Introducción
Objetivo y alcance de este análisis.
Los Estándares de Protección de Datos de los Estados Iberoamericanos son un conjunto de directrices orientadoras que la Red Iberoamericana de Protección de Datos (RIPD) pone a disposición de legisladores y autoridades de la región, ya sea para construir nueva legislación en países que aún no la tienen, o para modernizar las leyes existentes. La versión original fue aprobada por unanimidad en el XV Encuentro Iberoamericano, en Santiago de Chile, el 20 de junio de 2017.
La versión actualizada, aprobada el 26 de mayo de 2026 en Cartagena de Indias, conserva la arquitectura general del documento (mismo número de numerales y capítulos, mismos principios fundacionales) pero introduce una profunda capa de gobernanza tecnológica. El eje del cambio es la respuesta del marco iberoamericano a la inteligencia artificial, las neurotecnologías, los tratamientos automatizados a gran escala y la reforzada protección de la niñez en entornos digitales.
Este documento compara ambas versiones sección por sección, identificando qué se mantiene igual, qué fue modificado en su redacción o alcance, qué desapareció y qué conceptos, principios, derechos y obligaciones son enteramente nuevos. Cada cambio se acompaña de una explicación y una valoración de su impacto práctico, de modo que cualquier lector pueda ubicar con rapidez la naturaleza y la relevancia de cada ajuste.
Resumen ejecutivo
Los principales hallazgos del comparativo, de un vistazo.
Nuevas definiciones
El catálogo conceptual pasa de 9 a ~19 términos: se suman datos biométricos, genéticos, de salud, neurodatos, elaboración de perfiles, seudonimización, tercero, limitación del tratamiento e investigación científica.
Eje de inteligencia artificial
La IA atraviesa todo el documento: gobernanza algorítmica, trazabilidad, supervisión humana efectiva, evaluación de riesgos y documentación técnica aparecen en principios, derechos, encargado y medidas proactivas.
Numeral nuevo: neurodatos
Se incorpora un numeral específico (9) de tratamiento de neurodatos con responsabilidad reforzada y un catálogo de tratamientos de alto riesgo potencialmente prohibibles.
Niñez reforzada
La protección de niñas, niños y adolescentes se amplía con enfoque basado en riesgo, configuraciones protectoras por defecto, verificación de edad y consentimiento específico para perfilado publicitario.
Derechos humanos y género
Se añade una cláusula transversal de interpretación con perspectiva de género y de derechos humanos, atendiendo a personas en situación de vulnerabilidad.
Derecho al olvido
El antiguo "derecho de cancelación" se transforma en "supresión y derecho al olvido", con la obligación de notificar a terceros responsables que tratan los datos publicados.
Hallazgos principales
- Continuidad estructural, evolución de fondo. La versión 2026 mantiene los 45 numerales y los mismos capítulos, pero densifica cada apartado con obligaciones técnicas que en 2017 no existían.
- De la privacidad a la gobernanza de la IA. El cambio más sustancial es la transversalización de la inteligencia artificial y los sistemas automatizados como objeto de regulación específica en casi todos los capítulos.
- Nuevas categorías de datos sensibles. Se incorporan los neurodatos y la información neuronal capaz de inferir estados emocionales; el "origen racial o étnico" pasa a redactarse como "origen de las personas".
- Derechos del titular ampliados. El derecho al olvido, la oposición incondicional frente a sistemas de IA y la intervención humana calificada y significativa elevan el estándar de tutela.
- Autoridades más robustas. El numeral de autoridades pasa de un texto general a un catálogo detallado de doce facultades mínimas, garantías presupuestales y de independencia.
- Excepciones más estrictas. Las limitaciones al derecho se acotan a medidas necesarias en una sociedad democrática (seguridad del Estado, fines penales), abandonando el listado abierto de 2017.
- Personas jurídicas fuera del foco. Las referencias de 2017 a la posible protección de personas jurídicas desaparecen; el sujeto protegido se concentra en la persona física o natural.
