Privacy Data – Consultoría de Protección de Datos

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

Fuente: Agencia Española de Protección de Datos

La Agencia publica la traducción al español de este documento de la Autoridad de Protección de Datos de Singapur por su valor didáctico e interés para responsables, encargados de tratamientos y delegados de protección de datos

Los datos sintéticos son una herramienta clave para la innovación y la protección de datos en el desarrollo de sistemas y modelos de IA

Esta traducción se publica en el marco de la colaboración que la Agencia mantiene con su entidad homóloga de Singapur, la Personal Data Protection Commission (PDPC)

Acceso a Guía de datos sintéticos

La Agencia Española de Protección de Datos (AEPD) ha publicado la traducción al español de la Guía sobre generación de datos sintéticos, un documento elaborado por la Autoridad Nacional de Protección de Datos de Singapur (PDPC) y que, en el marco de la colaboración que la Agencia mantiene con dicha autoridad, se ha traducido por su valor didáctico y especial interés para responsables, encargados de tratamientos y delegados de protección de datos, a quienes puede proporcionar orientación práctica y técnica.

Los datos sintéticos son un elemento clave para la innovación y la protección de datos en el desarrollo de sistemas y modelos de Inteligencia Artificial. Los datos sintéticos son generados artificialmente con el fin de simular datos reales y deben conservar sus características estadísticas esenciales para resultar útiles sin comprometer la información personal. Su generación debe planificarse cuidadosamente, situándose en un espectro que va desde los datos completamente aleatorios hasta los datos reales.

Esta tecnología se presenta como una herramienta de gran utilidad para promover la economía del dato, siempre que se valore adecuadamente su idoneidad según el caso de uso y se garantice un equilibrio entre su utilidad y los riesgos para la privacidad. El uso de datos sintéticos no solo puede acelerar la investigación, la innovación, la colaboración y la toma de decisiones, sino que también puede mitigar el impacto de las brechas de datos.

La guía incorpora casos prácticos de estudio en los que se plantea un problema y se ofrece una solución incluyendo también recomendaciones y buenas prácticas para generar datos sintéticos y reducir los riesgos residuales de la reidentificación.

Este nuevo recurso se incorpora al catálogo de guías y notas técnicas, entradas del blog, recomendaciones y directrices internacionales disponibles en la sección Innovación y Tecnología de la web de la AEPD, que promueve la gestión activa los riesgos en materia de protección de datos para evitar daños en los derechos y libertades de las personas.

Fuente: Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos, en su labor de concienciación, ofrece consejos a la ciudadanía sobre los aspectos que deben tener en cuenta para la protección de sus datos personales.

En los últimos días se ha hablado mucho de una nueva práctica que podría poner en riesgo la protección de los datos personales de los usuarios: la utilización de aplicaciones y servicios en línea que permiten convertir fotografías personales en imágenes con estilo «Ghibli» o similares. Estas herramientas, aunque atractivas y aparentemente inofensivas, pueden tener implicaciones para la privacidad y seguridad de la información personal.

Los riesgos detectados para la protección de los datos personales tienen que ver con los siguientes aspectos:

1 .- Acceso y tratamiento de datos personales: Muchas de estas aplicaciones solicitan el acceso a la galería de fotos del dispositivo, lo que implica conceder el acceso tanto a datos personales propios como a los de terceras personas, no solo de la foto remitida, sino potencialmente de todas las fotos de la galería. Además, en algunos casos, las imágenes no se procesan exclusivamente en el dispositivo, sino que se suben a servidores externos, lo que incrementa el riesgo de exposición.

2.- Transparencia en el uso de los datos: En ocasiones, las aplicaciones o servicios no proporcionan suficiente información sobre qué se hace con las imágenes una vez subidas, si se transmiten a otras entidades o cuánto tiempo se conservan.

3.- Almacenamiento y uso de imágenes: En ciertos casos, los datos obtenidos de las fotografías podrían ser almacenados o reutilizados por las empresas desarrolladoras de las aplicaciones para fines comerciales o publicitarios, o para el entrenamiento de algoritmos.

Recomendaciones para los usuarios

Revisar la política de privacidad: Antes de utilizar cualquier aplicación, te recomendamos leer detenidamente la política de privacidad y los términos de servicio, verificando de qué manera y bajo qué condiciones se procesarán las imágenes que se van a subir.

