Fuente: Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos publica la Memoria 2025

El año pasado la AEPD recibió 30.931 reclamaciones, lo que supone el número de reclamaciones más alto de la historia de esta Autoridad, a las que se suman los casos transfronterizos procedentes de otras autoridades de control y las actuaciones iniciadas por iniciativa propia

Las seis áreas de actividad con mayor número de procedimientos sancionadores y de apercibimiento corresponden a videovigilancia; servicios de Internet; quiebras de datos personales; administraciones públicas; comercio, transporte y hostelería y sanidad

La Agencia lideró 47 casos transfronterizos como autoridad principal y ha cooperado como interesada en 419

El incremento en la cuantía global de sanciones impuestas refleja tanto el aumento de casos que se presentan en la Agencia como la complejidad de los tratamientos analizados, su mayor alcance y, por tanto, el impacto de las infracciones cometidas sobre los derechos y libertades de las personas

El número de reclamaciones que se han tramitado por la vía preferente a través del Canal prioritario es un 23% superior al del año pasado

El año se cerró con más de 126.000 personas delegadas de protección de datos comunicadas ante la Agencia

La Agencia Española de Protección de Datos (AEPD) ha presentado ayer su Memoria de actuación 2025, que recoge con detalle las cifras de gestión, un balance de las actuaciones realizadas, las acciones de colaboración e inspección puestas en marcha, los informes y procedimientos más relevantes del año, un análisis de las tendencias normativas y los desafíos para la privacidad, tanto en un plano nacional como internacional.

El año 2025 ha estado marcado por el inicio de una nueva presidencia y adjuntía en el organismo y la publicación del Plan estratégico 2025-2030, que fija las líneas clave de actuación de la autoridad orientándose al fomento de la innovación responsable y la defensa de la dignidad en la era digital teniendo en cuenta los retos tecnológicos emergentes.

La Memoria refleja que en 2025 se presentaron ante la Agencia 30.931 reclamaciones, lo que supone el número de reclamaciones más alto de la historia de esta Autoridad, con un incremento del 64% respecto al año anterior. Este aumento evidencia un mayor conocimiento y concienciación de la ciudadanía tanto sobre sus derechos como de la posibilidad de reclamar ante la Agencia. A esta cifra se suman 1.118 casos (+36%) transfronterizos procedentes de otras autoridades de control europeas y 14 casos iniciados por iniciativa propia del organismo. Ello supone un total de 32.063 entradas de nuevos casos a Inspección, destacando que no sólo supone un incremento exorbitado, sino que estos son cada vez más complejos debido al impacto de las nuevas tecnologías y las amenazas crecientes que suponen para la privacidad, y los procedimientos transfronterizos que deben llevarse a cabo en coordinación con otras autoridades europeas.

Tanto estas cifras como la mayoría de las recogidas en la Memoria en todas las subdirecciones y divisiones reflejan una carga de trabajo creciente que no se ha visto acompasada por un incremento proporcional en la evolución de la plantilla. En este sentido, la Agencia recoge en su Plan estratégico 2025-2030 la apuesta por una supervisión apoyada en la tecnología que prioriza la acción en las áreas de mayor impacto sobre la dignidad y los derechos de las personas, con medidas como la adopción de la inteligencia artificial con garantías y el desarrollo de sistemas avanzados de supervisión.

En cuanto a las brechas de datos personales, se han incrementado un 157% los procedimientos sancionadores o de apercibimiento realizados, pasando de los 30 de 2024 a 77 en 2025. Estos procedimientos han derivado en sanciones por importe de casi 20 millones de euros (19.836.603 euros). Esta cifra supone un 40% de la cuantía total de sanciones impuestas en 2025, que asciende a 48.108.765 euros. De hecho, dos terceras partes de ese importe total está concentrado en tres categorías de casos: servicios de internet; comercio, transporte y hostelería; y brechas de seguridad.

El aumento en el número de multas impuestas y su importe respecto a 2024 refleja tanto el incremento de casos que se presentan en la Agencia como la complejidad de los tratamientos analizados, su mayor alcance y, por tanto, el impacto de las infracciones cometidas sobre los derechos y libertades de las personas. Un diseño de los tratamientos de datos personales no adaptado a la normativa genera que, a raíz de una o varias reclamaciones relacionadas con un hecho aparentemente aislado, descubra una manera de proceder general del responsable por tratarse de problemas sistémicos con riesgos reales o potenciales para todas las personas usuarias de sus servicios.

