Informe jurídico n.º 82 – Abril de 2025. 

Protección de datos y simplificación de las normas: ¿qué debemos esperar?

La cuestión de la simplificación de las normas, un tema recurrente de debate en Europa, ha adquirido especial importancia desde el cambio de liderazgo en la Casa Blanca.

En la cumbre de París sobre inteligencia artificial (IA) celebrada el pasado mes de febrero, la competitividad se convirtió así en una prioridad declarada frente a la desregulación en Estados Unidos.

El programa de trabajo de la Comisión Europea para 2025 también tiene como objetivo explícito promover el crecimiento económico mediante el apoyo a la innovación.

¿Qué impacto tendrá esta política en las normas europeas de protección de datos?

En el ámbito de la IA, Europa se ha comprometido, en primer lugar, a alcanzar los objetivos principales del reglamento, al tiempo que examina la carga administrativa para las empresas.

La Comisión recabará la opinión del sector cuando la incertidumbre regulatoria esté obstaculizando el desarrollo de la IA, y la incorporará a un esfuerzo más amplio para revisar y posiblemente eliminar un conjunto de normas digitales antes de que finalice el año.

La Directiva sobre responsabilidad en materia de IA, cuyo objetivo era actualizar las normas de seguridad de los productos de la UE para abarcar la IA y la automatización, ya ha sido retirada.

La CCIA, el principal grupo de presión estadounidense de las grandes empresas tecnológicas en Bruselas, acogió con satisfacción este enfoque al tiempo que pidió un "ataque frontal" contra la regulación.

La Comisión Europea también informó a los Estados miembros a finales de abril sobre su proyecto de directrices relativas a la relación entre el Reglamento sobre IA y otros reglamentos, incluido el RGPD.

Está trabajando en el desarrollo de un modelo para las Evaluaciones de Impacto en los Derechos Fundamentales (EIDF) exigidas por el reglamento de IA, con el fin de evitar la duplicación con la evaluación de impacto en la protección de datos del RGPD.

Por su parte, los Estados miembros subrayan la necesidad de reforzar la cooperación con otras autoridades para evitar que las dos leyes emblemáticas den lugar a decisiones contradictorias o a investigaciones superpuestas.

El Comité Europeo de Protección de Datos (CEPD) también está elaborando directrices sobre la interacción entre el RGPD y el reglamento de IA, y está examinando con la Comisión las posibilidades de sinergias para garantizar la coherencia en la interpretación, la seguridad jurídica y la claridad para los operadores.

¿Y qué hay del RGPD? El pasado mes de julio, la Comisión publicó un informe de evaluación sobre el tema, que reveló, en particular, una importante frustración entre las pymes en varios aspectos:

• Requisitos de documentación excesivos,
• Coste de contratar o nombrar un DPO,
• Dificultades para elegir la base legal (interés legítimo / consentimiento),
• Limitaciones para las tecnologías emergentes y las empresas emergentes.

Esta crítica se hace eco de la opinión del ex primer ministro italiano Mario Draghi, cuyo informe económico del pasado mes de septiembre señala la complejidad de las leyes europeas que impiden que su economía alcance el nivel de Estados Unidos y China, y menciona específicamente la normativa sobre inteligencia artificial y el RGPD.

La Comisión tiene previsto proponer un "paquete de simplificación" para las pequeñas y medianas empresas a finales de mayo, aunque la fecha se presenta a título indicativo: la propuesta para simplificar las normas de privacidad se presentaría en cualquier caso antes de junio.

Los ajustes podrían incluir la limitación de los requisitos para mantener registros de las actividades de procesamiento de datos, o la reforma de las evaluaciones de impacto en la protección de datos, dos normas consideradas especialmente onerosas para las pymes.