Rechazar accesos innecesarios: Si la aplicación solicita permisos que no son estrictamente necesarios para la funcionalidad básica (como el acceso a la galería o la cámara), considera denegar esos permisos para proteger tu privacidad.

Evitar el uso de aplicaciones desconocidas: Desconfía de aplicaciones sin información clara sobre sus prácticas de privacidad. Además, asegúrate de descargar únicamente aplicaciones de fuentes confiables y verificadas.

Eliminar las imágenes procesadas: Si decides utilizar este tipo de servicios, elimina las imágenes procesadas y evita almacenarlas en el servicio si no es estrictamente necesario.

Velar por la protección de los derechos de terceros: Si vas a usar imágenes en las que aparezcan terceras personas, asegúrate de hacerlo con su conocimiento y consentimiento.

Si quieres ampliar información, te recomendamos este gráfico con recomendaciones generales en la utilización de chatbots con inteligencia artificial.

Fuente: Agencia Española de Protección de Datos.

Introducción:

El documento, publicado en la web de la Agencia en versión borrador, tiene como objetivo fijar las líneas de actuación prioritarias para los próximos cinco años.

Incorpora una serie de objetivos en forma de principios rectores y seis grandes ejes estratégicos que recogen distintas acciones.

La consulta pública, que permanecerá abierta hasta el 11 de mayo, supone un instrumento fundamental para enriquecer el texto con las propuestas, aportaciones y comentarios de los sectores interesados.

Una vez finalizado el proceso participativo, la Agencia analizará las aportaciones recibidas y elaborará el Plan estratégico definitivo.

La Agencia Española de Protección de Datos (AEPD) ha abierto hoy una consulta pública sobre el Borrador de su Plan Estratégico 2025‒2030, un documento cuya versión definitiva fijará las líneas de actuación prioritarias de la Agencia para los próximos cinco años. El hecho de someter este texto a un proceso participativo de escucha activa supone una apuesta firme para enriquecer el texto con las aportaciones de la ciudadanía, los profesionales de la privacidad, los sectores público y privado, y asociaciones, fundaciones y tercer sector. La consulta pública va a estar abierta del 10 de abril al 11 de mayo, ambos inclusive.

El texto está estructurado en ocho principios rectores y seis ejes de actuación, que a su vez recogen distintas acciones para alcanzar los objetivos fijados:

1.- Supervisión inteligente, apoyada en la tecnología y en la gestión eficiente. Se persigue una mayor capacidad de anticipación para identificar y prevenir riesgos relacionados con la protección de datos, priorizando las acciones de mayor impacto.

2.- Innovación tecnológica, un claro compromiso con la innovación responsable. Entre las iniciativas destaca el Laboratorio de Privacidad y Tecnología, en estrecha colaboración con centros y universidades de referencia y otras autoridades europeas.

3.- Cooperación e influencia estratégica, con refuerzo de alianzas y cooperación a nivel nacional e internacional e integrando la protección de datos en sectores clave.

4.- Facilitar el cumplimiento normativo, con una atención especial a las pymes y potenciando el papel de los profesionales de la privacidad.

5.- Transformación digital y excelencia, para optimizar la organización y dotarla de más recursos para prestar mejores servicios.

6.- Una Agencia abierta y cercana, con medidas como nuevas herramientas y canales de atención, la colaboración con sectores profesionales y la escucha activa para anticipar riesgos emergentes.

Un proceso abierto y participativo

La Agencia ha habilitado un formulario en su web donde las partes interesadas podrán realizar sus aportaciones para cada uno de los ejes. Las contribuciones son independientes, de forma que cada participante pueda comentar sólo el eje estratégico que más le afecte o le parezca más relevante o varios de ellos de forma simultánea. Asimismo, se ha incluido un apartado adicional para añadir comentarios que no se ajusten a los ejes propuestos.

El objetivo de este proceso colaborativo es garantizar que el Plan Estratégico 2025‒2030 dé respuesta a los desafíos crecientes en materia de privacidad y protección de datos, promoviendo un enfoque inclusivo y transparente en su formulación. Ello permitirá adaptar el funcionamiento de la Agencia a los nuevos retos, especialmente en el ámbito digital, así como detectar necesidades e identificar áreas de mejora en la planificación de sus futuras actividades.