Las seis áreas de actividad con mayor número de procedimientos sancionadores y de apercibimiento finalizados en 2025 corresponden a videovigilancia (81, -4% respecto a 2024); servicios de Internet (77, -3%); quiebras de datos personales (46, +229%); administraciones públicas (41, -105%); comercio, transporte y hostelería (41, +54%) y sanidad (34, +278%).

La Memoria 2025 recoge las Administraciones Públicas sancionadas por incumplir los requerimientos y medidas correctivas impuestas. Tanto la falta de respuesta a los requerimientos de información que envía la Agencia como el hecho de no acreditar que se han cumplido las medidas impuestas suponen infracciones muy graves.

En casos transfronterizos, la Agencia ha liderado 47 en 2025 como autoridad principal (frente a los 22 de 2024, +114%) y ha cooperado como interesada en 419 (+20%). La Memoria detalla los principales procedimientos sancionadores transfronterizos en los que la Agencia ha sido autoridad principal y en los que ha sido autoridad interesada. Asimismo, se han recibido 1.558 peticiones de otras autoridades, solicitudes de asistencia y consulta, y proyectos de decisión (+16%).

En cuanto al Canal Prioritario ‒para solicitar la retirada urgente de contenido publicado en internet sin el permiso de las personas que aparecen (sexual, violento y otros casos especialmente sensibles)‒, el número de reclamaciones que se han tramitado por la vía preferente es un 23% superior al del año pasado, 49 en 2025. La eficacia de las intervenciones realizadas en el ámbito de estos casos, medida por la proporción de retiradas de contenido requeridas y cumplidas en el año ha sido de un 82%, una cifra igual a la de 2024.

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 38 dictadas en 2025, el 76% de ellas han sido inadmitidas o han resultado desestimatorias.

En lo relativo a las cifras de personas delegadas de protección de datos (DPD) comunicadas ante la Agencia, el año 2025 se ha cerrado con 126.176 frente a 119.803 de 2024. De la cifra del año pasado, 116.007 corresponden al sector privado y 10.169 al sector público. Por lo que respecta a las cifras de acceso a las herramientas web de ayuda a los responsables que ofrece la Agencia, estas continúan acumulando accesos en 2025: Facilita (51.979), Facilita Emprende (6.571), Gestiona RGPD (29.304), Evalúa Riesgo (22.858), Comunica-Brecha RGPD (15.214), Asesora-Brecha RGPD (9.237) y Validacripto (5.867).

Por otro lado, hay que destacar la intensa actividad desplegada en reuniones, jornadas, congresos, cursos y otro tipo de actos derivados de, entre otras cuestiones, las labores de concienciación a los responsables para apoyar el cumplimiento normativo, el fomento de la escucha activa recogida en el Plan estratégico 2025-2030 y las actividades internacionales, tanto en el marco del Comité Europeo de Protección de Datos como de la Red Iberoamericana de Protección de Datos.

Por su interés reproducimos artículo publicado por la Agencia Española de Protección de Datos

Autor: Francisco Pérez Bes, adjunto de la Agencia Española de Protección de Datos

Una sentencia reciente del Tribunal Supremo [STS 1590/2026] consolida una precisión interpretativa de gran relevancia en la aplicación del Reglamento General de Protección de Datos (RGPD): el concepto de “tratamiento de datos personales” no se limita a las actuaciones posteriores a la obtención material de los datos, sino que incluye las actuaciones previas dirigidas a su obtención, en este caso, a su solicitud.

El caso tiene su origen en un procedimiento sancionador en el que se cuestionaba la petición, por parte de una administración pública, de datos relativos a la salud de un empleado. En concreto, se requirió a la persona que aportara diagnóstico y tratamiento médico para justificar determinadas ausencias. Ante su negativa a facilitar esa información, la controversia se centró en determinar si podía hablarse de “tratamiento de datos” cuando los datos fueron requeridos, si bien nunca llegaron a ser efectivamente entregados por dicho empleado.

Frente al criterio de la Audiencia Nacional —que entendía que sólo podía considerarse la existencia de tratamiento en el caso de recogida efectiva—, el Tribunal Supremo adopta una interpretación distinta.

En primer lugar, el Tribunal parte de la definición amplia de tratamiento contenida en el artículo 4 del RGPD y rechaza una lectura estrictamente literal. Como recuerda la sentencia, el concepto de tratamiento abarca “cualquier operación o conjunto de operaciones realizadas sobre datos personales”, lo que evidencia la voluntad del legislador europeo de otorgarle un alcance extensivo y no limitada a un acceso efectivo o material.