También vale la pena recordar que el diputado Axel Voss y el presidente de la ONG Noyb, Max Schrems, dos figuras cuyas opiniones sobre el tema han sido históricamente opuestas, unieron fuerzas el pasado marzo para proponer una revisión importante del RGPD, dirigida a

• Simplificando el cumplimiento normativo para las pymes y las organizaciones sin ánimo de lucro.
• Establecer normas más claras y fáciles de gestionar para las grandes organizaciones,
• Reforzar las capacidades de control para garantizar una protección de datos más eficaz.

Si bien esta propuesta refleja un giro hacia soluciones pragmáticas que concilien la protección de la privacidad con las realidades empresariales, otros señalan los riesgos de reabrir el texto, que podría ceder ante la presión de los grupos de interés, como lo ha destacado el grupo de defensa de los derechos digitales EDRi.

Cabe recordar que las negociaciones relativas al desarrollo del RGPD desencadenaron una de las mayores campañas de presión que Bruselas haya visto jamás.

Las empresas tecnológicas gastaron millones intentando influir en las normas durante el proceso de redacción, y la propuesta fue objeto de más de 3.000 enmiendas en el Parlamento Europeo, una cifra récord.

Los trabajos actuales sobre el reglamento de procedimiento del RGPD, que tiene como objetivo reforzar la cooperación entre las autoridades de protección de datos (APD) y acelerar la toma de decisiones en casos transfronterizos, bien podrían confirmar que el camino al infierno está empedrado de buenas intenciones.

Mientras continúan las conversaciones (tridiálogo) entre la Comisión, el Parlamento Europeo y el Consejo, algunos advierten del riesgo de alcanzar un compromiso que no solo no logre las reformas necesarias, sino que también pueda introducir nuevas vulnerabilidades.

El 17 de abril, la ONG Noyb declaró que el diálogo a tres bandas ha generado un caos legislativo que probablemente hará que los procedimientos sean más complejos, más lentos y más susceptibles de impugnación legal.

 

    

La CNIL publicó su informe anual correspondiente a 2024 el 29 de abril.

Entre los temas clave se encuentran la ciberseguridad, que se está convirtiendo en una prioridad estratégica para los próximos años debido al notable aumento de las filtraciones de datos (+20 %), y el fortalecimiento de las medidas represivas.

El informe también subraya la importancia de respetar los derechos de los menores, controlar las prácticas de prospección comercial y regular la videovigilancia.

Paralelamente, la CNIL está reforzando su cooperación europea para regular mejor las grandes plataformas digitales y continúa su labor en materia de inteligencia artificial.

La Comisión también publicó el 30 de abril sus directrices para reforzar la seguridad de las grandes bases de datos.

Estas medidas amplían y refuerzan las precauciones básicas de seguridad.

Al igual que las medidas cibernéticas prioritarias de la ANSSI o las destinadas a prevenir fugas de datos, no pretenden enumerar todas las medidas suficientes, sino llamar la atención de los responsables del tratamiento de datos sobre las medidas de seguridad que la CNIL considera necesarias cuando se trata de grandes bases de datos, en particular con respecto a los riesgos de filtración masiva de datos.

Doscientos medios de comunicación franceses han presentado una denuncia contra Meta por "prácticas ilegales": según Le Monde, "varios grupos de prensa (Prisma, Les Echos-Le Parisien, CMI), diarios nacionales y regionales, así como emisoras públicas y privadas (TF1, RMC-BFM, France Télévisions y Radio France) acusan a Meta de haberse aprovechado del período en el que ellos mismos estaban implementando el consentimiento de los usuarios para la recopilación de su información personal para realizar publicidad dirigida".

 

instituciones y organismos europeos

El 23 de abril, la Comisión Europea impuso sus dos primeras multas en virtud del Reglamento sobre Mercados Digitales (RMD).

Más concretamente, Apple y Meta fueron multadas con 500 millones de euros y 200 millones de euros respectivamente.

La Comisión considera que Apple no ha cumplido con sus obligaciones en lo que respecta a la disponibilidad de aplicaciones en la App Store.

En cuanto a Meta, la empresa ha sido multada con 200 millones de euros debido a su sistema de "consentimiento o pago".

