Novedades legislativas y principales resoluciones en protección de datos personales

In julio 2, 2025
Comments off
73 Views
INFORME DELEGADO DE PROTECCIÓN DE DATOS 
  1. El Reglamento de Inteligencia Artificial (RIA).

La nueva regulación europea de Inteligencia Artificial que entró en vigor en agosto de 2024, con una aplicación parcial de su contenido,  tiene por objetivo mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial fiable y centrada en el ser humano, garantizando un elevado nivel de protección de los derechos fundamentales frente a los efectos perjudiciales que puede comprender el uso de los Sistemas de IA y también prestar apoyo a la innovación. 

El Reglamento en términos generales establece:

  • Clasificación de los sistemas de IA por niveles de riesgo: se categorizan los sistemas de IA en cuatro niveles: mínimo, limitado, alto e inadmisible.
  • Prohibición de usos peligrosos: se prohíben aplicaciones como la puntuación social y el reconocimiento facial en tiempo real en espacios públicos.
  • Requisitos estrictos para IA de alto riesgo: se exige supervisión humana, reducción de riesgos y uso de datos de alta calidad en sectores como salud, educación y empleo.
  • Transparencia y etiquetado: los sistemas de IA deben informar a los usuarios cuando interactúan con una máquina y etiquetar el contenido generado por IA.
  • Fomento de la innovación: se busca equilibrar la regulación con el impulso a la investigación y el desarrollo de una IA segura y ética.

Este Reglamento está dirigido principalmente a Proveedores de IA, que suelen ser empresas y organizaciones que desarrollan modelos y sistemas de inteligencia artificial, y también a usuarios y operadores, que son aquellas entidades que integran IA en sus productos o servicios, como empresas tecnológicas, instituciones financieras y administraciones públicas; así como también a autoridades e instituciones de la Unión Europea. 

El enfoque del Reglamento se basa en una perspectiva de riesgos, por lo que a la hora de analizarse su aplicación este factor debe tenerse en cuenta en todo momento, sobre todo considerando que se trata de sistemas que trabajan con enormes cantidades de datos. 

Es por ello, que debemos tener presente que la Inteligencia Artificial y la protección de datos personales, están estrechamente vinculados, ya que como se indica en las consideraciones del Reglamento, la protección de los datos personales debe garantizarse a lo largo de todo el ciclo de vida de un Sistema de IA. 

Tanto es así, que se considera que los principios de minimización de datos y de protección de datos desde el diseño y por defecto establecidos en el RGPD, son siempre aplicables cuando se traten datos personales con IA.

Se considera por la Unión Europea que existen principios éticos no vinculantes, pero aplicables en materia de IA, que garantizan una IA fiable y un fundamento ético, y son: 

  • acción y supervisión humana, solidez técnica y seguridad; 
  • gestión de la privacidad y de los datos; transparencia, diversidad, no discriminación y equidad; 
  • bienestar social y ambiental, y rendición de cuentas

Y cabe agregar que, de acuerdo con las directrices del Grupo independiente de expertos de alto nivel sobre IA, por «acción y supervisión humanas» se entiende que los sistemas de IA se desarrollan y utilizan como una herramienta al servicio de las personas, que respeta la dignidad humana y la autonomía personal, y que funciona de manera que pueda ser controlada y vigilada adecuadamente por seres humanos.

Efectos de la regulación.

La aplicación de los principios de minimización de datos y de protección de datos desde el diseño y por defecto, que son propios de la protección de datos, implican que debe tenerse en cuenta desde el diseño del sistema y como premisa a la hora de configurar sus funcionalidades, así como también a nivel usuario en cuanto a su implementación y aplicación en las organizaciones. 

Esto significa que se han de aplicar a estas herramientas tecnológicas, todas las medidas recogidas en la regulación de protección de datos y realizar las implementaciones, incorporación de políticas de uso entre los trabajadores de IA y auditorías necesarias, cada vez que incorporamos el uso de alguna de ellas en la organización.

  1. Nota informativa de la Agencia Española de Protección de Datos (AEPD).

Como se ha difundido durante las últimas semanas, la AEPD ha emitido una nota informativa en la que reafirma su opinión en cuanto a la vulneración del principio de minimización de datos que implica la solicitud de la copia del Documento Nacional de Identidad o del Pasaporte, por los titulares de la actividad de hospedaje con carácter previo a la prestación de sus servicios, por implicar un tratamiento excesivo de datos personales de los titulares de estos. 