El elemento decisivo de la argumentación no reside —únicamente— en esa definición, sino en su conexión con el resto del sistema normativo. En particular, el Tribunal subraya que no es posible interpretar el concepto de tratamiento de forma aislada, sino en relación con los principios del artículo 5 y con el principio de protección de datos desde el diseño y por defecto del artículo 25.

En este punto, la sentencia introduce una idea clave:

Las obligaciones del responsable del tratamiento no nacen con la recepción de los datos, sino con anterioridad, en el momento en que se decide qué datos se van a solicitar, para qué finalidad y por qué medios.

 

Este razonamiento se apoya directamente en el contenido del artículo 25 del RGPD, que exige aplicar medidas de protección “tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento”.

A partir de esta base, el Tribunal Supremo formula su conclusión principal:

Ya existe “tratamiento de datos” en el momento en el que la Administración solicita a una persona física la entrega de datos personales, aunque, al final, éstos no se entreguen por el interesado.

 

Esta afirmación tiene consecuencias jurídicas inmediatas. Si la solicitud ya forma parte del tratamiento, entonces los principios del artículo 5 del RGPD y, en particular, el principio de minimización, resultan exigibles también en ese mismo momento. Ello supone, como lógico corolario, que las actuaciones de un responsable del tratamiento previas a la “recepción” del dato están también sujetas al cumplimiento de los principios del RGPD, y entre ellos, como razona el TS, respecto del principio de protección de datos desde el diseño.

En este sentido, la sentencia es especialmente clara al señalar que el responsable debe examinar, con carácter previo a la obtención de los datos, si los datos solicitados son adecuados, pertinentes y limitados a lo necesario en relación con la finalidad perseguida.

El Tribunal refuerza esta interpretación mediante un argumento de protección efectiva de derechos fundamentales. A su juicio, condicionar la aplicación de los principios al momento en que los datos ya han sido recogidos vaciaría en gran medida su eficacia, ya que, si la valoración de adecuación y proporcionalidad se realizara una vez que la Administración ya dispone de los datos, la protección del interesado resultaría claramente insuficiente.

De hecho, la sentencia advierte expresamente que una interpretación contraria generaría una situación de incertidumbre incompatible con la seguridad jurídica y con la garantía del derecho fundamental a la protección de datos.

En consecuencia, el Tribunal concluye que la solicitud de datos personales no es un acto neutro ni preliminar, sino que forma parte de una actividad “diseñada, planificada y ordenada a la obtención de datos”, lo que la integra plenamente en el concepto de tratamiento.

Esta interpretación resulta coherente, además, con la jurisprudencia del Tribunal de Justicia de la Unión Europea, que ha insistido en el carácter amplio del concepto de tratamiento.

En definitiva, la sentencia consolida un mensaje claro para los responsables del tratamiento, como que no basta con cumplir el RGPD una vez que los datos han sido recabados: la exigencia de cumplimiento es previa, debe comenzar antes, esto es, en el mismo momento en que se diseña el tratamiento, comprendiendo las finalidades de este y los datos que se pretende recabar. De este modo, podemos concluir que la solicitud de datos forma parte del concepto de tratamiento, aunque sin excluir —no lo hace la sentencia— que deba cumplir el artículo 5 del RGPD previo a tal actuación, como sería el caso del momento en el que el responsable diseña el tratamiento.

Fuente: Agencia Española de Protección de Datos.

El presidente de la AEPD ha inaugurado la Jornada ‘10º aniversario del RGPD: Una década de retos y desafíos’ junto a Anu Talus, presidenta del Comité Europeo de Protección de Datos.

Cotino ha remarcado la necesaria compatibilidad entre innovación y derechos para generar confianza en los entornos digitales y construir un auténtico progreso, así como la importancia de que la AEPD se anticipe a los retos emergentes derivados de tecnologías disruptivas,

El presidente de la Agencia Española de Protección de Datos (AEPD), Lorenzo Cotino, ha inaugurado la Jornada ‘10º aniversario del RGPD: Una década de retos y desafíos’, un evento configurado como un espacio de reflexión sobre la evolución, impacto y retos futuros del marco europeo de protección de datos.

Cotino ha calificado el Reglamento General de Protección de Datos (RGPD) como una apuesta estructural de la UE por la defensa de los derechos en los entornos digitales frente a la fragmentación que existía con anterioridad: “Los 27 somos mucho más fuertes de manera coordinada, máxime ante quienes tratan datos personales a gran escala”. El presidente de la Agencia ha mencionado que la protección de datos es el derecho que recibe “todos los embates de las tecnologías disruptivas en primer lugar” y por eso la Agencia ya está trabajando para anticiparse y analizar de forma temprana los riesgos derivados de ellas. En este sentido ha enfatizado que principios del RGPD como calidad, minimización y proactividad, junto a la necesidad de realizar análisis de riesgos y evaluaciones de impacto han consolidado “pautas y reglas de actuación en los nuevos contextos tecnológicos”.

