RGPD y ENS en la era de la IA: cómo demostrar accountability con evidencia criptográfica V-PROOF

RGPD y ENS en la era de la IA: cómo demostrar accountability con evidencia criptográfica — V-PROOF Journal
Normativa · Protección de datos

RGPD y ENS en la era de la IA: accountability ya no es una declaración, es evidencia técnica

El principio de accountability del RGPD obliga a demostrar el cumplimiento — no solo a declararlo. Con sistemas de IA en el flujo de tratamiento, los Arts. 5, 25, 30 y 32 exigen un nivel de trazabilidad que ningún documento de política puede proporcionar por sí solo.

Publicado: Julio de 2026
Cobertura normativa: RGPD · Arts. 5, 25, 30, 32, 33 · ENS RD 311/2022
Categoría: Regulación
RGPD · UE 2016/679 ENS · RD 311/2022 Proveedor europeo

Puntos clave

  • El Art. 5(2) del RGPD establece el principio de accountability: el responsable del tratamiento debe poder demostrar activamente que cumple — no basta con declararlo en una política de privacidad.
  • Con sistemas de IA en el flujo de tratamiento, el Art. 25 (privacidad por diseño) exige evidencia de que los controles de privacidad se implementaron durante el diseño del sistema, no como parche posterior.
  • El Art. 30 exige un Registro de Actividades de Tratamiento (RAT) preciso y actualizado — V-PROOF lo convierte en un registro con evidencia criptográfica verificable por la AEPD.
  • El Art. 33 establece un plazo de 72 horas para notificar brechas de datos personales a la AEPD. Para acreditar ese plazo, la entidad necesita un registro técnico inalterable del momento de descubrimiento.
  • El ENS (Real Decreto 311/2022) es de aplicación obligatoria para las Administraciones Públicas españolas y sus proveedores TIC: las categorías Media y Alta exigen medidas de seguridad auditables con trazabilidad técnica.
  • La convergencia RGPD + EU AI Act crea una obligación dual para sistemas de IA que tratan datos personales: el Art. 22 del RGPD (decisiones automatizadas) y el Art. 14 del EU AI Act (supervisión humana) exigen el mismo registro de intervención humana verificable.

Accountability: la obligación que la mayoría de organizaciones sigue incumpliendo

Desde 2018, el RGPD establece en su Art. 5(2) lo que los expertos en protección de datos llaman el principio de accountability o responsabilidad proactiva: "el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo." La cursiva es nuestra — y en ella está el problema que la mayoría de organizaciones ignora.

El RGPD no dice "tenga una política de privacidad". Dice "sea capaz de demostrarlo". Esa demostración, en una inspección de la AEPD o ante un tribunal, requiere evidencia técnica — registros, logs, pruebas verificables de que los controles de protección de datos existían, funcionaban y se aplicaron correctamente en el tratamiento concreto que se está auditando.

El accountability en la práctica — qué pregunta la AEPD

En una inspección de la AEPD o en un procedimiento sancionador, la pregunta no es "¿tiene usted una política de privacidad?" sino "¿puede usted acreditar que ese tratamiento específico de datos personales cumplió los principios del Art. 5 en la fecha concreta del incidente?" Una política documentada responde la primera pregunta. Solo la evidencia técnica verificable responde la segunda.

Este problema se amplifica exponencialmente cuando los sistemas de IA entran en el flujo de tratamiento. Un modelo de ML que procesa datos personales para generar recomendaciones, clasificar solicitantes o detectar anomalías de comportamiento introduce opacidad en el tratamiento: ¿cómo demuestra la organización que el tratamiento automatizado respetó el principio de minimización de datos? ¿Que hubo supervisión humana en las decisiones con impacto significativo? ¿Que el modelo no introdujo sesgos que vulneran el Art. 5(1)(a) de licitud del tratamiento? Sin trazabilidad técnica verificable, la respuesta a estas preguntas es siempre la misma: no puede.

