Fuente: Agencia Española de Protección de Datos

La AEPD está comprometida con facilitar las posibilidades de la investigación, apostando claramente por favorecer una innovación compatible con los derechos de las personas, como se recoge en su Plan estratégico 2025-2030.

La consulta pública del Comité Europeo permanecerá abierta hasta el 25 de junio de 2026, dando a las partes interesadas la posibilidad de presentar sus observaciones.

El Comité Europeo de Protección de Datos (EDPB), organismo de la UE del que forma parte la Agencia Española de Protección de Datos (AEPD), ha adoptado unas Directrices sobre el tratamiento de datos personales con fines de investigación científica (Guidelines 1/2026 on processing of personal data for scientific research purposes). Estas Directrices, que se publican tras seis años de complejos trabajos y estudios, están sometidas a consulta pública hasta el 25 de junio de 2026, dando a las partes interesadas la posibilidad de presentar sus observaciones.

Muchas áreas de la investigación científica dependen del procesamiento de datos personales, y ello ha impulsado avances científicos significativos que benefician a la sociedad. El auge de nuevas tecnologías, como la inteligencia artificial, también contribuye al progreso científico al permitir a los investigadores utilizar y analizar datos de formas innovadoras.

El EDPB aclara en sus Directrices el concepto de ‘investigación científica’, proporcionando seis factores clave que deben considerarse, además de la naturaleza, alcance, contexto y fines del tratamiento. Por otro lado, se presume que el procesamiento posterior con fines de investigación científica es compatible con el propósito inicial de recopilar datos personales tras asegurarse de que la base legal del tratamiento inicial sea también adecuada para el tratamiento posterior. Asimismo, se recoge el ‘consentimiento amplio’ cuando los propósitos de la investigación no se conocen completamente al recopilar los datos personales, con ciertas salvaguardas, y el ‘consentimiento dinámico’, para solicitar a las personas que consientan por separado diferentes proyectos de investigación individuales tan pronto como se conozcan los fines de esos proyectos.

La AEPD ha interpretado el Reglamento General de Protección de Datos (RGPD) de una forma tal que convierte la legislación española en una de las más avanzadas de la Unión Europea, tanto por su equilibrada protección de los derechos fundamentales de las personas como por su flexibilidad en el uso de datos para el progreso de la sociedad.

En el ámbito europeo, la AEPD ha apoyado las medidas previstas en la propuesta de Reglamento de simplificación del marco legislativo digital (Digital Omnibus), en particular el reconocimiento explícito del interés legítimo como base jurídica válida para el tratamiento de datos personales con fines de investigación científica.

De igual modo, ha valorado positivamente las novedades introducidas por la propuesta de European Biotech Act encaminadas a facilitar el uso secundario de los datos recogidos en el contexto de ensayos clínicos para otros ensayos o para fines de investigación científica gracias a una mayor armonización de las bases jurídicas del RGPD y la reducción de la fragmentación normativa entre Estados miembros.

Estas modificaciones contribuirán a impulsar la investigación biomédica y el sector de los ensayos clínicos —en el que España ocupa una posición destacada— sin menoscabo de las garantías esenciales de protección de datos y de los derechos fundamentales de las personas.

Fuente: Agencia Española de Protección de Datos

El documento ha sido elaborado de forma conjunta por la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía, y está dirigido a los distintos agentes y operadores que mediante plataformas tecnológicas tratan datos personales en el ámbito de la educación

Las Autoridades recuerdan la protección específica que requiere el tratamiento de datos de menores y el hecho de que la utilización de estas plataformas no es voluntaria para el alumnado o sus familias

Con la publicación de este decálogo, las Autoridades apuestan por promover un enfoque preventivo en el que las administraciones educativas, los centros concertados y privados, y las compañías que ofrecen plataformas educativas en la nube sean conscientes de sus roles y sus respectivas obligaciones

La Agencia Española de Protección de Datos (AEPD), la Autoridad Catalana de Protección de Datos (APDCAT), la Autoridad Vasca de Protección de Datos (AVPD) y el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) han elaborado un decálogo de cumplimiento en el que recogen de forma sistemática los principios básicos de protección de datos a tener en cuenta por las administraciones educativas y las empresas que ofrecen plataformas de servicios educativos en la nube, en la contratación y el uso de las mismas. Estos principios resultan también aplicables a los centros educativos públicos, concertados y privados.

