protecciódedades

En fecha 20 de septiembre de 2023 se presentó una reclamación ante la AEPD por los delegados sindicales del Servicio de Prevención y Extinción de incendios (SPEIS) de la Diputación de Huesca en la que se denunciaba que se pudo acceder a una carpeta compartida utilizada por el personal administrativo del SPEIS, la cual contenía información confidencial.

Este procedimiento llevó a tratar otro asunto pues, además de la presunta brecha de seguridad, se descubrió que el Delegado de Protección de Datos (DPD) de la Diputación de Huesca también ejercía como responsable del Sistema interno de información. Esto condujo a que se planteara la idoneidad de la concurrencia de ambas funciones en la misma persona.

Sobre el primer incidente, la AEPD resolvió que estimaba la vulneración del art. 5.1.f) del RGPD por el fallo de la Diputación en preservar confidencialidad e integridad de datos de los que era responsable.

Respeto a la segunda situación, la AEPD valoró que, si bien es cierto que el DPD puede desempeñar otras funciones además de las asignadas para su cargo, hay que garantizar que no dará lugar a un conflicto de interés, de conformidad con el art. 38.6 del RGPD. Procedemos a analizar esta interpretación.

• El DPD puede ejercer otras funciones, siempre que no den lugar a conflictos de intereses, circunstancia que debe garantizar el responsable del tratamiento.
• El DPD actúa como asesor y supervisor interno, de manera que no puede serlo alguien que tenga otras funciones en las que pueda decidir sobre la existencia de tratamientos de datos o sobre cómo se tratan los datos.
• Por su parte, el responsable del sistema interno de información deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad y responde del correcto funcionamiento del sistema (art. 8.4 y 9.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción); es decir, puede tener acceso a los datos personales contenidos en el sistema.
• También se establece que tanto el responsable del sistema como el DPD pueden tener acceso a los datos del Sistema interno de información (art. 32.1 Ley 2/2023); es decir, entiende que son dos figuras distintas.
• Por lo tanto, se concluye que si la misma persona tiene distintos intereses puede dar lugar a conflictos de interés, circunstancia que hay que evitar para que puedan realizar sus funciones con las garantías debidas.

Finalmente, la AEPD resolvió en fecha 2 de febrero de 2025 la consulta previa de la Diputación, concluyendo que no es posible asignar funciones de responsable del sistema interno de información al DPD. Ante esto, la Diputación procedió a sustituir el responsable del sistema interno de información.

En definitiva, ante el riesgo de posibles conflictos de interés, la responsabilidad de DPD y responsable del sistema interno de información no deberían recaer en la misma persona.

El juicio de proporcionalidad en relación con los recursos corporativos que pueden contener información personal de los trabajadores continúa siendo un foco habitual de conflicto cuando una entidad necesita acceder a ellos por motivos operativos o de seguridad.

En este contexto, resulta especialmente oportuna la nueva resolución de archivo de la información previa núm. IP 73/2024 de la Autoridad Catalana de Protección de Datos (APDCAT), en la que se vuelve a delimitar con claridad los principios y criterios de justificación que permiten determinar cuándo un acceso a medios corporativos puede considerarse debido o, por el contrario, indebido o ilegítimo, especialmente cuando estos contienen datos personales de los trabajadores.

El caso analizado tiene como sujeto afectado a un Instituto del Departamento de Educación y Formación Profesional. Un docente del centro presentó una reclamación alegando que el acceso, por parte del responsable del tratamiento, a un ordenador corporativo de la entidad podía haber vulnerado sus derechos a la intimidad y a la protección de su información y datos personales. El origen de la actuación radica en las sospechas de la entidad sobre un posible acceso indebido a la plataforma iEduca, identificado con el perfil de un profesor que no se encontraba físicamente en el centro en ese momento.

La entidad responsable justificó el acceso al historial del ordenador corporativo con dos finalidades concretas: aclarar una posible suplantación de identidad y garantizar la seguridad del sistema informático del centro.

Asimismo, sostuvo que el acceso se limitó exclusivamente a estas finalidades y puso de manifiesto la existencia de normativa sectorial aplicable y de directrices internas debidamente documentadas, como guías de uso, manual de bienvenida, normas de organización y funcionamiento, entre otras, que se facilitan a los docentes del centro y que regulan los criterios de utilización de las tecnologías de la información y de los dispositivos digitales corporativos.