Esto se debe a que considera que, tanto el DNI como el Pasaporte, contienen una cantidad de datos mayor de los necesarios para cumplir con el trámite de verificación de identidad (fotografías, nombres de los padres, fecha de caducidad del documento); y a la vez, tampoco reúne todos los datos necesarios requeridos por la regulación del Real Decreto 933/2021, que establece obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje, obligando al titular de la actividad de hospedaje a recoger 17 datos personales de todos los mayores de 14 años que hagan uso de sus servicios, con carácter previo. 

En vista de los riesgos de fraude que trae esta práctica en cuanto a la suplantación de identidad de los titulares de dichos documentos, puede significar una vulneración del derecho a la protección de datos personales, bajo riesgo de multas por parte de la AEPD.

Efectos de la regulación.

Ante esta postura acerca de restringir o incluso prohibir la solicitud de copia del DNI o documentos similares, la AEPD considera que, para cumplir con la recogida de datos que impone el Real Decreto 933/2021 referido a las obligaciones de actividades de hospedaje, podría ser suficiente completar un formulario con los datos exigidos, ya sea en línea o de manera presencial. 

Posteriormente, para autentificar dicha información, se podría solicitar la exhibición del documento de identidad para la cumplimentación presencial; y en el caso de los formularios en línea, se sugiere el uso de mecanismos como los certificados digitales o la verificación y cotejo de los datos asociados al medio de pago utilizado. 

También se menciona como medios alternativos el uso de códigos de seguridad enviados a los números de teléfono o direcciones de correo electrónico, que son datos que sí quedarían recogidos en el formulario. 

Ahora bien, sin perjuicio de las medidas mencionadas, la Agencia no descarta la utilización de otros procedimientos válidos para cumplir con estas obligaciones, debiendo ser evaluadas por el responsable del tratamiento, en todo caso, con ayuda de expertos en protección de datos para asegurar la eficacia y legalidad del método a evaluar.

Resoluciones AEPD

La AEPD ha publicado en el Boletín Oficial del Estado, con fecha 29 de abril de 2025, las sanciones superiores a un millón de euros, en aquellos casos en que el infractor es persona jurídica.

INFRACTORINFRACCIÓNSANCIÓN
ORANGE SPAGNE. SAU.-Infracción del artículo 6 RGPD, tipificada en el artículo 83.5.a).

-Infracción del artículo 25 del RGPD, tipificada en el artículo 83.4 de dicha norma.		1.200.0000
ING BANK NV, SUCURSAL EN ESPAÑA-Infracción del artículo 6.1 del RGPD, tipificada en el art. 83.5.1.600.000
GENERALI ESPAÑA S.A.-Infracción del artículo 5.1.f).

-Infracción del artículo 25,32 y 35 del RGPD.
4.000.000.

Caso Orange.

En el caso de ORANGE ESPAGNE, S.A.U.7 se ha sancionado a la empresa por infracción de la regulación de protección de datos personales, que deriva del establecimiento defectuoso o vulnerable a riesgos, del procedimiento de verificación de identidad que se realiza para otorgar duplicados de la tarjeta SIM. 

Este procedimiento habría sido llevado a cabo irregularmente, según se verificó en el proceso, por un agente de la empresa involucrado en los hechos que responde de responsabilidad penal también, y que importa la infracción de los artículos 6.1.a) referido al consentimiento como base de legalidad del tratamiento de datos y el artículo 25 del RGPD, que contiene el principio protección de datos desde el diseño y por defecto. 

La infracción sancionada se origina en la falta de aplicación del principio de privacidad desde el diseño en los protocolos aplicados y en el insuficiente establecimiento de medidas tendentes a garantizar el tratamiento seguro de los datos personales de los clientes. 

El establecimiento de las medidas técnicas y organizativas, como destaca la AEPD, es necesario a lo largo de todo el ciclo de vida del tratamiento, puesto que la falta de la protección necesaria puede causar un incidente como el ocurrido, que resulte en un fraude denominado SIM swapping.

Este fraude permite a quien se apodera del nuevo chip acceder a las cuentas bancarias y obtener así códigos de seguridad asociados al número de teléfono del verdadero titular. 

Es por ello por lo que considera la AEPD que, debido a un análisis de riesgos inadecuado, no se habrían implementado los protocolos y medidas de seguridad adecuadas para evitar la realización de duplicados de la tarjeta SIM, ya que no se contempló el riesgo derivado de que los empleados pudiesen utilizar sus credenciales para cometer este hecho delictivo. 

