Una revista que nace con vocación estratégica, no editorial
La Agencia Española de Protección de Datos ha lanzado en abril de 2026 el primer número de su Revista de Privacidad, Innovación y Tecnología (RPIT), una publicación de acceso abierto, evaluada por pares ciegos, que se integra en el Laboratorio de Privacidad puesto en marcha por la Agencia en otoño de 2025. El gesto es relevante más allá de lo editorial: la RPIT no nace como una publicación académica convencional, sino como uno de los instrumentos del Eje 2 del Plan Estratégico 2025–2030 de la AEPD ("Por una innovación tecnológica con garantías"), lo que la dota de una dimensión institucional poco frecuente en el panorama de las revistas jurídicas especializadas.
La presidencia recae en Lorenzo Cotino Hueso, que asumió la dirección de la Agencia hace algo más de un año, y la codirección en Jorge Castellanos Claramunt (Vocal Coordinador de la Unidad de Apoyo y Relaciones Institucionales y Profesor Titular de Derecho Constitucional en la Universitat de València) y Luis de Salvador Carrasco (Director de la División de Innovación Tecnológica de la propia AEPD). El comité científico es extraordinariamente amplio —supera los veinte miembros— y reúne a autoridades de protección de datos de las comunidades autónomas (País Vasco, Cataluña), académicos de universidades españolas y extranjeras, y representantes de autoridades europeas como el Garante italiano. Esta arquitectura institucional no es accesoria: define el perfil de una publicación que aspira a ser espacio de encuentro entre academia, práctica profesional y perspectiva regulatoria, superando la fragmentación que caracteriza a los canales habituales de difusión del conocimiento jurídico en este ámbito.
El primer número, de 204 páginas, se articula en torno a un monográfico temático, una sección de estudios de privacidad y un bloque de recensiones. Lo que sigue es un análisis del contenido de cada bloque, con atención especial a los argumentos doctrinales que merecen mayor seguimiento.
El monográfico: IA, gobernanza algorítmica y riesgos para los derechos fundamentales
El monográfico reúne tres contribuciones que, tomadas en conjunto, ofrecen una cartografía bastante completa del problema central del Derecho de la IA en la actualidad: la tensión entre automatización de decisiones y garantía de derechos. Los tres trabajos comparten la premisa de que la inteligencia artificial no es neutral —los sistemas algorítmicos incorporan decisiones humanas, se nutren de datos sesgados y operan sobre realidades complejas— y difieren en el plano analítico sobre el que construyen su argumento.
La decisión administrativa algorítmica discriminatoria: garbage in, garbage out
Diana-Urania Galetta (Catedrática de Derecho Administrativo y Derecho Administrativo Europeo de la Universidad de Milán, Directora del CERIDAP) aporta el primer trabajo del monográfico, en el que analiza la relación estructural entre algoritmos y datos en el contexto de la actividad de las administraciones públicas. Su tesis central puede resumirse con el acrónimo que utiliza como hilo conductor: GIGO (garbage in, garbage out). Cualquier algoritmo de aprendizaje automático no hace sino construir modelos predictivos a partir de los datos con los que se le alimenta; si esos datos son incompletos, distorsionados o no representativos, las hipótesis predictivas que el modelo produce estarán viciadas desde el origen.
El trabajo resulta especialmente valioso porque Galetta no se limita a enunciar el problema en abstracto, sino que lo ilustra con el caso del algoritmo de la "Buena Escuela" italiana, utilizado a partir de 2015 para asignar profesores a centros educativos en el marco de la reforma educativa de ese año. El algoritmo —de tipo simple/condicional, no de aprendizaje automático— debía gestionar preferencias geográficas, disponibilidad de plazas y requisitos de formación. Sin embargo, los datos sobre los que operaba resultaron ser incompletos y en algunos casos erróneos: la disponibilidad de plazas no siempre era precisa, los datos relativos a los currículos presentaban inconsistencias, y la ponderación de los factores no era transparente para los afectados. El resultado fue una cascada de impugnaciones judiciales ante los tribunales administrativos italianos, que pusieron de manifiesto tanto los problemas de calidad de los datos como la ausencia de una motivación inteligible de las decisiones automatizadas.