Por su parte, la persona denunciante consideró que el acceso había sido indebido, dado que no se había solicitado su consentimiento para acceder a un ordenador que, si bien no era de carácter personal, se encontraba en el aula donde impartía clase. En este sentido, señaló que los datos afectados eran los generados por las navegaciones a internet realizadas desde una dirección IP concreta, los cuales tienen la consideración de datos personales.

La APDCAT inicia su análisis descartando el consentimiento como base jurídica adecuada y considera más fundamentadas otras bases de legitimación previstas en el artículo 6.1.b), c) y e) del Reglamento General de Protección de Datos (RGPD), tales como la relación contractual, el interés legítimo o el interés público.

La valoración del acceso y el correspondiente juicio de proporcionalidad se fundamentan en varios elementos clave:

En primer lugar, la entidad puede acceder a los contenidos de los medios digitales facilitados a los trabajadores de acuerdo con el artículo 87 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD). A ello se añade la Recomendación CM/Rec(2015)5 del Comité de Ministros del Consejo de Europa, de 1 de abril de 2015, relativa al tratamiento de datos en el ámbito laboral, que establece, entre otros principios, la posibilidad de acceder a las comunicaciones electrónicas de los empleados cuando estos han sido debidamente informados.

No obstante, la Autoridad recuerda que el principio de licitud debe ir necesariamente vinculado al principio de minimización. En consecuencia, cualquier control debe constituir una respuesta proporcional frente a riesgos potenciales, ponderando adecuadamente el derecho a la vida privada y los demás intereses legítimos de los trabajadores. Esto implica que los datos tratados con finalidades de revisión deben ser adecuados, pertinentes y no excesivos en relación con la necesidad que justifica su recogida.

En términos generales, cualquier medida de monitorización debe aplicarse bajo estos criterios. Si existe una alternativa que permita alcanzar el objetivo perseguido con una menor intromisión en la vida privada de los trabajadores, el empleador está obligado a valorar y, en su caso, aplicar dicha opción.

En definitiva, el acceso a los medios corporativos debe llevarse a cabo de la forma menos invasiva posible y, en todo caso, habiendo informado previamente a las personas trabajadoras afectadas. El responsable del tratamiento debe ofrecer una respuesta proporcional a los riesgos que gestiona, tomando siempre en consideración la privacidad legítima y los demás intereses de los trabajadores.

Una reciente decisión de la autoridad austríaca de protección de datos (DSB) ha vuelto a situar a Microsoft en el centro del debate sobre la privacidad digital, especialmente cuando se trata de menores. A raíz de una denuncia presentada por la organización Noyb, la DSB ha concluido que Microsoft instaló cookies de rastreo en el dispositivo de un alumno que utilizaba Microsoft 365 Education sin haber obtenido su consentimiento. Según la propia política de privacidad de la empresa, estas cookies sirven para analizar el comportamiento del usuario, recopilar datos del navegador y utilizarlos con fines publicitarios. La autoridad ha concedido a Microsoft un plazo de cuatro semanas para poner fin a este rastreo y adaptarse a la normativa europea.

Este caso no es un hecho aislado. En junio de 2024, Noyb ya había presentado dos reclamaciones ante la autoridad austríaca relacionadas con el uso de Microsoft 365 Education en las escuelas. La primera se resolvió en octubre de 2025, cuando la autoridad consideró que Microsoft había vulnerado el derecho de acceso reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). En aquel momento, la organización denunciaba que Microsoft vulneraba la privacidad de los menores mientras trasladaba la responsabilidad legal a las escuelas y a las autoridades educativas locales.

Uno de los problemas de fondo que destaca Noyb es el desequilibrio de poder entre las grandes empresas tecnológicas y las escuelas o administraciones públicas. Proveedores como Microsoft tienen una posición de mercado tan dominante que pueden imponer contratos y condiciones de uso bajo una lógica de “o lo aceptas o te quedas fuera”. En este contexto, las escuelas no tienen ninguna capacidad real para negociar cómo se tratan los datos del alumnado ni para influir en las decisiones técnicas que adopta la compañía. A pesar de ello, Microsoft suele presentarse como un simple “encargado del tratamiento”, mientras traslada la mayor parte de la responsabilidad legal a las escuelas, que formalmente actúan como “responsables del tratamiento”.

