RGPD

Una reciente decisión de la autoridad austríaca de protección de datos (DSB) ha vuelto a situar a Microsoft en el centro del debate sobre la privacidad digital, especialmente cuando se trata de menores. A raíz de una denuncia presentada por la organización Noyb, la DSB ha concluido que Microsoft instaló cookies de rastreo en el dispositivo de un alumno que utilizaba Microsoft 365 Education sin haber obtenido su consentimiento. Según la propia política de privacidad de la empresa, estas cookies sirven para analizar el comportamiento del usuario, recopilar datos del navegador y utilizarlos con fines publicitarios. La autoridad ha concedido a Microsoft un plazo de cuatro semanas para poner fin a este rastreo y adaptarse a la normativa europea.

Este caso no es un hecho aislado. En junio de 2024, Noyb ya había presentado dos reclamaciones ante la autoridad austríaca relacionadas con el uso de Microsoft 365 Education en las escuelas. La primera se resolvió en octubre de 2025, cuando la autoridad consideró que Microsoft había vulnerado el derecho de acceso reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). En aquel momento, la organización denunciaba que Microsoft vulneraba la privacidad de los menores mientras trasladaba la responsabilidad legal a las escuelas y a las autoridades educativas locales.

Uno de los problemas de fondo que destaca Noyb es el desequilibrio de poder entre las grandes empresas tecnológicas y las escuelas o administraciones públicas. Proveedores como Microsoft tienen una posición de mercado tan dominante que pueden imponer contratos y condiciones de uso bajo una lógica de “o lo aceptas o te quedas fuera”. En este contexto, las escuelas no tienen ninguna capacidad real para negociar cómo se tratan los datos del alumnado ni para influir en las decisiones técnicas que adopta la compañía. A pesar de ello, Microsoft suele presentarse como un simple “encargado del tratamiento”, mientras traslada la mayor parte de la responsabilidad legal a las escuelas, que formalmente actúan como “responsables del tratamiento”.

En la práctica, este reparto de roles no refleja la realidad. Las escuelas no deciden ni los medios ni las finalidades reales del tratamiento de datos, tal y como exige el RGPD para ser consideradas responsables efectivas. Sin embargo, son ellas las que acaban asumiendo los riesgos legales.

Las consecuencias de este sistema son especialmente graves para las personas afectadas, en este caso los estudiantes. Cuando intentan ejercer sus derechos de protección de datos, como el derecho de acceso, a menudo se encuentran con que Microsoft no responde a las solicitudes, mientras que las escuelas no pueden dar respuesta porque no disponen de toda la información ni del control efectivo sobre los datos. Esto crea una situación de “cumplimiento formal”, pero vacía de contenido real, que acaba negando derechos básicos reconocidos por el RGPD.

A todo ello se añade una notable falta de transparencia. Determinar qué políticas de privacidad, contratos o documentos se aplican realmente al uso de Microsoft 365 Education es una tarea compleja incluso para profesionales del derecho. La información se encuentra dispersa en múltiples documentos, a menudo con contenidos vagos o contradictorios, y sin explicar claramente qué ocurre con los datos de los menores. Tal como señala Maartje de Graaf, abogada especializada en protección de datos en Noyb, la información facilitada por Microsoft es tan imprecisa que “ni siquiera un abogado cualificado puede entender completamente cómo se tratan los datos personales en Microsoft 365 Education”.

La segunda denuncia resuelta recientemente hace aún más evidente la gravedad de la situación. La autoridad austríaca ha confirmado que Microsoft instaló cookies de seguimiento en el dispositivo de un menor sin su consentimiento, y que dichas cookies se utilizan con fines publicitarios. Tanto la escuela como el Ministerio de Educación austríaco afirmaron que desconocían completamente la existencia de este rastreo. Esto plantea un escenario preocupante: millones de menores en Europa podrían estar siendo rastreados sin base legal ni conocimiento de las instituciones educativas que utilizan estos servicios.

Las posibles consecuencias de esta decisión van mucho más allá del caso concreto. Millones de estudiantes y docentes en toda Europa utilizan Microsoft 365 Education, y millones más emplean Microsoft 365 en empresas y administraciones públicas. El rastreo de usuarios sin consentimiento vulnera claramente la normativa europea de protección de datos y pone en riesgo la conformidad legal de todas las organizaciones que utilizan estas herramientas. De hecho, algunas autoridades de protección de datos, como las alemanas, ya habían expresado serias dudas sobre la compatibilidad de Microsoft 365 con el RGPD.