La utilización de estas plataformas educativas digitales presenta riesgos y desafíos específicos para la protección de datos personales. Esto ha dado lugar a pronunciamientos por parte de las Autoridades de Protección de Datos, en el marco de sus respectivas competencias, dirigidos tanto a administraciones educativas como a centros docentes. Uno de los objetivos de estas orientaciones es promover el cumplimiento proactivo de la normativa, protegiendo a las personas usuarias de estos servicios en primer término, conformando un espacio de confianza y seguridad jurídica.

Las Autoridades de protección de datos destacan en el documento que las plataformas educativas digitales permiten al alumnado, profesorado y familias interactuar y colaborar con fines educativos, además de desarrollar las competencias digitales y facilitar la función docente. No obstante, también exponen que la implantación de estas plataformas entraña una responsabilidad importante, ya que supone un tratamiento masivo de datos personales entre los que destaca de forma muy relevante la información relativa a menores, que exige una protección específica.

Las Autoridades recuerdan que, además de esta protección reforzada vinculada al tratamiento de datos de menores recogido en la normativa, hay que sumar que la utilización de estas plataformas no es voluntaria para el alumnado o sus familias, sino que constituye la herramienta institucional facilitada para el ejercicio de la función educativa, con una posterior adhesión a la misma por parte de los alumnos, padres, madres o tutores.

Las Autoridades han detectado 10 puntos clave que se deben tener en cuenta: (1) Respeto a los derechos y libertades en el tratamiento de datos personales, (2) Determinación de la responsabilidad del tratamiento, (3) Legitimación y limitación de finalidades, (4) Evaluación de impacto y participación del delegado de protección de datos, (5) Transparencia e información, (6) Contrato de encargo de tratamiento y control de subencargados, (7) Garantías en transferencias internacionales, (8) Protección de datos desde el diseño y por defecto, (9) Seguridad de la información y (10) Garantía de los derechos de las personas.

Con la publicación de este decálogo, las Autoridades de Protección de Datos apuestan por promover un enfoque preventivo en el que las administraciones educativas, los centros públicos, concertados y privados, y las compañías que ofrecen plataformas educativas en la nube sean conscientes de sus roles y sus respectivas obligaciones, de forma que puedan tomar las medidas que les sean aplicables.

Fuente: Agencia Española de Protección de Datos

Esta iniciativa se pone en marcha en el marco del Comité Europeo de Protección de Datos

El informe final permitirá tener una visión amplia en el marco europeo

La Agencia Española de Protección de Datos (AEPD) participa en una acción europea coordinada para conocer cómo cumplen las organizaciones con sus obligaciones de transparencia e información. Esta iniciativa forma parte del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD) de 2026. El Reglamento General de Protección de Datos garantiza que las personas estén informadas del tratamiento de sus datos (arts. 12, 13 y 14), siendo un elemento fundamental de la transparencia y del control de la propia información personal.

Durante este año, 25 Autoridades de Protección de Datos europeas participarán en esta acción. La Agencia, por su parte, analizará las prácticas de una muestra de responsables del tratamiento, tanto del sector público como privado, para conocer buenas prácticas e identificar oportunidades de mejora relacionadas con el cumplimiento de estas obligaciones.

Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité publicará un informe sobre el resultado de este análisis una vez concluidas las acciones.

Esta acción es la quinta iniciativa del Marco de Aplicación Coordinada, entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron la aplicación del derecho de supresión por parte de las organizaciones, el cumplimiento del derecho de acceso, el uso de servicios en la nube por parte del sector público y la designación y situación de los delegados de protección de datos.

Fuente: Agencia Española de Protección de Datos

• El eje central es un vídeo divulgativo que muestra una simulación para, a continuación, ofrecer recomendaciones antes de realizar o difundir este tipo de contenidos.

• Lorenzo Cotino: “Este vídeo es una invitación a reflexionar y actuar con prudencia en el entorno digital”.

• Acceso al vídeo ‘Los deepfakes no son una broma’

La Agencia Española de Protección de Datos (AEPD) ha lanzado la iniciativa ‘Los deepfakes no son una broma’ para concienciar acerca de la creación y difusión de contenidos generados mediante técnicas de deepfake.

Los deepfakes son contenidos generados mediante algoritmos de IA que pueden replicar con gran realismo la voz, el rostro o los gestos de una persona. Esta tecnología, que también tiene aplicaciones legítimas, puede ser utilizada de forma inadecuada para intentar suplantar, humillar o desacreditar a una persona.