Una vez finalizado el periodo de consulta pública, la Agencia analizará todas las aportaciones recibidas. Se espera que la versión definitiva del Plan Estratégico 2025‒2030 se publique en el mes de julio, sirviendo de guía fundamental para las acciones y proyectos de los próximos años.

Más información

Borrador del Plan Estratégico de la AEPD 2025‒2030

Formulario web para el envío de aportaciones

Fuente: Agencia Española de Protección de Datos

Esta iniciativa se pone en marcha en el marco del Comité Europeo de Protección de Datos y tiene como objetivo evaluar cómo están cumpliendo las organizaciones con el derecho de supresión que ejercitan los ciudadanos.

La Agencia Española de Protección de Datos (AEPD) participa en una acción europea coordinada para conocer cómo aplican las organizaciones en la práctica el derecho de supresión (art. 17, RGPD) que ejercitan los ciudadanos. Esta iniciativa forma parte del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD) de 2025.

El Comité, durante su reunión plenaria de octubre de 2024, seleccionó esta temática debido a que se trata de uno de los derechos del RGPD que los ciudadanos más ejercitan ante los responsables del tratamiento y, a la vez, del que las Autoridades de protección de datos reciben con más frecuencia reclamaciones de la ciudadanía.

Durante este año, 32 Autoridades de Protección de Datos europeas participarán en esta acción. La Agencia, por su parte, analizará las prácticas de una muestra de responsables del tratamiento, tanto del sector público como privado, para conocer tanto las buenas prácticas como si existe alguna problemática relacionada con la atención al ejercicio del derecho de supresión.

Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité publicará un informe sobre el resultado de este análisis una vez concluidas las acciones.

Esta acción es la cuarta iniciativa del Marco de Aplicación Coordinada, entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron el cumplimiento del derecho de acceso por parte de las organizaciones, el uso de servicios en la nube por parte del sector público y la designación y situación de los delegados de protección de datos.

Fuente: Agencia Española de Protección de Datos

Lorenzo Cotino Hueso y Francisco Pérez Bes han tomado posesión del cargo de presidente y de adjunto, respectivamente, de la Agencia Española de Protección de Datos (AEPD) en un acto celebrado en la sede de la Agencia y que ha sido presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños.

El acto ha contado con la presencia del secretario de Estado de Justicia, Manuel Olmedo, el secretario de Estado de Relaciones con las Cortes y Asuntos Constitucionales, Rafael Simancas, y la exdirectora de la AEPD, Mar España. A la misma han asistido también diversas autoridades y representantes de los sectores público y privado.

Durante su discurso, el presidente de la Agencia, Lorenzo Cotino, ha destacado que las crecientes obligaciones y retos del organismo derivados del tsunami digital “implican desafíos para la privacidad, el quantum, los espacios digitales, espacios de salud y sobre todo, la inteligencia artificial”. “Es por ello que tenemos que dar respuesta con un plan estratégico en el horizonte”, ha añadido.

Por su parte, el adjunto de la Agencia, Francisco Pérez Bes, ha señalado que “vamos a trabajar para que esta Agencia siga siendo cercana y accesible para el ciudadano, también transparente, ágil e innovadora y siempre abierta a otros organismos e instituciones para la defensa de los derechos y libertades de la ciudadanía”.

Finalmente, el ministro de Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños, ha recordado en su intervención que el presidente y el adjunto asumen con su cargo desafíos esenciales en un momento en el que la tecnología genera claras tensiones con la privacidad de las personas. Sobre esta cuestión, ha anunciado que la Ley para la protección de los menores en entornos digitales, que pretende protegerlos de los riesgos de internet, será aprobada muy pronto en segunda vuelta en el Consejo de Ministros e iniciará la tramitación parlamentaria.

La toma de posesión del presidente y del adjunto de la Agencia se ha producido tras el nombramiento de Lorenzo Cotino Hueso como presidente de la AEPD por el Real Decreto 142/2025, y de Francisco Pérez Bes como adjunto de la AEPD por el Real Decreto 143/2025.

El mandato del presidente y adjunto de la Agencia Española de Protección de Datos tiene una duración inicial de cinco años.