Durante su intervención Cotino ha remarcado la necesaria compatibilidad entre innovación y derechos para generar confianza en los entornos digitales y construir “un auténtico progreso”. “Apostamos por una tecnología que se desarrolla en beneficio de la humanidad, de acuerdo con los derechos fundamentales y sin dejar a Europa atrás en la innovación”, ha añadido.

El presidente de la AEPD ha expresado su preocupación por el uso de la IA en el tratamiento de datos personales, y especialmente en el caso de colectivos vulnerables. Por otra parte, ha destacado la Política interna de la Agencia para el uso de IA generativa, que ha situado a la Agencia como una institución pionera en el uso responsable, legal y transparente de la IA y la automatización en la Administración Pública, promoviendo la confianza en su implementación con garantías. En paralelo, el lanzamiento del Laboratorio de la AEPD ha permitido ampliar la actividad en torno a la investigación, la difusión de contenidos e iniciativas externas y el apoyo a las propuestas innovadoras.

La inauguración de la Jornada ha contado también con la participación de la presidenta del Comité Europeo de Protección de Datos (EDPB), Anu Talus. Durante su intervención, Talus ha destacado la importancia de la cooperación entre las autoridades nacionales de protección de datos, “que trabajan para garantizar la aplicación coherente del RGPD”.

En concreto, ha resaltado la excelente cooperación y la estrecha relación de trabajo entre el EDPB y la AEPD. En su opinión, la Agencia ha desempeñado un papel destacado en la incorporación de nuevos temas en la agenda y en el intercambio de su experiencia con colegas de toda Europa. En paralelo, ha elogiado el papel desempeñado por la AEPD en el marco de la Red Iberoamericana de Protección de Datos, “actuando como puente entre las autoridades de protección de datos europeas y latinoamericanas”.

Finalmente, la presidenta del EDPB ha puesto de relieve que el RGPD no es un instrumento estático sino un marco que sigue evolucionando a través de la práctica, la cooperación y la interpretación. “Nuestra responsabilidad como reguladores es garantizar que siga siendo eficaz, coherente y capaz de responder a nuevos desarrollos”, ha remarcado.

Fuente: Agencia Española de Protección de Datos

El documento tiene como firmantes a la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos, el Consejo de Transparencia y Protección de Datos de Andalucía y la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial

Se trata de la primera vez que las autoridades españolas competentes en materia de protección de datos suscriben un compromiso conjunto

Las autoridades de protección de datos han suscrito una declaración institucional en la que, por primera vez, adoptan un compromiso conjunto que refuerza la cooperación para hacer frente a los retos relacionados con la transformación digital, la creciente economía del dato y el uso intensivo de tecnologías emergentes, incluidas las nuevas formas de tratamiento masivo de información personal.

‘Declaración institucional sobre el fortalecimiento de la cultura de la privacidad y la protección de datos personales’ está suscrita por la Agencia Española de Protección de Datos (AEPD), la Autoridad Catalana de Protección de Datos (APDCAT), la Autoridad Vasca de Protección de Datos (AVPD), el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) y la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ). El texto se ha presentado durante la celebración de la jornada ‘10º aniversario del RGPD (2016-2026): Una década de retos y desafíos’.

Las autoridades parten del reconocimiento al Reglamento General de Protección de Datos (RGPD) como referente normativo global para la protección de un derecho fundamental vinculado a la dignidad de la persona, al libre desarrollo de la personalidad y al funcionamiento de una sociedad democrática. Por otro lado, subrayan que la privacidad es también un elemento clave para generar confianza en los entornos digitales, condición necesaria para el desarrollo de una economía del dato legítima y sostenible.

La declaración pública aborda expresamente la cooperación y colaboración entre autoridades para mejorar la eficiencia y avanzar hacia enfoques comunes orientados a la promoción de una cultura de la privacidad, la prevención de riesgos y el fortalecimiento de la confianza de la ciudadanía, teniendo en cuenta la creciente complejidad de los tratamientos de datos personales, la aceleración de la innovación tecnológica y su impacto transversal en la sociedad.

