La AEPD publica su Plan Estratégico 2025-2030

En un momento en que la sociedad española presenta una de las tasas más altas de reclamaciones por vulneraciones de la privacidad —cerca de 19.000 cada año—, la Agencia Española de Protección de Datos (AEPD) ha decidido reinventar su forma de actuar para pasar de una supervisión reactiva a un acompañamiento preventivo y formativo de ciudadanos y organizaciones.

Bajo la nueva presidencia de Lorenzo Cotino, la Agencia se propuso escuchar activamente a todos los actores implicados antes de establecer sus prioridades para los próximos cinco años. Entre abril y mayo de 2025, más de 450 participantes —empresas, administraciones, organizaciones sociales y ciudadanos— compartieron sus experiencias, problemas y propuestas en un ejercicio de diálogo sin precedentes, que sentó las bases para la elaboración de un plan que refleja la diversidad de realidades en el entorno digital.

El resultado es el documento, presentado oficialmente el pasado 3 de julio, que aúna la idea de «innovación responsable» con la defensa de la dignidad de las personas. No se trata solo de cumplir con las obligaciones derivadas del Reglamento General de Protección de Datos (RGPD) o de la normativa europea de inteligencia artificial, sino de anticiparse a los riesgos emergentes y establecer un método de trabajo colaborativo con universidades, empresas emergentes y autoridades autonómicas. Desde su concepción, este plan va más allá de los meros indicadores administrativos y aspira a convertirse en una guía práctica que inspire confianza y facilite el cumplimiento sin renunciar al rigor técnico ni a la independencia institucional.

Una visión centrada en las personas

Lejos de tratar los datos personales como meras cifras o registros, la AEPD enfatiza que «detrás de cada dato hay una persona concreta cuyos derechos y libertades deben ser protegidos». Esta afirmación exige que todas las medidas diseñadas, desde las más innovadoras hasta las más rutinarias, respondan a la siguiente pregunta: ¿qué impacto tendrá esto en la vida real de los menores, las personas mayores o los colectivos vulnerables? En este sentido, el plan propone prestar especial atención a la accesibilidad de los canales de atención, adaptando guías, formatos y herramientas a diferentes necesidades cognitivas y de habilidades digitales.

Asimismo, se subraya la importancia de la transparencia en el uso de tecnologías de decisión automatizada. La Agencia no solo exigirá que los algoritmos empleados por empresas y administraciones se sometan a supervisión humana, sino que también se publicarán principios éticos y criterios claros para su evaluación. El objetivo es que la ciudadanía comprenda no solo sus derechos, sino también los efectos que la tecnología puede tener sobre su intimidad y su libertad de elección. De esta forma, la AEPD abre un espacio de información que va más allá de los términos legales, impulsando una cultura de privacidad basada en el conocimiento y el empoderamiento de las personas.

Innovación y anticipación frente a los riesgos emergentes

Con la convicción de que la mejor protección nace de la prevención, la AEPD adopta una política interna «IA First», que busca integrar la inteligencia artificial en sus procesos de análisis y gestión de incidencias sin perder el control humano sobre las decisiones críticas. Este enfoque incluye el desarrollo de algoritmos propios para detectar patrones de riesgo en sectores sensibles, como la salud, la educación digital y la biometría, de modo que la Agencia pueda orientar sus recursos hacia los casos con un mayor potencial de vulneración. No obstante, la verdadera innovación radica en el Laboratorio de Privacidad, un espacio conjunto con universidades y centros de investigación en el que se simulan escenarios reales de despliegue tecnológico que permiten a los promotores de proyectos probar y ajustar sus soluciones antes de salir al mercado.

Al mismo tiempo, la AEPD intensifica su colaboración internacional para no quedarse aislada en un entorno globalizado. Su participación activa en el Comité Europeo de Protección de Datos y en la Red Iberoamericana le permite compartir experiencias, homologar estándares de certificación y adelantarse a las tendencias regulatorias, como la inminente obligación de registrar los algoritmos de alto impacto. De este modo, España no solo absorbe las mejores prácticas, sino que también proyecta su propia visión basada en la dignidad de las personas y el diálogo social, contribuyendo así a moldear las directrices europeas y latinoamericanas en materia de privacidad.

Acompañamiento y accesibilidad para pymes y administraciones

Uno de los aspectos más mencionados en la consulta fue la sensación de muchas pequeñas y medianas empresas de que cumplir la normativa resulta demasiado complejo y costoso. Para responder a esta preocupación, la AEPD promoverá mentorías y diseñará kits interactivos de autoevaluación y guías sectoriales que traducen los requisitos legales a un lenguaje sencillo, ofreciendo ejemplos concretos y plantillas descargables.

Sin embargo, la ayuda no se limita al ámbito empresarial, ya que las administraciones públicas también recibirán especial atención. El plan propone integrar la privacidad en la arquitectura de los sistemas de información y alinear los nuevos marcos de ciberseguridad (NIS2, DORA) con los principios de privacidad por diseño y por defecto. De esta manera, las entidades públicas mejorarán la experiencia de los ciudadanos, al reducir trámites innecesarios y ofrecer servicios más seguros, ágiles y respetuosos con la intimidad de los usuarios.

Gobernanza, transparencia y rendición de cuentas

Con el fin de que estas promesas no se queden en meras declaraciones de intenciones, la AEPD ha establecido un sistema de indicadores y un calendario de informes anuales en los que se evaluará el grado de avance de cada uno de los 45 objetivos, y en los que se harán públicas tanto las lecciones aprendidas como las dificultades encontradas. Esta gobernanza incluye mecanismos de revisión dinámica, de modo que, ante un cambio normativo europeo o un descubrimiento tecnológico relevante, el plan se puede ajustar sin perder su hilo conductor.

Además, se reforzarán los canales de participación ciudadana mediante consultas públicas anticipadas, encuestas periódicas y encuentros sectoriales, garantizando que la voz de los usuarios y las empresas siga alimentando la estrategia de la Agencia. Con esta filosofía de apertura y colaboración, la AEPD aspira a convertirse en un espacio de diálogo permanente en el que la protección de datos deje de verse como un obstáculo burocrático y pase a entenderse como un activo esencial para la reputación y la competitividad de cualquier organización.

Mirada al horizonte 2030

Al final de la década, la AEPD se enfrenta al reto de proteger los neurodatos, regular la hibridación de la IA con interfaces cerebro-máquina y velar por la privacidad en contextos tan diversos como el metaverso o las tecnologías cuánticas. El plan 2025-2030 no termina en un punto, sino que planta una semilla de adaptación continua, refrendada por informes públicos, auditorías externas y una comunidad profesional cada vez más implicada.

Este ambicioso objetivo, que se ha tejido con coherencia a lo largo de ocho principios rectores, siete ejes de acción y más de doscientas medidas operativas, convierte al Plan Estratégico en un relato de transformación profunda: de la supervisión pasiva a la anticipación activa, de la complejidad normativa al apoyo cercano y del aislamiento institucional a la influencia internacional. En definitiva, se trata de una estrategia que pretende redibujar el papel de la AEPD como garante de derechos y facilitadora de la innovación, poniendo siempre en el centro de la narrativa a la persona.