RGPD i ENS en l'era de la IA: com demostrar accountability amb evidència criptogràfica V-PROOF

RGPD i ENS en l'era de la IA: com demostrar accountability amb evidència criptogràfica — V-PROOF Journal
Normativa · Protecció de dades

RGPD i ENS en l'era de la IA: l'accountability ja no és una declaració, és evidència tècnica

El principi d'accountability del RGPD obliga a demostrar el compliment — no només a declarar-lo. Amb sistemes d'IA en el flux de tractament, els Arts. 5, 25, 30 i 32 exigeixen un nivell de traçabilitat que cap document de política pot proporcionar per si sol.

Publicat: Juliol de 2026
Cobertura normativa: RGPD · Arts. 5, 25, 30, 32, 33 · ENS RD 311/2022
Categoria: Regulació
RGPD · UE 2016/679 ENS · RD 311/2022 Proveïdor europeu

Punts clau

  • L'Art. 5(2) del RGPD estableix el principi d'accountability: el responsable del tractament ha de poder demostrar activament que compleix — no n'hi ha prou amb declarar-ho en una política de privadesa.
  • Amb sistemes d'IA en el flux de tractament, l'Art. 25 (privadesa per disseny) exigeix evidència que els controls de privadesa es van implementar durant el disseny del sistema, no com a pegat posterior.
  • L'Art. 30 exigeix un Registre d'Activitats de Tractament (RAT) precís i actualitzat — V-PROOF el converteix en un registre amb evidència criptogràfica verificable per l'AEPD.
  • L'Art. 33 estableix un termini de 72 hores per notificar bretxes de dades personals a l'AEPD. Per acreditar aquest termini, l'entitat necessita un registre tècnic inalterable del moment de descobriment.
  • L'ENS (Reial Decret 311/2022) és d'aplicació obligatòria per a les Administracions Públiques espanyoles i els seus proveïdors TIC: les categories Mitjana i Alta exigeixen mesures de seguretat auditables amb traçabilitat tècnica.
  • La convergència RGPD + EU AI Act crea una obligació dual per a sistemes d'IA que tracten dades personals: l'Art. 22 del RGPD (decisions automatitzades) i l'Art. 14 de l'EU AI Act (supervisió humana) exigeixen el mateix registre d'intervenció humana verificable.

Accountability: l'obligació que la majoria d'organitzacions continua incomplint

Des del 2018, el RGPD estableix en el seu Art. 5(2) el que els experts en protecció de dades anomenen el principi d'accountability o responsabilitat proactiva: "el responsable del tractament serà responsable del compliment del que disposa l'apartat 1 i capaç de demostrar-ho." La cursiva és nostra — i en ella hi ha el problema que la majoria d'organitzacions ignora.

El RGPD no diu "tingui una política de privadesa". Diu "sigui capaç de demostrar-ho". Aquesta demostració, en una inspecció de l'AEPD o davant d'un tribunal, requereix evidència tècnica — registres, logs, proves verificables que els controls de protecció de dades existien, funcionaven i es van aplicar correctament en el tractament concret que s'està auditant.

La rendició de comptes a la pràctica — què pregunta l'AEPD

En una inspecció de l'AEPD o en un procediment sancionador, la pregunta no és "¿té vostè una política de privacitat?" sinó "¿pot vostè acreditar que aquest tractament específic de dades personals va complir els principis de l'Art. 5 en la data concreta de l'incident?" Una política documentada respon la primera pregunta. Només l'evidència tècnica verificable respon la segona.

Aquest problema s'amplifica exponencialment quan els sistemes d'IA entren en el flux de tractament. Un model de ML que processa dades personals per generar recomanacions, classificar sol·licitants o detectar anomalies de comportament introdueix opacitat en el tractament: ¿com demostra l'organització que el tractament automatitzat va respectar el principi de minimització de dades? ¿Que hi va haver supervisió humana en les decisions amb impacte significatiu? ¿Que el model no va introduir biaixos que vulneren l'Art. 5(1)(a) de licitud del tractament? Sense traçabilitat tècnica verificable, la resposta a aquestes preguntes és sempre la mateixa: no pot.

