RGPD i ENS en l'era de la IA: com demostrar accountability amb evidència criptogràfica V-PROOF
RGPD i ENS en l'era de la IA: l'accountability ja no és una declaració, és evidència tècnica
El principi d'accountability del RGPD obliga a demostrar el compliment — no només a declarar-lo. Amb sistemes d'IA en el flux de tractament, els Arts. 5, 25, 30 i 32 exigeixen un nivell de traçabilitat que cap document de política pot proporcionar per si sol.
Punts clau
- L'Art. 5(2) del RGPD estableix el principi d'accountability: el responsable del tractament ha de poder demostrar activament que compleix — no n'hi ha prou amb declarar-ho en una política de privadesa.
- Amb sistemes d'IA en el flux de tractament, l'Art. 25 (privadesa per disseny) exigeix evidència que els controls de privadesa es van implementar durant el disseny del sistema, no com a pegat posterior.
- L'Art. 30 exigeix un Registre d'Activitats de Tractament (RAT) precís i actualitzat — V-PROOF el converteix en un registre amb evidència criptogràfica verificable per l'AEPD.
- L'Art. 33 estableix un termini de 72 hores per notificar bretxes de dades personals a l'AEPD. Per acreditar aquest termini, l'entitat necessita un registre tècnic inalterable del moment de descobriment.
- L'ENS (Reial Decret 311/2022) és d'aplicació obligatòria per a les Administracions Públiques espanyoles i els seus proveïdors TIC: les categories Mitjana i Alta exigeixen mesures de seguretat auditables amb traçabilitat tècnica.
- La convergència RGPD + EU AI Act crea una obligació dual per a sistemes d'IA que tracten dades personals: l'Art. 22 del RGPD (decisions automatitzades) i l'Art. 14 de l'EU AI Act (supervisió humana) exigeixen el mateix registre d'intervenció humana verificable.
Accountability: l'obligació que la majoria d'organitzacions continua incomplint
Des del 2018, el RGPD estableix en el seu Art. 5(2) el que els experts en protecció de dades anomenen el principi d'accountability o responsabilitat proactiva: "el responsable del tractament serà responsable del compliment del que disposa l'apartat 1 i capaç de demostrar-ho." La cursiva és nostra — i en ella hi ha el problema que la majoria d'organitzacions ignora.
El RGPD no diu "tingui una política de privadesa". Diu "sigui capaç de demostrar-ho". Aquesta demostració, en una inspecció de l'AEPD o davant d'un tribunal, requereix evidència tècnica — registres, logs, proves verificables que els controls de protecció de dades existien, funcionaven i es van aplicar correctament en el tractament concret que s'està auditant.
La rendició de comptes a la pràctica — què pregunta l'AEPD
En una inspecció de l'AEPD o en un procediment sancionador, la pregunta no és "¿té vostè una política de privacitat?" sinó "¿pot vostè acreditar que aquest tractament específic de dades personals va complir els principis de l'Art. 5 en la data concreta de l'incident?" Una política documentada respon la primera pregunta. Només l'evidència tècnica verificable respon la segona.
Aquest problema s'amplifica exponencialment quan els sistemes d'IA entren en el flux de tractament. Un model de ML que processa dades personals per generar recomanacions, classificar sol·licitants o detectar anomalies de comportament introdueix opacitat en el tractament: ¿com demostra l'organització que el tractament automatitzat va respectar el principi de minimització de dades? ¿Que hi va haver supervisió humana en les decisions amb impacte significatiu? ¿Que el model no va introduir biaixos que vulneren l'Art. 5(1)(a) de licitud del tractament? Sense traçabilitat tècnica verificable, la resposta a aquestes preguntes és sempre la mateixa: no pot.
RGPD i ENS: dos marcs que se solapen en sectors clau
Per a les organitzacions del sector públic espanyol i els seus proveïdors tecnològics, el RGPD no és l'únic marc de referència en protecció de dades i seguretat. L'Esquema Nacional de Seguretat (ENS, Reial Decret 311/2022) estableix els principis i requisits de seguretat dels sistemes d'informació de les Administracions Públiques — i s'aplica també als proveïdors privats que prestin serveis a les AAPP.
La intersecció és directa: un proveïdor TIC que dona servei a una Administració Pública espanyola tracta dades personals sota el RGPD i ha de complir l'ENS. L'evidència tècnica que genera V-PROOF cobreix ambdós marcs simultàniament: el registre criptogràfic de controls implementats serveix tant per acreditar la rendició de comptes del RGPD davant l'AEPD com per demostrar la implementació de mesures ENS davant el CCN-CERT.
Els articles que exigeixen evidència tècnica — i què genera V-PROOF
ENS categories Mitjana i Alta: de la declaració de conformitat a l'evidència auditable
El Reial Decret 311/2022 actualitza l'ENS per alinear-lo amb el panorama actual de ciberamenaces i amb els marcs europeus de ciberseguretat (NIS2, DORA). Les categories Mitjana i Alta de l'ENS exigeixen mesures de seguretat que van més enllà de l'autodeclaració: el CCN-CERT pot requerir evidència tècnica del compliment en les seves auditories.