El eje central de la iniciativa es un vídeo divulgativo en el que, a través de un ejemplo práctico, se muestra cómo la IA puede generar contenidos audiovisuales realistas a partir de una simple fotografía. En el vídeo se presenta una simulación en pantalla dividida para, a continuación, transmitir que se trata de un montaje realizado con inteligencia artificial, en este caso, con consentimiento.

El presidente de la AEPD, Lorenzo Cotino, ha señalado que “la inteligencia artificial es una herramienta que puede contribuir al progreso social, pero su utilización debe ir acompañada de información y responsabilidad. Manipular imágenes de terceros con IA no es algo neutro, incluso en contextos aparentemente banales, y exige una valoración rigurosa. Este vídeo es una invitación a reflexionar y actuar con prudencia en el entorno digital”.

La Agencia recuerda a la ciudadanía la necesidad de contemplar los siguientes aspectos:

• Informarse sobre el funcionamiento de la IA y sus implicaciones legales, teniendo en cuenta los posibles efectos negativos que los deepfakes pueden tener en la vida personal, profesional o social de las personas afectadas.

• Solicitar consentimiento siempre que se vayan a utilizar imágenes o datos personales de terceros.

• Contrastar la información antes de difundir contenidos que puedan ser falsos o manipulados.

Esta iniciativa complementa a diversos materiales que la Agencia ha lanzado en los últimos meses y que ofrecen orientaciones prácticas para la ciudadanía en el uso de la IA, como El uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles, que analiza el impacto de subir, transformar o generar contenidos visuales a partir de la imagen de una persona, y Cuidado con lo que le confÍAs, que recoge consejos para un uso seguro, responsable y consciente de esta tecnología.

Fuente: Consejo General del Poder Judicial

La empresa incorporó información personal de la afectada en el expediente disciplinario seguido contra su pareja sentimental, también empleado de la firma. La Sala de lo Social revoca el fallo de instancia que había desestimado la demanda y condena a la cadena a indemnizar a la afectada con 7.500 euros 

El Tribunal Superior de Justicia de Canarias (TSJC) ha declarado vulnerado el derecho fundamental a la protección de datos de una trabajadora de una cadena de supermercados tras incluir la empresa  su nombre y salario en una carta de despido dirigida a su pareja, y ha condenado a la empresa a indemnizar a la trabajadora con 7.500 euros por los daños y perjuicios derivados de esta acción.

La Sala de lo Social del TSJC en su sede de Las Palmas ha anulado parcialmente la sentencia de instancia que había desestimado la reclamación de una gerente de Mercadona en el centro de trabajo de Butihondo  (Fuerteventura, Las Palmas), quien denunciaba que la empresa había incorporado sin su consentimiento sus datos personales en el expediente disciplinario seguido contra su pareja sentimental.

La empresa comunicó en la carta de despido del trabajador su nombre completo, su relación de pareja, la jornada laboral reducida de ambos y el salario mensual desglosado de la demandante durante más de un año.

Estos datos fueron revelados con la intención de demostrar que el trabajador despedido estaba percibiendo un complemento salarial que ya no le correspondía, comparándolo con lo que ganaba su pareja que realizaba la misma jornada.

Aunque el tribunal reconoce que la empresa tenía intereses legítimos en ejercer su potestad disciplinaria y motivar debidamente el despido, estima que esta finalidad no justificaba el tratamiento no consentido de los datos personales de la trabajadora. En particular, el tribunal analiza detalladamente la decisión reciente del Tribunal Supremo de noviembre de 2024 sobre protección de datos en expedientes disciplinarios, que declara que ni siquiera un fin tan lícito como garantizar la igualdad retributiva entre hombres y mujeres justifica la comunicación no consentida de datos que permitan identificar la retribución individualizada de una persona.

La sentencia afirma que «para satisfacer el legítimo interés de la empresa en ejercer su potestad disciplinaria, en la carta de despido de un trabajador se comunica al mismo el salario de otra trabajadora, su pareja, con nombre y apellido desde el mes de septiembre de 2023 a diciembre de 2024», pero considera que tal actuación no supera el criterio de necesidad exigido por la norma de protección de datos.