Uno de los ejes centrales de este compromiso institucional es el impulso de una cultura de la privacidad, con la promoción activa de la concienciación social y el conocimiento de este derecho. En paralelo, la declaración recoge la promoción del cumplimiento normativo. Para ello, se prevé intensificar la elaboración y difusión de guías, directrices y herramientas prácticas dirigidas especialmente a organizaciones con recursos limitados, como pymes, micropymes, entidades del tercer sector, pequeños municipios o sectores de especial complejidad.

El texto también reconoce el papel estratégico de las personas delegadas de protección de datos y profesionales de la privacidad. Estas figuras son consideradas esenciales para garantizar la aplicación efectiva del RGPD en las organizaciones, y por ello se comprometen a reforzar su posición impulsando redes de colaboración y espacios de intercambio de conocimiento.

Otro ámbito prioritario es la protección de los colectivos vulnerables en los entornos digitales. La declaración prevé actuaciones específicas dirigidas a la infancia y la adolescencia, así como a personas mayores o víctimas de violencia de género. Se presta especial atención al ámbito educativo y al uso de tecnologías como la inteligencia artificial.

La anticipación de riesgos asociados a tecnologías emergentes constituye igualmente una línea de actuación destacada. Las autoridades apuestan por enfoques prospectivos que permitan identificar y analizar de forma temprana los riesgos que estas tecnologías puedan plantear para la privacidad de las personas. Para ello, se reforzará el intercambio de información y conocimiento técnico entre autoridades, promoviendo la puesta en común del trabajo realizado.

Con esta declaración, las autoridades de protección de datos reafirman su voluntad de avanzar de forma conjunta hacia un modelo de gobernanza que sitúe la privacidad en el centro del ecosistema digital, consolidando un marco de derechos que responda a los desafíos de una sociedad cada vez más interconectada y tecnológicamente compleja.

Fuente: Consejo General del Poder Judicial

La Comisión Permanente toma conocimiento del texto, que señala la necesidad de que la entrega a los centros escolares de información sobre el régimen de guarda y custodia de los menores se limite a los datos estrictamente necesarios.

La Comisión Permanente del Consejo General del Poder Judicial ha tomado hoy conocimiento de las directrices, elaboradas por la Dirección de Supervisión y Control de Protección de Datos (DSyCPD), que se pondrán en conocimiento de todos los miembros de la Carrera Judicial, así como de los letrados/as de la Administración de Justicia con el fin de garantizar una mayor protección de aquellos datos personales contenidos en los procedimientos judiciales que puedan afectar directamente a los menores.

La colaboración entre el CGPJ y la Agencia Española de Protección de Datos, junto con la propuesta realizada por la Asociación Española de Abogados de Familia, han permitido detectar la necesidad de establecer medidas que garanticen el cumplimiento del principio de minimización de datos por parte de los órganos judiciales cuando se vean afectados intereses de los menores, dada su situación de especial vulnerabilidad.

En la práctica, la aplicación de este principio, recogido el art. 5 del Reglamento General de Protección de Datos y según el cual el tratamiento de los datos debe ser “adecuado, pertinente y limitado en lo necesario (…)”, es exigible en aquellos casos en los que los progenitores solicitan al órgano judicial información sobre determinados aspectos contemplados en una sentencia, convenio regulador u otro documento judicial con el fin de facilitarla a terceros, como puede ser el centro escolar.

El cumplimiento de este principio, tal y como se señala en las directrices, evitaría entregar íntegros a terceros documentos judiciales que pueden contener información sensible para los menores, como es la relacionada con la atribución de la patria potestad; el régimen de guarda y custodia de los menores; el régimen de visitas, estancias y comunicación; el régimen de recogidas en el centro escolar o en el lugar donde se desarrollen las actividades extraescolares; la atribución de facultades decisorias sobre distintas cuestiones (uso del comedor o transporte escolar, entre otras); órdenes de alejamiento y prohibición de comunicación de padres y madres respecto de los hijos; distribución de los costes económicos relacionados con el centro escolar, etc.

Las solicitudes de información al órgano judicial podrán realizarse por medios electrónicos, bien con la intervención de un procurador bien directamente por los progenitores, para lo que se habilitarán unos formularios específicos en los que podrán indicarse los datos requeridos.

El CGPJ dará traslado de las directrices y de los formularios a las Salas de Gobierno de los Tribunales Superiores de Justicia para su distribución entre los órganos jurisdiccionales de sus respectivos territorios; al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes para su entrega a los letrados/as de la Administración de Justicia; y al comité Técnico Estatal de la Administración electrónica (CTEAJE) para su distribución a las administraciones autonómicas con competencias en materia de justicia.