En resumen, este caso ejemplifica un problema estructural: las grandes empresas tecnológicas concentran el poder de decisión y los beneficios, pero intentan trasladar las obligaciones legales a sus clientes europeos. Tal como resume Max Schrems, fundador de Noyb, si Microsoft no cambia de manera profunda el funcionamiento y la gobernanza de sus productos, muchas organizaciones europeas simplemente no podrán cumplir con sus obligaciones legales en materia de protección de datos. La decisión austríaca es, por tanto, un toque de atención que va mucho más allá de un solo caso o de un solo país.

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente un procedimiento sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitario Quirónsalud Madrid) a raíz de la destrucción de un CD que contenía imágenes de resonancias magnéticas aportadas por un paciente para ser comparadas con una prueba diagnóstica realizada en el centro.

El caso ha generado especial interés porque pone el foco en cuestiones clave para el sector sanitario: el tratamiento de datos de salud, la gestión de soportes físicos entregados por los pacientes y el alcance de las obligaciones de conservación vinculadas a la historia clínica.

Los hechos se remontan a noviembre de 2021, cuando un paciente acudió al Hospital Quirónsalud Madrid para realizarse una resonancia magnética y aportó un CD con imágenes de pruebas previas realizadas entre 2018 y 2020. Ese mismo día firmó un documento en el que se indicaba que los resultados e informes estarían disponibles durante un mes para su retirada. Cuando el paciente intentó recuperar el CD cuatro meses después, el centro le comunicó que ya había sido eliminado por limitaciones de espacio en el archivo. Ante esta situación, presentó una reclamación primero ante el propio hospital y, posteriormente, ante la AEPD.

En su defensa, IDCQ Quirónsalud sostuvo que las imágenes contenidas en el CD no habían sido generadas por su centro, sino por otro hospital, y que habían sido aportadas directamente por el paciente. Según su criterio, las obligaciones legales de conservación de documentación clínica se aplican principalmente a la información creada por el propio centro sanitario y no necesariamente a los materiales externos entregados por el paciente. Partiendo de esta premisa, el centro argumentó que, en ausencia de una obligación específica de conservación, mantener el CD habría sido contrario a los principios de minimización de datos y limitación de la finalidad del RGPD y que, por tanto, no disponían de una base de legitimación suficiente, en los términos del artículo 6, para conservarlo más allá del plazo previsto.

El hospital también remarcó que la información que el médico consideró relevante sí se incorporó a la historia clínica del paciente, en forma de informe médico. El resto de las imágenes no se integraron porque, según el criterio clínico del facultativo, no eran necesarias para garantizar la continuidad asistencial.

Además, IDCQ defendió que disponía de un procedimiento interno que regulaba la recogida, custodia y eventual destrucción de pruebas médicas aportadas por los pacientes. Este procedimiento establecía un plazo de un mes para que los soportes físicos fueran retirados y, pasado este periodo, preveía la destrucción del material no recogido. Según el centro, el paciente había sido informado de este plazo y, una vez transcurrido, la destrucción del CD se justificó como una medida técnica y organizativa necesaria y proporcionada en el marco del principio de privacidad desde el diseño y por defecto.

La resolución de la AEPD, sin embargo, rechazó estos argumentos. La Agencia consideró que el tratamiento de datos controvertido (la supresión de los datos contenidos en el CD) no tenía una base legitimadora suficiente que lo amparara, ya que no existe ninguna obligación legal que permita esta destrucción antes del plazo mínimo de cinco años previsto por la normativa sanitaria.

En este sentido, la AEPD recordó que el artículo 17.1 de la LBAP establece que los centros sanitarios deben conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde el alta de cada proceso asistencial, sin especificar que esta obligación se refiera únicamente a la documentación elaborada por el centro. De este modo, incluiría también aquella documentación clínica aportada directamente por el paciente. La normativa catalana refuerza esta idea y añade que las medidas de seguridad previstas al respecto deben recogerse en protocolos internos aprobados por la dirección del centro.

En cuanto a los protocolos internos alegados por el hospital, la resolución pone de manifiesto que estos no estaban debidamente implantados ni elaborados en el momento de los hechos, sino que se aprobaron con posterioridad al procedimiento sancionador, motivo por el cual no se tuvieron en cuenta como circunstancia atenuante. La Agencia destacó, además, la gravedad de que un grupo hospitalario de la dimensión de Quirónsalud no dispusiera, en aquel momento, de protocolos claros sobre la custodia y destrucción tanto de la documentación clínica generada por el propio centro como de los soportes aportados proactivamente por los pacientes, llegando a calificar la práctica de “negligencia grave”.