Dinamarca vuelve a ser noticia por rebelarse contra el Big Tech. Esta vez, de la mano del Ministerio de Cultura y en el contexto del desarrollo hiperacelerado de la inteligencia artificial generativa (IAGen), que hace que resulte más sencillo que nunca crear vídeos, imágenes o audios falsos pero de apariencia creíble y, en bastantes ocasiones, con propósitos vejatorios. 2026, sin embargo, ya no es 2014. Preparar un montaje digital y ponerlo en circulación cuesta hoy muy poco esfuerzo y su impacto ya no se circunscribe al perímetro de las redes sociales.

Lo resumía días atrás Margaret Mitchell, ex codirectora del departamento de Ética de Google. «Está aumentando un riesgo singular: la creciente dificultad para distinguir entre realidad y ficción. La IA generativa ha simplificado la creación de contenido que parece auténtico sin serlo. La falta de estándares de divulgación o marcas de agua impide saber si algo fue generado por IA y, de hecho, gran parte del público ni siquiera lo desea», subrayaba.

Coincidiendo con su presidencia de turno de la UE, Dinamarca decidió el pasado verano reformar la Ley de Propiedad Intelectual (Ophavsretsloven) para poner coto a las ultrasuplantaciones. Preocupado no sólo por la difusión masiva de fotos y clips con contenido sexualmente explícito, discursos difamatorios contra cualquier minoría, noticias falsas y declaraciones políticas manipuladas, sino también por el aumento de ciberataques que utilizan ingeniería social y tecnología punta para robar información personal o financiera, el ministro Jakob Engel-Schmidt se puso manos a la obra para sacar adelante una normativa pionera en Europa: la que sitúa lo relativo a la protección de la identidad biométrica en el marco de los derechos de autor. En virtud de ella, la voz, el rostro y la apariencia física de cada danés tendrán la consideración jurídico-económica (copyright) de un libro o una película.

Tras incorporar diferentes enmiendas, la nueva ley iba a entrar en vigor el próximo 31 de marzo. La convocatoria anticipada de elecciones presidenciales anunciada hace un para de semanas obligó a suspender de momento su aplicación. En cualquier caso, y dado que el borrador había recibido un apoyo multipartidista unánime, lo lógico sería que el ejecutivo entrante lo retomase a pesar de tener que presentarlo de nuevo ante el Parlamento.

Copenhague aspira a convertir este blindaje en un estándar europeo. «Estamos enviando un mensaje inequívoco: todo el mundo tiene derecho a su propio cuerpo», declaró el titular de Cultura en la presentación del borrador. «Los seres humanos pueden ser introducidos en una máquina fotocopiadora y utilizados indebidamente para todo tipo de propósitos, y no estoy dispuesto».

El enfoque danés se sustancia en varias cuestiones clave. Por ejemplo, la introducción de apartados específicos para el público en general (artículo 73-a) que restringen el uso no autorizado de la imagen o la voz de otra persona en montajes generados con IA. O la disposición separada para artistas o intérpretes (artículo 65-a) que extiende el amparo de sus obras frente a copias o manipulaciones sin autorización a los 50 años posteriores a su muerte.

«Corremos el riesgo de convertir nuestra democracia en una lucha de ‘deepfakes'»

Ricard Martínez, profesor de Derecho Constitucional de la Universitat de València

El mencionado artículo 73 de la ley danesa marca una excepción para las reproducciones que sean «una expresión de caricatura, sátira, parodia, pastiche, crítica al poder, crítica social, etc», a menos que la imitación constituya desinformación que pueda perjudicar gravemente los derechos o intereses de terceros.

Al dejar de hablar de privacidad para hacerlo de propiedad, Dinamarca abre una vía paralela en dicha tradición y adopta un enfoque singular por empoderador y coercitivo. Según sus impulsores, la normativa facilitará el emprendimiento de acciones legales contra las dichosas ultrasuplantaciones. Así, los ciudadanos tendrán derecho a exigir la eliminación del material infractor en la plataforma tecnológica que lo albergue. En caso de no hacerlo con prontitud tras ser notificadas, dichas plataformas podrían enfrentarse a severas multas por parte del organismo regulador danés y a la exigencia de elevadas compensaciones económicas por parte de los usuarios afectados.

«Estamos dispuestos a tomar medidas adicionales», dejó claro Engel-Schmidt en verano. En caso de que las megacorporaciones tecnológicas se pusieran de perfil, el asunto podría incluso llegar a la Comisión Europea. «Por eso creo que se lo tomarán en serio», vaticinó el ministro.

