluso antes de la plena entrada en vigor de la normativa. [AEPD, 2025] Con la fecha crítica del 2 de agosto de 2025 aproximándose, cuando entrarán en vigor las prohibiciones y el régimen sancionador de ciertos artículos del RIA, esta actualización resalta la intersección entre IA y protección de datos en España.

Antecedentes y Alcance de la Intervención de la AEPD

La AEPD ha analizado sus competencias en relación con el Artículo 5 del RIA, que detalla prácticas de IA prohibidas por su potencial daño a los derechos fundamentales. [RIA Artículo 5] Aunque España aún no ha aprobado su ley nacional de IA, lo que retrasa la designación formal de la AEPD como autoridad de vigilancia del mercado, la agencia mantiene su autoridad en materia de protección de datos. Esto le permite supervisar y sancionar tratamientos de datos personales en sistemas de IA prohibidos, como la identificación biométrica remota en tiempo real en espacios públicos, siempre que afecten a la privacidad individual. [AEPD, 2025] La AEPD enfatiza la necesidad de reforzar sus recursos técnicos, humanos y presupuestarios para asumir plenamente estas funciones una vez implementada la legislación nacional.

Prácticas de IA Prohibidas Según el Artículo 5 del RIA

El Artículo 5 del Reglamento Europeo de IA establece una lista exhaustiva de prácticas prohibidas, diseñadas para salvaguardar la dignidad humana, la libertad y la privacidad. Entre las prohibiciones destacan:

• Técnicas subliminales o manipuladoras que distorsionan el comportamiento, causando daños significativos, sin excepciones explícitas. [RIA Artículo 5]
• Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica, también sin permisos.
• Categorización biométrica para inferir características sensibles como opiniones políticas o orientación sexual, permitida solo para etiquetado o filtrado legal de conjuntos de datos biométricos.
• Puntuación social que clasifica individuos por comportamiento, con excepciones para evaluaciones legales específicas.
• Identificación biométrica remota en tiempo real en espacios públicos para fines policiales, autorizada excepcionalmente para búsquedas de víctimas, amenazas a la vida o localización de sospechosos de delitos graves, con requisitos como autorización judicial y límites temporales/geográficos. [RIA Artículo 5]
• Evaluaciones de riesgo criminal basadas en perfiles, permitidas si no se basan solo en rasgos de personalidad y incluyen datos objetivos.
• Raspado no dirigido de internet para bases de datos de reconocimiento facial, sin excepciones.
• Reconocimiento de emociones en entornos laborales o educativos, permitido por razones médicas o de seguridad.

Estas prohibiciones se alinean con el RGPD, priorizando la minimización de datos y la protección por diseño. [RIA Artículo 5] La AEPD puede intervenir si estos sistemas procesan datos personales, incluso antes del 2 de agosto de 2025.

Controversias y Casos Recientes Relacionados

El anuncio llega en medio de un aumento en reclamaciones relacionadas con IA. En 2024, la AEPD recibió 19.000 quejas, destacando retos como la IA, espacios de datos y neurodatos. [AEPD Reclamaciones] Un caso notable es la sanción impuesta por el uso de datos biométricos con IA en exámenes universitarios online, considerado ilegal por su intrusividad, aunque se apuntan posibilidades normativas bajo ciertas condiciones. [Sanción Universidad] Además, la entrada en vigor de prohibiciones iniciales en febrero de 2025, como el reconocimiento de emociones en workplaces, ha generado debates sobre multas de hasta 35 millones de euros. [Europarl]

En redes sociales, profesionales del derecho y empresas han compartido preocupaciones sobre el impacto en negocios, como la identificación biométrica, instando a adaptaciones inmediatas. [X Debate] Publicaciones en X destacan cómo esto afecta a sectores como el turismo o la educación, con llamadas a consultar blogs especializados para cumplimiento.