La resolución impuso sanciones por infracciones de los artículos 6, 9 y 25 del RGPD, calificadas como muy graves, con un importe total de 1.200.000 euros.

Más allá de la controversia jurídica, el caso ofrece lecciones relevantes para los centros sanitarios. Es esencial disponer de protocolos claros sobre la gestión de los soportes físicos que aportan los pacientes, establecer criterios sólidos sobre los plazos de conservación y devolución, y comunicarlos de manera transparente.

Finalmente, esta resolución pone de manifiesto que la gestión de datos de salud, incluso cuando se trata de soportes físicos aparentemente “externos”, exige un enfoque especialmente cuidadoso desde la perspectiva del RGPD y obliga a los centros sanitarios a revisar y reforzar sus prácticas internas.

El pasado 12 de septiembre de 2025 entró en aplicación el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828. Este texto, más comúnmente conocido como “Data Act” o “Ley de Datos”, marca un antes y un después en la forma en que se regulan los datos generados por los productos conectados o “Internet of Things” (IoT) y los servicios digitales en la Unión Europea. La norma es una de las piezas centrales de la estrategia europea de datos y se presenta como un instrumento fundamental para alcanzar los objetivos de la Década Digital e impulsar la transformación tecnológica de la Unión Europea.

La gran novedad del Data Act es que deja atrás la idea de “propiedad” del dato para poner el acento en el control de acceso. Hasta ahora, los fabricantes y proveedores eran los principales custodios de la información que generaban los dispositivos IoT. Los usuarios -tanto consumidores como empresas- a menudo se encontraban en una situación de dependencia, sin posibilidad real de recuperar o reutilizar sus propios datos. El nuevo reglamento corrige esta asimetría estableciendo un conjunto de derechos claros para los usuarios y de obligaciones concretas para los titulares de los datos, con el objetivo de construir un mercado más justo, interoperable y competitivo.

Uno de los pilares del Data Act es el derecho de acceso (art. 4). Cuando un usuario utiliza un producto conectado, como un vehículo inteligente, una máquina industrial o un televisor con conexión a internet, genera un flujo constante de información: datos de rendimiento, de consumo, de entorno o de interacción. Hasta ahora, este flujo quedaba en manos del fabricante. A partir de ahora, los usuarios tendrán derecho a obtener estos datos sin coste adicional, sin demora y en formatos estructurados y legibles por máquina. La norma establece que estas condiciones deben ser siempre justas, transparentes y no discriminatorias, y al mismo tiempo garantiza la preservación de secretos comerciales, derechos de propiedad intelectual y datos personales.

El reglamento también introduce un elemento transformador: la posibilidad de que los usuarios compartan sus datos con terceros de su elección (art. 5). Esto significa que un agricultor podrá enviar directamente la información de rendimiento de su maquinaria a un proveedor de servicios de análisis independiente, o que un consumidor podrá autorizar a un taller local a recibir los datos de su vehículo conectado para realizar reparaciones más eficientes. Esta apertura pretende fomentar una competencia más sana y romper monopolios encubiertos, ampliando las opciones disponibles para usuarios y empresas.

Además, la norma prevé supuestos especiales, como el derecho de las administraciones públicas a acceder a datos del sector privado en situaciones de emergencia (art. 15). En estos casos, los datos deberán facilitarse sin coste, pero el titular recibirá un reconocimiento público por su papel en la gestión de la crisis. Este mecanismo busca equilibrar el interés general con la necesidad de mantener la confianza entre actores públicos y privados.

No obstante, el despliegue práctico del Data Act no será sencillo. Las empresas deberán coordinar equipos técnicos, jurídicos y comerciales para garantizar el cumplimiento de las obligaciones. Será necesario revisar contratos, repensar procesos internos y rediseñar productos para que sean compatibles con el principio de accesibilidad. Pero esta misma complejidad encierra una oportunidad. Las organizaciones que se adapten con rapidez no solo cumplirán con la ley, sino que podrán situarse a la vanguardia de un mercado de datos más dinámico, diverso y abierto.