Los tecnólogos daneses habían observado que las solicitudes de retirada de contenido en plataformas como Instagram y TikTok rara vez se ejecutan. La justicia restaurativa que demanda el ciudadano común suele terminar en el limbo. «Algunos proveedores fomentan activamente la generación de deepfakes; otros, pasivamente, la permiten», admite el profesor Anders Søgaard, experto en Procesamiento del Lenguaje Natural y aprendizaje automático de la Universidad de Copenhague.

«Creemos que esta protección nos brindará mejores condiciones para hacer valer los derechos de los usuarios», concuerda Thomas Heldrup, responsable de Protección y Cumplimiento de Contenido de la Alianza Danesa por los Derechos.

La reforma de la Ophavsretsloven podría verse como un puerto refugio frente a las deficiencias de la Ley de Servicios Digitales (DSA, por sus siglas en inglés), aprobada por la UE en 2022 y criticada por demasiada vaga. También podría como un cortafuegos casi desesperado frente a la tecnología empleada con fines espurios.

«Hay cosas que creía que estaban claras desde el Derecho Romano. Pero si le estamos dando personalidad jurídica al Mar Menor y derechos a los animales…»

Borja Adsuara, abogado experto en Derecho Digital

Siendo grave, el vishing o fraude telefónico con voz clonada parece rudimentario al lado de los prodigios que puede obrar la IA generativa. A la consultora Arup le estafaron hace un año 25 millones de dólares después de que un empleado de su departamento de Contabilidad creyera que estaba hablando por videollamada con un alto directivo, y no con su copia digital. El fabricante de coches Ferrari estuvo a punto de sufrir un timo similar, frustrado in extremis cuando un empleado formuló al falso directivo una pregunta que sólo el de carne y hueso sabía responder.

Lo que viene es aun más peliagudo. A mediados de 2023, la startup Worldcoin –cofundada por Sam Altman, el padre de ChatGPT– logró que miles de jóvenes de todo el mundo se dejaran escanear el iris a cambio de unos tokens valorados en torno a los 100 euros. La Agencia Española de Protección de Datos (AEPD) se vio obligada entonces a lanzar una advertencia a Worldcoin.

«Lo que plantean los daneses es extraordinariamente interesante. Hay que ir hacia una mayor regulación de la identidad digital y hacia una mayor protección de nuestra imagen», reconoce Ricard Martínez, profesor de Derecho Constitucional de la Universitat de València y director de la cátedra de Privacidad y Transformación Digital. «Corremos un riesgo sistémico al permitir que grandes corporaciones controlen aspectos de nuestra personalidad que han necesitado del poder coactivo y normativo del Estado y sus instituciones para garantizar las libertades de todos. Corremos el riesgo de convertir nuestra democracia en una lucha de deepfakes y manipulaciones goebbelsianas. Personalmente, me alineo con los Estados que están empezando a poner límites. La aplicación de esta ley debería ser inmediata y urgente».

Martínez explica que hemos llegado a la situación actual después de una serie de carambolas. Primero, los operadores de las redes sociales nos convencieron para que les cediésemos alegremente nuestros datos para categorizar usuarios (profiling) y realizar estudios de mercado. Después, parte de esa información acabó generando un negocio millonario para dichos operadores –el de la publicidad personalizada– ante el que los reguladores no actuaron. Por último, el nulo esfuerzo programador para asignar a las imágenes una identidad rastreable y el sprint de la IAGen han provocado el aluvión de ultrasuplantaciones. «Son 20 años de un problema mal resuelto», resume.

Borja Adsuara, abogado experto en Derecho Digital, considera que la ley danesa está «mal enfocada» y alega que el derecho al honor, a la intimidad y a la propia imagen están suficientemente salvaguardados en España por el artículo 18 de la Constitución, la Ley Orgánica 1/1982 y el Código Penal. «Tu imagen no es una creación tuya, por mucho que seas un artista y te maquilles para construir un personaje», aclara. «Hay cosas que yo creía que estaban claras desde el Derecho Romano. Pero si le estamos dando personalidad jurídica al Mar Menor y derechos a los animales…».