En la práctica, este reparto de roles no refleja la realidad. Las escuelas no deciden ni los medios ni las finalidades reales del tratamiento de datos, tal y como exige el RGPD para ser consideradas responsables efectivas. Sin embargo, son ellas las que acaban asumiendo los riesgos legales.

Las consecuencias de este sistema son especialmente graves para las personas afectadas, en este caso los estudiantes. Cuando intentan ejercer sus derechos de protección de datos, como el derecho de acceso, a menudo se encuentran con que Microsoft no responde a las solicitudes, mientras que las escuelas no pueden dar respuesta porque no disponen de toda la información ni del control efectivo sobre los datos. Esto crea una situación de “cumplimiento formal”, pero vacía de contenido real, que acaba negando derechos básicos reconocidos por el RGPD.

A todo ello se añade una notable falta de transparencia. Determinar qué políticas de privacidad, contratos o documentos se aplican realmente al uso de Microsoft 365 Education es una tarea compleja incluso para profesionales del derecho. La información se encuentra dispersa en múltiples documentos, a menudo con contenidos vagos o contradictorios, y sin explicar claramente qué ocurre con los datos de los menores. Tal como señala Maartje de Graaf, abogada especializada en protección de datos en Noyb, la información facilitada por Microsoft es tan imprecisa que “ni siquiera un abogado cualificado puede entender completamente cómo se tratan los datos personales en Microsoft 365 Education”.

La segunda denuncia resuelta recientemente hace aún más evidente la gravedad de la situación. La autoridad austríaca ha confirmado que Microsoft instaló cookies de seguimiento en el dispositivo de un menor sin su consentimiento, y que dichas cookies se utilizan con fines publicitarios. Tanto la escuela como el Ministerio de Educación austríaco afirmaron que desconocían completamente la existencia de este rastreo. Esto plantea un escenario preocupante: millones de menores en Europa podrían estar siendo rastreados sin base legal ni conocimiento de las instituciones educativas que utilizan estos servicios.

Las posibles consecuencias de esta decisión van mucho más allá del caso concreto. Millones de estudiantes y docentes en toda Europa utilizan Microsoft 365 Education, y millones más emplean Microsoft 365 en empresas y administraciones públicas. El rastreo de usuarios sin consentimiento vulnera claramente la normativa europea de protección de datos y pone en riesgo la conformidad legal de todas las organizaciones que utilizan estas herramientas. De hecho, algunas autoridades de protección de datos, como las alemanas, ya habían expresado serias dudas sobre la compatibilidad de Microsoft 365 con el RGPD.

En resumen, este caso ejemplifica un problema estructural: las grandes empresas tecnológicas concentran el poder de decisión y los beneficios, pero intentan trasladar las obligaciones legales a sus clientes europeos. Tal como resume Max Schrems, fundador de Noyb, si Microsoft no cambia de manera profunda el funcionamiento y la gobernanza de sus productos, muchas organizaciones europeas simplemente no podrán cumplir con sus obligaciones legales en materia de protección de datos. La decisión austríaca es, por tanto, un toque de atención que va mucho más allá de un solo caso o de un solo país.

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente un procedimiento sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitario Quirónsalud Madrid) a raíz de la destrucción de un CD que contenía imágenes de resonancias magnéticas aportadas por un paciente para ser comparadas con una prueba diagnóstica realizada en el centro.

El caso ha generado especial interés porque pone el foco en cuestiones clave para el sector sanitario: el tratamiento de datos de salud, la gestión de soportes físicos entregados por los pacientes y el alcance de las obligaciones de conservación vinculadas a la historia clínica.