En definitiva, el Data Act no otorga la propiedad de los datos a los usuarios, pero sí rompe los muros que impedían su acceso y uso. Es una norma que abre la puerta a nuevas formas de competencia y colaboración y que, bien aplicada, puede convertirse en un motor de crecimiento e innovación para todo el ecosistema europeo. Las empresas e instituciones que entiendan este cambio no como una carga, sino como una oportunidad, tendrán mucho ganado en la carrera hacia la nueva economía del dato.

En cualquier caso, conviene destacar que la nueva regulación se aplica tanto a datos personales como no personales y, por tanto, se encuentra en interacción con el Reglamento General de Protección de Datos (RGPD). Cuando se trate de información de carácter personal, el RGPD seguirá siendo la norma de referencia y prevalecerá sobre el Data Act en calidad de legislación especial. Esto implica, en otras palabras, que ambas normas serán complementarias y deberán actuar de manera coordinada.

El pasado 2 de julio, el Comité Europeo de Protección de Datos (CEPD) adoptó la Declaración de Helsiniki1 que marca un punto de inflexión en el camino hacia una aplicación más armónica y eficaz del Reglamento General de Protección de Datos (RGPD) en la Unión Europea. 

Uno de los principales retos que aborda el CEPD es la fragmentación interpretativa del RGPD. Si bien es cierto que el reglamento tiene por objeto establecer un marco común en toda la UE, la realidad muestra que su aplicación varía entre las distintas autoridades de protección de datos, pudiendo llegar a generar inseguridad jurídica y dificultades prácticas por responsables y encargados del tratamiento, en especial por aquellos que operan en varios Estados miembros. (más…)

A pesar de la presión coordinada llevada a cabo para retrasar la aplicación del Reglamento (UE) 2024/1689, de 13 de junio, en materia de inteligencia artificial (RIA) por parte de más de 100 empresas tecnológicas (entre las que figuran Google y Meta), la Comisión Europea se mantiene firme, y el 4 de julio manifestó de forma contundente “There is no stop the clock. There is no grace period. There is no pause”.

En efecto, después de meses de intensas negociaciones, la Comisión recibió el pasado 10 de julio la versión final del Código de buenas prácticas de IA de uso general, una herramienta voluntaria desarrollada por trece expertos independientes, con aportaciones de más de 1.000 partes interesadas, incluidos proveedores de modelos, pequeñas y medianas empresas, académicos, expertos en seguridad de la inteligencia artificial (IA), titulares de derechos y organizaciones de la sociedad civil.

El Código está diseñado para ayudar a la industria a cumplir las normas sobre IA de uso general del RIA, que entrarán en vigor el 2 de agosto de 2025. Las normas pasan a ser ejecutables por la Oficina de IA de la Comisión un año después en lo que respecta a los nuevos modelos y dos años después en lo que respecta a los modelos existentes. Con ello se pretende garantizar que los modelos de IA de uso general introducidos en el mercado europeo sean seguros y transparentes.

El Código consta de tres capítulos: Transparencia y derechos de autor (art. 53 RIA), ambos dirigidos a todos los proveedores de modelos de IA de uso general, y seguridad y protección (art. 55 RIA), pertinentes solo para un número limitado de proveedores de los modelos más avanzados.

• El capítulo de transparencia del Código ofrece un modelo de formulario que permite a los proveedores documentar fácilmente la información técnica necesaria en un solo lugar e incluye atributos de metadatos como tiempo de entrenamiento y cálculo, consumo de energía y métodos de recopilación y conservación de datos.
• El capítulo sobre derechos de autor del Código ofrece a los proveedores soluciones prácticas para establecer una política que cumpla la legislación de la UE en esta materia, con detalle de licencias y excepciones de minería de texto y datos (TDM) tanto para origen de datos (upstream) como para uso final (downstream).
• Algunos modelos de IA de uso general podrían conllevar riesgos sistémicos (FLOPS >10^25), como riesgos para los derechos fundamentales y la seguridad, incluida la reducción de las barreras para el desarrollo de armas químicas o biológicas, o riesgos relacionados con la pérdida de control sobre el modelo. El capítulo sobre seguridad y protección contiene las prácticas más avanzadas pertinentes para la gestión del riesgo sistémico con obligaciones de evaluación, de mitigación de riesgos, reporte de incidentes graves y medidas de ciberseguridad.

Una vez que el Código sea refrendado por los Estados miembros y la Comisión, los proveedores de modelos de IA de uso general que lo firmen voluntariamente podrán demostrar el cumplimiento de las obligaciones pertinentes del RIA adhiriéndose al Código. Al hacerlo, los signatarios del Código se beneficiarán de una menor carga administrativa y una mayor seguridad jurídica en comparación con los proveedores que demuestren el cumplimiento de otras maneras.