Lo que hace metodológicamente interesante el estudio de Galetta es su distinción entre algoritmos simples —que ejecutan secuencias de verificaciones predefinidas sobre valores concretos— y algoritmos de aprendizaje automático, que construyen modelos a partir de patrones en los datos. En ambos casos la calidad de los datos es determinante, pero de formas distintas: en los segundos, el algoritmo reproduce y amplifica los sesgos presentes en el conjunto de entrenamiento; en los primeros, los datos condicionan directamente el flujo de decisiones. Esta distinción tiene consecuencias jurídicas directas, porque el régimen de transparencia y motivación que el Derecho administrativo exige no puede ser idéntico en ambos supuestos.
La autora examina a continuación el papel de la transparencia algorítmica y de la obligación de motivación como instrumentos para garantizar la legalidad de las decisiones automatizadas. Su análisis es matizado: la transparencia, siendo necesaria, no es suficiente por sí sola si no va acompañada de una motivación que permita al afectado comprender los criterios determinantes de la decisión y ejercer su derecho a la tutela efectiva. A este respecto, el Reglamento de IA (RIA, Reglamento UE 2024/1689) aporta una contribución relevante al imponer requisitos de trazabilidad, supervisión humana y evaluación de conformidad para los sistemas de alto riesgo desplegados en el sector público, que complementan las exigencias del Derecho administrativo nacional. Con todo, Galetta subraya que ninguna de estas herramientas resulta eficaz si la ciencia jurídica no asume un rol activo en la elaboración de marcos analíticos capaces de capturar la complejidad técnica de la automatización y traducirla en categorías jurídicas operativas.
De la algocracia a la algorética: los sistemas de puntuación social como test de estrés
Ginevra Cerrina Feroni (Vicepresidenta del Garante italiano para la protección de datos personales y Profesora de la Universidad de Florencia) amplía el foco hacia una de las manifestaciones más avanzadas —y más perturbadoras— de la gobernanza automatizada: los sistemas de puntuación social y de reputación algorítmica. Su contribución, redactada en inglés, toma como punto de partida el Sistema de Crédito Social chino para proyectar sus implicaciones sobre contextos europeos, a través del análisis del Toeslagenaffaire neerlandés y de algunas experiencias italianas.
El argumento central del trabajo es que los sistemas de clasificación algorítmica pueden convertirse en instrumentos de vigilancia, condicionamiento de oportunidades y restricción de derechos cuando se despliegan sin garantías suficientes de proporcionalidad, transparencia y control humano. La experiencia holandesa —en la que un algoritmo de la administración tributaria clasificó de forma discriminatoria a decenas de miles de familias que solicitaban ayudas para el cuidado de hijos, forzando la posterior dimisión del gabinete— ilustra con particular claridad cómo los riesgos de la automatización no son patrimonio exclusivo de regímenes autoritarios, sino que pueden materializarse en democracias consolidadas cuando los sistemas de control son insuficientes o los sesgos de los datos no son detectados a tiempo.
El giro conceptual que propone Cerrina Feroni es especialmente sugestivo: frente a la algocracia —el gobierno mediante y por algoritmos, con independencia de valoraciones éticas o jurídicas—, la autora propone el concepto de algorética como marco de referencia para una gobernanza algorítmica orientada a los derechos fundamentales. La algorética no es simplemente ética aplicada a la IA, sino un enfoque que integra la proporcionalidad, la transparencia, el control humano y la rendición de cuentas como condiciones de legitimidad de los sistemas automatizados. En este sentido, el RIA puede leerse como una primera aproximación legislativa a la algorética, aunque el trabajo de Cerrina Feroni sugiere que la mera adopción de normas no es suficiente sin un cambio cultural en las organizaciones que despliegan estos sistemas.
