Privacidad, ciberseguridad e IA en 2026: por qué ya no pueden gestionarse por separado.

Durante las últimas semanas han coincidido varias señales que, vistas por separado, parecen noticias distintas: más incidentes de ciberseguridad, nuevas campañas de phishing, movimiento europeo alrededor de NIS2 y Cybersecurity Act 2, obligaciones del AI Act cada vez más cercanas y un Plan de Actuación de la AEPD muy orientado a tecnología e IA.

Pero el mensaje de fondo es uno solo: las empresas necesitan dejar de gestionar privacidad, seguridad e inteligencia artificial como carpetas separadas.

1. Ciberseguridad: el problema ya no es técnico, es operativo

El balance de INCIBE de 2025 deja una fotografía clara: 122.223 incidentes de ciberseguridad gestionados, un 26% más que el año anterior, y 237.028 sistemas vulnerables relevantes detectados y notificados. Además, el fraude online representó cuatro de cada diez incidentes y el phishing siguió siendo una de las formas más habituales de ataque.

Estos datos no describen un problema reservado a grandes compañías. Describen una realidad que llega a pymes, despachos, proveedores tecnológicos, entidades reguladas y organizaciones que dependen de sistemas, correo electrónico, nube, ERP, cámaras, proveedores externos o portales de cliente.

Casos recientes como el ciberataque al Puerto de Vigo, que obligó a aislar sistemas y recurrir temporalmente a procesos manuales, muestran algo importante: la ciberseguridad no se mide solo por si entra o no entra un atacante. También se mide por la capacidad de seguir operando, contener, documentar, recuperar y conservar evidencias.

2. El fraude ya no llega como un correo mal escrito

La campaña de la Renta 2025, presentada en 2026, ha vuelto a ser un contexto perfecto para campañas de suplantación. La Agencia Tributaria publicó en abril varios avisos de phishing y smishing con formularios falsos, dominios que imitan servicios oficiales y mensajes que presionan al usuario con supuestas devoluciones o notificaciones.

Esto importa a las empresas por tres razones. Primero, porque el usuario sigue siendo una puerta de entrada. Segundo, porque los ataques se adaptan al momento y al contexto. Tercero, porque después del clic empieza la parte menos visible: credenciales comprometidas, acceso a correo, modificación de facturas, fuga de datos o suplantación ante clientes y proveedores.

La respuesta no puede quedarse en “formar al personal”. Formación sí, pero acompañada de doble factor, revisión de accesos, política de contraseñas, filtros, copias, trazabilidad, procedimientos de verificación de pagos y una pauta clara para conservar evidencia si ocurre algo.

3. Europa está conectando ciberseguridad y protección de datos

El dictamen conjunto del EDPB y el EDPS sobre Cybersecurity Act 2 y modificaciones de NIS2 confirma una tendencia: la ciberseguridad europea ya no se entiende sin protección de datos, derechos fundamentales, identidad digital, cadena de suministro y gestión de riesgos.

Para una empresa, esto tiene una consecuencia práctica. No basta con desplegar medidas técnicas si no están conectadas con responsabilidades, proveedores, contratos, análisis de riesgo, registro de decisiones y respuesta a incidentes. Y tampoco basta con tener textos legales si los sistemas reales no los sostienen.

ENS, ISO 27001, RGPD y NIS2 no son piezas idénticas, pero cada vez comparten más lenguaje: activos, riesgos, controles, evidencias, responsables, mejora continua y capacidad de respuesta.

4. El AI Act entra en fase de aterrizaje empresarial

El Reglamento Europeo de IA ya no es una idea lejana. La Comisión Europea recuerda que la aplicación general llega el 2 de agosto de 2026, con excepciones ya activas desde 2025, como alfabetización en IA, prácticas prohibidas, gobernanza y obligaciones para modelos de propósito general.

Además, la Comisión trabaja en un código de buenas prácticas sobre marcado y etiquetado de contenido generado por IA para facilitar el cumplimiento de obligaciones de transparencia, especialmente en contenido generado artificialmente, deepfakes y determinados usos informativos.

Para dirección, la lectura es sencilla: si una empresa usa IA en atención al cliente, selección de personal, scoring, videovigilancia, análisis documental, generación de informes, marketing, seguridad o automatización interna, necesita al menos cuatro cosas: inventario, clasificación, control humano y documentación.

Y si la IA toca datos personales, cámaras, decisiones sobre personas o entornos sensibles, también entran privacidad desde el diseño, minimización, proporcionalidad, seguridad, conservación de logs y revisión de proveedores.

5. La AEPD también mira hacia tecnología, IA y automatización

El Plan de Actuación 2026 de la AEPD incluye 32 objetivos operativos y 115 acciones. Entre sus líneas destacadas aparecen el Laboratorio de Privacidad, la experimentación tecnológica, la incorporación de herramientas de IA y soluciones de automatización en procesos de la propia Agencia.

Esto no significa que todas las empresas vayan a ser inspeccionadas mañana. Significa algo más interesante: la autoridad está preparando capacidades para un entorno donde los tratamientos de datos son más complejos, más automatizados y más difíciles de explicar si no se han ordenado desde el principio.

Qué debería revisar una empresa ahora

Si tuviera que convertir todo lo anterior en una lista ejecutiva, empezaría por aquí:

• Inventario real de datos, sistemas e IA.Qué se trata, dónde está, quién accede, qué proveedor interviene y qué decisiones automatizadas existen.
• Procedimiento de brechas e incidentes.Quién decide, cómo se contiene, qué se documenta, cuándo se notifica y cómo se preservan evidencias.
• Revisión de accesos críticos.Cuentas de correo, administración, ERP, nube, VPN, copias, cámaras y herramientas con datos sensibles.
• Contratos y encargados.Proveedores tecnológicos, hosting, software, IA, mantenimiento, videovigilancia y soporte externo.
• Continuidad y recuperación.Copias probadas, sistemas alternativos, logs útiles y una mínima capacidad de operación si algo falla.
• Gobierno de IA.Clasificación, finalidad, datos usados, supervisión humana, transparencia y medidas de seguridad.

Ese es el punto. No se trata de asustar con sanciones ni de llenar una carpeta. Se trata de que dirección pueda mirar un riesgo digital y responder con claridad: qué ocurre, qué impacto tiene, qué evidencia existe, qué obligación se activa y qué decisión toca tomar.