La estrategia danesa también comporta riesgos o podría tener consecuencias imprevistas. Los derechos al honor y a la intimidad personal y familiar son inalienables, pero los derechos de imagen sí se pueden explotar económicamente, como hacen los futbolistas o las modelos. Para evitar que le sucediera como a Scarlett Johansson, víctima de deepfakes porno y del descaro de OpenAI –dotó a ChatGPT de una modulación muy parecida a la suya como sistema operativo en la película Her–, Matthew McConaughey ha acudido a la Oficina de Patentes y Marcas de EEUU (USPTO). Allí ha sido el primer intérprete en registrar su voz, su imagen y la frase («Alright, alright, alright») que lo catapultó a la fama. McConaughey no es un odiador algorítmico; de hecho es inversor de ElevenLabs, una compañía-catálogo que pone al alcance voces de personalidades con todas las garantías legales.

Mucho peor le ha ido a su colega danés Mads Mikkelsen. El Departamento de Seguridad Nacional estadounidense posteó en su cuenta en X el pasado diciembre el baile borracho del actor en la película Otra ronda para celebrar el éxito de sus redadas contra inmigrantes sin papeles. El estudio Zentropa exigió la retirada del clip, enfatizando que el uso no autorizado de la escena de su filme violaba la Ley sobre Propiedad Intelectual. Seguridad Nacional notificó en otro comentario que seguiría publicando «sobre Mads» hasta que mejorase «el ambiente», en la línea de los mensajes del presidente Trump en Truth Social.

Fuente: El Mundo

La Agencia Española de Protección de Datos ha dictado Resolución en procedimiento sancionador por la que impone una sanción económica a un particular en su condición de titular de una vivienda de uso turístico por la instalación de un sistema de videovigilancia en el interior de la vivienda destinada a alquiler turístico. Considera que esta instalación conlleva un tratamiento ilícito de datos personales, la imagen es un dato personal, y una intromisión ilegítima en la privacidad de los ocupantes de la vivienda.

La resolución se dicta como consecuencia de una denuncia interpuesta por un arrendatario de la vivienda que detectó la instalación de las cámaras durante el periodo que usó aquella. La AEPD concluye que la captación de imágenes en el interior de una vivienda no tiene base legitimadora por no encontrar acomodo en ninguno de los supuestos del artículo 6 del Reglamento (UE) 2016/679 sin que pudiera probarse un consentimiento válido ni la concurrencia de un interés público.

Conforme establece la Autoridad Independiente de Control en materia de protección de datos las viviendas turísticas tiene la consideración de domicilio particular aún cuando su ocupación, derivada de su uso turístico, sea temporal. Por ello es aplicable la protección al derecho a la intimidad personal y familiar. Derecho que se ve vulnerado sin necesidad de realizarse un acceso físico a la vivienda siendo suficiente la utilización de un sistema de videovigilancia o de captación de sonido que permita la observación de un espacio privado.

El particular, titular del alojamiento turístico, formuló alegaciones indicando que el sistema de videovigilancia tenía por finalidad la prevención de intrusiones ilegales y que el sistema permitía su desactivación por el arrendatario durante su estancia. También alegaba que los interesados tenían conocimiento de la instalación porque había sido comunicada previamente. La AEPD entiende que no se aportó prueba suficiente que acreditar haberse facilitado información clara y completa lo que no permitía probar un consentimiento expreso, específico, informado e inequívoco dado que se pretendía justificar que el tratamiento basaba su licitud en el consentimiento del interesado al amparo del artículo 6.1.c) del Reglamento (UE) 2016/679.

La AEPD, en su resolución del procedimiento sancionador, recalca expresamente que la protección de un edificio no es causa justificativa del uso de sistemas de videovigilancia en espacios privados. Ante una medida tan invasiva en la privacidad deben buscarse alternativa que menoscaben en menor medida los derechos fundamentales. Esta instalación rompe el triple juicio de proporcionalidad; juicio de necesidad, juicio de idoneidad y juicio de proporcionalidad.

Si bien el particular del alojamiento desinstaló el sistema e implementó medidas de seguridad distinta a la videovigilancia, la resolución de la AEPD determina que estas actuaciones posteriores no le eximen de la responsabilidad derivada de los hechos.

Fuente: Agencia Española de Protección de Datos

• La Agencia Española de Protección de Datos ha participado en esta iniciativa realizada en el marco del Comité Europeo de Protección de Datos.

• Los objetivos han sido asegurar que el derecho de supresión puede ser ejercitado de forma eficaz, evaluar cómo lo atienden los responsables, así como fomentar la concienciación de los requisitos aplicables.