ENS i el sector públic digital
Qualsevol empresa privada que presti serveis tecnològics a una Administració Pública espanyola — des d'un SaaS de gestió documental fins a una plataforma de tramitació electrònica — ha de complir l'ENS en la categoria que correspongui al sistema. Amb la digitalització accelerada dels serveis públics i la incorporació d'IA en la tramitació i atenció ciutadana, el nombre de proveïdors afectats s'ha multiplicat. V-PROOF genera la cadena d'auditoria tècnica que el CCN-CERT requereix per certificar la conformitat ENS dels sistemes de categoria Mitjana i Alta.
Cobertura V-PROOF per article RGPD i ENS
| Article | Obligació | Cobertura | Mòdul V-PROOF |
|---|---|---|---|
| RGPD — Principis i accountability | |||
| Art. 5(2)Accountability | Evidència tècnica verificable del compliment dels principis de tractament | ✓ Completa | V-Seal Core |
| Art. 25Privacy by design | Registre de quan i com es van implementar els controls de privadesa durant el disseny del sistema | ✓ Completa | V-Seal Core AI Orchestrator |
| Art. 30RAT | Registre d'Activitats de Tractament amb cadena de custòdia criptogràfica — immutable i verificable retroactivament | ✓ Completa | V-Seal Core |
| Art. 32Seguretat del tractament | Evidència d'implementació de mesures tècniques i organitzatives de seguretat, verificable per l'AEPD | ✓ Completa | V-Seal Core |
| Art. 33Notificació de bretxes · 72h | Timestamp immutable del moment de descobriment de la bretxa — acredita el compliment del termini de 72h | ✓ Completa | V-Seal Core |
| Art. 35DPIA | Avaluació d'impacte relativa a la protecció de dades per a tractaments d'alt risc | ◐ Parcial | V-Seal Core |
| ENS — Reial Decret 311/2022 | |||
| ENS Cat. MitjanaMesures de seguretat | Cadena d'auditoria tècnica de les mesures de seguretat implementades, verificable pel CCN-CERT | ✓ Completa | V-Seal Core |
| ENS Cat. AltaTraçabilitat avançada | Evidència criptogràfica de controls de seguretat amb traçabilitat completa del cicle de vida del sistema | ✓ Completa | V-SEAL Core Git Integration |
| Convergència RGPD + EU AI Act — Per a sistemes d'IA que tracten dades personals | |||
| RGPD Art. 22+ EU AI Act Art. 14 | Supervisió humana verificable en sistemes d'IA amb impacte significatiu en persones físiques | ✓ Completa | V-PROOF AI AI Orchestrator |
| RGPD Art. 25+ EU AI Act Art. 10 | Privacy by design en el tractament de dades d'entrenament de models d'IA | ✓ Completa | AI Orchestrator |
◐ Parcial = V-PROOF segella els resultats de l'avaluació; el disseny i execució de la DPIA és responsabilitat del DPO o assessor jurídic especialitzat.
RGPD + EU AI Act: la doble obligació que afecta gairebé tots els sistemes d'IA
Gairebé qualsevol sistema d'IA empresarial tracta dades personals: sistemes de scoring de crèdit, plataformes d'anàlisi de comportament de clients, eines de reclutament assistit per IA, sistemes de videovigilància intel·ligent. Tots ells estan sota el RGPD i, si són d'alt risc, sota l'EU AI Act. La intersecció crea obligacions que cap dels dos marcs gestiona de forma aïllada.
L'Art. 22 del RGPD estableix que els interessats tenen dret a no ser objecte de decisions basades únicament en el tractament automatitzat que els produeixin efectes jurídics significatius o similars. L'Art. 14 de l'EU AI Act exigeix que els sistemes d'IA d'alt risc comptin amb supervisió humana verificable. Ambdós exigeixen el mateix des de marcs diferents: que una persona hagi revisat, comprès i aprovat la decisió — i que això pugui demostrar-se.
Una sola evidència per a dos marcs
El mòdul V-Proof AI de V-PROOF registra la identitat del revisor humà, el seu rol, la ràtio IA/humà de la decisió i el context normatiu aplicat — per a cada decisió individual del sistema. Aquest registre cobreix simultàniament el requisit de supervisió humana de l'EU AI Act (Art. 14) i l'obligació de demostrar intervenció humana sota l'Art. 22 del RGPD. El DPO i l'equip d'AI governance tenen una sola font d'evidència per a dos reguladors diferents.
Per què la seu del proveïdor de compliance importa sota el RGPD
El RGPD (Arts. 44–49) restringeix les transferències de dades personals a països tercers sense garanties equivalents. Un proveïdor de plataforma d'AI Governance o GRC amb seu als EUA que gestiona la documentació de compliment RGPD d'una organització europea pot estar transferint dades de compliance — incloent-hi registres d'activitats de tractament i evidències de bretxes — fora de la UE sense les garanties adequades.