Cambios destacados
Los seis ejes que mejor explican la diferencia entre ambas versiones.
Gobernanza algorítmica
Trazabilidad, auditabilidad, control de versiones, mitigación de sesgos y supervisión humana efectiva se vuelven exigencias recurrentes en calidad, seguridad, responsabilidad proactiva y privacidad por diseño.
Categorías especiales ampliadas
Datos biométricos, genéticos, de salud y neurodatos reciben definiciones propias y reglas de tratamiento más finas, alineadas con los estándares internacionales más recientes.
Niñez con enfoque de riesgo
Configuraciones por defecto protectoras, restricciones a perfiles y publicidad comportamental, verificación de edad y prohibición de capturas de contenido sobre menores.
Derecho al olvido y oposición a IA
Supresión con efecto frente a terceros, oposición incondicional al uso de datos en sistemas de IA e intervención humana que pueda comprender y apartarse de la decisión automatizada.
Perspectiva de género y DDHH
Una cláusula transversal obliga a interpretar la normativa mitigando impactos negativos sobre personas en situación de vulnerabilidad.
Autoridades fortalecidas
Catálogo de doce facultades mínimas, autonomía presupuestal, libre disposición de personal y medidas cautelares como instrumento preventivo y urgente.
Tabla comparativa por sección
Comparación apartado por apartado de las dos versiones. Utilice las etiquetas de color para localizar de inmediato el tipo de cambio.
| Sección o tema | Versión 2017 | Versión 2026 | Tipo de cambio | Explicación del cambio | Impacto / relevancia práctica |
|---|---|---|---|---|---|
| Antecedentes y considerandos | 26 considerandos. Incluye relato del proceso de elaboración (2016–2017) y referencia a la posible aplicación a personas jurídicas (considerando 3). | 25 considerandos, reorganizados. Se añaden referencias a IA, gobernanza de sistemas automatizados y a las Recomendaciones de IA de la RIPD (Naucalpan, 2019). Se elimina el relato del proceso y la mención a personas jurídicas. | Se modifica / incorpora | Los considerandos se actualizan para anclar el documento en el contexto de la inteligencia artificial y los tratamientos automatizados, y se depura el contenido procedimental. | Fija el "espíritu" del nuevo texto: la IA deja de ser accesoria y se convierte en hilo conductor interpretativo de todo el instrumento. |
| 1. Objeto | Cinco objetivos (a–e): principios comunes, elevar el nivel de protección, tutela efectiva, flujo de datos y cooperación internacional. | Seis objetivos (a–f): se reformula con foco en interoperabilidad regulatoria y se añade el impulso de la autodeterminación informativa como condición del libre desarrollo de la personalidad. | Se modifica | El objeto se moderniza hacia la convergencia normativa regional y eleva la autodeterminación informativa a finalidad explícita del instrumento. | Orienta la futura legislación hacia marcos compatibles entre países, facilitando la cooperación y el reconocimiento mutuo de niveles de protección. |
| 1.2 Perspectiva de género y DDHH | No existe. | Nueva cláusula: la interpretación de la normativa debe orientarse con perspectiva transversal de género y de derechos humanos, mitigando impactos sobre personas en situación de vulnerabilidad. | Se incorpora | Se introduce un criterio hermenéutico transversal ausente en 2017. | Obliga a leer toda la normativa de datos a la luz de la igualdad y la no discriminación, con foco en grupos vulnerables. |
| 1.3 Interrelación normativa y ecosistema digital | No existe. | Nueva cláusula: coherencia normativa, proporcionalidad de cargas administrativas y promoción de gobernanza digital y algorítmica (trazabilidad, auditabilidad, control de tratamientos automatizados). | Se incorpora | Reconoce que la protección de datos convive con otras normas del ecosistema digital y busca evitar duplicidad e incoherencia. | Anticipa la articulación con regulaciones de IA, plataformas y competencia digital, evitando cargas regulatorias contradictorias. |