RGPD i ENS: dos marcs que se solapen en sectors clau

Per a les organitzacions del sector públic espanyol i els seus proveïdors tecnològics, el RGPD no és l'únic marc de referència en protecció de dades i seguretat. L'Esquema Nacional de Seguretat (ENS, Reial Decret 311/2022) estableix els principis i requisits de seguretat dels sistemes d'informació de les Administracions Públiques — i s'aplica també als proveïdors privats que prestin serveis a les AAPP.

RGPD · Reglament UE 2016/679
Rendició de comptes del responsable del tractament
Aplicable a qualsevol organització que tracti dades personals de residents a la UE. Principis: licitud, lleialtat, transparència, limitació de finalitat, minimització, exactitud, limitació del termini de conservació, integritat i confidencialitat. Tots demostrables — Art. 5(2).
ENS · Reial Decret 311/2022
Seguretat dels sistemes d'informació públics
Obligatori per a les AAPP espanyoles i els seus proveïdors TIC. Tres categories: Bàsica, Mitjana i Alta, segons l'impacte d'un incident de seguretat. Les categories Mitjana i Alta exigeixen mesures de seguretat auditables amb traçabilitat tècnica verificable pel CCN-CERT.

La intersecció és directa: un proveïdor TIC que dona servei a una Administració Pública espanyola tracta dades personals sota el RGPD i ha de complir l'ENS. L'evidència tècnica que genera V-PROOF cobreix ambdós marcs simultàniament: el registre criptogràfic de controls implementats serveix tant per acreditar la rendició de comptes del RGPD davant l'AEPD com per demostrar la implementació de mesures ENS davant el CCN-CERT.

Els articles que exigeixen evidència tècnica — i què genera V-PROOF

Art. 5(2) RGPD — Rendició de comptes
El responsable ha de poder demostrar el compliment dels principis de tractament
El principi de rendició de comptes és transversal a tot el RGPD: cada decisió de tractament — quines dades es recullen, amb quina finalitat, durant quant de temps, amb quines mesures de seguretat — ha de poder demostrar-se davant el regulador. "Pot demostrar-ho" significa evidència tècnica, no una declaració d'intencions.
Evidència V-PROOF V-SEAL Core segella criptogràficament cada decisió de tractament rellevant: la implementació d'una nova categoria de dades, el canvi en una finalitat de tractament, l'aplicació d'una mesura de seguretat. El Timestamp blockchain crea un historial verificable de les decisions de compliance — defensable davant l'AEPD en qualsevol procediment.
Art. 25 RGPD — Privacitat des del Disseny
Evidència que els controls de privacitat es van implementar durant el disseny del sistema
La privacitat des del disseny i per defecte exigeix que els controls de privacitat no s'afegeixin com a capa posterior, sinó que s'implementin durant el disseny del sistema. En l'era de la IA, això significa que els principis de minimització de dades i limitació de finalitat han d'estar en l'arquitectura del model — i ha de poder-se demostrar.
Evidència V-PROOF V-PROOF registra quins controls de privacitat es van implementar en el sistema de tractament, quan es van implementar (durant el disseny vs. post-llançament) i qui els va aprovar. Per a sistemes d'IA, el mòdul AI Orchestrator registra que els principis de minimització i limitació de finalitat es van aplicar durant l'entrenament i el desplegament.
Art. 30 RGPD — Registre d'Activitats
RAT amb evidència criptogràfica verificable: el registre que l'AEPD pot auditar
El Registre d'Activitats de Tractament (RAT) és la columna vertebral documental del compliment del RGPD. Però un RAT en un document Word o un full de càlcul té un problema fonamental: pot modificar-se retroactivament. Quan l'AEPD l'audita en el context d'un incident, l'entitat no pot garantir que el registre reflecteix el que realment es feia en la data de l'incident.
Evidència V-PROOF V-PROOF converteix el RAT en un registre amb cadena de custòdia criptogràfica: cada entrada del registre d'activitats rep un timestamp blockchain immutable. Si l'AEPD audita un tractament ocorregut fa 18 mesos, l'entitat pot demostrar exactament què deia el RAT en aquella data — i que no ha estat modificat des de llavors.
Art. 32–33 RGPD — Seguretat i bretxes
Mesures de seguretat verificables i timestamp de descobriment de bretxes
L'Art. 32 exigeix mesures tècniques i organitzatives apropiades per garantir la seguretat del tractament. L'Art. 33 estableix el termini de 72 hores per notificar bretxes de dades personals a l'AEPD — comptat des que el responsable "tingui coneixement" de l'incident. Aquest "tingui coneixement" és el punt de litigi en la majoria de procediments sancionadors per bretxes.
Evidència V-PROOF V-Seal Core segella la implementació de cada mesura de seguretat de l'Art. 32 amb timestamp blockchain. Per a bretxes, el registre immutable del moment de descobriment (quan l'equip va tenir coneixement tècnic de l'incident) és l'evidència que acredita el compliment del termini de 72h de l'Art. 33 davant l'AEPD — o que el demostra com a impossible d'haver conegut abans.