Las directrices y los formularios pueden consultarse y descargarse en el siguiente enlace:

https://www.poderjudicial.es/cgpj/es/Temas/Direccion-de-supervision-y-control-de-proteccion-de-datos/Documentacion/Guias-y-directrices/Directrices-1-2026–de-14-de-abril-de-2026–de-la-Direccion-de-Supervision-y-Control-de-Proteccion-de-Datos-del-Consejo-General-del-Poder-Judicial-sobre-el-cumplimiento-del-principio-de-minimizacion-de-datos-en-la-expedicion-de-certificados-que-contengan-informacion-que-afecten-a-menores

Fuente: Agencia Española de Protección de Datos

La AEPD está comprometida con facilitar las posibilidades de la investigación, apostando claramente por favorecer una innovación compatible con los derechos de las personas, como se recoge en su Plan estratégico 2025-2030.

La consulta pública del Comité Europeo permanecerá abierta hasta el 25 de junio de 2026, dando a las partes interesadas la posibilidad de presentar sus observaciones.

El Comité Europeo de Protección de Datos (EDPB), organismo de la UE del que forma parte la Agencia Española de Protección de Datos (AEPD), ha adoptado unas Directrices sobre el tratamiento de datos personales con fines de investigación científica (Guidelines 1/2026 on processing of personal data for scientific research purposes). Estas Directrices, que se publican tras seis años de complejos trabajos y estudios, están sometidas a consulta pública hasta el 25 de junio de 2026, dando a las partes interesadas la posibilidad de presentar sus observaciones.

Muchas áreas de la investigación científica dependen del procesamiento de datos personales, y ello ha impulsado avances científicos significativos que benefician a la sociedad. El auge de nuevas tecnologías, como la inteligencia artificial, también contribuye al progreso científico al permitir a los investigadores utilizar y analizar datos de formas innovadoras.

El EDPB aclara en sus Directrices el concepto de ‘investigación científica’, proporcionando seis factores clave que deben considerarse, además de la naturaleza, alcance, contexto y fines del tratamiento. Por otro lado, se presume que el procesamiento posterior con fines de investigación científica es compatible con el propósito inicial de recopilar datos personales tras asegurarse de que la base legal del tratamiento inicial sea también adecuada para el tratamiento posterior. Asimismo, se recoge el ‘consentimiento amplio’ cuando los propósitos de la investigación no se conocen completamente al recopilar los datos personales, con ciertas salvaguardas, y el ‘consentimiento dinámico’, para solicitar a las personas que consientan por separado diferentes proyectos de investigación individuales tan pronto como se conozcan los fines de esos proyectos.

La AEPD ha interpretado el Reglamento General de Protección de Datos (RGPD) de una forma tal que convierte la legislación española en una de las más avanzadas de la Unión Europea, tanto por su equilibrada protección de los derechos fundamentales de las personas como por su flexibilidad en el uso de datos para el progreso de la sociedad.

En el ámbito europeo, la AEPD ha apoyado las medidas previstas en la propuesta de Reglamento de simplificación del marco legislativo digital (Digital Omnibus), en particular el reconocimiento explícito del interés legítimo como base jurídica válida para el tratamiento de datos personales con fines de investigación científica.

De igual modo, ha valorado positivamente las novedades introducidas por la propuesta de European Biotech Act encaminadas a facilitar el uso secundario de los datos recogidos en el contexto de ensayos clínicos para otros ensayos o para fines de investigación científica gracias a una mayor armonización de las bases jurídicas del RGPD y la reducción de la fragmentación normativa entre Estados miembros.

Estas modificaciones contribuirán a impulsar la investigación biomédica y el sector de los ensayos clínicos —en el que España ocupa una posición destacada— sin menoscabo de las garantías esenciales de protección de datos y de los derechos fundamentales de las personas.

Fuente: Agencia Española de Protección de Datos

El documento ha sido elaborado de forma conjunta por la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía, y está dirigido a los distintos agentes y operadores que mediante plataformas tecnológicas tratan datos personales en el ámbito de la educación

Las Autoridades recuerdan la protección específica que requiere el tratamiento de datos de menores y el hecho de que la utilización de estas plataformas no es voluntaria para el alumnado o sus familias

Con la publicación de este decálogo, las Autoridades apuestan por promover un enfoque preventivo en el que las administraciones educativas, los centros concertados y privados, y las compañías que ofrecen plataformas educativas en la nube sean conscientes de sus roles y sus respectivas obligaciones

La Agencia Española de Protección de Datos (AEPD), la Autoridad Catalana de Protección de Datos (APDCAT), la Autoridad Vasca de Protección de Datos (AVPD) y el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) han elaborado un decálogo de cumplimiento en el que recogen de forma sistemática los principios básicos de protección de datos a tener en cuenta por las administraciones educativas y las empresas que ofrecen plataformas de servicios educativos en la nube, en la contratación y el uso de las mismas. Estos principios resultan también aplicables a los centros educativos públicos, concertados y privados.

