Informe jurídico n.º 81 – Marzo de 2025. 

Violaciones de datos: ¿qué medidas tomarán las autoridades y qué sanciones se aplicarán?

¿Quién no ha recibido recientemente un correo electrónico de su proveedor de servicios de telecomunicaciones, o de la ONG a la que realiza una donación mensual, informándole de que sus datos de contacto, identificadores y, en ocasiones, sus datos bancarios, se han visto comprometidos?

En un momento en que las filtraciones de datos se multiplican, la protección de los sistemas informáticos se está convirtiendo en un problema importante para las empresas.

Desde la entrada en vigor del RGPD y la directiva NIS2, la seguridad del tratamiento de datos está estrictamente regulada y las infracciones están sujetas a elevadas sanciones para los responsables del tratamiento de datos.

Entre las obligaciones, cabe mencionar la obligación de notificar a la CNIL y a las personas afectadas la infracción en determinadas condiciones, de subsanarla y de adoptar las medidas que sean útiles para mitigar sus consecuencias.

La CNIL cuenta con amplias facultades de investigación, y su misión es apoyar, pero también sancionar, a los responsables del tratamiento de datos cuando una brecha de seguridad sea la causa de la filtración de datos.

La Comisión ha impuesto varias sanciones en los últimos años:

• Bouygues Telecom fue multada con 250.000 euros en 2017 debido a la insuficiente seguridad de su sitio web de clientes B&You, que permitía el acceso a los contratos de 2 millones de clientes mediante la modificación de una URL.
• En 2016, Uber fue multada con 400.000 euros por una brecha de seguridad que comprometió 57 millones de cuentas y por no notificar a la CNIL dentro de los plazos legales.
• Más recientemente, Dedalus Biologie expuso los datos de salud de 500.000 pacientes debido a una configuración incorrecta del servidor por parte de un subcontratista y fue multada con 1,5 millones de euros por la CNIL.
• Finalmente, el pasado octubre, Ledger, una empresa de seguridad de criptomonedas, fue multada con 750.000 euros por no proteger adecuadamente los datos de sus clientes. La empresa había sufrido —y guardado silencio sobre— varias filtraciones de datos personales en 2020, que afectaron a numerosos clientes y potenciales clientes.

Sin embargo, la Comisión parece inclinarse actualmente por el apoyo en lugar de las sanciones.y publica numerosas recomendaciones para los responsables del tratamiento de datos en su sitio web.

A principios de año, respondió a las filtraciones de datos a gran escala que afectaron a millones de personas en 2024 y propuso medidas de refuerzo de la seguridad para abordar los riesgos de ataque.

La CNIL insiste en la importancia de contar con procedimientos internos de la empresa, así como en las precauciones que deben tomarse en caso de subcontratación.

En otras partes de Europa, Muchas empresas están siendo multadas con cantidades que oscilan entre unos pocos miles y varios cientos de miles de euros por, por ejemplo, "olvidar" eliminar los derechos de acceso al sistema informático de antiguos empleados, estropear el diseño de una aplicación bancaria o la configuración de un sitio web, enviar por error una tarjeta SIM al cliente equivocado, descargar un archivo de un cliente en WhatsApp o no controlar suficientemente las prácticas de un subcontratista.

A nivel supranacionalEl Tribunal de Justicia de la Unión Europea también ofrece aclaraciones, en particular en lo que respecta a la indemnización a las víctimas.

Si se le exige a la persona que demuestre la existencia de un daño causado por una violación de datos, ese daño no debe alcanzar un cierto grado de gravedad (Caso C-300/21, Caso C-590/22).

Así, el temor que experimenta una persona a que sus datos personales hayan sido revelados a terceros puede dar lugar a un derecho a indemnización, siempre que la persona aporte pruebas de su temor y de sus consecuencias negativas (Asunto C 340/21, Asunto C 687/21, Asunto C-590/22).

El Tribunal de Justicia de la Unión Europea también dictaminó que la indemnización por daños morales causados por el robo de datos personales no se limita a los casos en que se demuestre que efectivamente dio lugar a un robo de identidad.

