#DretsDigitals

Una reciente decisión de la autoridad austríaca de protección de datos (DSB) ha vuelto a situar a Microsoft en el centro del debate sobre la privacidad digital, especialmente cuando se trata de menores. A raíz de una denuncia presentada por la organización Noyb, la DSB ha concluido que Microsoft instaló cookies de rastreo en el dispositivo de un alumno que utilizaba Microsoft 365 Education sin haber obtenido su consentimiento. Según la propia política de privacidad de la empresa, estas cookies sirven para analizar el comportamiento del usuario, recopilar datos del navegador y utilizarlos con fines publicitarios. La autoridad ha concedido a Microsoft un plazo de cuatro semanas para poner fin a este rastreo y adaptarse a la normativa europea.

Este caso no es un hecho aislado. En junio de 2024, Noyb ya había presentado dos reclamaciones ante la autoridad austríaca relacionadas con el uso de Microsoft 365 Education en las escuelas. La primera se resolvió en octubre de 2025, cuando la autoridad consideró que Microsoft había vulnerado el derecho de acceso reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). En aquel momento, la organización denunciaba que Microsoft vulneraba la privacidad de los menores mientras trasladaba la responsabilidad legal a las escuelas y a las autoridades educativas locales.

Uno de los problemas de fondo que destaca Noyb es el desequilibrio de poder entre las grandes empresas tecnológicas y las escuelas o administraciones públicas. Proveedores como Microsoft tienen una posición de mercado tan dominante que pueden imponer contratos y condiciones de uso bajo una lógica de “o lo aceptas o te quedas fuera”. En este contexto, las escuelas no tienen ninguna capacidad real para negociar cómo se tratan los datos del alumnado ni para influir en las decisiones técnicas que adopta la compañía. A pesar de ello, Microsoft suele presentarse como un simple “encargado del tratamiento”, mientras traslada la mayor parte de la responsabilidad legal a las escuelas, que formalmente actúan como “responsables del tratamiento”.

En la práctica, este reparto de roles no refleja la realidad. Las escuelas no deciden ni los medios ni las finalidades reales del tratamiento de datos, tal y como exige el RGPD para ser consideradas responsables efectivas. Sin embargo, son ellas las que acaban asumiendo los riesgos legales.

Las consecuencias de este sistema son especialmente graves para las personas afectadas, en este caso los estudiantes. Cuando intentan ejercer sus derechos de protección de datos, como el derecho de acceso, a menudo se encuentran con que Microsoft no responde a las solicitudes, mientras que las escuelas no pueden dar respuesta porque no disponen de toda la información ni del control efectivo sobre los datos. Esto crea una situación de “cumplimiento formal”, pero vacía de contenido real, que acaba negando derechos básicos reconocidos por el RGPD.

A todo ello se añade una notable falta de transparencia. Determinar qué políticas de privacidad, contratos o documentos se aplican realmente al uso de Microsoft 365 Education es una tarea compleja incluso para profesionales del derecho. La información se encuentra dispersa en múltiples documentos, a menudo con contenidos vagos o contradictorios, y sin explicar claramente qué ocurre con los datos de los menores. Tal como señala Maartje de Graaf, abogada especializada en protección de datos en Noyb, la información facilitada por Microsoft es tan imprecisa que “ni siquiera un abogado cualificado puede entender completamente cómo se tratan los datos personales en Microsoft 365 Education”.

La segunda denuncia resuelta recientemente hace aún más evidente la gravedad de la situación. La autoridad austríaca ha confirmado que Microsoft instaló cookies de seguimiento en el dispositivo de un menor sin su consentimiento, y que dichas cookies se utilizan con fines publicitarios. Tanto la escuela como el Ministerio de Educación austríaco afirmaron que desconocían completamente la existencia de este rastreo. Esto plantea un escenario preocupante: millones de menores en Europa podrían estar siendo rastreados sin base legal ni conocimiento de las instituciones educativas que utilizan estos servicios.