La utilización de estas plataformas educativas digitales presenta riesgos y desafíos específicos para la protección de datos personales. Esto ha dado lugar a pronunciamientos por parte de las Autoridades de Protección de Datos, en el marco de sus respectivas competencias, dirigidos tanto a administraciones educativas como a centros docentes. Uno de los objetivos de estas orientaciones es promover el cumplimiento proactivo de la normativa, protegiendo a las personas usuarias de estos servicios en primer término, conformando un espacio de confianza y seguridad jurídica.

Las Autoridades de protección de datos destacan en el documento que las plataformas educativas digitales permiten al alumnado, profesorado y familias interactuar y colaborar con fines educativos, además de desarrollar las competencias digitales y facilitar la función docente. No obstante, también exponen que la implantación de estas plataformas entraña una responsabilidad importante, ya que supone un tratamiento masivo de datos personales entre los que destaca de forma muy relevante la información relativa a menores, que exige una protección específica.

Las Autoridades recuerdan que, además de esta protección reforzada vinculada al tratamiento de datos de menores recogido en la normativa, hay que sumar que la utilización de estas plataformas no es voluntaria para el alumnado o sus familias, sino que constituye la herramienta institucional facilitada para el ejercicio de la función educativa, con una posterior adhesión a la misma por parte de los alumnos, padres, madres o tutores.

Las Autoridades han detectado 10 puntos clave que se deben tener en cuenta: (1) Respeto a los derechos y libertades en el tratamiento de datos personales, (2) Determinación de la responsabilidad del tratamiento, (3) Legitimación y limitación de finalidades, (4) Evaluación de impacto y participación del delegado de protección de datos, (5) Transparencia e información, (6) Contrato de encargo de tratamiento y control de subencargados, (7) Garantías en transferencias internacionales, (8) Protección de datos desde el diseño y por defecto, (9) Seguridad de la información y (10) Garantía de los derechos de las personas.

Con la publicación de este decálogo, las Autoridades de Protección de Datos apuestan por promover un enfoque preventivo en el que las administraciones educativas, los centros públicos, concertados y privados, y las compañías que ofrecen plataformas educativas en la nube sean conscientes de sus roles y sus respectivas obligaciones, de forma que puedan tomar las medidas que les sean aplicables.

Fuente: Agencia Española de Protección de Datos

Esta iniciativa se pone en marcha en el marco del Comité Europeo de Protección de Datos

El informe final permitirá tener una visión amplia en el marco europeo

La Agencia Española de Protección de Datos (AEPD) participa en una acción europea coordinada para conocer cómo cumplen las organizaciones con sus obligaciones de transparencia e información. Esta iniciativa forma parte del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD) de 2026. El Reglamento General de Protección de Datos garantiza que las personas estén informadas del tratamiento de sus datos (arts. 12, 13 y 14), siendo un elemento fundamental de la transparencia y del control de la propia información personal.

Durante este año, 25 Autoridades de Protección de Datos europeas participarán en esta acción. La Agencia, por su parte, analizará las prácticas de una muestra de responsables del tratamiento, tanto del sector público como privado, para conocer buenas prácticas e identificar oportunidades de mejora relacionadas con el cumplimiento de estas obligaciones.

Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité publicará un informe sobre el resultado de este análisis una vez concluidas las acciones.

Esta acción es la quinta iniciativa del Marco de Aplicación Coordinada, entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron la aplicación del derecho de supresión por parte de las organizaciones, el cumplimiento del derecho de acceso, el uso de servicios en la nube por parte del sector público y la designación y situación de los delegados de protección de datos.

Fuente: Agencia Española de Protección de Datos

• El eje central es un vídeo divulgativo que muestra una simulación para, a continuación, ofrecer recomendaciones antes de realizar o difundir este tipo de contenidos.

• Lorenzo Cotino: “Este vídeo es una invitación a reflexionar y actuar con prudencia en el entorno digital”.

• Acceso al vídeo ‘Los deepfakes no son una broma’

La Agencia Española de Protección de Datos (AEPD) ha lanzado la iniciativa ‘Los deepfakes no son una broma’ para concienciar acerca de la creación y difusión de contenidos generados mediante técnicas de deepfake.

