Durante el último año, la privacidad ha pasado de ser un tema técnico a convertirse en conversación cotidiana: cuando un gobierno plantea un DNI digital, cuando una web pide verificar la edad para entrar o cuando una tienda online “sabe” demasiado sobre lo que miramos. Ese ruido no se va a apagar en 2026; va a cambiar de forma. En vez de debates abstractos sobre datos, veremos decisiones muy concretas sobre arquitectura, estándares y responsabilidades: quién emite una identidad, quién la valida, quién responde si algo sale mal y cómo se demuestra el cumplimiento sin convertirlo en teatro.Varios expertos del sector coinciden en una idea: 2026 será el año en que muchas iniciativas de privacidad dejan la fase de prueba y se convierten en sistemas que deben funcionar todos los días, con auditorías, reglas claras y consecuencias.Carteras de identidad: de piloto a servicio habitualRalph Rodriguez, presidente y chief product officer de Daon, pone el foco en la madurez de los ID wallets o carteras de identidad. Su lectura es que 2026 marca el salto desde los pilotos a la escala: marcos formales de confianza, laboratorios acreditados, programas de certificación y reglas de responsabilidad que ya no se quedan en el PowerPoint. En Europa, el empuje vendrá del EU Digital Identity Wallet bajo el paraguas de eIDAS, con la expectativa de que los Estados miembros ofrezcan una cartera de identidad a finales de 2026.Para entenderlo sin jerga: hoy, muchas identidades digitales se parecen a una llave “hecha en casa”; abre la puerta en tu edificio, pero nadie garantiza que abra en el edificio de enfrente. Con marcos como eIDAS, la promesa es que esa llave funcione en más puertas y, sobre todo, que haya un manual de responsabilidades: si la llave falla o se copia, debe existir un proceso y un responsable.KnowBe4 coincide en el efecto social: estas identidades, vinculadas a una persona real, no tienen por qué ser obligatorias, pero pueden volverse casi imprescindibles para acceder a ciertos servicios digitales. Es el mismo patrón que hemos vivido con la banca online: nadie te obligó a usarla el primer día, pero con el tiempo se convirtió en la vía más práctica.En paralelo, la capa “de consumo” también avanza. Apple Wallet y Google Wallet han ido incorporando documentos digitales en jurisdicciones concretas, y en Estados Unidos la TSA acepta permisos móviles de conducir (mDL) en estados participantes. La adopción sigue siendo desigual, pero el movimiento es claro: cuantos más aeropuertos, agencias y casos de uso de “alta seguridad” lo acepten, más rápido deja de ser una curiosidad.Cumplimiento normativo: invertir para no improvisarFredrik Forslund, vicepresidente y director general internacional de Blancco, anticipa que el crecimiento regulatorio empujará a muchas organizaciones a invertir más en cumplimiento y procesos de protección de datos. Aquí no se trata solo de “cumplir el GDPR”; la lista de siglas se está volviendo un tablero de ajedrez global: GDPR en Europa, DORA para resiliencia operativa financiera, CCPA en California, PIPEDA en Canadá, sin olvidar requisitos sectoriales como HIPAA (salud) o FINRA (servicios financieros).La parte interesante es que el cumplimiento ya no será únicamente documentación y políticas internas. Forslund apunta a marcos más estructurados, monitorización asistida por IA y prácticas sólidas de manejo y destrucción de datos. Menciona también el interés creciente por la guía NIST SP 800-88 Rev. 2, centrada en la sanitización de soportes. Traducido a una escena doméstica: no basta con “tirar papeles a la papelera”; hay que usar una trituradora cuando corresponde, y dejar constancia de que se hizo bien. En empresas, esa “trituradora” puede ser un proceso verificable de borrado seguro y reutilización de equipos sin heredar datos sensibles.La Ley de IA de la UE y el fin del “cumplimiento de escaparate”Iain Brown, responsable de data science para el norte de Europa en SAS, pone una fecha en el calendario: desde agosto de 2026, con obligaciones del EU AI Act entrando en vigor, espera la primera ola de sanciones mediáticas por incumplimiento. Su predicción tiene un matiz importante: los consejos de administración pedirán pruebas, no relatos. Es decir, linaje del modelo, derechos sobre los datos, supervisión real.En la práctica, esto puede acabar con lo que Brown llama “teatro de explicabilidad”: informes bonitos que no se sostienen si alguien tira del hilo. Para que el control sea auténtico, ganarán peso herramientas como los datos sintéticos y la privacidad diferencial para refrescar modelos sin exponer información personal. Es como entrenar a un camarero nuevo con una simulación realista del restaurante: aprende el flujo, los errores típicos y cómo reaccionar, sin necesidad de usar los datos reales de los clientes.Confidential AI: cuando cifrar deja de ser solo “para el disco”Ravi Srivatsav, CEO y cofundador de DataKrypto, cree que en 2026 la IA empresarial pasará de “experimentos” a despliegues críticos, y eso revelará las costuras de la seguridad tradicional. Su apuesta: la Confidential AI se volverá