Fuente: El Derecho

La sección sexta de la Audiencia Provincial de A Coruña, con sede en Santiago de Compostela, ha condenado a seis años y medio de cárcel a una enfermera que trabajaba en el Servizo Galego de Saúde (Sergas) por acceder, sin su consentimiento y en tres ocasiones, a la historia clínica de la madre de un compañero de colegio de su hijo y, diez veces, a la del menor.

Además, el tribunal le ha impuesto el pago de una indemnización de 2.000 euros a cada una de las víctimas. La Sala no ha considerado probado que la acusada hubiera puesto en conocimiento de terceros datos o hechos conocidos a través de los referidos accesos.

El tribunal destaca en la sentencia que “no ofrece duda” que la querellante y la acusada “rompieron la relación en junio de 2018”, tras un problema surgido en la excursión de fin de curso de sus hijos. Por ello, concluye que es “imposible que existiera algún tipo de petición de aquella o de su marido a esta para que entrase a través del programa IANUS en los datos médicos de aquellos o de su hijo”. Los magistrados inciden en que “ese fin de la relación es incompatible con la indemostrada hipótesis de un consentimiento general o tácito para tales accesos que se quiso esbozar por la defensa”.

La sentencia no es firme.

AP de A Coruña. Sección nº6. Sentencia número 33/2025 de 19 de febrero de 2025.

Fuente: Economist&Jurist

La exigencia del consentimiento informado en el ámbito laboral para que la empleadora pueda hacer un tratamiento lícito de los datos personales de sus trabajadores cobra especial relevancia. Así lo recuerda la Agencia Española de Protección de Datos (AEPD) en una reciente resolución (disponible en el botón ‘descargar resolución’) en la cual ha sancionado a una empresa con 6.000 euros por ceder ilícitamente a terceros los datos personales de una empleada.

La sanción llega a raíz de que la trabajadora interpusiera una reclamación ante la AEPD contra la empleadora —una empresa que fue adjudicataria de un contrato público del Ayuntamiento de Valencia, de ‘Servicios de información, sensibilización, prevención, atención y formación sobre las violencias sexuales en la ciudad de Valencia’, para cuya ejecución contrató a la parte reclamante, que debía encargarse de la coordinación de determinados recursos del proyecto—.

En dicha reclamación la mujer exponía que la empresa había facilitado sus datos personales, teléfono móvil incluido, a 18 personas sin haber solicitado previamente su consentimiento. La empleada tuvo conocimiento de ello cuando un día, poco después de iniciar la relación laboral, su teléfono móvil colapsó de mensajes y llamadas telefónicas, y la única llamada que alcanzó a responder era de una persona que le indicó que la empresa le había facilitado sus datos.

Disconforme con la decisión de la empresa de facilitar su número personal a diversas personas sin haber dado consentimiento para ello, la mujer escribió un correo electrónico a la mercantil.

La empresa respondió a dicho correo reconociendo haber facilitado sus datos y argumentando que entendía que ese número de teléfono era el que iba a usar para sus tareas laborales. Asimismo, la empleadora se disculpó por ello e indicó que esa no era la forma de proceder que solía tener, sin embargo, como no lograba contactar con ella por correo electrónico, había facilitado el número de teléfono a las personas que necesitaban comunicarse con la trabajadora.

La AEPD dio traslado de dicha reclamación a la empresa. La mercantil, por su parte, respondió a la Agencia que cuando contrata a una persona le envía un documento estandarizado en relación con el tratamiento de sus datos como trabajadora, que incluye unas casillas para indicar si consiente que sus datos personales sean cedidos a terceros. Y en los casos en los que la persona contratada no expresa su consentimiento, la empresa le facilita correo electrónico, teléfono o los medios que el proyecto que coordina requiera para las comunicaciones que tenga que realizar como parte de su relación.

No obstante, la empresa manifestaba que el presente caso se habría utilizado por error el teléfono móvil de la reclamante sin haber expresado ésta su consentimiento para ello, al no constar cumplimentado por la misma el formulario mencionado. Asimismo, la mercantil indicaba que a raíz de ese incidente la empresa había revisado su política de seguridad e introducido una doble comprobación en relación con el consentimiento.

La Agencia Española de Protección de Datos decidió admitir a trámite la reclamación presentada y, con posterioridad, la directora de la Agencia acordó iniciar procedimiento sancionador contra dicha empresa.

