
Desafíos jurídicos y tecnológicos en la era de la computación cuántica
Hablar de tecnologías cuánticas ya no es anticiparse a un futuro, sino empezar a entender un presente que avanza cada vez más rápido. Aunque todavía se encuentran en fase de desarrollo e implementación, su impacto obliga a repensar no solo la tecnología, sino también su marco jurídico.
Dentro de este ámbito, la computación cuántica destaca como uno de los desarrollos con mayor capacidad disruptiva. Gracias a ella, problemas que hoy requieren años de cálculo podrían resolverse en cuestión de minutos, con amplias aplicaciones en sectores muy diversos, como la medicina (por ejemplo, para el desarrollo de nuevos tratamientos o fármacos); la logística e industria, la ciberseguridad e inteligencia artificial, el ámbito espacial o la seguridad y defensa.
Ahora bien, junto a todas sus ventajas, la irrupción de estas tecnologías también presenta numerosos riesgos y desafíos. Uno de los principales reside en la capacidad de estos sistemas para comprometer los esquemas criptográficos actuales. Es decir, los mecanismos que hoy consideramos seguros podrían dejar de serlo, según indicando los expertos, en un horizonte no tan lejano.
Además, los riesgos asociados al desarrollo de esta tecnología no solo afectan al ámbito tecnológico, sino también a los ámbitos jurídicos y estratégicos, entre los que podemos destacar los siguientes:
- Los sistemas de cifrado actuales podrían quedar obsoletos, comprometiendo la confidencialidad y la seguridad de los datos personales, de la información empresarial, de las comunicaciones o de la información estratégica y reservada.
- La dificultad de implementar medidas técnicas y organizativas adecuadas para hacer frente a estos riesgos, lo que podría derivar en incumplimientos de la normativa en materia de protección de datos, de la Directiva NIS2 y del resto de normativas de ciberseguridad que exigen la implementación de medidas proporcionadas al riesgo.
- La imposición de sanciones y la exigencia de responsabilidades legales en aquellos supuestos en los que no se adopten las medidas necesarias, pudiendo resultar en cuantías muy elevadas.
- Los sistemas basados en certificados o en firmas electrónicas actuales podrían verse comprometidos, lo que podría conllevar riesgos en autenticación e identidad digital, afectando a transacciones electrónicas, servicios financieros o relaciones con la Administración, entre otros.
- Posible impacto en las infraestructuras críticas en los sectores de energía, transporte o telecomunicaciones, que podrían verse especialmente expuestos si no actualizan sus sistemas de cifrado y seguridad.
Como respuesta a los nuevos riesgos derivados del avance de la computación cuántica surge la llamada «criptografía postcuántica (PQC)», cuyo objetivo se centra en desarrollar sistemas criptográficos capaces de garantizar la integridad y confidencialidad de la información frente a las capacidades de procesamiento de futuras tecnologías cuánticas, como los ordenadores cuánticos.
Desde el punto de vista de la protección de datos, el debate no debe centrarse tanto en la creación de nuevas normas (al menos por el momento), sino en la capacidad de nuestro ordenamiento jurídico vigente para adaptarse a los desafíos que plantea esta nueva tecnología.
Por su parte, el RGPD ya exige medidas de seguridad adecuadas al riesgo, pero la cuestión que debemos plantearnos es: ¿qué ocurrirá cuando el nivel de riesgo cambie?
El enfoque basado en el riesgo sobre el que se articula el RGPD no es estático. El Reglamento exige a las organizaciones revisar de forma continua la eficacia de sus medidas de seguridad, adaptándolas al estado de la técnica, a los costes de aplicación y a la naturaleza, alcance, contexto y fines del tratamiento, en función de las amenazas existentes en cada momento. Aunque no se realice un listado de medidas concretas, reconoce como medidas mínimas de cumplimiento la implementación de la seudonimización y el cifrado de los datos personales. En este sentido, la irrupción de la computación cuántica podría marcar un punto de inflexión, al incrementar de forma significativa el nivel de exposición de los sistemas actuales.
Aquí es donde cobra especial relevancia el principio de responsabilidad proactiva del RGPD. No bastará, por tanto, con cumplir formalmente con la normativa vigente, sino que las empresas deberán ser capaces de demostrar dicho cumplimiento.
Por lo tanto, la adopción por parte de las empresas de estrategias orientadas a la transición hacia criptografía postcuántica, así como la revisión de sus sistemas de seguridad y de gestión del riesgo, será fundamental para garantizar la seguridad y protección de la información y de los tratamientos a largo plazo.
La lucha por la carrera cuántica
La Unión Europea ha comenzado a posicionarse en la carrera cuántica. En la actualidad, algunas de las estrategias relacionadas con la ciberseguridad, la resiliencia digital y la futura aplicación de la Directiva NIS2 están orientadas a reforzar el uso de la criptografía y preparar a las empresas para nuevos escenarios más exigentes a nivel normativo.
En esta línea, la Directiva NIS2, que aún se encuentra pendiente de transposición en España, introduce obligaciones concretas para entidades esenciales e importantes, exigiendo la adopción de políticas y procedimientos relativos al uso de la criptografía y del cifrado.
Además, la UE también está impulsando una transición hacia soluciones de criptografía postcuántica, no solo en el marco de NIS2, sino también en conexión con otras iniciativas como el Reglamento de Ciberseguridad y el Reglamento de Ciber resiliencia, tal y como se refleja en la Recomendación (UE) 2024/1101 de la Comisión, de 11 de abril de 2024, sobre una hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica.
Todo este impulso se ha visto reforzado, además, con la definición de una estrategia cuántica a nivel europeo y con la futura Ley Cuántica, orientada a consolidar capacidades tecnológicas propias, fomentar la innovación y reducir dependencias externas.
Fuera del ámbito europeo, Estados Unidos ha avanzado en medidas orientadas a la preparación frente a amenazas cuánticas, tanto desde el plano normativo como técnico, destacando el papel del Instituto Nacional de Estándares y Tecnología (NIST) en la estandarización de algoritmos de criptografía postcuántica.
Por último, debemos hacer referencia a la especial importancia de estas tecnologías en lo relativo al ámbito estratégico y militar.
En este sentido, China ya ha manifestado la relación de la implementación de dicha tecnología con sus capacidades militares y de defensa. Por otro lado, la OTAN también ha señalado el poder de la computación y sensores cuánticos para fines de navegación o guerra antisubmarina, por lo que su desarrollo resultará en el contexto de la seguridad nacional e internacional.
Por todo ello, resulta esencial que tanto las empresas como los propios Estados comiencen a prepararse desde ahora para la llegada de la denominada “era cuántica”, reforzando sus capacidades tecnológicas, revisando sus modelos de seguridad y anticipando los riesgos jurídicos y estratégicos asociados a toda esta transformación tecnológica que nos espera.
Centro de Competencia Privacidad de Govertis, part of Telefónica Tech

Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.