Por lo tanto, puede existir un daño indemnizable sin que se haya demostrado el robo de identidad. (Asuntos C 182/22 y C 189/22).

Con el desarrollo de acciones colectivas, las empresas que no se toman en serio los riesgos de las filtraciones de datos se exponen no solo a sanciones de la CNIL, sino también a acciones legales por parte de particulares.

 

 

La Asamblea Nacional votó la noche del jueves 20 de marzo a favor de mantener la confidencialidad de los servicios de mensajería cifrada..

La medida contemplaba la posibilidad de exigir a estas plataformas de mensajería (Signal, WhatsApp, etc.) que comunicaran las comunicaciones de los traficantes a los servicios de inteligencia.

La semana pasada, los miembros del Parlamento retiraron esta medida, que había logrado unir a numerosos expertos y actores del sector de la ciberseguridad en su contra, en la comisión de legislación. En su opinión, existe un riesgo demasiado elevado de crear una vulnerabilidad que pondría en peligro las conversaciones de todos los usuarios de estas plataformas.

Para que los profesionales interesados "puedan prepararse para las próximas consultas o debates", la CNIL presentó el 27 de marzo el programa de trabajo y las directrices que desea adoptar en 2025.

Entre los temas tratados se incluyen guías prácticas sobre IA, borradores de documentos de referencia sobre subcontratistas, sanidad, el sector bancario, periodos de retención de datos en los ámbitos del marketing y los recursos humanos, tres borradores de recomendaciones sobre el consentimiento para el uso de "múltiples dispositivos", píxeles en los correos electrónicos y la economía de la tercera edad; por último, la CNIL continuará su labor en materia de cámaras de salpicadero y proselitismo político.

Decisión de la CNIL que autoriza, con sujeción a condiciones, a la Agencia Europea de Medicamentos a acceder a extractos de datos del SNDS en el marco del proyecto DARWIN. (Red de Análisis de Datos e Interrogatorios en el Mundo Real) de la UE, fue publicada en Légifrance.

La Comisión critica la elección de un proveedor de alojamiento web sujeto a derecho extraterritorial, lo que lo expone al riesgo de comunicación de datos sensibles a potencias extranjeras, pero que, no obstante, autoriza el tratamiento durante un período limitado a tres años para la muestra de datos y un año después de la publicación del estudio.

En una resolución fechada el 28 de marzo, la autoridad francesa de competencia multó a Apple con 150 millones de euros. "Por abuso de posición dominante en el sector de distribución de aplicaciones móviles para dispositivos iOS y iPadOS."

Esta medida se dirige específicamente a la función de Transparencia de Seguimiento de Aplicaciones (ATT) de Apple, que permite a los usuarios elegir fácilmente si desean o no habilitar el seguimiento por parte de terceros.

La autoridad considera que el marco en sí "no es fundamentalmente problemático", pero señala que la ATT hace que el uso de aplicaciones de terceros en el entorno iOS sea excesivamente complejo al requerir múltiples ventanas emergentes de consentimiento.

La aplicación penalizaría especialmente a las editoriales más pequeñas, "que dependen en gran medida de la recopilación de datos de terceros para financiar su negocio".

En una decisión fechada el 1 de abril, El Consejo de Estado se pronunció sobre el bloqueo de TikTok en Nueva Caledonia durante los disturbios de la primavera pasada.

Aunque considera que en este caso particular no se cumplieron las condiciones de validez, no obstante establece las condiciones bajo las cuales tal bloqueo de una red social podría ser legal, considerando que la autoridad administrativa "puede (...) recurrir a tal medida [de bloqueo], en circunstancias excepcionales, si es esencial para satisfacer las necesidades del momento".

La medida debería ser:

• Indispensable para hacer frente a sucesos especialmente graves;
• Sin contar con medios técnicos que permitan la aplicación inmediata de medidas alternativas;
• Y tomadas "por un período limitado necesario para la investigación y la implementación de estas medidas alternativas".

 

En una sentencia del 26 de marzo, la Sala Social del Tribunal de Casación confirmó el derecho de una empleada a obtener una copia parcial de las nóminas de algunos de sus compañeros, con el fin de demostrar un trato injusto. en su progresión profesional.