Los hechos se remontan a noviembre de 2021, cuando un paciente acudió al Hospital Quirónsalud Madrid para realizarse una resonancia magnética y aportó un CD con imágenes de pruebas previas realizadas entre 2018 y 2020. Ese mismo día firmó un documento en el que se indicaba que los resultados e informes estarían disponibles durante un mes para su retirada. Cuando el paciente intentó recuperar el CD cuatro meses después, el centro le comunicó que ya había sido eliminado por limitaciones de espacio en el archivo. Ante esta situación, presentó una reclamación primero ante el propio hospital y, posteriormente, ante la AEPD.

En su defensa, IDCQ Quirónsalud sostuvo que las imágenes contenidas en el CD no habían sido generadas por su centro, sino por otro hospital, y que habían sido aportadas directamente por el paciente. Según su criterio, las obligaciones legales de conservación de documentación clínica se aplican principalmente a la información creada por el propio centro sanitario y no necesariamente a los materiales externos entregados por el paciente. Partiendo de esta premisa, el centro argumentó que, en ausencia de una obligación específica de conservación, mantener el CD habría sido contrario a los principios de minimización de datos y limitación de la finalidad del RGPD y que, por tanto, no disponían de una base de legitimación suficiente, en los términos del artículo 6, para conservarlo más allá del plazo previsto.

El hospital también remarcó que la información que el médico consideró relevante sí se incorporó a la historia clínica del paciente, en forma de informe médico. El resto de las imágenes no se integraron porque, según el criterio clínico del facultativo, no eran necesarias para garantizar la continuidad asistencial.

Además, IDCQ defendió que disponía de un procedimiento interno que regulaba la recogida, custodia y eventual destrucción de pruebas médicas aportadas por los pacientes. Este procedimiento establecía un plazo de un mes para que los soportes físicos fueran retirados y, pasado este periodo, preveía la destrucción del material no recogido. Según el centro, el paciente había sido informado de este plazo y, una vez transcurrido, la destrucción del CD se justificó como una medida técnica y organizativa necesaria y proporcionada en el marco del principio de privacidad desde el diseño y por defecto.

La resolución de la AEPD, sin embargo, rechazó estos argumentos. La Agencia consideró que el tratamiento de datos controvertido (la supresión de los datos contenidos en el CD) no tenía una base legitimadora suficiente que lo amparara, ya que no existe ninguna obligación legal que permita esta destrucción antes del plazo mínimo de cinco años previsto por la normativa sanitaria.

En este sentido, la AEPD recordó que el artículo 17.1 de la LBAP establece que los centros sanitarios deben conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde el alta de cada proceso asistencial, sin especificar que esta obligación se refiera únicamente a la documentación elaborada por el centro. De este modo, incluiría también aquella documentación clínica aportada directamente por el paciente. La normativa catalana refuerza esta idea y añade que las medidas de seguridad previstas al respecto deben recogerse en protocolos internos aprobados por la dirección del centro.

En cuanto a los protocolos internos alegados por el hospital, la resolución pone de manifiesto que estos no estaban debidamente implantados ni elaborados en el momento de los hechos, sino que se aprobaron con posterioridad al procedimiento sancionador, motivo por el cual no se tuvieron en cuenta como circunstancia atenuante. La Agencia destacó, además, la gravedad de que un grupo hospitalario de la dimensión de Quirónsalud no dispusiera, en aquel momento, de protocolos claros sobre la custodia y destrucción tanto de la documentación clínica generada por el propio centro como de los soportes aportados proactivamente por los pacientes, llegando a calificar la práctica de “negligencia grave”.

La resolución impuso sanciones por infracciones de los artículos 6, 9 y 25 del RGPD, calificadas como muy graves, con un importe total de 1.200.000 euros.

Más allá de la controversia jurídica, el caso ofrece lecciones relevantes para los centros sanitarios. Es esencial disponer de protocolos claros sobre la gestión de los soportes físicos que aportan los pacientes, establecer criterios sólidos sobre los plazos de conservación y devolución, y comunicarlos de manera transparente.

Finalmente, esta resolución pone de manifiesto que la gestión de datos de salud, incluso cuando se trata de soportes físicos aparentemente “externos”, exige un enfoque especialmente cuidadoso desde la perspectiva del RGPD y obliga a los centros sanitarios a revisar y reforzar sus prácticas internas.