Consecuencias para Empresas y Recomendaciones

Las implicaciones son significativas: ignorar estas normas podría resultar en sanciones millonarias y daños reputacionales. La AEPD recomienda a entidades que implementen IA preparar medidas de cumplimiento, como evaluaciones de impacto y transparencia. [AEPD, 2025] En contextos laborales, sindicatos y expertos urgen a prohibir usos como la detección de emociones, alineados con el RIA. [Europarl] Para consultores, esto representa una oportunidad para asesorar en auditorías proactivas, integrando el RGPD con el RIA.

En resumen, el posicionamiento de la AEPD fortalece la protección de datos en la era de la IA, equilibrando innovación y derechos fundamentales. Con la fecha del 2 de agosto de 2025 en el horizonte, empresas deben actuar con urgencia para evitar riesgos en un panorama regulatorio cada vez más estricto.

Fuentes

1. AEPD. (2025). La AEPD recuerda que ya puede actuar ante sistemas de IA.
2. Reglamento (UE) 2024/1689, Artículo 5.
3. AEPD. (2025). Reclamaciones en el primer semestre.
4. DataGuidance. (2024). Sanción a universidad por uso de datos biométricos.
5. Parlamento Europeo. (2023). EU AI Act.
6. X. (2025). Debate sobre impacto de la regulación de IA.

En un movimiento que resalta la prioridad de la minimización de datos en la era digital, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota técnica aclarando que no se permite solicitar copias del DNI o pasaporte en establecimientos de hospedaje. Esta directriz, alineada con el Reglamento General de Protección de Datos (RGPD), busca equilibrar las obligaciones de seguridad con el respeto a la privacidad individual, afectando directamente a hoteles, apartamentos turísticos y plataformas como Airbnb. Para consultores en adaptación a normativas de datos, esta actualización representa una oportunidad para revisar protocolos y evitar exposición a riesgos regulatorios.[AEPD]

Razones Detrás de la Prohibición

La AEPD argumenta que pedir una copia del DNI viola el principio de minimización establecido en el artículo 5.1.c del RGPD, ya que incluye información superflua como fotografías, fechas de caducidad o datos familiares no requeridos por el Real Decreto 933/2021. Este decreto obliga a recopilar datos específicos de huéspedes para fines de seguridad pública, como prevención de delitos, pero no justifica el tratamiento excesivo de datos sensibles. Además, la agencia destaca riesgos como la suplantación de identidad, ya que una copia no verifica de manera fiable la autenticidad del portador. Enviar o escanear documentos no solo incrementa vulnerabilidades cibernéticas, sino que también podría exponer a millones de usuarios a brechas de datos, un problema recurrente en el sector turístico.

Alternativas Recomendadas para Cumplir con la Normativa

Para facilitar el cumplimiento, la AEPD propone métodos alternativos que priorizan la eficiencia y la privacidad. Los huéspedes pueden completar formularios presenciales o digitales con los datos exactos exigidos, como nombre, dirección y detalles de contacto. En check-ins presenciales, basta con una verificación visual del documento. Para reservas online, se sugieren certificados digitales, validación mediante datos de pago o códigos de autenticación enviados por SMS o email. Estos enfoques no solo reducen riesgos, sino que agilizan procesos, permitiendo a las empresas mantener la operatividad sin comprometer la conformidad. Consultores pueden asesorar en la implementación de estas herramientas, integrando evaluaciones de impacto en protección de datos para personalizar soluciones.

Polémicas y Quejas de Usuarios: Un Debate en Aumento

La práctica de solicitar copias de DNI ha generado controversia significativa, con numerosas quejas de usuarios que denuncian invasiones a su privacidad. En redes sociales y foros, viajeros han reportado casos donde hoteles insisten en escanear documentos, exponiéndolos a potenciales estafas o robos de identidad, como alertó la Policía Nacional en campañas recientes.[Policía Nacional] Un ejemplo viral en TikTok involucra a un experto en ciberseguridad advirtiendo que «pueden hacer de todo» con una copia del DNI, desde fraudes hasta usos no autorizados.[TikTok] Otro caso destacado: un cliente denunció a un hotel por escanear su DNI, resultando en una sanción que generó debate sobre prácticas estandarizadas en la industria.[Caso Hotel] Estas polémicas se intensifican en plataformas como Facebook, donde usuarios comparten experiencias de rechazo a peticiones, argumentando que basta con mostrar el documento sin copiarlo.[Facebook] La AEPD ha respondido a estas inquietudes, reforzando que tales demandas son innecesarias y contraproducentes.