En la resolución emitida, la AEPD recuerda que el consentimiento se ha de entender como “un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con garantías suficientes”. A este respeto, “la licitud del tratamiento exige que el interesado sea informado sobre los fines a los que están destinados los datos (consentimiento informado)”.

En esa línea, la Agencia ha destacado que en el ámbito laboral, dicho requisito “cobra especial relevancia por la diferente posición que ocupan el empleador y el empleado, siendo necesario que se acredite que la no prestación del consentimiento por el trabajador no implicará ninguna consecuencia negativa para el mismo, de tal forma que quede garantizada su libre prestación”.

Pues, sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y por ende, el tratamiento de datos efectuado por la empresa sería ilícito.

Centrándose en el supuesto denunciado, la AEPD ha determinado que la empresa realizó un tratamiento ilícito de los datos personales de la reclamante, por cuanto no contaba con el consentimiento de la misma para dicho tratamiento.

La Agencia afirma que en el presente caso, aunque la trabajadora hubiese prestado el consentimiento que la empresa recaba de sus trabajadores mediante el formulario habilitado por ello, aun así dicho consentimiento no podría considerarse válido para el tratamiento de datos objeto de la reclamación.

Y ello porque la empresa “ni siquiera informa debidamente sobre este tratamiento de datos, sobre su finalidad y base jurídica o el derecho a retirar el consentimiento, en su caso, de conformidad con lo establecido en el artículo 13 del RGPD; ni ha establecido ningún mecanismo para que los interesados puedan prestar un consentimiento explícito”, recoge la resolución.

En consecuencia, se considera probado que la mercantil ha incumplido el artículo 6.1 del Reglamento General de Protección de Datos (RGPD) al haber realizado un tratamiento ilícito de los datos personales de la reclamante por no contar con su consentimiento, “ni con otra base jurídica que lo ampare”.

Teniendo en cuenta las circunstancias del caso y la gravedad de la infracción en la medida en que la cesión del número de teléfono sin consentimiento hace perder a la trabajadora el poder de disposición sobre dicho dato personal, la AEPD ha sancionado a la empresa con una multa de 6.000 euros.

Fuente: Agencia Española de Protección de Datos

El presidente y el adjunto han sido nombrados mediante Real Decreto tras una evaluación de su mérito, capacidad, competencia e idoneidad por parte de un comité de selección y después de haber sido ratificados por el Congreso, siguiendo el procedimiento establecido en el artículo 48 de la LOPDGDD.

Lorenzo Cotino Hueso y Francisco Pérez Bes han sido nombrados, respectivamente, presidente y adjunto, de la Agencia Española de Protección de Datos (AEPD), nombramientos que se producen tras una evaluación de su mérito, capacidad, competencia e idoneidad por parte de un comité de selección y después de haber obtenido el voto favorable del Congreso de los Diputados.

Lorenzo Cotino Hueso es doctor y licenciado en Derecho por la Universidad de Valencia, donde es profesor desde hace treinta años, Máster en derechos fundamentales en Barcelona por ESADE, licenciado y diplomado en Estudios Avanzados de Ciencias Políticas por la UNED y Catedrático de Derecho Constitucional por la Universitat de Valencia (2017).

Ha recibido premios de investigación nacionales, así como el Premio Extraordinario de Doctorado o el reconocimiento como doctor honoris causa o profesor honorario de universidades extranjeras. Es autor de 14 monografías, coordinador de otras 26 y ha realizado más de doscientos artículos o capítulos científicos, la mayoría relacionados con la privacidad, la protección de datos y la transparencia. También ha dirigido y gestionado una veintena de proyectos de investigación en estas materias y ha coordinado la red de especialistas www.derechotics.com desde 2024.

Ha sido magistrado suplente del Tribunal Superior de Justicia de la Comunidad Valenciana (contencioso‒administrativo 2000‒2019), vocal del Consejo de Transparencia de la Comunitat Valenciana y vicepresidente del Foro de Gobierno Abierto de España.

Asimismo, ha participado en actividades de consultoría para la Administración relacionadas con el cumplimiento del Reglamento de IA y la preparación de un sandbox de IA en España, con experiencias similares en distintas empresas en virtud de convenios suscritos entre estas y la Universidad de Valencia. Desde 2020 ha sido director de privacidad de OdiseIA, el Observatorio del Impacto Ético y Social de la Inteligencia Artificial.

