La Inspección Estatal de Datos de Letonia publica el informe de 2025: la regulación de la IA y su cumplimiento cobran protagonismo

A medida que el panorama digital cambia del procesamiento de datos tradicional al complejo mundo de la toma de decisiones automatizada, la Inspección Estatal de Datos de Letonia (DVI) ha publicado su informe anual de actividades para 2025. El documento describe a un organismo regulador en transición, que equilibra su papel tradicional como guardián del RGPD con sus nuevas responsabilidades como supervisor principal de la Ley de Inteligencia Artificial (IA) de la Unión Europea.

Para las empresas que operan en los países bálticos, el informe sirve como algo más que una retrospectiva; es una hoja de ruta para el cumplimiento en una era donde la protección de datos y la responsabilidad algorítmica se están volviendo inseparables. Con casi mil inspecciones realizadas durante el último año, la DVI señala que la era de la "aplicación laxa" ha quedado definitivamente atrás.

El cumplimiento en cifras: un enfoque específico

En 2025, la DVI demostró un aumento significativo en sus actividades de supervisión. La autoridad llevó a cabo un total de 991 inspecciones de procesamiento de datos personales. Si bien este número refleja un amplio alcance, los resultados sugieren una estrategia de cumplimiento enfocada en lugar de un enfoque indiscriminado. De estas casi mil comprobaciones, la DVI identificó 178 infracciones específicas.

Quizás más reveladora sea la aplicación de 49 medidas correctivas. Estas medidas suelen consistir en advertencias formales, órdenes para que las operaciones de procesamiento cumplan con la normativa o la imposición de limitaciones temporales o definitivas al procesamiento. Para las organizaciones, la brecha entre el número de infracciones y el número de medidas correctivas sugiere que la DVI sigue abierta al diálogo, permitiendo a menudo que las empresas rectifiquen problemas menores antes de que se conviertan en sanciones formales. Sin embargo, las 178 infracciones sirven como un recordatorio contundente de que la DVI está identificando con éxito fallos sistémicos en la gobernanza de datos.

La frontera de la IA: el nuevo mandato de la DVI

Uno de los desarrollos más significativos del informe de 2025 es la designación formal de la DVI como la autoridad supervisora de Letonia para la protección de datos personales bajo la Ley de IA de la UE. Este movimiento alinea a Letonia con una tendencia europea más amplia de centralizar la supervisión digital dentro de los marcos de protección de datos existentes.

La lógica detrás de esta designación es clara: la mayoría de los sistemas de IA de alto riesgo —ya sea que se utilicen en la contratación, la calificación crediticia o la aplicación de la ley— dependen en gran medida del procesamiento de datos personales. Al situar la supervisión de la IA bajo el paraguas de la DVI, el gobierno letón pretende garantizar que los derechos fundamentales protegidos por el RGPD no se vean erosionados por la opacidad de los modelos de aprendizaje automático.

Para los desarrolladores tecnológicos, esto significa que el cumplimiento de la IA ya no es un compartimento estanco. La DVI probablemente evaluará los sistemas de IA a través del prisma de la "privacidad desde el diseño", asegurando que la minimización de datos y la transparencia se integren en los algoritmos desde la primera línea de código.

La educación y el factor humano

Reconociendo que la regulación por sí sola no puede asegurar el ecosistema digital, la DVI invirtió fuertemente en capital humano durante 2025. Un enfoque principal fue la generación más joven, que a menudo navega por el mundo digital con una alta competencia técnica pero una baja conciencia del riesgo. La DVI llegó a 30 escuelas en toda Letonia con una campaña educativa específica diseñada para enseñar a los estudiantes sobre las huellas digitales, el consentimiento y las implicaciones a largo plazo de compartir datos.

Más allá de la educación juvenil, la DVI se dirigió al sector profesional organizando tres exámenes de calificación para Delegados de Protección de Datos (DPD). A medida que crece la demanda de DPD cualificados —impulsada tanto por el RGPD como por los nuevos requisitos de la Ley de IA—, la DVI se posiciona como el guardián de los estándares profesionales en la región.

Colaboración global en una economía sin fronteras

Los datos no se detienen en la frontera letona, y tampoco el trabajo de la DVI. El informe de 2025 destaca un aumento en la cooperación internacional, particularmente con las autoridades suecas y rumanas. Estas asociaciones a menudo implican investigaciones conjuntas sobre transferencias de datos transfronterizas y el intercambio de mejores prácticas con respecto a la regulación de plataformas tecnológicas multinacionales.

Además, la DVI continuó su participación activa en las reuniones de los Estados bálticos. Esta cooperación regional es vital para crear un entorno regulatorio armonizado en Estonia, Letonia y Lituania, convirtiendo a la región báltica en un mercado más predecible y estable para la inversión internacional.

Mirando hacia el futuro: 11 prioridades para 2026

El informe concluye con una estrategia de futuro, delineando 11 prioridades clave para 2026. Estos objetivos sugieren una agencia que se está preparando para una mayor carga de trabajo y desafíos técnicos más complejos. Las prioridades clave incluyen:

• Fortalecimiento de capacidades: Aumentar la experiencia técnica del personal para manejar auditorías de IA y análisis forenses complejos de filtraciones de datos.
• Desarrollo regulatorio: Asistir en la creación de actos regulatorios nacionales que cierren la brecha entre la ley letona y las nuevas regulaciones digitales de la UE.
• Concienciación pública: Ir más allá de las escuelas para promover la alfabetización en protección de datos entre el público en general y las personas mayores.

Conclusiones prácticas para las organizaciones

Basándose en el desempeño de la DVI en 2025 y sus objetivos para 2026, las organizaciones deben tomar las siguientes medidas para asegurarse de cumplir con el regulador:

1. Audite los sistemas de IA ahora: Si utiliza herramientas automatizadas para la toma de decisiones, evalúelas inmediatamente según los estándares de la Ley de IA de la UE. La DVI buscará transparencia y precisión de los datos.
2. Revise las cualificaciones de su DPD: Asegúrese de que su Delegado de Protección de Datos no solo esté certificado, sino también actualizado sobre las últimas directrices de la DVI y los precedentes internacionales.
3. Documéntelo todo: El elevado número de inspecciones en 2025 sugiere que tener un rastro documental claro de sus actividades de procesamiento de datos es la mejor defensa durante una comprobación de rutina.
4. Priorice la formación de los empleados: Dado que la DVI se centra en la educación, es probable que esperen que las empresas cuenten con programas sólidos de formación interna para su propio personal.

A medida que la DVI madura en su papel de supervisor de la IA, el mensaje para 2026 es claro: el cumplimiento ya no es una lista de verificación única, sino un proceso continuo de perfeccionamiento técnico y ético.

Fuentes

• Datu valsts inspekcija (DVI) Official Website
• European Union AI Act Official Text
• Latvian Ministry of Justice - Data Protection Reports
• European Data Protection Board (EDPB) - National Reports