La gobernanza de datos como herramienta de gestión del riesgo de sesgo
Eduard Chaveli Donet (Head of Consulting Strategy en Govertis, parte de Telefónica Tech, y miembro del Consejo de Redacción de la propia revista) cierra el monográfico con una contribución de naturaleza más técnico-jurídica, orientada a la gestión sistemática de los riesgos derivados de los sesgos a lo largo del ciclo de vida de los sistemas de IA. El trabajo arranca con una precisión conceptual que resulta de gran utilidad práctica: la distinción entre sesgo, error, discriminación, exclusión y equidad.
La aportación más relevante del estudio es la articulación de un mapa de sesgos por fases del ciclo de vida de los sistemas de IA, desde la fase de pre-diseño hasta el retiro del sistema. En la fase de pre-diseño, los sesgos sistémicos o institucionales pueden introducirse ya en la definición de los objetivos; en la fase de diseño y desarrollo, los sesgos de representación, medición, selección y etiquetado contaminan los conjuntos de entrenamiento; en la fase de despliegue, el sesgo de implementación puede aparecer cuando el sistema opera en un entorno distinto al del entrenamiento; en las fases de operación y validación continua, el "bucle de retroalimentación de refuerzo" puede amplificar sesgos no corregidos; y en la fase de reevaluación, la falacia del costo volcado y el sesgo de statu quo pueden impedir que las organizaciones adopten decisiones de corrección o retirada necesarias.
Sobre este mapa, Chaveli Donet construye su argumento central: la gobernanza de datos y la gobernanza de la IA son los dos instrumentos estructurales para la gestión de estos riesgos en el marco del RIA. La gobernanza de datos —con especial referencia al artículo 10 del RIA— impone al proveedor obligaciones sobre la calidad, representatividad y gestión de los conjuntos de entrenamiento, lo que convierte la protección de datos personales en una herramienta indirecta pero eficaz de mitigación del sesgo. La gobernanza de la IA, por su parte, se articula a través del sistema de gestión de riesgos (art. 9 RIA), las evaluaciones de impacto en derechos fundamentales (art. 27 RIA), los requisitos de supervisión humana y la norma ISO 42001 como estándar de gestión.
Los estudios de privacidad: nueve perspectivas sobre la frontera tecnológica
La sección de estudios de privacidad agrupa nueve contribuciones que cubren un espectro temático extraordinariamente amplio. Resulta imposible hacer justicia a todas en el espacio de una guía de lectura, pero conviene destacar las que presentan mayor interés doctrinal.
IA agéntica y gobernanza epistémica
Áurea Rodríguez López introduce el concepto de inteligencia artificial agéntica —sistemas capaces de planificar, decidir y ejecutar acciones de manera autónoma— y sostiene que su gestión no puede reducirse a un problema de eficiencia tecnológica. Lo que está en juego es la construcción de lo que denomina una co-inteligencia humano-máquina, que requiere nuevas capacidades cognitivas, socio-técnicas y de gobernanza por parte de los operadores. Trazabilidad, supervisión y rendición de cuentas aparecen como los tres pilares de un uso responsable de la IA agéntica, una perspectiva que adquiere particular relevancia a la luz de las disposiciones del RIA sobre supervisión humana (art. 14) y los requisitos específicos para los modelos de uso general con riesgo sistémico (arts. 51 y ss.).
Neurotecnologías y el estatuto jurídico del pensamiento
Nelson Remolina Angarita (Universidad de los Andes) aborda el tratamiento de neurodatos y los riesgos que plantea para la dignidad humana y la autonomía personal. Su contribución es de naturaleza prospectiva —los marcos normativos actuales son claramente insuficientes para regular la interfaz cerebro-máquina— y su mérito principal es plantear con rigor los interrogantes que el Derecho de protección de datos deberá afrontar en el corto y medio plazo. El RGPD no incluye los neurodatos como categoría especial expresamente, aunque la combinación de sus principios generales con la Carta de Derechos Fundamentales de la UE ofrece algunos anclajes relevantes.
