Grupo Atico34: "La Inteligencia Artificial es solo uno de los retos que las empresas afrontarán en protección de datos"

La inteligencia artificial está ya en todas partes y solo faltaba que llegase al ámbito legislativo. Pues ahora la Ley de Inteligencia Artificial ya está aquí y viene para regular la manera en la que se entrenan los modelos y sistemas de IA, y las maneras en las que usuarios, organizaciones o instituciones hacen de ellos.

Sin embargo, quizá el resplandor de una tecnología con tantas posibilidades nos ha impedido ver que también supone un gran riesgo potencial en ciertos aspectos, sobre todo en lo relacionado con la privacidad la integridad, seguridad y protección de datos.

Con esta introducción, como lector pensará que el contenido del artículo irá sobre qué dice la Ley de Inteligencia Artificial, o qué deben hacer empresas y usuarios para adaptarse a ella. Sin embargo, al consultar a la legaltech Grupo Atico34, casi lo primero que nos han respondido ha sido lo siguiente: "la inteligencia artificial es solo uno de los retos que las empresas afrontarán en protección de datos desde este 2025".

Entonces, quizá no es solo que el resplandor de la IA no nos deje ver sus riesgos para la protección de datos, es que se corre el peligro de olvidar que existen muchas otras novedades normativas que van a suponer todo un reto de 2025 en adelante, sobre todo para las empresas.

A tenor de la información facilitada por Grupo Atico34, firma de protección de datos de referencia a nivel nacional, hemos desglosado cuáles son algunos de los principales retos en protección de datos a los que se enfrentan las empresas en 2025.

La Ley de Inteligencia Artificial

Sí, tenemos que citar la Ley de Inteligencia Artificial porque acaba de entrar en vigor y porque viene a regular el uso de una tecnología que se estaba empezando a descontrolar. Es lógico que, siendo una ley que tiene como objetivo una tecnología relativamente joven y cuyas posibilidades reales se desconocen, sea una normativa sujeta a constantes cambios y actualizaciones.

Por lo pronto, la Ley de Inteligencia Artificial que llega impulsada desde Europa tiene una serie de pilares básicos: garantizar la transparencia y en sistemas y modelos de IA, la identificación de los contenidos generados mediante IA, la prohibición de usar esta tecnología para manipular conductas y la especial atención a los sistemas de alto riesgo.

Registro de la jornada laboral

El registro de la jornada laboral debe hacerse a través de sistemas automatizados y telemáticos, que permitan el acceso remoto de los inspectores de trabajo.

Queda prohibido el fichaje en papel, y también queda prohibido, salvo casos excepcionales, el control horario o de acceso a través de sistemas biométricos.

Es decir, ya no se puede realizar un control de entrada y salida mediante huella dactilar, reconocimiento facial o de iris. Y ya ha habido casos como los del CA Osasuna y el Burgos CF que han sido sancionados con 200.000 euros por usar controles de acceso a su estadio. Lo mismo se aplicará en el ámbito laboral.

Y aunque hay bastante despiste sobre este tema, desde Grupo Atico34 nos lo confirman: "el consentimiento del usuario, en este caso del trabajador, no es válido para usar dispositivos de control biométrico para el control de acceso, o registro horario, puesto que los datos biométricos son datos catalogados como especialmente protegidos y, por tanto, su tratamiento se considera desproporcionado para este fin y está prohibido. Solo se puede levantar esa prohibición si existe una norma con rango de ley que lo autorice, por tanto, no basta con el consentimiento del empleado".

Desconexión digital

Un poco al hilo del punto anterior, las nuevas obligaciones en materia de registro de la jornada laboral están relacionadas con un derecho al que se le pretende dar especial énfasis en la próxima reforma laboral, y no es otro que el derecho a la desconexión digital.

Sí, es la regulación que viene a evitar que tu jefe te envíe mensajes de WhatsApp por trabajo mientras estás fuera de tu horario laboral. Los límites, excepciones o puntualizaciones respecto al ejercicio de este derecho, tanto por parte del empleador como del empleado, están por ver hasta la entrada en vigor de la reforma laboral, pero parece claro que el refuerzo de este derecho es uno de sus puntos centrales, ya que es un pilar básico sobre el que se sustenta su ley estrella: la reducción de la jornada laboral a 37,5 horas.

Reducción de fugas de datos personales

Desde Grupo Atico34 nos han facilitado un dato clave, y es que, en 2024, el 47,5% del importe de las sanciones por protección de datos en España (cerca de 13 millones de euros) fueron a causa de brechas de seguridad que ocasionaron la pérdida de datos personales.

Estas cifras dejan claro que la Agencia Española de Protección de Datos (AEPD) vigila muy de cerca este tipo de sucesos y que todavía queda mucho camino por recorrer para las empresas. Recordemos que la ley de protección de datos señala que las empresas deben implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos que manejan.

Nuevas leyes que afectan al sector bancario y turístico

Por último, hay que citar a las nuevas normativas que afectan a determinados sectores de actividad, como pueden ser la Ley DORA, que viene a cambiar la manera en la que se manejan los datos personales y bancarios por parte de entidades bancarias y financieras, o la Ley sobre Registro de Viajeros, que establece nuevas exigencias para empresas y negocios de alojamiento turístico.

En definitiva, muchos retos de cara al futuro inmediato que las empresas deben resolver y que hacen inevitable que la protección de datos se tenga que situar como un pilar básico de cualquier organización.