El 24 de mayo de 2016, el Diario Oficial de la Unión Europea publicaba el Reglamento General de Protección de Datos (RGPD), una norma que prometía devolver a los ciudadanos el control sobre su información personal. Diez años después, con un balance de más de 7.100 millones de euros en sanciones y un impacto cultural innegable, los expertos consultados por ComputerWorld coinciden en que el reglamento ha transformado la privacidad empresarial, pero aún cojea en áreas clave como la inteligencia artificial, las transferencias internacionales y la coherencia sancionadora entre Estados miembros.

Un cambio cultural, pero con deudas pendientes

Fernando Maldonado, analista principal de Foundry España, describe el balance como “agridulce”. Por un lado, el RGPD ha logrado que la privacidad deje de ser un mero texto legal en la web para convertirse en un elemento central de la gestión empresarial. “Hoy se habla de bases legales, evaluaciones de impacto, minimización de datos, privacidad desde el diseño, delegados de protección de datos y brechas de seguridad”, señala. Sin embargo, advierte que la norma no ha conseguido que los ciudadanos tengan un “control real y sencillo” sobre sus datos, especialmente en entornos digitales complejos.

Esta brecha entre la ambición regulatoria y la experiencia del usuario se hace evidente en el uso del consentimiento como base de legitimación. Rafael García del Poyo, socio de Osborne Clarke España, critica que el consentimiento se haya degradado en “experiencias que generan fatiga para el ciudadano o son de clic automático”, como ocurre con las ventanas de cookies. “El consentimiento así concebido no construye decisiones informadas, sino que produce desgaste”, afirma.

Lagunas estructurales y el desafío de la IA generativa

Miguel Recio, presidente de la APEP.IA, identifica tres limitaciones clave del RGPD: la rigidez de las bases de legitimación, la definición restrictiva de “datos personales” y la obsolescencia de las figuras de responsable y encargado del tratamiento en ecosistemas tecnológicos complejos. “Si se aplica de manera restrictiva el concepto de datos personales, puede exigirse un cumplimiento oneroso que no protege adecuadamente a la persona”, explica.

Pero el mayor reto para la próxima década es, sin duda, la inteligencia artificial generativa. El RGPD nació antes de la explosión de modelos como GPT, y sus principios de transparencia, minimización y finalidad chocan con la naturaleza opaca y masiva de los sistemas de IA. “¿Cómo se informa de manera clara sobre datos usados para entrenar modelos enormes? ¿Cómo se borra un dato que ya ha influido en un sistema?”, se pregunta Maldonado. Estas preguntas marcarán el futuro del reglamento: si logra aplicarse de forma útil a la IA, seguirá siendo la columna vertebral de la privacidad europea; si no, corre el riesgo de quedar obsoleto.

Sanciones millonarias, pero con poca ejecución

Las cifras de sanciones son impactantes: 7.100 millones de euros desde 2018, con 1.200 millones solo en 2025. Sin embargo, Alberto Bellé, analista de Foundry, revela una realidad incómoda: la autoridad irlandesa ha impuesto 4.040 millones en sanciones a grandes tecnológicas, pero solo ha cobrado unos 20 millones (el 0,5%). El resto está recurrido o suspendido. “Las sanciones son muy fuertes, pero se desinflan a la hora de la ejecución”, sentencia.

En España, la AEPD elevó un 14% sus sanciones en 2025, hasta 40 millones de euros en 299 expedientes, con el caso de Aena (10 millones por reconocimiento facial sin evaluación de impacto) como referencia. No obstante, García del Poyo insiste en que el verdadero problema no es la cuantía, sino la falta de coherencia entre las autoridades nacionales. “El mecanismo de la ventanilla única ha generado cuellos de botella y decisiones que no siempre satisfacen a todas las partes”, explica.

El impacto en la competitividad europea

Una de las críticas más recurrentes es que el RGPD, junto con otras regulaciones como NIS2, DORA, DSA, DMA, Data Act y AI Act, ha creado una “pila regulatoria” que dificulta el cumplimiento para las empresas, especialmente las pymes. “Para un CIO, el cumplimiento es prácticamente imposible”, afirma Bellé. Esta sobrecarga normativa, sumada a la lentitud en la aplicación del AI Act (pospuesto hasta diciembre de 2027), pone a Europa en desventaja frente a EE. UU. y China en la carrera de la IA.

Miguel Recio aboga por potenciar el papel de los profesionales de protección de datos y adaptar el RGPD a la evolución tecnológica sin perder sus principios fundamentales. “Lo fundamental son los principios que pueden aplicarse ante nuevos escenarios y desarrollos tecnológicos”, concluye.

Hacia una gobernanza del dato más ágil

De cara al futuro, los expertos coinciden en que el RGPD necesita una evolución, no una reforma total. La soberanía del dato, la portabilidad efectiva y la simplificación de obligaciones para pymes son prioridades. “El éxito del modelo económico digital europeo se medirá tanto por la eficacia de la protección de derechos como por su capacidad de generar un entorno favorable para el desarrollo empresarial”, resume García del Poyo.

En ForgeNEX, sabemos que la protección de datos es solo una pieza del puzzle de la transformación digital. Para profundizar en cómo construir infraestructuras seguras y escalables, te recomendamos nuestros artículos sobre virtualización con Proxmox, hardening de servidores Linux y hacking ético. Además, si te interesa el impacto de la IA en las empresas, no te pierdas nuestra guía sobre sistemas de agentes de IA y el análisis sobre Kubernetes como infraestructura para IA.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.