ENS categories Mitjana i Alta: de la declaració de conformitat a l'evidència auditable

El Reial Decret 311/2022 actualitza l'ENS per alinear-lo amb el panorama actual de ciberamenaces i amb els marcs europeus de ciberseguretat (NIS2, DORA). Les categories Mitjana i Alta de l'ENS exigeixen mesures de seguretat que van més enllà de l'autodeclaració: el CCN-CERT pot requerir evidència tècnica del compliment en les seves auditories.

ENS i el sector públic digital

Qualsevol empresa privada que presti serveis tecnològics a una Administració Pública espanyola — des d'un SaaS de gestió documental fins a una plataforma de tramitació electrònica — ha de complir l'ENS en la categoria que correspongui al sistema. Amb la digitalització accelerada dels serveis públics i la incorporació d'IA en la tramitació i atenció ciutadana, el nombre de proveïdors afectats s'ha multiplicat. V-PROOF genera la cadena d'auditoria tècnica que el CCN-CERT requereix per certificar la conformitat ENS dels sistemes de categoria Mitjana i Alta.

Cobertura V-PROOF per article RGPD i ENS

Article Obligació Cobertura Mòdul V-PROOF
RGPD — Principis i accountability
Art. 5(2)Accountability Evidència tècnica verificable del compliment dels principis de tractament ✓ Completa V-Seal Core
Art. 25Privacy by design Registre de quan i com es van implementar els controls de privadesa durant el disseny del sistema ✓ Completa V-Seal Core AI Orchestrator
Art. 30RAT Registre d'Activitats de Tractament amb cadena de custòdia criptogràfica — immutable i verificable retroactivament ✓ Completa V-Seal Core
Art. 32Seguretat del tractament Evidència d'implementació de mesures tècniques i organitzatives de seguretat, verificable per l'AEPD ✓ Completa V-Seal Core
Art. 33Notificació de bretxes · 72h Timestamp immutable del moment de descobriment de la bretxa — acredita el compliment del termini de 72h ✓ Completa V-Seal Core
Art. 35DPIA Avaluació d'impacte relativa a la protecció de dades per a tractaments d'alt risc ◐ Parcial V-Seal Core
ENS — Reial Decret 311/2022
ENS Cat. MitjanaMesures de seguretat Cadena d'auditoria tècnica de les mesures de seguretat implementades, verificable pel CCN-CERT ✓ Completa V-Seal Core
ENS Cat. AltaTraçabilitat avançada Evidència criptogràfica de controls de seguretat amb traçabilitat completa del cicle de vida del sistema ✓ Completa V-SEAL Core Git Integration
Convergència RGPD + EU AI Act — Per a sistemes d'IA que tracten dades personals
RGPD Art. 22+ EU AI Act Art. 14 Supervisió humana verificable en sistemes d'IA amb impacte significatiu en persones físiques ✓ Completa V-PROOF AI AI Orchestrator
RGPD Art. 25+ EU AI Act Art. 10 Privacy by design en el tractament de dades d'entrenament de models d'IA ✓ Completa AI Orchestrator

◐ Parcial = V-PROOF segella els resultats de l'avaluació; el disseny i execució de la DPIA és responsabilitat del DPO o assessor jurídic especialitzat.