Este proceso debía de haber sido tratado como de alto riesgo, puesto que una vez que se entrega a una persona distinta del titular de la línea o a persona autorizada la nueva tarjeta SIM, el titular pierde el control de la línea y los riesgos, daños y perjuicios se multiplican, ocurriendo los hechos con una inmediatez abrumadora. 

Por lo tanto, se sanciona, no el delito en sí que puede suponer en el orden penal, sino el tratamiento de datos personales sin que concurra ninguna base de legitimación, puesto que se habría emitido una tarjeta SIM sin el consentimiento del titular u otra base de legitimación válida. 

Se debería de haber considerado por ORANGE a la hora de analizar los riesgos que la tarjeta SIM es un dato especialmente sensible, puesto que posibilita la suplantación de identidad y requiere de un especial cuidado en la evaluación de su tratamiento. 

También se determinó durante la investigación llevada a cabo por la AEPD, que no existía una actividad preventiva y proactiva que gestionase adecuadamente los posibles perjuicios para los derechos y libertades de los interesados, ya que no se realizó una evaluación de riesgos que habría podido determinar la adopción de las medidas técnicas y organizativas adecuadas. 

Actuando de esta manera, el enfoque de la empresa no estaba orientado a gestionar los riesgos para los interesados, sino que se centraba en los riesgos para la propia empresa, lo que supone un incumplimiento del artículo 25 según criterio de la AEPD. 

En definitiva, la infracción se produce no solo como consecuencia de una carencia de medidas adecuadas de control para la expedición de duplicados SIM, sino también por la falta de un proceso de revisión y refuerzo, poniendo de relieve la importancia del análisis de riesgos previo para la implementación adecuada de las medidas de seguridad a la hora de resguardar los datos personales de los clientes.

Caso ING Bank NV.

Se sanciona a ING BANK NV 8 por infracción del artículo 6.1 RGPD, que regula la licitud del tratamiento de datos personales. 

Esta multa ha sido impuesta a la entidad motivada en que venía exigiendo a los nuevos clientes que otorgasen su consentimiento expreso para solicitar información sobre su actividad económica a la Tesorería General de la Seguridad Social, a través de una cláusula específica, siendo esta una gestión desproporcionada para el cumplimiento de la Ley de Blanqueo de Capitales y de la financiación del terrorismo según criterio de la AEPD. 

Se considera desproporcionada puesto que va más allá de los casos tasados en la normativa de aplicación y, aunque la información que se obtenía de este acceso a la TGSS se limitaba a verificar que la información aportada por el cliente era verdadera y supuestamente se realizaba en el cumplimiento de una obligación legal, la Agencia consideró que no es el único medio de verificación. 

Se considera que el cliente podría presentar documentos o permitir el acceso a otras fuentes fiables independientes y no imponer ING dicho mecanismo, que se implementó entre los bancos condicionado a supuestos específicos en que la norma exige dicha verificación. 

En consecuencia, entiende la AEPD que el consentimiento no es libre si no se puede retirar sin sufrir perjuicio alguno, o cuando el contrato o prestación de servicio es dependiente de este, incluso cuando no sea necesario para el cumplimiento.

Si el consentimiento está incluido como una parte no negociable de las condiciones generales se asume que no se ha prestado libremente.  

Caso Generali España. 

Por último, en el caso de la sanción impuesta a Generali España, la de mayor cuantía de las analizadas, se inicia el procedimiento a raíz de un ataque de seguridad (fuerza bruta) sufrido por la entidad multada. 

Esta brecha en su momento no fue correctamente evaluada, puesto que se constató por la AEPD que en ese momento la empresa no disponía de análisis de riesgos a fin de evaluar las posibles amenazas para los titulares de los datos personales y determinando Generali que no era necesaria la notificación a la AEPD, ya que no habría afectado a los derechos y libertades de las personas titulares de datos personales. 

También se acreditó en el proceso que la parte reclamada no tenía aprobada una Evaluación de Impacto de Protección de Datos (EIPD) para ese tratamiento y que en el momento del ataque no estaba implementado el segundo factor de autenticación en los aplicativos para el uso por los mediadores de seguros de los sistemas de la empresa. 

Un mes después del incidente, se tuvo constancia de la filtración, ya que se conoció la venta de una base de datos de exclientes de Generali a través de la aplicación de mensajería Telegram, con un total de 24.315 registros, que corroboraron la afectación de datos personales de los clientes, como: nombre y apellidos, DNI, teléfono, fecha y país de nacimiento, estado Civil, dirección, CP, Población, Comunidad e IBAN.