Las posibles consecuencias de esta decisión van mucho más allá del caso concreto. Millones de estudiantes y docentes en toda Europa utilizan Microsoft 365 Education, y millones más emplean Microsoft 365 en empresas y administraciones públicas. El rastreo de usuarios sin consentimiento vulnera claramente la normativa europea de protección de datos y pone en riesgo la conformidad legal de todas las organizaciones que utilizan estas herramientas. De hecho, algunas autoridades de protección de datos, como las alemanas, ya habían expresado serias dudas sobre la compatibilidad de Microsoft 365 con el RGPD.

En resumen, este caso ejemplifica un problema estructural: las grandes empresas tecnológicas concentran el poder de decisión y los beneficios, pero intentan trasladar las obligaciones legales a sus clientes europeos. Tal como resume Max Schrems, fundador de Noyb, si Microsoft no cambia de manera profunda el funcionamiento y la gobernanza de sus productos, muchas organizaciones europeas simplemente no podrán cumplir con sus obligaciones legales en materia de protección de datos. La decisión austríaca es, por tanto, un toque de atención que va mucho más allá de un solo caso o de un solo país.

La Autoridad Catalana de Protección de Datos (APDCAT) ha anunciado una disminución en el número anual de notificaciones de violaciones de seguridad durante el año 2024 en comparación con el año anterior. Esta reducción rompe, por primera vez, la tendencia al incremento del 20% anual que se venía observando desde el año 2018.

Concretamente, la APDCAT recibió un total de 182 notificaciones de violaciones de seguridad a lo largo de 2024, una cifra que supone una ligera disminución en relación con las 183 notificaciones registradas en 2023. A pesar de tratarse de un descenso modesto –del 0,5%–, el número de afectados se ha reducido a más de la mitad, con un total de 230.000 personas, en comparación con el millón y medio que se registró a lo largo de 2023.

La Autoridad atribuye esta mejora tan pronunciada en el número de afectados, principalmente, a la disminución de ciberataques, que pasan del 31% en 2023 al 17% en 2024, especialmente los de tipo ransomware, que han pasado del 19% al 3%. Estos ataques ransomware, basados en el secuestro de datos, son los que afectan a un mayor número de personas. En consecuencia, el 41% de las violaciones de seguridad que ha recibido la APDCAT durante 2024 solo han tenido impacto en un número de entre 1 y 10 personas.

Aun así, cabe destacar la forma en que, a pesar de la notable disminución en el impacto de estas violaciones, el número de notificaciones a las autoridades se ha mantenido en línea con las de 2023. Esto pone de manifiesto que los responsables de realizar estas notificaciones no han reducido su labor de vigilancia y han continuado cumpliendo rigurosamente con su obligación de reportar los incidentes de manera adecuada.

En cuanto al origen de las violaciones de seguridad, el error humano pasa a ser la primera causa de los incidentes (aumenta del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). En última instancia, se encuentra el acto interno malintencionado (por ejemplo, abuso de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización), que se mantiene en tercer lugar con ligeras variaciones al alza.

En la misma línea de 2023, en la gran mayoría de los incidentes (92%) se ve afectada la confidencialidad de los datos, mientras que las violaciones que afectan a la disponibilidad disminuyen (hasta el 7%), en coherencia con la reducción del número de ataques ransomware, que al operar mediante la encriptación de los datos con el objetivo de posteriormente exigir un rescate, limitan su accesibilidad y cuando se necesitan.

Finalmente, como es habitual, la mayoría de las violaciones afectan datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte), cuyo acceso y uso indebido puede suponer un riesgo importante de daño para los titulares de los datos comprometidos, como el riesgo de sufrir una suplantación de identidad o ser víctima de fraude.

Estas noticias son especialmente relevantes para el sector sanitario, un ámbito particularmente vulnerable a este tipo de incidentes debido a la naturaleza sensible de los datos que gestiona. Según el artículo 9.1 del RGPD, estos datos se consideran de categoría especial y requieren la aplicación de medidas específicas de seguridad que garanticen su integridad y confidencialidad frente a intentos de acceso no autorizados y tratamientos ilícitos que puedan comprometer la privacidad de sus titulares.