El Código se complementará con directrices de la Comisión sobre la IA de uso general que se publicarán antes de la entrada en vigor de las obligaciones en materia de IA de uso general. Las directrices aclararán quién está dentro y fuera del ámbito de aplicación de las normas de IA de uso general del RIA. 

El avance de la IA en la UE es imparable. Desde febrero de 2025 ya aplican las prohibiciones de prácticas ilegales y la alfabetización obligatoria en IA para proveedores. Y ahora, ¿cuáles son los siguientes pasos en el calendario?

• Tal y como se ha expuesto antes, a partir de agosto de 2025, los modelos de IA de uso general, incluidos los modelos fundacionales, los sistemas basados en API y los desarrollos de código abierto, han de cumplir con el nuevo marco regulador de la UE.
• En agosto de 2026 serán de aplicación obligaciones de sistemas de alto riesgo en sectores como salud, recursos humanos, educación y finanzas.

Y ante este escenario, son muchas las organizaciones que todavía: operan sin auditar los modelos de IA, usan modelos entrenados con datos opacos o no conformes, no tienen establecidas estructuras de gobernanza para la propiedad, explicabilidad o seguimiento del modelo, despliegan la IA sin supervisión legal ni responsabilidad formal, …

Frente a esto, hay que recordar que el RIA no solo regula el uso, sino que vincula el liderazgo del riesgo mediante documentación, registro y mecanismos de aplicación. Bastante similar a los requerimientos que derivan del RGPD pero de forma más profunda, ya que esta vez, el sistema está tomando decisiones.

Equipo Servicios Jurídicos

La Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (a partir de ahora “la Dirección”) examinó la problemática suscitada respecto a quién es la autoridad de control competente en los tratamientos de datos personales que llevan a cabo los Institutos de Medicina legal (IML) en el ejercicio de sus funciones.

Específicamente, fue la Comunidad Autónoma de Galicia la que elevó la consulta a la Oficina de Gobierno de Ciberseguridad del Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE). En dicha consulta, se plantea la duda sobre si la competencia la tiene la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, o, en su caso, la Unidad de Supervisión y Control de Protección de Datos de la Fiscalía General del Estado (FGE).

La Dirección informa de sus competencias y funciones otorgadas por la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ), el Reglamento General de Protección de Datos 2016/679 (RGPD) y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Estas funciones se llevan a cabo sin perjuicio que en el caso concreto sea necesario acudir a un marco de colaboración con autoridades de control como, por ejemplo, la Autoridad Catalana de Protección de Datos (APDCAT), o el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), entre otras.

Por otra parte, analiza 2 pronunciamientos:

• El primero, de la APDCAT en el que se declaró incompetente para resolver una solicitud de cancelación de datos personales ante un IML, que había realizado una valoración pericial y social a solicitud de un Juzgado de Primera Instancia, dado que entendía que la adecuación o el exceso del informe pericial, en el contexto de un proceso judicial, excedía su ámbito competencial.
• El segundo, del CTPDA relativo a una reclamación sobre el derecho de acceso a informes forenses y entrevistas de valoración realizados por el IML de Huelva en el marco de varios procesos judiciales que sostiene que los datos personales tratados por los IML en estos casos se incorporan a los ficheros de datos jurisdiccionales de la Administración de Justicia, cuya responsabilidad recae en el órgano jurisdiccional. Además, la resolución enfatiza la función de auxilio judicial de los IML, conforme al artículo 479.1 de la LOPJ, y su papel como encargados del tratamiento, sujetos a las instrucciones del órgano judicial.

Estos ejemplos demuestran la tendencia de las autoridades de control a declinar su competencia en aquellos casos en que los tratamientos de datos de los IML se realizan en el contexto de la función jurisdiccional, reconociendo el papel predominante de los órganos judiciales en la determinación de los fines y medios del tratamiento.

La sentencia del Tribunal de Justicia de la Unión Europea de 24 de marzo de 2022 especifica la definición de los conceptos “tratamientos y fines jurisdiccionales”. Según el TJUE, en el contexto del art. 55.3 del RGPD, deben entenderse estos conceptos no solo como los tratamientos de datos personales llevados a cabo por los órganos jurisdiccionales en el marco de asuntos concretos, si no, de una manera más amplia al “conjunto de operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el marco de su actividad jurisdiccional, de modo que estén excluidas de la competencia de la autoridad de control las operaciones de tratamiento cuyo control por dicha autoridad pudiera tener, directa o indirectamente, influencia sobre la independencia de sus miembros o pesar sobre sus decisiones.”