El pasado 12 de septiembre de 2025 entró en aplicación el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828. Este texto, más comúnmente conocido como “Data Act” o “Ley de Datos”, marca un antes y un después en la forma en que se regulan los datos generados por los productos conectados o “Internet of Things” (IoT) y los servicios digitales en la Unión Europea. La norma es una de las piezas centrales de la estrategia europea de datos y se presenta como un instrumento fundamental para alcanzar los objetivos de la Década Digital e impulsar la transformación tecnológica de la Unión Europea.

La gran novedad del Data Act es que deja atrás la idea de “propiedad” del dato para poner el acento en el control de acceso. Hasta ahora, los fabricantes y proveedores eran los principales custodios de la información que generaban los dispositivos IoT. Los usuarios -tanto consumidores como empresas- a menudo se encontraban en una situación de dependencia, sin posibilidad real de recuperar o reutilizar sus propios datos. El nuevo reglamento corrige esta asimetría estableciendo un conjunto de derechos claros para los usuarios y de obligaciones concretas para los titulares de los datos, con el objetivo de construir un mercado más justo, interoperable y competitivo.

Uno de los pilares del Data Act es el derecho de acceso (art. 4). Cuando un usuario utiliza un producto conectado, como un vehículo inteligente, una máquina industrial o un televisor con conexión a internet, genera un flujo constante de información: datos de rendimiento, de consumo, de entorno o de interacción. Hasta ahora, este flujo quedaba en manos del fabricante. A partir de ahora, los usuarios tendrán derecho a obtener estos datos sin coste adicional, sin demora y en formatos estructurados y legibles por máquina. La norma establece que estas condiciones deben ser siempre justas, transparentes y no discriminatorias, y al mismo tiempo garantiza la preservación de secretos comerciales, derechos de propiedad intelectual y datos personales.

El reglamento también introduce un elemento transformador: la posibilidad de que los usuarios compartan sus datos con terceros de su elección (art. 5). Esto significa que un agricultor podrá enviar directamente la información de rendimiento de su maquinaria a un proveedor de servicios de análisis independiente, o que un consumidor podrá autorizar a un taller local a recibir los datos de su vehículo conectado para realizar reparaciones más eficientes. Esta apertura pretende fomentar una competencia más sana y romper monopolios encubiertos, ampliando las opciones disponibles para usuarios y empresas.

Además, la norma prevé supuestos especiales, como el derecho de las administraciones públicas a acceder a datos del sector privado en situaciones de emergencia (art. 15). En estos casos, los datos deberán facilitarse sin coste, pero el titular recibirá un reconocimiento público por su papel en la gestión de la crisis. Este mecanismo busca equilibrar el interés general con la necesidad de mantener la confianza entre actores públicos y privados.

No obstante, el despliegue práctico del Data Act no será sencillo. Las empresas deberán coordinar equipos técnicos, jurídicos y comerciales para garantizar el cumplimiento de las obligaciones. Será necesario revisar contratos, repensar procesos internos y rediseñar productos para que sean compatibles con el principio de accesibilidad. Pero esta misma complejidad encierra una oportunidad. Las organizaciones que se adapten con rapidez no solo cumplirán con la ley, sino que podrán situarse a la vanguardia de un mercado de datos más dinámico, diverso y abierto.

En definitiva, el Data Act no otorga la propiedad de los datos a los usuarios, pero sí rompe los muros que impedían su acceso y uso. Es una norma que abre la puerta a nuevas formas de competencia y colaboración y que, bien aplicada, puede convertirse en un motor de crecimiento e innovación para todo el ecosistema europeo. Las empresas e instituciones que entiendan este cambio no como una carga, sino como una oportunidad, tendrán mucho ganado en la carrera hacia la nueva economía del dato.

En cualquier caso, conviene destacar que la nueva regulación se aplica tanto a datos personales como no personales y, por tanto, se encuentra en interacción con el Reglamento General de Protección de Datos (RGPD). Cuando se trate de información de carácter personal, el RGPD seguirá siendo la norma de referencia y prevalecerá sobre el Data Act en calidad de legislación especial. Esto implica, en otras palabras, que ambas normas serán complementarias y deberán actuar de manera coordinada.