Por su parte, Francisco Pérez Bes es licenciado en Derecho y cuenta con el máster en Derecho Internacional de los Negocios, el postgrado en finanzas corporativas y el programa IP&IT por ESADE. Ostenta el diploma de suficiencia investigadora otorgado por la UNED y, en la actualidad, es doctorando en la USAL. Ha realizado el curso de jefes de seguridad del servicio de protección y órganos de control impartido por la Oficina Nacional de Seguridad.

Ha sido secretario general y delegado de protección de datos del Instituto Nacional de Ciberseguridad de España (INCIBE) entre 2014 y 2019 y fue Compliance Officer en Ladbrokes Betting & Gaming entre 2011 y 2014. Tiene experiencia directiva en distintas empresas y entidades vinculadas al ámbito legal y ha sido socio de Digital Law en Ecix Group hasta la actualidad.

Ha recibido distintas condecoraciones como la medalla a la ciberdefensa otorgada por la Asociación Española de Peritos Informáticos, la medalla al mérito con distintivo blanco de la Guardia Civil y la medalla al mérito de la Abogacía de Castilla y León. Tiene una extensa experiencia docente y cuenta con obras y artículos publicados en materia de protección de datos, ciberseguridad y otras materias conexas.

Voto favorable del Congreso

El artículo 48 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales establece que la presidencia de la Agencia Española de Protección de Datos y su adjuntía serán nombradas por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos.

Por su parte, el artículo 20 del Estatuto de la Agencia Española de Protección de Datos establece que la propuesta de las personas candidatas más idóneas debe ser realizado por un comité de selección tras evaluar el mérito, capacidad, competencia e idoneidad de las mismas.

Una vez realizada esta propuesta, el Gobierno la remitió al Congreso de los Diputados, siendo ratificada por la Comisión de Justicia del Congreso el pasado 19 de febrero en votación pública por mayoría absoluta.

Los mandatos del presidente y del adjunto de la Agencia Española de Protección de Datos tienen una duración de cinco años y pueden ser renovados por otro período de igual duración.

Fuente: Agencia Española de Protección de Datos.

Las Directrices, impulsadas por la Agencia Española de Protección de Datos, recogen diez principios para el cumplimiento de la normativa de protección de datos a la hora de acceder a servicios online que tengan restricciones de acceso en función de la edad.

El Comité Europeo de Protección de Datos (CEPD) ha adoptado en reunión plenaria un Dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos. Estas directrices han sido impulsadas por la Agencia Española de Protección de Datos (AEPD) en el marco de sus acciones para la protección efectiva de la infancia y adolescencia en Internet manteniendo los derechos y libertades de toda la ciudadanía, tanto mayores como menores de edad.

En marzo de 2024, el CEPD aprobó el mandato solicitado por la Agencia para definir unas directrices en materia de verificación de edad. Ello supuso el inicio de un intenso trabajo liderado por la AEPD en un equipo formado por distintas autoridades de protección de datos (Irlanda, Francia, Alemania y España) que ha culminado con su aprobación por unanimidad.

Este Dictamen proporciona una guía que emana del Reglamento General de Protección de Datos (RGPD) y que tiene en cuenta las implicaciones y consecuencias de la utilización de herramientas y sistemas de demostración de la edad en los tratamientos de datos personales, incluyendo ejemplos prácticos. Las directrices se centran en el acceso a servicios online, incluidos aquellos casos en los que la ley establece una edad mínima para comprar productos, usar servicios o realizar actos, así como cuando exista un deber de cuidado para proteger a la infancia y adolescencia.

Este dictamen facilita el desarrollo de un enfoque más consistente en la UE para la protección del menor en relación con el acceso a servicios online en tratamientos en los que haya que garantizar la edad de acceso, basado en la aplicación de los principios de protección de datos por diseño y por defecto. Se trata de un instrumento primordial para que los intervinientes en el ecosistema de Internet, y para que las autoridades nacionales y europeas con competencia en el ámbito digital, dispongan de la información necesaria en relación con las estrategias más adecuadas para la demostración de la edad. Además, será una influencia positiva para promover soluciones realmente efectivas para la protección integral del menor, como la de un Internet Seguro por Defecto y a salvo de la exposición a patrones adictivos.