RGPD + EU AI Act: la doble obligació que afecta gairebé tots els sistemes d'IA

Gairebé qualsevol sistema d'IA empresarial tracta dades personals: sistemes de scoring de crèdit, plataformes d'anàlisi de comportament de clients, eines de reclutament assistit per IA, sistemes de videovigilància intel·ligent. Tots ells estan sota el RGPD i, si són d'alt risc, sota l'EU AI Act. La intersecció crea obligacions que cap dels dos marcs gestiona de forma aïllada.

L'Art. 22 del RGPD estableix que els interessats tenen dret a no ser objecte de decisions basades únicament en el tractament automatitzat que els produeixin efectes jurídics significatius o similars. L'Art. 14 de l'EU AI Act exigeix que els sistemes d'IA d'alt risc comptin amb supervisió humana verificable. Ambdós exigeixen el mateix des de marcs diferents: que una persona hagi revisat, comprès i aprovat la decisió — i que això pugui demostrar-se.

Una sola evidència per a dos marcs

El mòdul V-Proof AI de V-PROOF registra la identitat del revisor humà, el seu rol, la ràtio IA/humà de la decisió i el context normatiu aplicat — per a cada decisió individual del sistema. Aquest registre cobreix simultàniament el requisit de supervisió humana de l'EU AI Act (Art. 14) i l'obligació de demostrar intervenció humana sota l'Art. 22 del RGPD. El DPO i l'equip d'AI governance tenen una sola font d'evidència per a dos reguladors diferents.

Sobirania de dades · Rellevància RGPD / ENS

Per què la seu del proveïdor de compliance importa sota el RGPD

El RGPD (Arts. 44–49) restringeix les transferències de dades personals a països tercers sense garanties equivalents. Un proveïdor de plataforma d'AI Governance o GRC amb seu als EUA que gestiona la documentació de compliment RGPD d'una organització europea pot estar transferint dades de compliance — incloent-hi registres d'activitats de tractament i evidències de bretxes — fora de la UE sense les garanties adequades.

Més greu encara: el CLOUD Act americà pot obligar aquest proveïdor a lliurar aquests registres a les autoritats americanes, incloent-hi potencialment els registres de bretxes de dades personals abans que l'organització hagi pogut notificar a l'AEPD — cosa que podria vulnerar l'Art. 33 del RGPD en veure's compromesa la confidencialitat del procés de notificació.

V-PROOF té seu legal a Espanya. Els registres de compliance RGPD — el RAT, les evidències d'accountability, els Timestamp de descobriment de bretxes — romanen sota sobirania de la UE. No hi ha transferència internacional, no hi ha risc CLOUD Act, no hi ha incompatibilitat amb els Arts. 44–49 del RGPD.

Per al sector públic sota ENS, aquest punt és especialment rellevant: l'ENS exigeix que els sistemes d'informació de les AAPP i les seves dades romanguin sota sobirania espanyola. Un proveïdor de gestió d'evidències ENS amb seu als EUA és incompatible amb aquest requisit.
Anàlisi estratègica