Las tres sendas hacia la privacidad: un mapa geopolítico
Pilar Vargas Martínez (Universidad Complutense de Madrid) ofrece una de las contribuciones más originales del número, al proponer tres metáforas geográficas —el Camino de Santiago, la Ruta 66 y la Ruta de la Seda— para ilustrar los tres grandes modelos regulatorios de la privacidad en el mundo: la privacidad como derecho fundamental (modelo europeo), la privacidad como bien de mercado (modelo estadounidense) y la privacidad como instrumento de control estatal (modelo chino). El análisis comparado no es novedoso en sí mismo, pero la propuesta de un marco conceptual sintético con vocación pedagógica es un acierto editorial que hace accesible una discusión de enorme complejidad.
Regulatory sandboxes: una definición de trabajo
Thiago Guimaraes Moraes examina los entornos regulatorios controlados (regulatory sandboxes) como instrumentos de experimentación normativa para la innovación tecnológica. A partir de una revisión sistemática de la literatura y de experiencias comparadas, el autor identifica los elementos definitorios de estos mecanismos: flexibilidad regulatoria, carácter temporal, aprendizaje institucional y gobernanza colaborativa. La contribución resulta especialmente oportuna en el contexto del RIA, que en sus artículos 57 y siguientes regula los espacios controlados de prueba para la IA.
Datos genéticos: la categoría más inexplorada
Mikel Recuero realiza un análisis crítico de la evolución histórica, configuración actual y posibles desarrollos futuros de los datos genéticos como categoría especial en el RGPD. Su tesis es que esta categoría presenta incertidumbres regulatorias de primer orden —tanto en cuanto a su delimitación como a sus usos legítimos— que la doctrina no ha abordado con la profundidad que merece, a pesar de su creciente relevancia económica y científica.
IA en la Administración local y el régimen de protección de datos
Patricio Monreal Vilanova cierra la sección con un análisis práctico orientado a las entidades locales, que son las que acumulan mayor volumen de datos personales de ciudadanos pero a menudo carecen de los recursos técnicos y jurídicos necesarios para cumplir con las exigencias del binomio RGPD-RIA. El trabajo examina las principales obligaciones asociadas al tratamiento de datos en sistemas de IA desplegados por administraciones locales —licitud, transparencia, responsabilidad proactiva y evaluaciones de impacto—, y ofrece un marco de análisis aplicado que resulta de gran utilidad para los delegados de protección de datos del sector público local.
El marco normativo subyacente: RGPD y RIA como sistema integrado
Una lectura transversal del primer número de la RPIT revela que la gran mayoría de los trabajos operan —explícita o implícitamente— dentro de un marco normativo dual articulado por el RGPD y el RIA. Ambos instrumentos no son independientes: el considerando 10 del RIA establece expresamente que el Reglamento no debe afectar a la aplicación del RGPD, y que los conceptos del Derecho de protección de datos —minimización, calidad de los datos, evaluación de impacto, supervisión humana— constituyen referencias imprescindibles para la regulación de los sistemas de IA.
Esta integración sistémica tiene consecuencias prácticas inmediatas. Las evaluaciones de impacto en protección de datos previstas en el artículo 35 del RGPD y las evaluaciones de impacto en derechos fundamentales del artículo 27 del RIA no son instrumentos intercambiables, pero sí complementarios: las primeras se centran en el riesgo para los datos personales de los afectados; las segundas amplían el análisis a todos los derechos fundamentales potencialmente afectados por el despliegue de un sistema de alto riesgo. La articulación de ambos instrumentos en la práctica es uno de los problemas técnico-jurídicos más complejos que plantea la implementación del RIA, y varios de los trabajos del número abordan aspectos concretos de esa articulación.
Conviene también destacar que el RIA introduce una distinción entre proveedores —quienes desarrollan el sistema— y responsables del despliegue —quienes lo utilizan bajo su propia autoridad en el ámbito profesional— que tiene consecuencias determinantes en materia de responsabilidad por sesgos y discriminación algorítmica. El trabajo de Chaveli Donet es el que aborda con mayor precisión esta distinción, mostrando cómo las obligaciones de gobernanza de datos del artículo 10 recaen sobre el proveedor, mientras que las de supervisión y evaluación de impacto en derechos fundamentales del artículo 27 corresponden al responsable del despliegue.