| 2. Definiciones | Nueve definiciones (a–i): anonimización, consentimiento, datos personales, datos sensibles, encargado, exportador, responsable, titular, tratamiento. | ~Diecinueve definiciones. Se suman: autoridad de protección de datos, datos biométricos, datos genéticos, datos de salud, elaboración de perfiles, investigación científica, limitación del tratamiento, neurodatos, seudonimización y tercero. Se redefine anonimización como proceso irreversible. | Se modifica / incorpora | El catálogo conceptual se duplica para dar soporte a las nuevas reglas sobre datos especiales, perfiles, IA y neurotecnología. | Sin estas definiciones no operarían las nuevas obligaciones; es la base técnica de todo el régimen reforzado de 2026. |
| Datos sensibles (definición) | Lista enunciativa que incluye "origen racial o étnico" y datos de salud, vida, orientación sexual, genéticos y biométricos. | Se redacta como "origen de las personas" y se añaden neurodatos e información neuronal que pueda inferir estados emocionales al catálogo de datos sensibles. | Se modifica | Amplía las categorías especiales hacia la dimensión neuronal y ajusta la redacción sobre el origen. | Eleva el estándar de protección frente a tecnologías capaces de leer o inferir información cerebral y emocional. |
| 3. Ámbito subjetivo | Aplicable a personas físicas o jurídicas privadas, autoridades y organismos públicos que traten datos. | Redacción equivalente, presentada como "marco de referencia diseñado para" tener por sujetos regulados a esas mismas categorías. | Se mantiene | Cambio de fraseo (lenguaje de "marco de referencia") sin alterar el universo de sujetos obligados. | Continuidad: las organizaciones públicas y privadas siguen siendo destinatarias del estándar. |
| 4. Ámbito objetivo y excepciones | No aplica a uso doméstico ni a información anónima. Permite excluir categorías de datos según derecho interno (4.4). | Mantiene la excepción doméstica y de anonimización, pero elimina las referencias a personas jurídicas y reformula 4.4: las excepciones se acotan a medidas necesarias en una sociedad democrática frente a amenazas a la seguridad del Estado y fines penales. | Se modifica | Se estrecha el margen de excepción y se elimina la apertura a proteger personas jurídicas. | Reduce la discrecionalidad estatal para excluir datos del régimen y enfoca la protección en la persona física. |
| 5. Ámbito territorial | Cuatro criterios (establecimiento, oferta de bienes/servicios, contrato/derecho internacional, uso de medios en el territorio) y definición de establecimiento. | Idénticos criterios y definición de establecimiento, con redacción de "marco de referencia recomendado". | Se mantiene | No hay cambios de fondo en la aplicación territorial. | Estabilidad: el alcance extraterritorial (efecto mercado y control de comportamiento) se conserva. |
| 6. Excepciones generales | Limita el derecho para seguridad nacional, pública, salud pública, derechos de terceros e interés público. Lista de contenidos mínimos de la ley. | Misma lista de contenidos mínimos, pero las excepciones se reconducen al numeral 4.4 (necesidad democrática, fines penales) y se exige ley en sentido formal y material. | Se modifica | Endurece el test de legitimidad de las excepciones y exige rango y forma de ley reforzados. | Mayor seguridad jurídica para el titular y barrera más alta a las limitaciones del derecho. |
| 7. Ponderación del derecho | Permite exentar principios para conciliar con otros derechos, mediante ejercicio de ponderación (necesidad, idoneidad, proporcionalidad). | Mantiene la ponderación y la ejemplifica con la libertad de expresión, prensa e información; exige aplicación estricta y proporcional en sociedad democrática. | Se modifica | Se precisa el supuesto típico de ponderación y se refuerza la exigencia de proporcionalidad. | Da pautas más claras a tribunales y reguladores para resolver conflictos con la libertad informativa. |