• En la encuesta han participado 764 entidades del sector público y privado en el ámbito del Espacio Económico Europeo.

La Agencia Española de Protección de Datos (AEPD) ha participado en una acción europea coordinada para analizar la atención del ejercicio del derecho de supresión (art. 17, RGPD) que ejercitan los ciudadanos. Esta iniciativa forma parte del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD), que seleccionó esta temática debido a que se trata de uno de los derechos del RGPD que los ciudadanos más ejercitan ante los responsables del tratamiento y, a la vez, del que las Autoridades de protección de datos reciben con más frecuencia reclamaciones de la ciudadanía.

La Agencia, por su parte, ha analizado las prácticas de una muestra de responsables del tratamiento del sector público y privado, para conocer tanto las buenas prácticas como si existe alguna problemática relacionada con la atención al ejercicio del derecho de supresión.

El informe aglutina los resultados de la encuesta realizada por las  32 autoridades de protección de datos y los resultados se muestran de forma agregada, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Un total de 764 responsables en toda Europa respondieron a la acción, desde pymes a grandes empresas de varios sectores, y diversos tipos de entidades públicas.

En concreto, la AEPD ha recibido los cuestionarios de 43 entidades (25 del sector público,  17 del sector privado y una del tercer sector). En el sector privado, la AEPD ha contactado con entidades de los sectores de salud, telecomunicaciones, finanzas, retail y energía. La Agencia ha colaborado con la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de datos y el Consejo de Transparencia y Protección de Datos de Andalucía, que han llevado a cabo la encuesta en el marco de las entidades de su ámbito de competencia.

Las autoridades de protección de datos de la UE han identificado margen de mejora en la información que se facilita a la ciudadanía o en los procedimientos internos para gestionar las solicitudes del derecho de supresión. Además, el informe recoge hallazgos específicos sobre que, en lugar de suprimir los datos, se anonimizan o seudonimizan de manera ineficiente. Las autoridades también señalan en el informe las dificultades a las que enfrentan los responsables para determinar los periodos de retención y la eliminación de datos personales en el contexto de copias de seguridad.

Por otro lado, dado que el derecho de supresión no es un derecho absoluto, algunos responsables tienen dificultades para evaluar y aplicar las condiciones para el ejercicio de este derecho, incluyendo la ponderación entre el derecho de supresión y otros derechos y libertades que pueden estar regulados en normas sectoriales específicas, como ocurre en el sector de la sanidad.

Esta acción es la cuarta iniciativa del Marco de Aplicación Coordinada, entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron el cumplimiento del derecho de acceso por parte de las organizaciones, el uso de servicios en la nube por parte del sector público y la designación y situación de los delegados de protección de datos.

Fuente: Agencia Española de Protección de Datos.

• La IA agéntica son sistemas de IA capaces no solo de responder a preguntas, sino de interactuar de forma autónoma para conseguir los objetivos.

• La capacidad que tienen los sistemas de IA agéntica introduce nuevos retos en muchos aspectos, entre ellos relacionados con la protección de datos personales.

• El documento recoge medidas que podría adoptar un responsable o encargado de tratamiento para garantizar el cumplimiento de la normativa de protección de datos.

La Agencia Española de Protección de Datos (AEPD) ha publicado unas orientaciones sobre Inteligencia Artificial agéntica desde la perspectiva de protección de datos. La IA agéntica son sistemas de IA capaces no solo de responder a preguntas, sino de interactuar de forma autónoma para conseguir los objetivos. La capacidad que tienen los sistemas de IA agéntica para operar con autonomía, enriquecerse con la información del entorno digital y ejecutar tareas complejas introduce nuevos retos en muchos aspectos, entre ellos relacionados con la protección de datos personales.

Estas orientaciones abordan las cuestiones de protección de datos que pueden surgir cuando responsables y encargados de tratamiento deciden utilizar sistemas de IA agéntica para implementar tratamientos de datos personales. La Agencia subraya que el conocimiento de esta tecnología, en continua evolución, es clave para adoptar decisiones informadas cuando se pretende implementarla en tratamientos de datos personales. En particular, defiende aprovechar de forma proactiva las oportunidades que ofrece la IA agéntica para una mayor protección de datos desde el diseño.