Consecuencias para las Empresas: Multas y Reputación en Juego

Las implicaciones para las compañías son severas. La AEPD ha impuesto sanciones ejemplares, como una multa de 75.000 euros a una cadena hotelera por exigir fotografías de DNI de forma rutinaria, o rebajas a 5.400 euros en casos menores tras admisión de culpa.[75.000€][5.400€] En incidentes más graves, las penalizaciones han alcanzado los 300.000 euros por violaciones sistemáticas del RGPD.[Multas Altas] Más allá de lo económico, las empresas enfrentan daños reputacionales, pérdida de confianza de clientes y posibles demandas colectivas. En un contexto de mayor escrutinio, como el nuevo registro de viajeros, ignorar estas directrices podría derivar en inspecciones y suspensiones operativas. Consultores recomiendan auditorías proactivas para mitigar estos riesgos, transformando la conformidad en una ventaja competitiva.

Implicaciones para Consultores en Adaptación a Protección de Datos

Para profesionales especializados, esta nota de la AEPD subraya la necesidad de guiar a clientes hacia prácticas sostenibles. Evaluar y rediseñar flujos de check-in, capacitar personal y monitorear actualizaciones regulatorias son pasos clave. Al integrar herramientas digitales seguras, los consultores pueden ayudar a evitar polémicas y fortalecer la resiliencia ante futuras normativas europeas.

En resumen, esta directriz no solo corrige una práctica común, sino que impulsa un sector turístico más ético y seguro. Con el aumento de quejas y sanciones, las empresas que se adapten rápidamente ganarán en credibilidad, mientras que los consultores jugarán un rol pivotal en esta transición.

No obstante, es importante conocer los pasos que debe llevar a cabo cualquier portal online para estar debidamente adaptado a las exigencias de la Ley de Protección de Datos. Además, esto es primordial para evitar las posibles sanciones y multas de la Agencia Española de Protección de Datos. Teniendo en cuenta el nuevo Reglamento Europeo de Protección de Datos, cualquier negocio digital debe de proteger la información personal de todos los usuarios.

Cómo adaptar la web a la LOPD

1. Informar de los ficheros

La ley vigente exige que cada página web informe debidamente a la AEPD de los ficheros en los que organizan los datos personales que recogen. Para ello, es necesario auditar el portal online y averiguar cuáles son esos ficheros. Esto es fundamental, ya que establecerá el nivel de protección a aplicar (alto, medio o bajo).

Cada fichero debe de cumplimentarse y notificarse a la Agencia Española de Protección de Datos. Para ello se puede recurrir a la presentación online o en papel.

Si tu página web recurre a las Transferencias Internacionales de Datos (fuera de la Unión Europea) es importante que lo notifiques a la AEPD de forma expresa.

2. Textos legales obligatorios

La legalidad vigente se ha puesto muy dura frente a esta cuestión. Por ello, publicar los textos legales en cualquier negocio online es importantísimo. Se trata del aviso legal, la política de privacidad, la política de cookies y las condiciones de contratación. Toda la información que se aporta en estos textos debe de ser concisa y clara.

–          Política de privacidad: en este texto legal se debe de identificar al responsable de tratamiento de los datos que se recogen a través de la página web, además de todos los datos fiscales y de contactos de la empresa o persona que se esconde detrás de dicho portal. Hay que explicar cuál es el fin del tratamiento de los datos y especificar que esos datos serán debidamente protegidos. Aquí hay que incluir los famosos derechos ARCO, de acceso, rectificación, cancelación u oposición.

–          Las cookies: seguro que has visto infinidad de alertas de cookies en tus visitas a diferentes webs. La Ley exige que se informe al usuario de ello. En este texto legal se debe explicar qué son las cookies y solicitar la aceptación o no de las mismas. En otro artículo hablaremos más detenidamente de las cookies.