El tribunal reitera el principio de minimización de datos y especifica que es responsabilidad del juez de primera instancia "garantizar que la información, que él especificará como visible, sea adecuada, pertinente y estrictamente limitada a lo esencial para la comparación entre empleados, teniendo en cuenta el o los supuestos motivos de discriminación".

 

instituciones y organismos europeos

Politico anunció en un artículo del 3 de abril que La Comisión Europea tiene previsto presentar en las próximas semanas una propuesta para simplificar el RGPD..

Según la publicación, esta es "una de las prioridades de la presidenta de la Comisión Europea, Ursula von der Leyen, que intenta que las empresas del Viejo Continente sean más competitivas que sus rivales en Estados Unidos, China y otros lugares".

El 1 de abril, la Comisión presentó su hoja de ruta para una "nueva estrategia europea de seguridad interior" denominada ProtectEU, cuyo objetivo principal es ampliar las competencias de Europol y Frontex.

La Comisión llevará a cabo una evaluación del impacto de las normas de retención de datos a nivel de la UE y elaborará una hoja de ruta tecnológica sobre cifrado, "con el fin de identificar y evaluar soluciones tecnológicas que permitan a las autoridades encargadas de hacer cumplir la ley acceder legalmente a los datos cifrados, salvaguardando al mismo tiempo la ciberseguridad y los derechos fundamentales".

El Abogado General del Tribunal de Justicia de la Unión Europea (TJUE) considera en sus conclusiones de 27 de marzo que WhatsApp, al estar directamente afectada, puede impugnar la decisión vinculante del CEPD ante el Tribunal Europeo de conformidad con el artículo 263 del TFUE.

Cabe recordar que, tras esta decisión del CEPD del 28 de julio de 2021, en el marco del mecanismo de coherencia del RGPD, la Comisión Irlandesa de Protección de Datos adoptó una decisión en la que constató las infracciones, impuso medidas correctivas y multas administrativas por un importe acumulado de 225 millones de euros.

WhatsApp había impugnado la decisión del CEPD ante el Tribunal Europeo y, paralelamente, la decisión final de ejecución de la APD irlandesa ante un tribunal irlandés.

La Asamblea General también consideró, ese mismo día, que el envío de un boletín informativo diario constituye "marketing directo" de "productos o servicios similares" en el sentido de la Directiva sobre privacidad electrónica, y consideró que cuando el tratamiento de datos personales es lícito sobre la base de esta disposición, el artículo 6 del RGPD no es aplicable: cuando existe una disposición específica en la Directiva sobre privacidad electrónica que conlleva obligaciones con el mismo objetivo que las disposiciones correspondientes del RGPD, es la disposición sobre privacidad electrónica la que debe aplicarse.

El 20 de marzo, el Tribunal dictaminó finalmente que el RGPD otorga a los interesados el derecho a solicitar una medida cautelar en casos de tratamiento ilícito de datos. Esta opción preventiva de solicitar una medida cautelar no exime de la responsabilidad por los daños morales derivados de dicho tratamiento ilícito.

El Tribunal de Justicia de la Unión Europea dictaminó el 13 de marzo que el artículo 16 del RGPD exige la rectificación del sexo de una persona transgénero que figure de forma inexacta en un registro público.

Si bien la autoridad competente puede solicitar pruebas de inexactitud, exigir a la persona en cuestión que demuestre que se ha sometido a una cirugía de reasignación de sexo constituye una violación de sus derechos humanos.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, el Tribunal Federal de Justicia confirmó la indemnización de 500 euros por daños morales concedida a un demandante por el daño a su reputación. de conformidad con el artículo 82 del RGPD.

Además, sostuvo que un tribunal no puede tener en cuenta ni la gravedad de la infracción del RGPD ni la cuestión de la culpa al determinar el monto de los daños y perjuicios.

La Autoridad Austriaca de Protección de Datos (APD) ha ordenado la destrucción de las imágenes tomadas por un fotógrafo por incumplimiento del RGPD..