Los deepfakes son contenidos generados mediante algoritmos de IA que pueden replicar con gran realismo la voz, el rostro o los gestos de una persona. Esta tecnología, que también tiene aplicaciones legítimas, puede ser utilizada de forma inadecuada para intentar suplantar, humillar o desacreditar a una persona.

El eje central de la iniciativa es un vídeo divulgativo en el que, a través de un ejemplo práctico, se muestra cómo la IA puede generar contenidos audiovisuales realistas a partir de una simple fotografía. En el vídeo se presenta una simulación en pantalla dividida para, a continuación, transmitir que se trata de un montaje realizado con inteligencia artificial, en este caso, con consentimiento.

El presidente de la AEPD, Lorenzo Cotino, ha señalado que “la inteligencia artificial es una herramienta que puede contribuir al progreso social, pero su utilización debe ir acompañada de información y responsabilidad. Manipular imágenes de terceros con IA no es algo neutro, incluso en contextos aparentemente banales, y exige una valoración rigurosa. Este vídeo es una invitación a reflexionar y actuar con prudencia en el entorno digital”.

La Agencia recuerda a la ciudadanía la necesidad de contemplar los siguientes aspectos:

• Informarse sobre el funcionamiento de la IA y sus implicaciones legales, teniendo en cuenta los posibles efectos negativos que los deepfakes pueden tener en la vida personal, profesional o social de las personas afectadas.

• Solicitar consentimiento siempre que se vayan a utilizar imágenes o datos personales de terceros.

• Contrastar la información antes de difundir contenidos que puedan ser falsos o manipulados.

Esta iniciativa complementa a diversos materiales que la Agencia ha lanzado en los últimos meses y que ofrecen orientaciones prácticas para la ciudadanía en el uso de la IA, como El uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles, que analiza el impacto de subir, transformar o generar contenidos visuales a partir de la imagen de una persona, y Cuidado con lo que le confÍAs, que recoge consejos para un uso seguro, responsable y consciente de esta tecnología.

Fuente: Consejo General del Poder Judicial

La empresa incorporó información personal de la afectada en el expediente disciplinario seguido contra su pareja sentimental, también empleado de la firma. La Sala de lo Social revoca el fallo de instancia que había desestimado la demanda y condena a la cadena a indemnizar a la afectada con 7.500 euros 

El Tribunal Superior de Justicia de Canarias (TSJC) ha declarado vulnerado el derecho fundamental a la protección de datos de una trabajadora de una cadena de supermercados tras incluir la empresa  su nombre y salario en una carta de despido dirigida a su pareja, y ha condenado a la empresa a indemnizar a la trabajadora con 7.500 euros por los daños y perjuicios derivados de esta acción.

La Sala de lo Social del TSJC en su sede de Las Palmas ha anulado parcialmente la sentencia de instancia que había desestimado la reclamación de una gerente de Mercadona en el centro de trabajo de Butihondo  (Fuerteventura, Las Palmas), quien denunciaba que la empresa había incorporado sin su consentimiento sus datos personales en el expediente disciplinario seguido contra su pareja sentimental.

La empresa comunicó en la carta de despido del trabajador su nombre completo, su relación de pareja, la jornada laboral reducida de ambos y el salario mensual desglosado de la demandante durante más de un año.

Estos datos fueron revelados con la intención de demostrar que el trabajador despedido estaba percibiendo un complemento salarial que ya no le correspondía, comparándolo con lo que ganaba su pareja que realizaba la misma jornada.

Aunque el tribunal reconoce que la empresa tenía intereses legítimos en ejercer su potestad disciplinaria y motivar debidamente el despido, estima que esta finalidad no justificaba el tratamiento no consentido de los datos personales de la trabajadora. En particular, el tribunal analiza detalladamente la decisión reciente del Tribunal Supremo de noviembre de 2024 sobre protección de datos en expedientes disciplinarios, que declara que ni siquiera un fin tan lícito como garantizar la igualdad retributiva entre hombres y mujeres justifica la comunicación no consentida de datos que permitan identificar la retribución individualizada de una persona.

La sentencia afirma que «para satisfacer el legítimo interés de la empresa en ejercer su potestad disciplinaria, en la carta de despido de un trabajador se comunica al mismo el salario de otra trabajadora, su pareja, con nombre y apellido desde el mes de septiembre de 2023 a diciembre de 2024», pero considera que tal actuación no supera el criterio de necesidad exigido por la norma de protección de datos.