| 8. Niñas, niños y adolescentes | Interés superior conforme a la Convención; promoción del uso responsable de TIC en la formación académica. | Añade autonomía progresiva, lenguaje claro para menores, responsabilidad reforzada con enfoque basado en riesgo, configuraciones protectoras por defecto, verificación de edad, restricciones a perfiles y publicidad, y prohibición de capturas de pantalla de contenido sobre menores. | Se modifica | La protección de la niñez pasa de un enunciado de principios a un conjunto operativo de medidas técnicas exigibles. | Impacto alto en plataformas digitales y redes sociales que tratan datos de menores. |
| 9. Tratamiento de neurodatos | No existe. (El antiguo numeral 9 regulaba datos sensibles.) | Nuevo numeral: responsabilidad reforzada y enfoque de riesgo; cuidado especial en minimización, exactitud y transparencia. Lista de tratamientos de alto riesgo (inferir estados mentales, modificar la voluntad, vigilancia masiva, autenticación por patrones neuronales) potencialmente prohibibles. | Se incorpora | Se crea un régimen específico para la neurotecnología, inexistente en 2017. | Pionero a nivel regional: anticipa la regulación de interfaces cerebro-computadora y neuroderechos. |
| 10. Datos sensibles (tratamiento) | Regla general de prohibición salvo: atribución legal, mandato legal, consentimiento expreso y por escrito, o razones de seguridad/salud pública. (Numeral 9 en 2017.) | Reglas más detalladas (a–g): interés público con test de proporcionalidad, datos hechos públicos por el titular, intereses vitales, reclamaciones judiciales, investigación científica/histórica/estadística, salud pública, y datos biométricos bajo control exclusivo del titular. | Se modifica | Se sustituye un listado breve por excepciones más precisas y alineadas con estándares internacionales. | Mayor granularidad para responsables, especialmente en salud, investigación y biometría. |
| 11. Principios aplicables | Principios: legitimación, licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y confidencialidad. | Catálogo ajustado (responsabilidad "proactiva y demostrada", minimización) e introduce un mandato de respeto a la dignidad humana, autonomía personal y no instrumentalización, con garantías sobre inferencias y perfiles. | Se modifica | Los principios se reencuadran en clave de dignidad y se someten las inferencias a garantías de calidad y supervisión. | Protege contra la instrumentalización y la discriminación derivada de perfiles y predicciones automatizadas. |
| 12. Legitimación / bases de licitud | Nueve bases (a–i), incluido interés legítimo con una regla general de prevalencia y supuesto de datos de contacto. | Mismas bases, pero el interés legítimo se condiciona a tres requisitos acumulativos (interés real, inexistencia de alternativas menos intrusivas y ejercicio de ponderación) y se prohíbe a las autoridades públicas invocarlo. | Se modifica | El interés legítimo deja de ser una base genérica y pasa a exigir un test documentado de tres pasos. | Disciplina una de las bases más usadas por el sector privado y la cierra al sector público. |
| 13. Condiciones del consentimiento | Consentimiento indubitable mediante declaración o acción afirmativa; revocable en cualquier momento. | Mantiene lo anterior y añade reglas de presentación diferenciada del consentimiento dentro de declaraciones escritas y la nulidad del obtenido por prácticas contrarias a la norma. | Se modifica | Refuerza la validez del consentimiento exigiendo claridad y separación de otros asuntos. | Combate los consentimientos "empaquetados" y los patrones oscuros (dark patterns). |
| 14. Consentimiento de menores | Autorización del titular de patria potestad o del menor según edad mínima; verificación con esfuerzos razonables. | Mantiene lo anterior, declara ilícito el consentimiento obtenido en contra de las reglas y exige consentimiento específico y separado para perfilado con fines publicitarios. | Se modifica | Añade una salvaguarda específica contra la publicidad personalizada dirigida a menores. | Restringe modelos de negocio basados en perfilar a la niñez con fines comerciales. |