esencial, con privacidad y cifrado incorporados en todo el ciclo de vida, desde la ingesta de datos hasta el entrenamiento y la inferencia.Su comparación es fácil de visualizar: al principio de la web, navegar sin cifrado era habitual; luego HTTPS se convirtió en norma porque la realidad lo exigió. Con la IA puede pasar algo parecido: no basta con proteger una base de datos; hay que proteger lo que el modelo ve, lo que aprende y lo que responde. Srivatsav habla de cifrado de extremo a extremo y confidential computing, para poder entrenar o ejecutar modelos incluso sobre datos sensibles con garantías fuertes. La idea de zero trust aplicada a la IA también gana terreno: asumir que nada es confiable por defecto y que todo debe verificarse.Navegadores con IA en el dispositivo: privacidad y un nuevo tipo de extracciónRytis Ulys, responsable de datos e IA en Oxylabs, mira hacia los navegadores AI-native. Su hipótesis es que, para competir en privacidad, más modelos correrán en el propio dispositivo: resumirán, leerán y “recogerán” contenido localmente para construir grafos de conocimiento personales. Desde el punto de vista del usuario, suena cómodo: tu navegador se comporta como un asistente que toma notas por ti sin enviar cada paso a la nube.El giro está en la segunda parte: esa descentralización puede crear una forma de extracción difícil de rastrear. Si cada dispositivo “aprende” de lo que ve y lo transforma en conocimiento local, ¿cómo se audita lo que se recopila, qué se conserva y bajo qué permisos? Es como si, en lugar de una cámara de seguridad en la esquina, cada peatón llevara su propio cuaderno de observaciones. La privacidad mejora en un eje, se vuelve más compleja en otro.Del móvil “bajo control” al móvil “sin datos”: virtualización como estrategiaJared Shepard, CEO de Hypori, pronostica una transición hacia arquitecturas de virtualización móvil. El planteamiento cambia el tablero: separar por completo los datos corporativos del dispositivo personal, entregando acceso seguro sin que la información sensible “viva” en el endpoint. Este enfoque promete algo atractivo para muchos equipos: cumplimiento sin exigir propiedad del hardware, seguridad sin invadir el teléfono personal, privacidad preservada por diseño.En términos cotidianos, es la diferencia entre llevar documentos confidenciales en la mochila o entrar en una sala donde los documentos ya están dentro y tú solo tienes permiso para leerlos allí. Si te roban la mochila, el riesgo es enorme. Si pierdes la tarjeta de acceso a la sala, se revoca y punto.Fraude con IA: deepfakes, verificación y pruebas sin revelar datosAlix Melchy, VP de IA en Jumio, advierte de un efecto colateral claro: los agentes de IA bajan el coste y la complejidad del fraude, haciéndolo más accesible y personalizado. Con deepfakes cada vez más convincentes, la verificación de identidad se vuelve un deporte de contacto. Su recomendación pasa por defensas en capas: detección de vida multimodal en tiempo real y “inteligencia contextual” que ayude a distinguir señales auténticas de una actuación generada.Aquí entra un concepto que merece traducción amable: las pruebas de conocimiento cero o zero-knowledge proofs. La idea es parecida a demostrar que eres mayor de edad sin enseñar tu fecha de nacimiento, o probar que tienes derecho a un descuento sin revelar tu salario. Sirven para verificar sin exponer. Si se implementan bien, pueden mantener la confianza del usuario y, al mismo tiempo, elevar el listón contra el fraude.Credenciales verificables y “credenciales variables”: enseñar solo lo imprescindibleYair Tal, CEO de AU10TIX, describe una tensión que los reguladores están empujando con fuerza: recoger menos datos para proteger la privacidad, pero mantener fuera a los malos actores con más certeza que nunca. Las Verifiable Credentials prometen tender un puente: entregar a una organización únicamente lo que necesita confirmar, como edad, elegibilidad o autorización, sin abrir el cajón entero de tu vida.El matiz es crucial: Tal recuerda que una credencial válida también puede abusarse, falsificarse o “prestarla” una identidad sintética, sobre todo con deepfakes fáciles de producir. Por eso insiste en un “cinturón de seguridad” adicional: una capa continua de riesgo que detecte anomalías, vincule credenciales a humanos reales o agentes verificados e identifique patrones de ataque que evolucionan rápido.Privacidad del empleado: la nueva frontera del cumplimientoDavid Matalon, CEO y cofundador de Venn, apunta a otro frente con impacto directo en cultura corporativa: los reguladores tratarán la privacidad del empleado como requisito central, haciendo que las estrategias de seguridad que preservan privacidad sean una necesidad de negocio. El mensaje es pragmático: no es solo evitar multas; también es atraer y retener talento en una fuerza laboral distribuida, donde el límite entre lo personal y lo laboral se negocia cada día.La noticia 2026 y la privacidad: identidades digitales, cumplimiento y una IA que aprende a guardar secretos fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.