V-PROOF davant el RGPD i l'ENS

Fortaleses, casos d'ús regulatori i límits de l'abast

F
Fortaleses · El que V-PROOF aporta al RGPD i ENS
  • RAT amb cadena de custòdia criptogràfica: immutable, verificable retroactivament per l'AEPD — la diferència entre declarar el compliment i poder demostrar-ho Art. 30 RGPD — RAT
  • Timestamp blockchain del moment de descobriment de bretxes — l'evidència que acredita el compliment del termini de 72h de l'Art. 33 o demostra la seva impossibilitat tècnica Art. 33 RGPD — Notificació bretxes
  • Evidència de privacy by design: registre de quan i com es van implementar controls de privadesa durant el desenvolupament del sistema — no com a pegat posterior Art. 25 RGPD — Privacy by design
  • Supervisió humana verificable en sistemes d'IA que tracten dades personals: cobreix Art. 22 RGPD i Art. 14 EU AI Act amb un sol registre RGPD Art. 22 + EU AI Act Art. 14
  • Cadena d'auditoria ENS: evidència tècnica de mesures de seguretat en categories Mitjana i Alta verificable pel CCN-CERT ENS Cat. Mitjana/Alta — RD 311/2022
  • Seu legal a Espanya: registres de compliance RGPD i ENS sota sobirania de la UE — sense risc CLOUD Act ni incompatibilitat amb Arts. 44–49 RGPD Arts. 44–49 RGPD + ENS sobirania
On actua · Casos d'ús regulatori
  • DPOs d'organitzacions amb sistemes d'IA que processen dades personals i necessiten evidència tècnica d'accountability davant l'AEPD Art. 5(2) RGPD — Accountability
  • Empreses que han patit bretxes i necessiten acreditar el moment exacte de descobriment per defensar el compliment del termini de 72h Art. 33 RGPD — Bretxes
  • Proveïdors TIC d'Administracions Públiques espanyoles que han de certificar la conformitat ENS dels seus sistemes en categories Mitjana o Alta ENS — RD 311/2022
  • Organitzacions amb plataformes de decisió automatitzada (scoring, reclutament IA, atenció ciutadana) sota doble obligació RGPD Art. 22 + EU AI Act RGPD + EU AI Act convergència
  • Equips de desenvolupament que implementen sistemes amb dades personals i necessiten acreditar privacy by design durant el cicle de desenvolupament — no ex post Art. 25 RGPD — Privacy by design
Fora d'abast · Responsabilitat del client
  • El disseny de la política de privadesa i els textos legals: V-PROOF certifica que els controls existeixen i es van implementar, no redacta les clàusules legals ni assessora sobre la base jurídica del tractament. Política de privadesa
  • L'Avaluació d'Impacte (DPIA, Art. 35): V-PROOF segella els resultats de la DPIA i la seva aprovació, però l'anàlisi de riscos i el disseny de mesures els realitzen el DPO o assessors jurídics especialitzats. Art. 35 RGPD — DPIA
  • La notificació formal de bretxes a l'AEPD (Art. 33) i als interessats (Art. 34): V-PROOF genera el registre del moment de descobriment; la notificació formal és responsabilitat del responsable del tractament. Arts. 33–34 RGPD — Notificació
  • L'anàlisi jurídica de transferències internacionals (Arts. 44–49): V-PROOF no gestiona les clàusules contractuals tipus ni avalua l'adequació de tercers països. Aquesta anàlisi requereix assessoria jurídica especialitzada. Arts. 44–49 RGPD — Transferències
Diagnòstic RGPD / ENS

¿Pot la seva organització demostrar davant l'AEPD que els seus tractaments amb IA compleixen l'Art. 5 del RGPD?

V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions RGPD i ENS aplicables als seus sistemes, identifica els buits d'evidència tècnica i defineix la integració necessària per fer l'accountability demostrable.

Sol·licitar Diagnòstic Estratègic RGPD / ENS

Fonts i referències normatives

  1. Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 (RGPD) — EUR-Lex CELEX:32016R0679
  2. Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat — BOE-A-2022-7191
  3. AEPD — Guia d'Anàlisi de Riscos en els tractaments de dades personals amb IA, 2024 — aepd.es
  4. AEPD — Guia pràctica d'anàlisi de riscos per al tractament de dades personals, 2021 — aepd.es
  5. CCN-CERT — Guia d'aplicació de l'ENS (Sèrie CCN-STIC 800) — ccn-cert.cni.es
  6. EDPB — Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement — edpb.europa.eu
  7. Reglament (UE) 2024/1689 (EU AI Act) — referència de convergència amb RGPD per a sistemes d'IA que tracten dades personals — EUR-Lex
Anterior
Anterior

Com ajuda V-PROOF en el compliment DORA i el sector financer

Següent
Següent

NIS2 a Espanya: què exigeix la Directiva 2022/2555 i com acreditar el compliment V-PROOF