| 14. Licitud (principio autónomo 2017) | Numeral 14: principio de licitud con apego al derecho interno e internacional; tratamiento por autoridades sujeto a facultades expresas. | El principio de licitud se integra en legitimación/licitud (numeral 12) y deja de tener numeral autónomo. | Se elimina (como numeral autónomo) | La licitud se fusiona con la legitimación; el contenido no se pierde, pero cambia de ubicación. | Simplificación estructural; el deber de licitud subsiste integrado. |
| 15. Lealtad | Privilegiar al titular, sin medios engañosos; deslealtad = discriminación injusta o arbitraria. | Redacción idéntica. | Se mantiene | Sin cambios. | Continuidad del estándar antidiscriminatorio. |
| 16. Transparencia | Cinco elementos mínimos de información al titular (identidad, fines, comunicaciones, derechos ARCO, origen). | Catálogo ampliado: añade datos del delegado, interés legítimo, plazos de conservación, derecho al olvido y limitación, y información sobre decisiones automatizadas, perfiles e inteligencia artificial (lógica, variables, grado de automatización, limitaciones del sistema). | Se modifica | La transparencia se extiende a la explicabilidad de los sistemas automatizados y de IA. | Habilita el control ciudadano sobre decisiones algorítmicas que afectan a las personas. |
| 17–18. Finalidad y minimización | Finalidad determinada; prohibición de fines incompatibles; proporcionalidad como principio separado (numeral 18). | Añade un test de compatibilidad de fines (vínculo, naturaleza de los datos, contexto, garantías, expectativas, gobernanza de reutilización para IA) y advierte que la tecnología no justifica por sí sola la obtención masiva de datos. | Se modifica | Se introduce un examen explícito de compatibilidad y reglas para la reutilización de datos en el entrenamiento de IA. | Impacta directamente el uso de datos personales para entrenar y ajustar modelos de IA. |
| 19. Calidad | Mantener datos exactos, completos y actualizados; supresión cuando dejen de ser necesarios; conservación limitada. | Añade medidas de calidad a lo largo del ciclo de vida de los sistemas de IA (datos de entrenamiento, validación, prueba) y mecanismos para prevenir sesgos, inferencias inexactas y discriminación; evaluación periódica de perfiles y predicciones. | Se modifica | El principio de calidad se proyecta sobre los datos y resultados de los sistemas automatizados. | Obliga a controlar la calidad de datasets y salidas de IA para evitar daños discriminatorios. |
| 20. Responsabilidad (proactiva) | Acreditar cumplimiento y rendir cuentas; lista de mecanismos (a–g) como capacitación, auditorías y gestión de riesgos. | Responsabilidad "proactiva y demostrada" proporcional al riesgo; certificaciones y normas corporativas con atributos verificables; nuevo mecanismo (h) de gobernanza, trazabilidad, supervisión humana efectiva y revisión periódica de impactos. | Se modifica | La rendición de cuentas se vuelve basada en riesgo e incorpora la supervisión de sistemas automatizados. | Eleva la exigencia probatoria de cumplimiento, especialmente para tratamientos de alto riesgo. |
| 21. Seguridad | Medidas administrativas, físicas y técnicas para confidencialidad, integridad y disponibilidad; factores de determinación. | Añade resiliencia, seudonimización y cifrado, restauración rápida tras incidentes y, en tratamientos automatizados, controles de integridad, versionado, protección frente a manipulación del sistema y mitigación de comportamientos no previstos. | Se modifica | La seguridad se moderniza con conceptos de ciberseguridad y robustez de sistemas de IA. | Acerca el estándar a marcos como el RGPD y a las buenas prácticas de seguridad de la información. |
| 22. Notificación de vulneraciones | Notificación a autoridad y titulares sin dilación; excepción por improbabilidad o ausencia de riesgo. Contenido mínimo de la notificación. | Distingue la notificación a la autoridad (salvo bajo riesgo) de la notificación a los titulares (solo si hay alto riesgo); detalla contenidos y obligación del encargado de avisar al responsable sin dilación. | Se modifica | Se gradúa la obligación de notificar según el nivel de riesgo y se precisan los flujos encargado–responsable. | Aporta proporcionalidad y claridad operativa a la gestión de brechas de seguridad. |