El fotógrafo había publicado en un sitio web público imágenes tomadas en la calle de personas identificables, en particular niños y mujeres, en contextos sensibles, sin una base legal válida ni garantías suficientes (información, derecho de oposición).

La asociación Noyb acaba de sufrir un revés ante el Tribunal de Apelación de Bruselas..

En un fallo con fecha del 19 de marzo, el tribunal sostuvo que...Las quejas presentadas por la asociación deben demostrar un interés personal por parte de la persona afectada..

En este caso concreto, el Tribunal de Mercado indica que no ha encontrado justificación alguna para el interés de los demandantes en relación con las infracciones de las normas relativas a las cookies.

Entre otros indicios, menciona que Noyb no alega en ningún momento del proceso que los demandantes fueran visitantes habituales, ni siquiera ocasionales, de los sitios web o periódicos en cuestión.

También en Bélgica, una sauna erótica recibió una advertencia de la sala de litigios de la APD, en particular por mantener un libro de visitas en línea que permitía la difusión pública de datos sensibles sobre los clientes.

La APD señaló la falta de transparencia en la política de privacidad, la ausencia de una base legal para el tratamiento de datos y el incumplimiento de las obligaciones relativas al registro de actividades de tratamiento.

En España, la APD multó a un banco con 3.500.000 euros por un grave fallo de diseño en una aplicación bancaria que permitía a los clientes acceder a cuentas para las que no tenían autorización.

Una compañía de seguros también fue multada con 1.000.000 de euros por un error de programación que provocó el envío por correo electrónico de datos personales, incluidos datos sensibles, de 3.395 personas a 354 empresas receptoras.

En Grecia, la APD multó a un banco con 3.000 euros por no implementar las medidas de seguridad adecuadas tras una filtración interna de datos.

Un empleado, tras abandonar la empresa, conservó indebidamente los derechos de administrador y accedió a los datos de más de 6.000 empleados sin autorización.

La Autoridad Italiana de Protección de Datos (APD) ha tomado nota de una decisión similar.

En un caso de spam por SMS, la Autoridad Griega de Protección de Datos (APD) solicitó a la autoridad nacional de nombres de dominio que suspendiera el nombre de dominio de la empresa en cuestión, alegando que dicho nombre de dominio se estaba utilizando de mala fe o de manera contraria al orden público.

Nota que a nivel de la ICANN, los registradores han "suspendido 2.528 nombres de dominio y deshabilitado 328 sitios web utilizados para operaciones de phishing". como parte de los esfuerzos para implementar medidas de cumplimiento.

La Autoridad Italiana de Protección de Datos (APD) ha multado a una empresa energética con 300.000 euros por tratar ilegalmente datos personales con fines de marketing directo, por no aplicar correctamente los principios de protección de datos y por no informar adecuadamente a los solicitantes de empleo sobre el tratamiento de sus datos.

El Tribunal Administrativo de Luxemburgo ha confirmado la multa de 746 millones de euros impuesta a una filial de Amazon por la APD en 2021 por el tratamiento ilícito de datos de visitantes de su sitio web con fines publicitarios basados en intereses, por no proporcionar información transparente y por violar varios derechos de los interesados.

Si bien Amazon estaría considerando presentar una apelación, la APD declaró que no proporcionaría detalles sobre su decisión durante el período de apelación ni sobre ningún posible procedimiento judicial.

La Autoridad Polaca de Protección de Datos (APD) ha multado al servicio postal con 6,3 millones de euros por llevar a cabo una solicitud gubernamental de procesamiento de datos relativa a 30 millones de ciudadanos en el contexto de las elecciones celebradas durante la pandemia de Covid, sin verificar la base legal de la solicitud. 

La Poste debería haber esperado hasta que se agotaran todas las vías de apelación contra esta decisión, que finalmente fue revocada por los tribunales.

 

El 17 de marzo entró en vigor la Ley de Seguridad en Línea del Reino Unido, que exige a las plataformas en línea que implementen una serie de medidas destinadas a reducir los riesgos para los niños y a eliminar el contenido dañino en general.

Los proveedores de servicios británicos tienen hasta el 16 de marzo para realizar evaluaciones de riesgos de sus servicios.