Més greu encara: el CLOUD Act americà pot obligar aquest proveïdor a lliurar aquests registres a les autoritats americanes, incloent-hi potencialment els registres de bretxes de dades personals abans que l'organització hagi pogut notificar a l'AEPD — cosa que podria vulnerar l'Art. 33 del RGPD en veure's compromesa la confidencialitat del procés de notificació.
V-PROOF té seu legal a Espanya. Els registres de compliance RGPD — el RAT, les evidències d'accountability, els Timestamp de descobriment de bretxes — romanen sota sobirania de la UE. No hi ha transferència internacional, no hi ha risc CLOUD Act, no hi ha incompatibilitat amb els Arts. 44–49 del RGPD.
V-PROOF davant el RGPD i l'ENS
Fortaleses, casos d'ús regulatori i límits de l'abast
- RAT amb cadena de custòdia criptogràfica: immutable, verificable retroactivament per l'AEPD — la diferència entre declarar el compliment i poder demostrar-ho Art. 30 RGPD — RAT
- Timestamp blockchain del moment de descobriment de bretxes — l'evidència que acredita el compliment del termini de 72h de l'Art. 33 o demostra la seva impossibilitat tècnica Art. 33 RGPD — Notificació bretxes
- Evidència de privacy by design: registre de quan i com es van implementar controls de privadesa durant el desenvolupament del sistema — no com a pegat posterior Art. 25 RGPD — Privacy by design
- Supervisió humana verificable en sistemes d'IA que tracten dades personals: cobreix Art. 22 RGPD i Art. 14 EU AI Act amb un sol registre RGPD Art. 22 + EU AI Act Art. 14
- Cadena d'auditoria ENS: evidència tècnica de mesures de seguretat en categories Mitjana i Alta verificable pel CCN-CERT ENS Cat. Mitjana/Alta — RD 311/2022
- Seu legal a Espanya: registres de compliance RGPD i ENS sota sobirania de la UE — sense risc CLOUD Act ni incompatibilitat amb Arts. 44–49 RGPD Arts. 44–49 RGPD + ENS sobirania
- DPOs d'organitzacions amb sistemes d'IA que processen dades personals i necessiten evidència tècnica d'accountability davant l'AEPD Art. 5(2) RGPD — Accountability
- Empreses que han patit bretxes i necessiten acreditar el moment exacte de descobriment per defensar el compliment del termini de 72h Art. 33 RGPD — Bretxes
- Proveïdors TIC d'Administracions Públiques espanyoles que han de certificar la conformitat ENS dels seus sistemes en categories Mitjana o Alta ENS — RD 311/2022
- Organitzacions amb plataformes de decisió automatitzada (scoring, reclutament IA, atenció ciutadana) sota doble obligació RGPD Art. 22 + EU AI Act RGPD + EU AI Act convergència
- Equips de desenvolupament que implementen sistemes amb dades personals i necessiten acreditar privacy by design durant el cicle de desenvolupament — no ex post Art. 25 RGPD — Privacy by design
- El disseny de la política de privadesa i els textos legals: V-PROOF certifica que els controls existeixen i es van implementar, no redacta les clàusules legals ni assessora sobre la base jurídica del tractament. Política de privadesa
- L'Avaluació d'Impacte (DPIA, Art. 35): V-PROOF segella els resultats de la DPIA i la seva aprovació, però l'anàlisi de riscos i el disseny de mesures els realitzen el DPO o assessors jurídics especialitzats. Art. 35 RGPD — DPIA
- La notificació formal de bretxes a l'AEPD (Art. 33) i als interessats (Art. 34): V-PROOF genera el registre del moment de descobriment; la notificació formal és responsabilitat del responsable del tractament. Arts. 33–34 RGPD — Notificació
- L'anàlisi jurídica de transferències internacionals (Arts. 44–49): V-PROOF no gestiona les clàusules contractuals tipus ni avalua l'adequació de tercers països. Aquesta anàlisi requereix assessoria jurídica especialitzada. Arts. 44–49 RGPD — Transferències
¿Pot la seva organització demostrar davant l'AEPD que els seus tractaments amb IA compleixen l'Art. 5 del RGPD?
V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions RGPD i ENS aplicables als seus sistemes, identifica els buits d'evidència tècnica i defineix la integració necessària per fer l'accountability demostrable.
Sol·licitar Diagnòstic Estratègic RGPD / ENSFonts i referències normatives
- Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 (RGPD) — EUR-Lex CELEX:32016R0679
- Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat — BOE-A-2022-7191
- AEPD — Guia d'Anàlisi de Riscos en els tractaments de dades personals amb IA, 2024 — aepd.es
- AEPD — Guia pràctica d'anàlisi de riscos per al tractament de dades personals, 2021 — aepd.es
- CCN-CERT — Guia d'aplicació de l'ENS (Sèrie CCN-STIC 800) — ccn-cert.cni.es
- EDPB — Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement — edpb.europa.eu
- Reglament (UE) 2024/1689 (EU AI Act) — referència de convergència amb RGPD per a sistemes d'IA que tracten dades personals — EUR-Lex
