Digital Sevilla
27 de marzo de 2026
Álvaro Ruipérez Candón, abogado especializado en derecho digital y partner de Scando Up Global Legal, advierte de un problema estructural en el tejido empresarial: “Solo el 43% de las empresas cumple realmente con la normativa en materia de privacidad de datos. Y el problema no es únicamente ese 57% restante, sino que muchas de esas compañías creen que cumplen cuando en realidad han perdido el control de lo que está pasando en su negocio”.
Lejos de tratarse de una cuestión puntual, el fenómeno responde, según explica, a un error de enfoque generalizado. Las empresas siguen abordando el cumplimiento como un elemento aislado, cuando en realidad se ha convertido en una capa transversal que impacta directamente en la operativa del negocio.
“Muchas organizaciones han convertido el cumplimiento en una foto fija, cuando el riesgo digital es un sistema en movimiento”, señala. En este contexto, continuar centrando los esfuerzos exclusivamente en el Reglamento General de Protección de Datos resulta insuficiente en entornos marcados por la inteligencia artificial, la automatización y el uso intensivo de datos.
En su práctica diaria, este desfase es constante. “Me reúno prácticamente a diario con empresas que tienen políticas, contratos y toda la documentación en orden. Sobre el papel, cumplen. Pero cuando analizas lo que está pasando en el negocio, la estructura legal ya no refleja la realidad”, afirma.
La causa es clara: la tecnología evoluciona a gran velocidad, pero la capa legal no se actualiza al mismo ritmo. Nuevas herramientas, proveedores, flujos de datos y, especialmente, la integración progresiva de sistemas de inteligencia artificial están modificando la forma en que operan las empresas sin que exista un control jurídico equivalente.
“Lo que va por detrás de la tecnología no son las leyes, son las empresas. Y las empresas cambian constantemente. El cumplimiento, en muchos casos, no”, explica.
Uno de los ámbitos donde esta desconexión se hace más evidente es el contractual. A pesar del nivel de sofisticación tecnológica, es habitual encontrar contratos que no contemplan el uso de inteligencia artificial ni el tratamiento real de los datos. “Estamos viendo contratos complejos desde el punto de vista técnico, pero sin una sola cláusula que regule cómo se utiliza la IA, qué datos se pueden introducir o quién asume la responsabilidad sobre los resultados”.
Este vacío genera una falsa sensación de seguridad jurídica. “Un contrato que no refleja cómo funciona el negocio no protege. Solo da tranquilidad hasta que surge un problema”, advierte.
La situación se agrava en entornos donde intervienen múltiples proveedores tecnológicos o donde se externalizan procesos clave. La falta de definición sobre accesos, usos de datos o responsabilidades puede derivar en riesgos relevantes tanto desde el punto de vista legal como operativo.
En paralelo, la adopción de inteligencia artificial se está produciendo de forma generalizada, pero sin una gobernanza clara. Herramientas que analizan información, automatizan decisiones o generan contenido se integran en el día a día sin que se haya definido un marco jurídico que regule su uso. “La mayoría de empresas ya están utilizando IA. El problema es que no saben exactamente cómo, ni bajo qué condiciones, ni qué implicaciones tiene eso”.
En este escenario, el modelo tradicional de cumplimiento resulta claramente insuficiente. “Implementar RGPD o incluir cláusulas de protección de datos sin monitorización continua es como instalar cámaras de seguridad y no revisar nunca las grabaciones. Existe el sistema, pero no existe el control”.
Para Ruipérez, el cambio necesario no pasa por más documentación, sino por una transformación profunda en la forma de entender el cumplimiento. “Tiene que ser un sistema vivo, conectado al negocio y capaz de adaptarse a lo que ocurre en tiempo real”.
Desde esta perspectiva, Scando Up Global Legal ha desarrollado AIM Integrity, un modelo orientado a integrar el cumplimiento dentro de la operativa empresarial. Este enfoque permite monitorizar el uso real de datos e inteligencia artificial, detectar desviaciones entre la práctica y la estructura legal y mantener actualizado el mapa de riesgos de la organización.
“No se trata de cumplir mejor, sino de saber qué está pasando y poder justificarlo en todo momento. Esa es la diferencia entre cumplir y tener control”, concluye.
En un entorno donde la tecnología avanza a gran velocidad, las empresas que logren integrar la gobernanza del dato y de la inteligencia artificial dentro de su modelo operativo no solo reducirán riesgos, sino que obtendrán una ventaja competitiva clara.
