Edición #2 Mayo 2026
En esta segunda edición del boletín de privacidad repasamos los principales hitos regulatorios, informes recientes y casos relevantes en materia de protección de datos y ciberseguridad.
- La AEPD publica su Memoria Anual 2025
La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria Anual 2025, donde recoge la actividad del último año y las principales tendencias en materia de cumplimiento.
KPIs clave del ejercicio
• Más de 20.000 reclamaciones relacionadas con protección de datos
• Más de 1.500 notificaciones de brechas de seguridad recibidas
• Más de 90 millones de euros en sanciones impuestas
• Incremento de expedientes relacionados con IA, videovigilancia y tratamientos automatizados
• Refuerzo de actuaciones en materia de cookies y transparencia digital
Estos datos reflejan una actividad supervisora creciente y un mayor nivel de exigencia regulatoria.
- El RGPD: 10 años desde su adopción
En 2026 se cumplen 10 años desde la adopción del Reglamento General de Protección de Datos (RGPD), aprobado en 2016 y aplicable desde mayo de 2018.
En esta década, el RGPD ha consolidado principios clave como:
• responsabilidad proactiva
• privacidad desde el diseño y por defecto
• derechos reforzados de los ciudadanos
• notificación obligatoria de brechas de seguridad
El reto actual se centra en la inteligencia artificial y la gobernanza del dato.
- Inteligencia artificial y privacidad: el gran cambio regulatorio de agosto
El Reglamento Europeo de Inteligencia Artificial continúa su despliegue progresivo y en agosto de 2026 entra en aplicación el núcleo de sus obligaciones principales, especialmente para sistemas de alto riesgo.
Esto implica nuevas exigencias para las organizaciones que utilicen IA, entre ellas:
• evaluación y gestión de riesgos
• obligaciones de transparencia
• control reforzado sobre datos personales en modelos y entrenamientos
• supervisión humana en decisiones automatizadas
Régimen sancionador
El Reglamento establece multas que pueden alcanzar:
• hasta 35 millones de euros o el 7% del volumen de negocio global anual (infracciones muy graves)
• hasta 15 millones de euros o el 3% (incumplimientos de obligaciones)
• hasta 7,5 millones de euros o el 1,5% (información incorrecta o engañosa)
Este hito marca el paso de la preparación normativa a la aplicación efectiva del marco europeo de inteligencia artificial.
4. Cecotec: brecha de seguridad y sanción
Uno de los casos recientes más relevantes en España ha sido el de Cecotec, sancionada por la Agencia Española de Protección de Datos tras una brecha de seguridad que afectó a datos personales de clientes.
El incidente expuso información como:
• datos identificativos
• información de contacto
• otros datos asociados a clientes
La AEPD concluyó la existencia de deficiencias en las medidas de seguridad y sancionó a la compañía con 1.250.000 € en marzo de 2026.
Este caso refuerza una idea clave: la protección de datos no solo implica prevenir incidentes, sino también gestionarlos adecuadamente cuando ocurren.
5. Booking.com: phishing hiperpersonalizado
Otro incidente relevante ha sido el sufrido por Booking.com, donde se produjo un acceso no autorizado a información asociada a reservas de usuarios.
Aunque no se comprometieron datos financieros, la información filtrada permitió campañas de phishing altamente creíbles basadas en datos reales de los usuarios.
Esto derivó en:
• mensajes fraudulentos personalizados
• solicitudes de pago urgentes
• suplantación de servicios de atención o alojamiento
El principal riesgo no es la brecha en sí, sino el uso posterior de los datos para ingeniería social.
La evolución del ecosistema de privacidad muestra una tendencia clara hacia una mayor supervisión, exigencia y madurez regulatoria.
En este contexto, la protección de datos se consolida como un elemento clave de confianza, reputación y resiliencia organizativa.