El trabajo realizado en la elaboración de este Dictamen se fundamenta en el marco de las iniciativas de la AEPD para la protección de menor en el entorno digital. En particular, se deriva directamente del Decálogo de Principios de Verificación de edad y sistemas de protección de personas menores de edad ante contenidos inadecuados presentado por la AEPD en diciembre de 2023, junto con unas pruebas de concepto prácticas.

Principios recogidos en el Dictamen

El dictamen desarrolla diez principios que establecen que las herramientas de determinación de la edad no se pueden entender de forma aislada, sino en el marco de la protección de los derechos y libertades de las personas. Así, la determinación de que se cumplen las restricciones debe suponer un incremento de los mismos, en este caso de la protección de los derechos de la infancia y la adolescencia en Internet, sin que ello suponga una merma en otros derechos de los mismos menores y de la ciudadanía en general.

Los principios desarrollan requisitos sobre la prevención de riesgos, de limitación y de minimización, que insisten, en particular, en que la verificación de edad no debe proporcionar recursos para que los servicios de internet identifiquen, localicen, perfilen o sigan la actividad digital de las personas. Enfatizan la necesidad del uso de herramientas efectivas con una visión amplia, por ejemplo, que no supongan limitar el derecho a acceder a Internet, la obligación de licitud, lealtad y transparencia, que no suponga un sometimiento de las personas a decisiones automatizadas sin las garantías del RGPD y la aplicación del principio de protección de datos desde el diseño y por defecto.

Finalmente, los principios resaltan el impacto que las brechas de datos podrían tener en el uso de dichas herramientas, con la obligación de aplicar los principios de minimización de datos además de medidas de seguridad, y estableciendo que cualquier herramienta, en un entorno tan complejo, debe implementar métodos de gobernanza en el ecosistema de Internet que demuestren el cumplimiento normativo.

Fuente: El Derecho.

El Tribunal Superior de Justicia de La Rioja ha determinado que la utilización de una foto de perfil inapropiada en WhatsApp en un teléfono corporativo no justifica un despido disciplinario.

El caso tiene origen cuando un trabajador utilizó como imagen de perfil de whatsapp en su móvil de empresa una fotografía en la que aparecía una mujer con una camiseta mojada y ajustada. La empresa calificó la conducta como una falta grave por negligencia en el trabajo. Sin embargo, la sentencia de instancia concluyó que los hechos no encajaban en esta categoría, ya que la normativa laboral no contemplaba este tipo de comportamiento como motivo de despido.

En su recurso la empresa argumenta que la utilización de una imagen inadecuada en el perfil de WhatsApp del teléfono corporativo supone una infracción grave o muy grave, pero el Tribunal rechaza esta pretensión al no existir prueba documental o pericial que acredite un error en la valoración de los hechos realizada en la instancia. Además, señala que no se ha identificado normativa interna que regule el uso del móvil de empresa ni advertencias previas al trabajador sobre la supuesta irregularidad.

La sentencia subraya que el principio de tipicidad impide sancionar conductas que no están expresamente tipificadas en el Estatuto de los Trabajadores o en el convenio colectivo aplicable. En este caso, el uso de una imagen en WhatsApp no encaja en los supuestos de negligencia o desidia en el trabajo que afecten a la buena marcha de la empresa, ni se demuestra que haya causado un perjuicio real o afectado a su imagen externa.

El Tribunal también aprecia una falta de proporcionalidad en la sanción, al considerar que la carta de despido se basa en imputaciones genéricas y ambiguas que incumplen los requisitos legales. Aunque el trabajador había sido sancionado previamente, la empresa no justifica que la nueva conducta constituya una falta grave, requisito indispensable para aplicar la agravante de reincidencia y calificar el despido como procedente.

Asimismo, se destaca que la imagen utilizada por el trabajador en WhatsApp solo es visible para compañeros de trabajo y no trasciende al ámbito externo, sin que consten quejas ni afectaciones a la actividad de la empresa. La falta de instrucciones previas sobre el uso del móvil refuerza la inexistencia de una infracción sancionable.

Ante la ausencia de una infracción normativa y la desproporción de la medida extintiva, el TSJ desestima el recurso y confirma la improcedencia del despido.