–          Aviso legal: se trata de uno de los textos fundamentales para cualquier entorno online. Se debe informar del uso de los datos y de las obligaciones específicas derivadas de la LOPD.

–          Condiciones de contratación: se trata de un complejo texto legal que solamente debe incluirse en el caso de que la página web venda productos o servicios. Aquí es importante especificar todas las condiciones de la compra, como el precio, gastos de envío, plazos de entrega y devolución, formas de pago, derechos y obligaciones del usuario, etc.

3. Formularios online

La Ley de Protección de Datos especifica claramente la necesidad de que el usuario o cliente esté perfectamente informado sobre el uso que se dará a sus datos. Por ello, si se colocan formularios de contacto, que recogen datos online, habrá que pedir al usuario que acepte o deniegue el tratamiento de los mismos.

4. Doble opt in

Se trata de la doble aceptación del usuario a la recogida de sus datos a través de registros y formularios online.

Básicamente estos son los pasos más característicos a la hora de adaptar una página web a la LOPD. No obstante, las necesidades pueden variar en función del tratamiento que se da a los datos o de las especificidades propias de cada portal online. Por ejemplo, si hay cesiones de datos con terceros, es imprescindible informar de ello. Por este motivo, la auditoría previa es tan importante.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

El Tribunal de Justicia de la Unión Europea derogó el anterior acuerdo, conocido como Safe Harbour, al entender que el nivel de protección de los datos de los ciudadanos europeos no era lo suficientemente elevado. Desde ese momento y hasta el pasado día 12 de julio se ha estado trabajando en la adecuación de un nuevo acuerdo, que lograra garantizar las transferencias de datos internacionales y se acercara al nuevo acuerdo europeo de protección de datos de carácter personal. De esta forma se finiquita el vacío legal que tenía paralizada a la economía digital entre ambos países.

A modo de resumen, lo que hace Privacy Shield es garantizar la ciberseguridad internacional, aportando mucha más transparencia en la gestión de los datos, así como varias obligaciones nuevas por parte de los agentes que intervienen en esas transferencias internacionales. Además, el ciudadano europeo tendrá en su haber más garantías en este sentido.

Las claves de Privacy Shield

Repasar el acuerdo de forma exhaustiva nos obligaría a alargar este artículo demasiado. Por este motivo, vamos a hablar de las claves más importantes y las novedades que ofrece Privacy Shield en materia de ciberseguridad. Es muy importante tener claro que cualquier empresa puede acogerse de forma voluntaria al nuevo acuerdo, pero respetarlo es totalmente obligatorio. Es decir, todo aquel que trabaje con datos de ciudadanos europeos deberá asumir los puntos del acuerdo, haya firmado y suscrito el mismo o no.

1. Más obligaciones para las empresas

Cada empresa, participe o no en el acuerdo, se someterá a revisiones periódicas por parte del Departamento de Comercio de Estados Unidos. Esto se hace con el fin de garantizar que se está respetando Privacy Shield en todos sus puntos. El no cumplimiento de la norma puede desembocar en sanciones severas.

2. Transparencia por parte de EE.UU.

El gobierno estadounidense ya no podrá acceder y vigilar de forma indiscriminada los datos de los ciudadanos europeos.  En este sentido, el departamento de seguridad nacional americano tendrá muchas más cortapisas para realizar estas acciones y, además, se someterá también a una supervisión.

3. Derechos del ciudadano protegidos

Algo novedoso y muy importante es que Privacy Shield permitirá a cualquier ciudadano de la Unión Europea tener acceso a opciones de resolución de incidencias, si considera que sus datos no están siendo utilizados de forma correcta y segura. Cada queja se podrá interponer de varias formas: con la propia empresa o a través de la Agencia Española de Protección de Datos (en el caso de España). En el caso de que el conflicto no obtenga resolución por estas vías se podrá recurrir a un juicio de arbitraje dentro de la UE.