RGPD y ENS: dos marcos que se solapan en sectores clave

Para las organizaciones del sector público español y sus proveedores tecnológicos, el RGPD no es el único marco de referencia en protección de datos y seguridad. El Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022) establece los principios y requisitos de seguridad de los sistemas de información de las Administraciones Públicas — y se aplica también a los proveedores privados que presten servicios a las AAPP.

RGPD · Reglamento UE 2016/679
Accountability del responsable del tratamiento
Aplicable a cualquier organización que trate datos personales de residentes en la UE. Principios: licitud, lealtad, transparencia, limitación de finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad. Todos demostrables — Art. 5(2).
ENS · Real Decreto 311/2022
Seguridad de los sistemas de información públicos
Obligatorio para las AAPP españolas y sus proveedores TIC. Tres categorías: Básica, Media y Alta, según el impacto de un incidente de seguridad. Las categorías Media y Alta exigen medidas de seguridad auditables con trazabilidad técnica verificable por el CCN-CERT.

La intersección es directa: un proveedor TIC que da servicio a una Administración Pública española trata datos personales bajo el RGPD y debe cumplir el ENS. La evidencia técnica que genera V-PROOF cubre ambos marcos simultáneamente: el registro criptográfico de controles implementados sirve tanto para acreditar el accountability del RGPD ante la AEPD como para demostrar la implementación de medidas ENS ante el CCN-CERT.

Los artículos que exigen evidencia técnica — y qué genera V-PROOF

Art. 5(2) RGPD — Accountability
El responsable debe poder demostrar el cumplimiento de los principios de tratamiento
El principio de accountability es transversal a todo el RGPD: cada decisión de tratamiento — qué datos se recogen, con qué finalidad, durante cuánto tiempo, con qué medidas de seguridad — debe poder demostrarse ante el regulador. "Puede demostrarlo" significa evidencia técnica, no una declaración de intenciones.
Evidencia V-PROOF V-Seal Core sella criptográficamente cada decisión de tratamiento relevante: la implementación de una nueva categoría de datos, el cambio en una finalidad de tratamiento, la aplicación de una medida de seguridad. El timestamp blockchain crea un historial verificable de las decisiones de compliance — defensable ante la AEPD en cualquier procedimiento.
Art. 25 RGPD — Privacy by Design
Evidencia de que los controles de privacidad se implementaron durante el diseño del sistema
La privacidad por diseño y por defecto exige que los controles de privacidad no se añadan como capa posterior, sino que se implementen durante el diseño del sistema. En la era de la IA, esto significa que los principios de minimización de datos y limitación de finalidad deben estar en la arquitectura del modelo — y debe poderse demostrar.
Evidencia V-PROOF V-PROOF registra qué controles de privacidad se implementaron en el sistema de tratamiento, cuándo se implementaron (durante el diseño vs. post-lanzamiento) y quién los aprobó. Para sistemas de IA, el módulo AI Orchestrator registra que los principios de minimización y limitación de finalidad se aplicaron durante el entrenamiento y el despliegue.
Art. 30 RGPD — Registro de Actividades
RAT con evidencia criptográfica verificable: el registro que la AEPD puede auditar
El Registro de Actividades de Tratamiento (RAT) es la columna vertebral documental del cumplimiento RGPD. Pero un RAT en un documento Word o una hoja de cálculo tiene un problema fundamental: puede modificarse retroactivamente. Cuando la AEPD lo audita en el contexto de un incidente, la entidad no puede garantizar que el registro refleja lo que realmente se hacía en la fecha del incidente.
Evidencia V-PROOF V-PROOF convierte el RAT en un registro con cadena de custodia criptográfica: cada entrada del registro de actividades recibe un timestamp blockchain inmutable. Si la AEPD audita un tratamiento ocurrido hace 18 meses, la entidad puede demostrar exactamente qué decía el RAT en esa fecha — y que no ha sido modificado desde entonces.
Art. 32–33 RGPD — Seguridad y brechas
Medidas de seguridad verificables y timestamp de descubrimiento de brechas
El Art. 32 exige medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento. El Art. 33 establece el plazo de 72 horas para notificar brechas de datos personales a la AEPD — contado desde que el responsable "tenga conocimiento" del incidente. Ese "tenga conocimiento" es el punto de litigio en la mayoría de procedimientos sancionadores por brechas.
Evidencia V-PROOF V-Seal Core sella la implementación de cada medida de seguridad del Art. 32 con timestamp blockchain. Para brechas, el registro inmutable del momento de descubrimiento (cuándo el equipo tuvo conocimiento técnico del incidente) es la evidencia que acredita el cumplimiento del plazo de 72h del Art. 33 ante la AEPD — o que lo demuestra como imposible de haber conocido antes.