| 23. Confidencialidad | Controles para mantener la confidencialidad, incluso tras finalizar la relación. | Redacción equivalente, con la salvedad de que comunicaciones y transferencias se realizan conforme a la legislación. | Se mantiene | Ajuste menor de redacción. | Continuidad del deber de secreto. |
| 24–27. Derechos / supresión y olvido | Derechos ARCO + portabilidad. Numeral 27: "derecho de cancelación" (retirar datos de archivos y sistemas). | Catálogo de derechos que incorpora expresamente supresión y derecho al olvido y el derecho a no ser objeto de decisiones automatizadas; obligación de informar a otros responsables que tratan datos publicados; límites por libertad de expresión, obligación legal e investigación. | Se modifica / incorpora | La cancelación evoluciona a un derecho al olvido con efecto frente a terceros en entornos digitales. | Alinea la región con el estándar europeo del derecho al olvido en buscadores y plataformas. |
| 28. Oposición | Oposición por situación particular o frente a mercadotecnia directa con perfiles. | Mantiene lo anterior y añade oposición incondicional cuando los datos se usan, por interés legítimo, en el desarrollo y explotación de sistemas de inteligencia artificial. | Se modifica | Se crea un derecho de oposición sin condiciones frente al uso de datos en IA basada en interés legítimo. | Da a las personas una palanca directa para excluirse del entrenamiento y uso de sistemas de IA. |
| 29. Decisiones automatizadas | Derecho a no ser objeto de decisiones únicamente automatizadas; intervención humana, explicación e impugnación. | Amplía a decisiones "exclusiva o esencialmente" automatizadas, incluida la IA; exige intervención humana calificada, significativa y efectiva (capaz de comprender y apartarse de la decisión) y refuerza la protección de menores. | Se modifica | Eleva el estándar de la intervención humana de un trámite formal a una revisión sustantiva y competente. | Evita el "sello de goma" humano sobre decisiones algorítmicas y protege especialmente a menores. |
| 30–32. Portabilidad, limitación y ejercicio | Portabilidad en formato interoperable; limitación ligada a rectificación/oposición; medios gratuitos para ejercer derechos. | Mantiene el contenido esencial con ajustes de redacción; conserva límites de portabilidad sobre datos inferidos y reglas de mecanismos alternativos de solución con revisión judicial. | Se mantiene | Continuidad sustancial con depuración de redacción. | Estabilidad de los derechos instrumentales de control sobre los datos. |
| 33–35. Encargado y subcontratación | Alcance del encargado, contrato con cláusulas mínimas (a–j) e inspecciones; régimen de subcontratación. | Mantiene el régimen y añade la cláusula (k): cuando el servicio implique IA o tecnologías emergentes, el encargado debe informar al responsable sobre funcionamiento, limitaciones, trazabilidad, calidad de datos y gestión de riesgos del sistema. | Se modifica | Extiende las obligaciones del encargado a la transparencia técnica de los sistemas de IA que opera. | Permite que el responsable cumpla sus deberes de explicabilidad apoyándose en su proveedor tecnológico. |
| 36. Transferencias internacionales | Cinco supuestos (a–e): nivel adecuado, garantías suficientes, cláusulas contractuales, autorregulación/certificación y autorización de la autoridad. | Régimen reestructurado y detallado: criterios de evaluación del nivel adecuado (Estado de Derecho, autoridad, derechos, compromisos), revisión periódica cada 5 años, garantías adecuadas, excepciones tasadas y una vía residual con condiciones estrictas. | Se modifica | Las transferencias pasan de un listado escueto a un sistema robusto con evaluación, vigencia y excepciones acotadas. | Refuerza la seguridad jurídica de los flujos internacionales y los acerca al modelo de decisiones de adecuación del RGPD. |