En lo respectivo a la naturaleza de los IML, basándose en la LOPJ y el Real Decreto 144/2023, de 28 de febrero, por el que se aprueba el Reglamento de los Institutos de Medicina Legal y Ciencias Forenses, se destaca su condición de órganos técnicos al servicio de la Administración de Justicia, cuya función principal es auxiliar a juzgados, tribunales y fiscalías en el ámbito de su disciplina científica y técnica. También se subraya su dependencia funcional de los órganos jurisdiccionales en el ejercicio de estas funciones de auxilio.

Además, en referencia a la protección de datos, el informe concluye que, en el contexto de su relación con los órganos jurisdiccionales, los IML actúan como encargados del tratamiento, mientras que los órganos jurisdiccionales ostentan la condición de responsables del tratamiento. Esta distinción se fundamenta en la naturaleza de las funciones de los IML, su dependencia funcional y el hecho de que son los órganos jurisdiccionales quienes determinan los fines y medios del tratamiento. Asimismo, los ejercicios de derechos deberán realizarse ante el órgano jurisdiccional y no ante el Instituto de Medicina Legal correspondiente, puesto que de lo contrario podría verse afectado el procedimiento judicial.

Finalmente, el informe determina que la Autoridad de Control de Protección de Datos competente para supervisar los tratamientos de datos personales realizados por los IML en el ejercicio de sus funciones de auxilio judicial es la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial. Esta conclusión se basa en la consideración de que dichos tratamientos de datos se realizan con fines jurisdiccionales, al estar directamente vinculados a la actividad de los órganos jurisdiccionales en el marco de los procesos judiciales.

Este análisis resulta de gran utilidad para los profesionales del derecho, los operadores jurídicos y las autoridades de control, al proporcionar un marco de referencia claro y fundamentado para la aplicación de la normativa de protección de datos en este ámbito.

Los que hablamos de protección de datos, en realidad, siempre nos referimos a la protección de las personas, ya que los datos personales son la expresión de la persona en todos los ámbitos de su vida. Por otro lado, tanto la elaboración como la interpretación del derecho son siempre una cuestión de sentido común. Teniendo en cuenta ambas premisas, es como debemos interpretar la multa de 120.000 euros que la Agencia Española de Protección de Datos (AEPD), en el expediente EXP202411409, ha terminado imponiendo a una empresa por el incumplimiento del artículo 5.1.f) del Reglamento General de Protección de Datos. ¿Y qué dice el artículo 5.1.f)? Pues algo tan sencillo como que los datos personales deben ser tratados aplicando una “seguridad adecuada”. (más…)

La reciente Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas, supone una modificación importante en cómo debe aplicarse la protección de datos en el régimen de prevención de blanqueo de capitales y de financiación del terrorismo, tal y como establece en su disposición final segunda. Esta disposición modifica la vigente ley de prevención de capitales, que es del año 2010, y la actualiza, teniendo en cuenta la entrada en aplicación posterior del Reglamento europeo (abreviado como RGPD y de aplicación desde 2018) y de la última ley española de protección de datos (LOPDGDD de 2018). (más…)

Se ha publicado el informe jurídico de la Agencia Española de Protección de Datos número de referencia 0037/2022 en el cual se da respuesta a aspectos cruciales de la figura del delegado de protección de datos (en adelante, DPD), como son los criterios de formación técnica y práctica para la correcta designación de DPD, o las dudas acerca de la validez legal de designar personas vinculadas con la propia organización como DPD o designar DPD externo.

En efecto, la figura del DPD se incorpora a nuestro ordenamiento jurídico en virtud de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (RGPD), concretamente en los artículos 37 a 39, en los que se define esta figura, así como su posición y funciones. Por su parte, en la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de derechos digitales (LOPDGDD) se desarrollan algunos aspectos en los artículos 34 a 37, de los cuales se destaca la concreción de las entidades que en todo caso tienen que designar un DPD. También, en cuanto al régimen sancionador, ya que en el artículo 73 se tipifica como infracción grave “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento”, o “No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones”, así como una infracción leve, según el artículo 74, en “No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible”. (más…)

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria de actuación correspondiente al ejercicio 2021, en la que se recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. (más…)