ENS categorías Media y Alta: de la declaración de conformidad a la evidencia auditable

El Real Decreto 311/2022 actualiza el ENS para alinearlo con el panorama actual de ciberamenazas y con los marcos europeos de ciberseguridad (NIS2, DORA). Las categorías Media y Alta del ENS exigen medidas de seguridad que van más allá de la autodeclaración: el CCN-CERT puede requerir evidencia técnica del cumplimiento en sus auditorías.

ENS y el sector público digital

Cualquier empresa privada que preste servicios tecnológicos a una Administración Pública española — desde un SaaS de gestión documental hasta una plataforma de tramitación electrónica — debe cumplir el ENS en la categoría que corresponda al sistema. Con la digitalización acelerada de los servicios públicos y la incorporación de IA en la tramitación y atención ciudadana, el número de proveedores afectados se ha multiplicado. V-PROOF genera la cadena de auditoría técnica que el CCN-CERT requiere para certificar la conformidad ENS de los sistemas de categoría Media y Alta.

Cobertura V-PROOF por artículo RGPD y ENS

Artículo Obligación Cobertura Módulo V-PROOF
RGPD — Principios y accountability
Art. 5(2)Accountability Evidencia técnica verificable del cumplimiento de los principios de tratamiento ✓ Completa V-Seal Core
Art. 25Privacy by design Registro de cuándo y cómo se implementaron los controles de privacidad durante el diseño del sistema ✓ Completa V-Seal Core AI Orchestrator
Art. 30RAT Registro de Actividades de Tratamiento con cadena de custodia criptográfica — inmutable y verificable retroactivamente ✓ Completa V-Seal Core
Art. 32Seguridad del tratamiento Evidencia de implementación de medidas técnicas y organizativas de seguridad, verificable por la AEPD ✓ Completa V-Seal Core
Art. 33Notificación brechas · 72h Timestamp inmutable del momento de descubrimiento de la brecha — acredita el cumplimiento del plazo de 72h ✓ Completa V-Seal Core
Art. 35DPIA Evaluación de impacto relativa a la protección de datos para tratamientos de alto riesgo ◐ Parcial V-Seal Core
ENS — Real Decreto 311/2022
ENS Cat. MediaMedidas de seguridad Cadena de auditoría técnica de las medidas de seguridad implementadas, verificable por CCN-CERT ✓ Completa V-Seal Core
ENS Cat. AltaTrazabilidad avanzada Evidencia criptográfica de controles de seguridad con trazabilidad completa del ciclo de vida del sistema ✓ Completa V-Seal Core Git Integration
Convergencia RGPD + EU AI Act — Para sistemas de IA que tratan datos personales
RGPD Art. 22+ EU AI Act Art. 14 Supervisión humana verificable en sistemas de IA con impacto significativo en personas físicas ✓ Completa V-Proof AI AI Orchestrator
RGPD Art. 25+ EU AI Act Art. 10 Privacy by design en el tratamiento de datos de entrenamiento de modelos de IA ✓ Completa AI Orchestrator

◐ Parcial = V-PROOF sella los resultados de la evaluación; el diseño y ejecución de la DPIA es responsabilidad del DPO o asesor jurídico especializado.