La autoridad reguladora del Reino Unido (Ofcom) ha elaborado un código de buenas prácticas y un programa de implementación.

Los críticos de esta ley critican especialmente su alcance en áreas grises como el acoso o el control del comportamiento, y los riesgos de censura que esto conlleva.

Esta ley se suma a otras dos regulaciones británicas que bien podrían socavar la renovación de la decisión de adecuación del Reino Unido en junio: una nota publicada por el Servicio de Investigación del Parlamento Europeo hace referencia al Proyecto de Ley de Datos y a una enmienda a la Ley de Poderes de Investigación, ambas destinadas a ampliar el acceso del gobierno y las fuerzas del orden a los datos de los usuarios.

La Oficina del Comisionado de Información de Australia publicó el 19 de marzo un estudio sobre las políticas y prácticas de los organismos del sector público australiano en relación con el uso de aplicaciones de mensajería.

El informe constata que las aplicaciones de mensajería se utilizan habitualmente en la administración pública australiana sin la supervisión ni los procedimientos adecuados. El estudio presenta una lista de recomendaciones para abordar esta situación.

El Comisionado de Privacidad de Canadá acaba de publicar una herramienta para evaluar si una violación de datos personales representa un riesgo real de daño significativo para las personas.

En China, la "Oficina Nacional de Información de Internet" publicó el 13 de marzo medidas de gestión de seguridad para la aplicación de tecnologías biométricas, que exigen que las actividades de reconocimiento facial cumplan con las leyes aplicables, adopten medidas de seguridad y minimicen el impacto en los derechos humanos.

El periódico alemán Der Spiegel anunció el 26 de marzo que había podido acceder a datos personales e información de contacto en línea, e incluso contraseñas, de algunos de los altos funcionarios de seguridad estadounidenses, incluido el Secretario de Defensa y el ex presentador de Fox News, Pete Hegseth.

Los periodistas utilizaron motores de búsqueda públicos, así como "datos de clientes pirateados" que habían sido publicados en línea.

También se cree que el asesor de seguridad nacional Mike Waltz y la directora de inteligencia nacional Tulsi Gabbard se encuentran entre las personas cuya información se filtró en línea.

En Estados Unidos también está aumentando significativamente la regulación de la IA: en 2024 se identificaron más de 600 proyectos de ley relacionados con la IA, de los cuales casi 100 han sido promulgados.

Sin embargo, el nivel de protección varía mucho de un estado a otro.

Un sistema de seguimiento ofrecido por el sitio web "Multistate" permite visualizar el estado de las regulaciones en 2025.

Mientras tanto, el 18 de marzo, el presidente Trump destituyó a los dos miembros demócratas de la Comisión Federal de Comercio (FTC), lo que aumentó la incertidumbre actual sobre la eficacia de los mecanismos de protección y control del consumidor en Estados Unidos y debilitó aún más la estabilidad del acuerdo transatlántico de protección de datos.

En Vietnam, la ley de protección de datos podría aprobarse en primavera.

El gobierno adoptó recientemente una resolución para agilizar el proceso legislativo, y el Ministerio de Seguridad Pública recibió el encargo de presentar el proyecto de ley a la Asamblea Nacional para su aprobación formal en mayo de 2025.

Los generadores de imágenes avanzados basados en IA tienen implicaciones significativas para la protección de datos, como lo demuestra un artículo de L. Jarosvky.

• El efecto "Ghibli", que permite crear imágenes al estilo de los famosos dibujos animados de Myasaki, ha llevado a miles de personas en los últimos días a subir voluntariamente sus rostros y fotos personales a ChatGPT, dando así a OpenAI acceso directo y gratuito a varios miles de rostros nuevos para entrenar sus modelos de inteligencia artificial.
• Los generadores de imágenes también hacen que crear pruebas falsas sea extremadamente fácil, barato y accesible. Cualquier persona con malas intenciones puede crear facturas falsas, documentos de identidad, comprobantes de domicilio o incluso documentos bancarios en minutos y prácticamente sin costo alguno, con los consiguientes riesgos de robo de identidad.