El texto se estructura realizando inicialmente una breve descripción de qué son los sistemas IA agénticos. A continuación, se analizan los aspectos de cumplimiento de la normativa de protección de datos, las posibles vulnerabilidades de estos sistemas y las amenazas específicas que pueden aprovecharse de esas vulnerabilidades. Finalmente, el documento enumera un conjunto de posibles medidas que podría adoptar un responsable o encargado para garantizar el cumplimiento de la normativa de protección de datos y reducir o eliminar los impactos que presenta la IA agéntica en relación con los derechos y libertades de las personas.

Fuente: Agencia Española de Protección de Datos

• La advertencia forma parte de las funciones preventivas de la Agencia y en ella se ponen de manifiesto diversas consideraciones acerca del tratamiento de datos personales

• Tras la recepción de la misma, la empresa ha comunicado a la Agencia su intención de posponer temporalmente el relanzamiento de sus actividades en España mientras revisan algunos aspectos en materia de protección de datos

• Acceso al contenido de la advertencia

La Agencia Española de Protección de Datos (AEPD) ha remitido a la empresa Tools for Humanity (conocida en España por su proyecto anteriormente denominado Worldcoin) una advertencia en la que se ponen de manifiesto diversas consideraciones acerca del tratamiento de datos personales. Esta advertencia fue emitida tras haber recibido una comunicación por parte de la empresa en la que anunciaba el reinicio de sus actividades en España.

La advertencia forma parte de las funciones preventivas de la Agencia y se utiliza cuando las operaciones de tratamiento previstas pudieran infringir lo dispuesto en el del Reglamento General de Protección de Datos (RGPD), de forma que el responsable del tratamiento de datos pueda extraer de ella los criterios apropiados y, en su caso, adaptar a la normativa los tratamientos de datos que tiene previsto realizar. Una vez recibida la advertencia, la empresa ha comunicado a la Agencia su intención de posponer temporalmente el relanzamiento de sus actividades en España mientras revisan los aspectos detallados en ella.

La información remitida por Tools for Humanity parece implicar que el tratamiento que pretende iniciar podría suponer un tratamiento de datos biométrico para identificación en el caso del iris, y para autenticación en el caso del rostro.

La empresa debe justificar en su Evaluación de Impacto la necesidad y la proporcionalidad del tratamiento que pretende poner en marcha y gestionar los riesgos, aplicando medidas efectivas que garanticen un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento.

Establecimiento principal en Alemania

La compañía Tools for Humanity ha designado a Alemania como su establecimiento principal en Europa. Ello implica que, en el caso de que la Agencia reciba reclamaciones en relación con este tratamiento, debe remitirlas a la autoridad de protección de datos de Baviera (Alemania), al ser esta la autoridad principal en cuanto al tratamiento de datos, siendo la AEPD autoridad interesada, tal y como establece el RGPD.

Antecedentes

En la comunicación remitida a la Agencia por Tools for Humanity para anunciar el reinicio de sus actividades en España se hace referencia a una serie de cambios en lo relativo al tratamiento de datos personales con respecto al año 2024, cuando la AEPD ordenó una medida cautelar para que cesase en la recogida y tratamiento de datos personales que estaba realizando en España. En aquel momento, el proyecto Worldcoin estaba operativo y la AEPD recibió varias reclamaciones contra esta empresa en las que se denunciaban, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permitía la retirada del consentimiento. Estas reclamaciones fueron remitidas a la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), actuando la Agencia como autoridad interesa en el procedimiento.

La medida cautelar ordenada en 2024 por la Agencia se basó en circunstancias excepcionales tras analizar los hechos detallados en las reclamaciones. La empresa recurrió esa medida ante la Audiencia Nacional, que avaló la postura de la Agencia y rechazó el recurso sobre la medida cautelar al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.

Mientras tanto, las investigaciones de la BayLDA siguieron avanzando con la cooperación de la AEPD. En diciembre de 2024, la BayLDA adoptó una resolución que declaraba la infracción por parte de la empresa de varios artículos del RGPD y le instaba a implantar las medidas correctivas oportunas. Esta resolución se produjo una vez finalizado el procedimiento de cooperación entre autoridades competentes previsto en el artículo 60 del RGPD.

La resolución de la BayLDA dictó, entre otras órdenes, la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos; y que el tratamiento de códigos de iris incluyese el derecho a la supresión de los datos. Asimismo, en la resolución se constató que la empresa no había implantado las medidas adecuadas para impedir el tratamiento de datos de menores.