RGPD + EU AI Act: la doble obligación que afecta a casi todos los sistemas de IA

Casi cualquier sistema de IA empresarial trata datos personales: sistemas de scoring de crédito, plataformas de análisis de comportamiento de clientes, herramientas de reclutamiento asistido por IA, sistemas de videovigilancia inteligente. Todos ellos están bajo el RGPD y, si son de alto riesgo, bajo el EU AI Act. La intersección crea obligaciones que ninguno de los dos marcos gestiona de forma aislada.

El Art. 22 del RGPD establece que los interesados tienen derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que les produzcan efectos jurídicos significativos o similares. El Art. 14 del EU AI Act exige que los sistemas de IA de alto riesgo cuenten con supervisión humana verificable. Ambos exigen lo mismo desde marcos distintos: que una persona haya revisado, comprendido y aprobado la decisión — y que eso pueda demostrarse.

Una sola evidencia para dos marcos

El módulo V-Proof AI de V-PROOF registra la identidad del revisor humano, su rol, el ratio IA/humano de la decisión y el contexto normativo aplicado — para cada decisión individual del sistema. Ese registro cubre simultáneamente el requisito de supervisión humana del EU AI Act (Art. 14) y la obligación de demostrar intervención humana bajo el Art. 22 del RGPD. El DPO y el equipo de AI governance tienen una sola fuente de evidencia para dos reguladores distintos.

Soberanía de datos · Relevancia RGPD / ENS

Por qué la sede del proveedor de compliance importa bajo el RGPD

El RGPD (Arts. 44–49) restringe las transferencias de datos personales a países terceros sin garantías equivalentes. Un proveedor de plataforma de AI Governance o GRC con sede en EE.UU. que gestiona la documentación de cumplimiento RGPD de una organización europea puede estar transfiriendo datos de compliance — incluyendo registros de actividades de tratamiento y evidencias de brechas — fuera de la UE sin las garantías adecuadas.

Más grave aún: el CLOUD Act americano puede obligar a ese proveedor a entregar esos registros a las autoridades americanas, incluyendo potencialmente los registros de brechas de datos personales antes de que la organización haya podido notificar a la AEPD — lo que podría vulnerar el Art. 33 del RGPD al verse comprometida la confidencialidad del proceso de notificación.

V-PROOF tiene sede legal en España. Los registros de compliance RGPD — el RAT, las evidencias de accountability, los timestamps de descubrimiento de brechas — permanecen bajo soberanía de la UE. No hay transferencia internacional, no hay riesgo CLOUD Act, no hay incompatibilidad con los Arts. 44–49 del RGPD.

Para el sector público bajo ENS, este punto es especialmente relevante: el ENS exige que los sistemas de información de las AAPP y sus datos permanezcan bajo soberanía española. Un proveedor de gestión de evidencias ENS con sede en EE.UU. es incompatible con este requisito.
Análisis estratégico