En esta misma fecha se detectó un error en el software que habría permitido atacar a clientes y también a exclientes de la entidad, debido a un fallo técnico en la actualización del software del sistema de mantenimiento de clientes, detectándose en la fase de investigación los fallos y la carencia de las suficientes medidas técnicas para la protección de los datos personales tratados en el desarrollo del negocio. 

Para la AEPD los principios que se han visto afectados en la actuación de Generali son el de confidencialidad del artículo 5.1.f del RGPD, por el suceso mismo de la brecha de datos personales, así como el principio de protección de datos desde el diseño y por defecto, del artículo 25.1 RGPD, que obliga a los responsables del tratamiento a integrar medidas organizativas y técnicas apropiadas de todo tipo, desde el diseño del tratamiento de datos a llevar a cabo en la empresa, lo que implica identificar y evaluar, los riesgos para los derechos y libertades de los interesados titulares de datos personales, considerando el resto de los principios también en dichos procesos. 

Por lo tanto, la sanción a Generalli no se aplica por sufrir una brecha de datos personales, sino por la falta de medidas de seguridad adecuadas desde el diseño y configuración de sus sistemas y procesos que se apliquen a todo el ciclo de vida de los datos tratados y que saltaron a la luz a consecuencia de la brecha. 

En cuanto a las medidas de seguridad existentes, se considera por la AEPD que fueron insuficientes de acuerdo con el riesgo (artículo 32 del RGPD referido a las medidas de seguridad), ya que estas son las que protegen a los datos personales de las amenazas que pueden llevar a su destrucción, pérdida, alteración, comunicación o acceso no autorizado y en el caso, se verificó que estas no se tomaron. 

En definitiva, queda de manifiesto la necesidad de evaluar los riesgos en relación con el tratamiento de datos que se consideran grandes volúmenes y datos sensibles, así como en el resto de los supuestos que contempla el RGPD en su artículo 35.3.

GLOSARIO DPD

Medidas de seguridad:Es cualquier acción técnica u organizativa que tiene por fin garantizar la protección de datos personales frente a accesos no autorizados, pérdidas, alteración o divulgación indebida.
Principio de confidencialidad:Se traduce en tratar lo datos personales garantizando su seguridad y protección frente al acceso no autorizado o ilícito.
Principio de Minimización:Solo deben recogerse y tratarse los datos personales estrictamente necesarios.
Protección de datos desde el diseño y por defecto:La protección de datos personales debe estar pensada desde el momento en que se define que se hará un tratamiento de datos y activada durante todo el proceso.
SIM swapping:Técnica de fraude en que el delincuente consigue un duplicado de la tarjeta SIM para suplantar la identidad del titular, especialmente para la recepción de códigos de verificación de bancos.
Evaluación de Impacto de Protección de Datos personales (EIPD):Es una revisión de seguridad que se debe hacer antes de utilizar datos personales en un proyecto que puede implicar riesgos para las personas y que el RGPD indica.
¹ Cronograma de aplicación del Reglamento de Inteligencia Artificial:
  • 2 de febrero de 2025: prohibición de sistemas de IA de riesgo inaceptable.
  • 2 de agosto de 2025: obligaciones de gobernanza para la Inteligencia Artificial de Propósito General (GPAI) y designación de autoridades nacionales competentes.
  • 2 de agosto de 2026: aplicación completa del Reglamento de Inteligencia Artificial.
  • 2 de agosto de 2027: reglas de clasificación de sistemas de alto riesgo y sus obligaciones.
² Considerando 69 RIA.
³ “Directrices éticas para una IA fiable”, Grupo de Expertos de alto nivel sobre la IA para la Comisión Europea, pp.17 y 18. Disponible en web: https://digital-strategy.ec.europa.eu/es/library/ethics-guidelines-trustworthy-ai 
4 Considerando 27 RIA.
5 Fuente: https://www.boe.es/boe/dias/2025/05/13/pdfs/BOE-A-2025-9383.pdf 
6 El apartado 4 del artículo 76 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de los derechos digitales establece en su primer párrafo: “Será objeto de publicación en el “Boletín Oficial del Estado” la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea l Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica”.
7 Resolución completa disponible en: https://www.aepd.es/documento/reposicion-ps-00332-2023.pdf 
8 Resolución completa disponible en: https://www.aepd.es/documento/ps-00531-2023.pdf

 

 

Jose Helguero

Comments are closed.

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta página web utiliza cookies propias y de terceros para fines analíticos y mostrarle publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus datos de navegación.