El pasado 2 de julio, el Comité Europeo de Protección de Datos (CEPD) adoptó la Declaración de Helsiniki1 que marca un punto de inflexión en el camino hacia una aplicación más armónica y eficaz del Reglamento General de Protección de Datos (RGPD) en la Unión Europea. 

Uno de los principales retos que aborda el CEPD es la fragmentación interpretativa del RGPD. Si bien es cierto que el reglamento tiene por objeto establecer un marco común en toda la UE, la realidad muestra que su aplicación varía entre las distintas autoridades de protección de datos, pudiendo llegar a generar inseguridad jurídica y dificultades prácticas por responsables y encargados del tratamiento, en especial por aquellos que operan en varios Estados miembros. (más…)

La Autoridad Catalana de Protección de Datos (APDCAT) ha anunciado una disminución en el número anual de notificaciones de violaciones de seguridad durante el año 2024 en comparación con el año anterior. Esta reducción rompe, por primera vez, la tendencia al incremento del 20% anual que se venía observando desde el año 2018.

Concretamente, la APDCAT recibió un total de 182 notificaciones de violaciones de seguridad a lo largo de 2024, una cifra que supone una ligera disminución en relación con las 183 notificaciones registradas en 2023. A pesar de tratarse de un descenso modesto –del 0,5%–, el número de afectados se ha reducido a más de la mitad, con un total de 230.000 personas, en comparación con el millón y medio que se registró a lo largo de 2023.

La Autoridad atribuye esta mejora tan pronunciada en el número de afectados, principalmente, a la disminución de ciberataques, que pasan del 31% en 2023 al 17% en 2024, especialmente los de tipo ransomware, que han pasado del 19% al 3%. Estos ataques ransomware, basados en el secuestro de datos, son los que afectan a un mayor número de personas. En consecuencia, el 41% de las violaciones de seguridad que ha recibido la APDCAT durante 2024 solo han tenido impacto en un número de entre 1 y 10 personas.

Aun así, cabe destacar la forma en que, a pesar de la notable disminución en el impacto de estas violaciones, el número de notificaciones a las autoridades se ha mantenido en línea con las de 2023. Esto pone de manifiesto que los responsables de realizar estas notificaciones no han reducido su labor de vigilancia y han continuado cumpliendo rigurosamente con su obligación de reportar los incidentes de manera adecuada.

En cuanto al origen de las violaciones de seguridad, el error humano pasa a ser la primera causa de los incidentes (aumenta del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). En última instancia, se encuentra el acto interno malintencionado (por ejemplo, abuso de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización), que se mantiene en tercer lugar con ligeras variaciones al alza.

En la misma línea de 2023, en la gran mayoría de los incidentes (92%) se ve afectada la confidencialidad de los datos, mientras que las violaciones que afectan a la disponibilidad disminuyen (hasta el 7%), en coherencia con la reducción del número de ataques ransomware, que al operar mediante la encriptación de los datos con el objetivo de posteriormente exigir un rescate, limitan su accesibilidad y cuando se necesitan.

Finalmente, como es habitual, la mayoría de las violaciones afectan datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte), cuyo acceso y uso indebido puede suponer un riesgo importante de daño para los titulares de los datos comprometidos, como el riesgo de sufrir una suplantación de identidad o ser víctima de fraude.

Estas noticias son especialmente relevantes para el sector sanitario, un ámbito particularmente vulnerable a este tipo de incidentes debido a la naturaleza sensible de los datos que gestiona. Según el artículo 9.1 del RGPD, estos datos se consideran de categoría especial y requieren la aplicación de medidas específicas de seguridad que garanticen su integridad y confidencialidad frente a intentos de acceso no autorizados y tratamientos ilícitos que puedan comprometer la privacidad de sus titulares.

Aun así, es importante mantener el nivel de alerta. Como recordaba el Informe de Prospectiva de Ciberseguridad para 2024 de la Agencia de Ciberseguridad de Cataluña, el sector sanitario sigue siendo un objetivo principal en esta materia, por lo que continúa siendo primordial la adopción y el mantenimiento de estrategias de ciberseguridad proactivas, flexibles y adaptables ágilmente a los cambios dinámicos y a la evolución de este tipo de amenazas cibernéticas.