| 38. Privacidad por diseño y por defecto | Medidas preventivas desde el diseño y configuración por defecto que minimice datos. | Mantiene el principio y añade, para tratamientos automatizados e IA, mecanismos de supervisión, trazabilidad, documentación, gestión de riesgos y control del funcionamiento del sistema. | Se modifica | La privacidad por diseño se concreta en exigencias técnicas para sistemas automatizados. | Traslada la protección de datos a la fase de diseño de los sistemas de IA. |
| 39. Oficial / delegado de protección de datos | Designación obligatoria en tres supuestos; funciones de asesoría, coordinación y supervisión. | Detalla formación y acreditación, precisa el concepto de autoridad pública (incluye concesionarios), añade el deber de independencia y ausencia de conflicto de interés y reporte a la alta dirección, y la función de cooperar con la autoridad. | Se modifica | Profesionaliza y blinda la figura del delegado frente a presiones internas. | Fortalece la garantía de cumplimiento dentro de las organizaciones. |
| 41. Evaluación de impacto (EIPD) | EIPD previa para tratamientos de alto riesgo; la ley nacional define tratamientos, contenido y presentación a la autoridad. | Detalla el contenido mínimo de la EIPD y enuncia supuestos específicos: IA, biometría, neurotecnología, decisiones automatizadas, datos sensibles a gran escala, observación en zonas públicas y transferencias sin nivel adecuado; consulta previa obligatoria a la autoridad ante alto riesgo no mitigado. | Se modifica | La EIPD pasa de remisión a la ley nacional a un instrumento detallado y orientado a tecnologías disruptivas. | Convierte la evaluación de impacto en una herramienta central de control de la IA y la biometría. |
| 42. Autoridades de control / protección | Existencia con plena autonomía; órganos uni o pluripersonales; poderes de investigación, supervisión, sanción; control jurisdiccional. | Catálogo de doce facultades mínimas (incluye medidas cautelares, emisión de normativa, políticas públicas, construcción de capacidades y cooperación), garantías de autonomía presupuestal y de personal, atención a grupos vulnerables y selección por méritos. | Se modifica | El diseño institucional se detalla y refuerza sustancialmente. | Promueve autoridades más fuertes, independientes y con recursos asegurados. |
| 43–44. Reclamaciones, sanciones e indemnización | Derecho a reclamar y a la tutela judicial; régimen de sanciones por criterios objetivos; derecho a indemnización. | Contenido sustancialmente equivalente, con reordenación de capítulos (indemnización como Capítulo IX). | Se mantiene | Continuidad del régimen de tutela, sanción y reparación. | Estabilidad de las garantías de exigibilidad y resarcimiento. |
| 45. Cooperación internacional | Mecanismos de asistencia, intercambio de información y mejores prácticas. | Mantiene lo anterior y añade vínculos con redes y foros para interoperabilidad normativa, posiciones comunes sobre fenómenos disruptivos, estrategias contra la fragmentación normativa y simplificación administrativa. | Se modifica | La cooperación se orienta a la convergencia regulatoria frente a tecnologías emergentes. | Refuerza la capacidad regional de responder de forma coordinada a la IA y otros retos digitales. |
| Disposiciones transitorias | No incluidas. | Disposición única: plazos razonables entre publicación y entrada en vigor, considerando implicaciones materiales, financieras, humanas y regulatorias. | Se incorpora | Se añade orientación sobre la implementación temporal de la normativa. | Facilita transiciones ordenadas y sostenibles para responsables y encargados. |
Lo enteramente nuevo en 2026
Elementos que no tienen antecedente en la versión 2017 y que definen el carácter de la actualización.
Régimen de neurodatos (numeral 9)
Por primera vez el instrumento regula expresamente el tratamiento de información neuronal, con responsabilidad reforzada y un listado de tratamientos de alto riesgo —inferir estados mentales, modificar la voluntad, vigilancia masiva o autenticación por patrones neuronales— que la legislación nacional podría llegar a prohibir.