Aun así, es importante mantener el nivel de alerta. Como recordaba el Informe de Prospectiva de Ciberseguridad para 2024 de la Agencia de Ciberseguridad de Cataluña, el sector sanitario sigue siendo un objetivo principal en esta materia, por lo que continúa siendo primordial la adopción y el mantenimiento de estrategias de ciberseguridad proactivas, flexibles y adaptables ágilmente a los cambios dinámicos y a la evolución de este tipo de amenazas cibernéticas.

En este sentido, es importante recordar que, según el artículo 33 del RGPD, en caso de que se produzca una violación de seguridad de datos personales, el responsable del tratamiento deberá notificarlo a la Autoridad «sin dilación indebida» y, por regla general, en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente. Según el RGPD, se considera violación de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o el acceso no autorizado a dichos datos.

Así pues, cuando el responsable de protección de datos considere, en base a criterios como el tipo de violación, la categoría y tipología de los datos o el volumen y tipo de afectados, que la violación supone un riesgo de que se produzcan perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados, deberá comunicarlo a la autoridad competente –en el caso de Cataluña, a la APDCAT– en los términos establecidos.

A modo ilustrativo, la Autoridad ha considerado violaciones de seguridad que deben ser comunicadas aquellas que impliquen pérdida de control sobre los datos, restricción de derechos de los titulares, discriminación, suplantación de identidad, pérdidas financieras, daño a la reputación, reversión no autorizada de la pseudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

En definitiva, a pesar de la clara mejora, seguiremos con interés la evolución de los datos registrados por las Autoridades en materia de violaciones de seguridad y su impacto en la protección de los datos personales de los afectados, especialmente en sectores críticos como lo es el sector sanitario.

Análisis del Anteproyecto de Ley sobre la Gobernanza de la IA y su Impacto en el Marco Jurídico Nacional

El vertiginoso avance de la inteligencia artificial (IA) ha planteado desafíos significativos en términos de ética, transparencia y protección de los derechos fundamentales. En respuesta a estos retos, el Gobierno de España ha aprobado recientemente el anteproyecto de ley sobre la gobernanza de la IA, con el objetivo de garantizar un uso ético, inclusivo y beneficioso de esta tecnología. Este artículo analiza las principales disposiciones de esta normativa y su alineación con el Reglamento Europeo de IA.

El anteproyecto busca armonizar la legislación española con el Reglamento Europeo de IA, ya en vigor, que establece un marco común para el desarrollo, comercialización y uso de sistemas de IA en la Unión Europea. Este reglamento clasifica las aplicaciones de IA en función de su nivel de riesgo y establece obligaciones específicas para cada categoría, con el fin de mitigar posibles riesgos para los derechos y libertades de las personas.

Una de las medidas más destacadas del anteproyecto es la obligación de identificar claramente los contenidos generados o manipulados mediante IA, como imágenes, audios o vídeos. Esta disposición busca prevenir la difusión de desinformación y proteger a la ciudadanía de posibles engaños, especialmente en relación con los llamados deepfakes. El incumplimiento de esta obligación se considerará una infracción grave, sancionable con multas de hasta 35 millones de euros o el 7% de la facturación anual de la empresa infractora.

El anteproyecto también prohíbe el uso de técnicas subliminales que puedan manipular el comportamiento de las personas, así como la explotación de vulnerabilidades específicas debido a la edad, discapacidad o situación socioeconómica. Además, se prohíbe la clasificación de personas basada en datos biométricos para evaluar su comportamiento o personalidad, garantizando así la protección de los derechos fundamentales y la dignidad humana.

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2023, será la encargada de supervisar la implementación y cumplimiento de esta normativa. La AESIA tendrá facultades inspectoras y sancionadoras para garantizar que los sistemas de IA operen de manera transparente y respetuosa con los derechos fundamentales.

Conclusión

La aprobación de este anteproyecto representa un paso significativo hacia la regulación efectiva de la inteligencia artificial en España. Al armonizarse con el marco europeo y establecer medidas específicas para garantizar la transparencia y la ética en el uso de la IA, se busca fomentar la confianza de la ciudadanía en estas tecnologías y asegurar que su desarrollo contribuya al bienestar social y al respeto de los derechos fundamentales.