V-PROOF ante el RGPD y el ENS

Fortalezas, casos de uso regulatorio y límites del alcance

F
Fortalezas · Lo que V-PROOF aporta al RGPD y ENS
  • RAT con cadena de custodia criptográfica: inmutable, verificable retroactivamente por la AEPD — la diferencia entre declarar el cumplimiento y poder demostrarlo Art. 30 RGPD — RAT
  • Timestamp blockchain del momento de descubrimiento de brechas — la evidencia que acredita el cumplimiento del plazo de 72h del Art. 33 o demuestra su imposibilidad técnica Art. 33 RGPD — Notificación brechas
  • Evidencia de privacy by design: registro de cuándo y cómo se implementaron controles de privacidad durante el desarrollo del sistema — no como parche posterior Art. 25 RGPD — Privacy by design
  • Supervisión humana verificable en sistemas de IA que tratan datos personales: cubre Art. 22 RGPD y Art. 14 EU AI Act con un solo registro RGPD Art. 22 + EU AI Act Art. 14
  • Cadena de auditoría ENS: evidencia técnica de medidas de seguridad en categorías Media y Alta verificable por el CCN-CERT ENS Cat. Media/Alta — RD 311/2022
  • Sede legal en España: registros de compliance RGPD y ENS bajo soberanía de la UE — sin riesgo CLOUD Act ni incompatibilidad con Arts. 44–49 RGPD Arts. 44–49 RGPD + ENS soberanía
Dónde actúa · Casos de uso regulatorio
  • DPOs de organizaciones con sistemas de IA que procesan datos personales y necesitan evidencia técnica de accountability ante la AEPD Art. 5(2) RGPD — Accountability
  • Empresas que han sufrido brechas y necesitan acreditar el momento exacto de descubrimiento para defender el cumplimiento del plazo de 72h Art. 33 RGPD — Brechas
  • Proveedores TIC de Administraciones Públicas españolas que deben certificar la conformidad ENS de sus sistemas en categorías Media o Alta ENS — RD 311/2022
  • Organizaciones con plataformas de decisión automatizada (scoring, reclutamiento IA, atención ciudadana) bajo doble obligación RGPD Art. 22 + EU AI Act RGPD + EU AI Act convergencia
  • Equipos de desarrollo que implementan sistemas con datos personales y necesitan acreditar privacy by design durante el ciclo de desarrollo — no ex post Art. 25 RGPD — Privacy by design
Fuera de scope · Responsabilidad del cliente
  • El diseño de la política de privacidad y los textos legales: V-PROOF certifica que los controles existen y se implementaron, no redacta las cláusulas legales ni asesora sobre la base jurídica del tratamiento. Política de privacidad
  • La Evaluación de Impacto (DPIA, Art. 35): V-PROOF sella los resultados de la DPIA y su aprobación, pero el análisis de riesgos y el diseño de medidas lo realizan el DPO o asesores jurídicos especializados. Art. 35 RGPD — DPIA
  • La notificación formal de brechas a la AEPD (Art. 33) y a los interesados (Art. 34): V-PROOF genera el registro del momento de descubrimiento; la notificación formal es responsabilidad del responsable del tratamiento. Arts. 33–34 RGPD — Notificación
  • El análisis jurídico de transferencias internacionales (Arts. 44–49): V-PROOF no gestiona las cláusulas contractuales tipo ni evalúa la adecuación de terceros países. Ese análisis requiere asesoría jurídica especializada. Arts. 44–49 RGPD — Transferencias
Diagnóstico RGPD / ENS

¿Puede su organización demostrar ante la AEPD que sus tratamientos con IA cumplen el Art. 5 del RGPD?

V-PROOF ofrece un diagnóstico estratégico de 48 horas que mapea las obligaciones RGPD y ENS aplicables a sus sistemas, identifica los gaps de evidencia técnica y define la integración necesaria para hacer el accountability demostrable.

Solicitar Diagnóstico Estratégico RGPD / ENS

Fuentes y referencias normativas

  1. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) — EUR-Lex CELEX:32016R0679
  2. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad — BOE-A-2022-7191
  3. AEPD — Guía de Análisis de Riesgos en los tratamientos de datos personales con IA, 2024 — aepd.es
  4. AEPD — Guía práctica de análisis de riesgos para el tratamiento de datos personales, 2021 — aepd.es
  5. CCN-CERT — Guía de aplicación del ENS (Serie CCN-STIC 800) — ccn-cert.cni.es
  6. EDPB — Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement — edpb.europa.eu
  7. Reglamento (UE) 2024/1689 (EU AI Act) — referencia de convergencia con RGPD para sistemas de IA que tratan datos personales — EUR-Lex
Anterior
Anterior

Cómo ayuda V-PROOF en el cumplimento DORA y el sector financiero

Siguiente
Siguiente

NIS2 en España: qué exige la Directiva 2022/2555 y cómo acreditar el cumplimiento V-PROOF