Las recensiones: dos obras imprescindibles sobre IA y poder público
El número cierra con dos recensiones que merecen mención expresa. La primera se ocupa de la obra de Jorge Castellanos Claramunt, DemocracIA. Un análisis en clave constitucional (Dykinson, Madrid, 2025), que examina las implicaciones de la inteligencia artificial sobre los fundamentos del Estado democrático y constitucional. La segunda reseña el libro de Bernardo Olivares Olivares, Sistemas de Inteligencia Artificial en la Agencia Estatal de Administración Tributaria: despliegue tecnológico y control jurídico (Atelier, Madrid, 2026), un estudio de caso sobre la implementación de IA en la AEAT que combina análisis técnico y análisis jurídico con notable rigor.
Ambas obras son representativas de las dos grandes líneas de investigación que la RPIT pretende articular: la reflexión constitucional y teórica sobre el poder algorítmico, y el análisis práctico del despliegue de IA en organismos públicos concretos.
Valoración y perspectiva
El primer número de la RPIT es un acierto editorial que cubre un espacio hasta ahora desatendido en el panorama científico español: el de una publicación académica de calidad, con evaluación por pares ciegos, orientada específicamente a la intersección entre privacidad, protección de datos e inteligencia artificial, con una perspectiva institucional que ninguna otra revista del sector puede aportar. La combinación de contribuciones en español y en inglés, la variedad de enfoques —dogmático, comparado, técnico, prospectivo— y la calidad del comité científico augura una publicación de referencia.
Dicho esto, el número presenta algunos desequilibrios que no son graves pero sí perceptibles. El peso del monográfico es claramente superior al de los estudios de privacidad, no tanto en extensión como en densidad argumentativa. Varios de los trabajos de la sección de estudios son más descriptivos que analíticos, lo que contrasta con el rigor de las contribuciones del bloque monográfico. Esta asimetría es comprensible en un número inaugural —los autores más veteranos tienden a reservar sus mejores trabajos para las publicaciones ya consolidadas— y probablemente se corrija en números sucesivos.
Más relevante es la cuestión de si la RPIT logrará construir una identidad editorial diferenciada de la de otras revistas jurídicas europeas ya consolidadas en este ámbito, como el European Data Protection Law Review o el Computer Law & Security Review. La respuesta depende en gran medida de si la Agencia es capaz de mantener la independencia editorial de la revista respecto de sus propias posiciones institucionales —algo que su arquitectura de gobierno, con un comité científico externo robusto, parece garantizar— y de si logra atraer contribuciones internacionales de primer nivel de forma sostenida.
Por lo pronto, el primer número es una señal inequívoca de que la AEPD tiene la voluntad y la capacidad de liderar el debate científico sobre privacidad e inteligencia artificial desde una posición institucional única. La RPIT merece seguimiento atento.
Puedes descargar el primer número completo de la Revista de Privacidad, Innovación y Tecnología (RPIT nº 1, Abril 2026) a través del siguiente enlace:
Artículos relacionados
Crossover RGPD y LOPDGDD V.3.0: guía de referencia con 800 enlaces
F. Javier Sempere publica la tercera versión de su obra de referencia que conecta artículo por artículo el RGPD y la LOPDGDD con más de 800 recursos jurídicos enlazados.
Cesión de grabaciones como acta: AEPD sanciona a gestora de fondos por falta de consentimiento específico
Análisis de la resolución AEPD EXP202407307 sobre la cesión no consentida de grabaciones de videollamada como actas. Vulneración del art. 6.1 RGPD y doctrina del consentimiento finalista.
Agentes de IA como extensiones conductuales: privacidad en riesgo
El 34,6% de los agentes de IA filtra datos sensibles de sus propietarios sin configuración explícita. Análisis doctrinal sobre privacidad, identidad digital y RGPD.
Agentes IA como extensiones conductuales: transferencia y privacidad
Una investigación con 10.659 pares humano-agente demuestra que los agentes IA reproducen sistemáticamente los patrones conductuales de sus propietarios, con consecuencias jurídicas directas sobre privacidad y gobernanza.