En este sentido, es importante recordar que, según el artículo 33 del RGPD, en caso de que se produzca una violación de seguridad de datos personales, el responsable del tratamiento deberá notificarlo a la Autoridad «sin dilación indebida» y, por regla general, en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente. Según el RGPD, se considera violación de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o el acceso no autorizado a dichos datos.

Así pues, cuando el responsable de protección de datos considere, en base a criterios como el tipo de violación, la categoría y tipología de los datos o el volumen y tipo de afectados, que la violación supone un riesgo de que se produzcan perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados, deberá comunicarlo a la autoridad competente –en el caso de Cataluña, a la APDCAT– en los términos establecidos.

A modo ilustrativo, la Autoridad ha considerado violaciones de seguridad que deben ser comunicadas aquellas que impliquen pérdida de control sobre los datos, restricción de derechos de los titulares, discriminación, suplantación de identidad, pérdidas financieras, daño a la reputación, reversión no autorizada de la pseudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

En definitiva, a pesar de la clara mejora, seguiremos con interés la evolución de los datos registrados por las Autoridades en materia de violaciones de seguridad y su impacto en la protección de los datos personales de los afectados, especialmente en sectores críticos como lo es el sector sanitario.

Desde el pasado 2 de marzo de 2024, las empresas con más de 50 trabajadores deben disponer de un protocolo de actuación para abordar situaciones de acoso o violencia dirigidas a personas LGTBI, así como ajustar los Planes de Igualdad en consecuencia.

La Ley 4/2023, de 28 de febrero, para la igualdad real y efectiva de las personas trans y para la garantía de los derechos de las personas LGTBI introdujo disposiciones específicas destinadas a fomentar la igualdad y prever la discriminación contra el lectivo LGTBI en el ámbito laboral, con el objetivo de erradicar las situaciones de discriminación, para asegurar que en España se pueda vivir la orientación sexual, identidad sexual, expresión de género, las características sexuales y la diversidad familiar con plena libertad . (más…)

Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.

Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.

A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.

Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:

• Categorización biométrica de personas.
• Captura indiscriminada de imágenes faciales de internet.
• Grabación con cámaras de videovigilancia que permita crear bases de datos de reconocimiento facial.
• Reconocimiento de emociones en el puesto de trabajo o en las escuelas.
• Establecer sistemas de puntuación ciudadana.
• Actuación policial prospectiva.
• IA que manipule el comportamiento humano o explote vulnerabilidades de personas.

Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.

En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).

Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.

Los puntos de atención que se destacan en el informe son:

• Ausencia de designación de DPO, incluso en aquellos casos en los cuales es obligatorio.
• Insuficiencia de recursos del DPO.
• Falta de conocimientos y experiencia del DPO.
• No tener confiadas en el DPO total o explícitamente las funciones definidas en el RGPD.
• Situaciones de conflicto de interés o de falta de independencia del DPO.
• Ausencia de reporting del DPO al más alto nivel de la entidad.
• Solicitud de orientación adicional por parte de las autoridades de control para tener mayor seguridad y eficiencia en sus actuaciones.

A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:

• La Agencia Española de Protección de Datos alerta sobre la externalización de DPO. En concreto, se informa que en muchos casos esa práctica puede mostrar debilidad desde el punto de vista de que sea un mismo DPO el que pueda desarrollar plenamente su actuación en varias organizaciones. Asimismo, ello puede también incrementar el riesgo de que la figura del DPO sea considerada una mera formalidad en vez de que el DPO tenga una implicación real y proactiva en los tratamientos de datos efectuados por las organizaciones.
• La autoridad francesa advierte que a menudo los DPOs no tienen suficiente información sobre ciertos tratamientos de datos de la entidad porque no se los hace participar desde momentos iniciales en la toma de decisiones estratégicas.
• La autoridad portuguesa describe funciones que de forma equivocada se asocian al DPO cuando en realidad son obligaciones propias del responsable del tratamiento o encargado del tratamiento. En la misma línea, también se identifican tareas que de forma equivocada se atribuyen al DPO cuando no son su función, por ejemplo, en el caso de las evaluaciones de impacto que lleva a cabo directamente a pesar de que su función sea de asesoramiento.

Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.

Para más información:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la