Gobernanza de la inteligencia artificial transversal
Trazabilidad, supervisión humana efectiva, gobernanza algorítmica, documentación técnica, control de versiones, mitigación de sesgos y evaluación continua de riesgos se incorporan en los principios de calidad, seguridad, responsabilidad proactiva, finalidad, privacidad por diseño, en las obligaciones del encargado y en la evaluación de impacto.
Perspectiva de género y de derechos humanos (numeral 1.2)
Una cláusula interpretativa transversal obliga a aplicar la normativa mitigando impactos negativos sobre las personas, con atención particular a quienes enfrentan situaciones de vulnerabilidad.
Derecho al olvido con efecto frente a terceros
El antiguo derecho de cancelación se transforma en supresión y derecho al olvido, con la obligación del responsable de informar a otros responsables sobre la solicitud de supresión de enlaces y copias, especialmente en entornos digitales.
Oposición incondicional al uso de datos en IA
Cuando los datos se traten por interés legítimo en el desarrollo y explotación de un sistema de inteligencia artificial, el titular puede oponerse sin condición alguna.
Nuevas categorías de datos con definición propia
Datos biométricos, genéticos, de salud, neurodatos, elaboración de perfiles y seudonimización pasan a tener definiciones autónomas, dando soporte técnico a reglas más finas de tratamiento.
Y lo que se mantiene como columna vertebral
Permanecen sin alteración sustancial la arquitectura de 45 numerales y 10 capítulos, los principios de lealtad y confidencialidad, el ámbito territorial, el régimen del encargado en su núcleo, la portabilidad, las reclamaciones, las sanciones y el derecho de indemnización. La actualización construye sobre la base de 2017, no la sustituye.
Conclusiones
Lectura de conjunto del salto entre 2017 y 2026.
La versión 2026 no reescribe los Estándares: los actualiza para una década dominada por la inteligencia artificial y las neurotecnologías.
El comparativo muestra una continuidad estructural deliberada. La RIPD conservó el número de numerales, el orden de los capítulos y los principios fundacionales, de modo que las legislaciones nacionales que ya adoptaron el modelo de 2017 puedan transitar a la nueva versión sin reconstruir su marco. Sobre esa base estable, la actualización añade una capa densa de obligaciones técnicas.
El cambio de mayor calado es la transversalización de la gobernanza tecnológica. La inteligencia artificial deja de ser una preocupación implícita y se convierte en objeto explícito de regulación en casi todos los capítulos: desde la calidad de los datos de entrenamiento hasta la oposición incondicional al uso de datos en sistemas de IA, pasando por la explicabilidad de las decisiones automatizadas y la evaluación de impacto orientada a tecnologías disruptivas.
En materia de derechos del titular, la versión 2026 eleva el estándar de tutela: el derecho al olvido con efecto frente a terceros, la intervención humana calificada y significativa, y el reforzamiento de la protección de la niñez con enfoque basado en riesgo sitúan al marco iberoamericano en sintonía con los desarrollos más avanzados a nivel global, e incluso por delante de muchos en el terreno de los neuroderechos.
Para los responsables y encargados, la actualización implica nuevas cargas de cumplimiento: documentación y trazabilidad de sistemas automatizados, tests de compatibilidad de fines, condiciones más estrictas para invocar el interés legítimo, consentimientos diferenciados y evaluaciones de impacto detalladas. La disposición transitoria, ausente en 2017, reconoce precisamente la magnitud de esa adaptación y aboga por plazos razonables de entrada en vigor.
En síntesis, la versión 2026 conserva qué proteger y a quién, pero redefine cómo protegerlo en un entorno donde los datos alimentan sistemas capaces de inferir, perfilar e influir en las personas. Es la respuesta regional, ordenada y armonizadora, a los retos que la versión 2017 apenas alcanzaba a vislumbrar.