La Comisión consideró que este modelo no ofrecía a los usuarios la opción específica de elegir un servicio equivalente que utilizara menos datos personales.

Cabe señalar que, desde esta investigación, Meta ha introducido una tercera opción, la de "anuncios menos personalizados", que aún no ha sido evaluada por la Comisión.

La Comisión ha publicado cuatro nuevas convocatorias de licitación por un valor de 140 millones de euros en el marco del programa Europa Digital (DIGITAL) para impulsar el despliegue de la IA, promover las competencias digitales avanzadas, ampliar la red de Centros Europeos de Innovación Digital (EDIH) y combatir la desinformación.

En este contexto, el 9 de abril publicó una convocatoria de aportaciones relativa a la futura legislación sobre la nube y la IA (Ley de Desarrollo de la Nube y la IA – CAIDA).

El objetivo sería abordar la falta de una oferta competitiva de servicios en la nube europeos a escala suficiente para usos altamente críticos con requisitos de seguridad particularmente elevados.

El CEPD y el SEPD presentaron sus informes anuales de 2024 a finales de abril.

El SEPD destacó la evolución de su papel a la luz del Reglamento europeo sobre IA, que le encomienda la función de autoridad supervisora y de notificación para las instituciones de la UE.

El informe del CEPD ofrece una visión general del trabajo realizado en 2024, incluida la adopción de la estrategia 2024-2027, el aumento de los dictámenes en el marco del mecanismo de coherencia previsto en el artículo 64, apartado 2, y los esfuerzos en curso para proporcionar orientación y asesoramiento jurídico, en particular a las PYME.

En su sesión plenaria de abril de 2025, el CEPD adoptó directrices sobre el tratamiento de datos personales mediante tecnologías blockchain.

El documento subraya la importancia de implementar medidas técnicas y organizativas desde las primeras etapas del diseño del procesamiento y de definir al mismo tiempo las funciones y responsabilidades de los distintos actores involucrados en dicho procesamiento.

Se reitera la importancia de las evaluaciones de impacto en la protección de datos y se ofrecen ejemplos de técnicas de minimización de datos, así como del tratamiento y almacenamiento de datos personales. Las directrices están abiertas a consulta hasta el 9 de junio.

En lo que respecta al acceso a los documentos administrativos, el Tribunal de Justicia de la Unión Europea (TJUE) ha adoptado una sentencia relativa al equilibrio que debe existir entre este derecho y la protección de los datos de las personas mencionadas en dichos documentos.

Sostuvo que el artículo 6(1)(c) y (e) del RGPD no excluye obligaciones adicionales de información y la consulta al interesado antes de cualquier divulgación de datos personales que le conciernen.

Sin embargo, estas obligaciones adicionales no deben tener el efecto de restringir de manera desproporcionada el acceso público a estos documentos.

El Tribunal de Justicia de la Unión Europea (TJUE) publica una actualización de su ficha temática sobre sus sentencias más importantes en el ámbito de la protección de datos.

El documento abarca la jurisprudencia relativa a la normativa general de protección de datos y a la normativa sectorial (comunicaciones electrónicas y derecho penal). Asimismo, presenta una selección de sentencias sobre normativas transversales, al tiempo que subraya el papel de la Carta en el desarrollo de la jurisprudencia.

Los usuarios europeos de las plataformas Meta recibieron en abril una notificación informándoles del uso que Facebook e Instagram harían de sus datos para fines de entrenamiento de inteligencia artificial, junto con un enlace a un formulario de objeción.

La Autoridad Noruega de Protección de Datos (APD, por sus siglas en inglés) publicó una entrada en su blog explicando las consecuencias de esta decisión y las vías legales a disposición de los usuarios. Asimismo, indicó que había consultado a Meta, junto con otras APD, sobre la compatibilidad del entrenamiento de la IA con el objetivo original de recopilar los mensajes e imágenes de los usuarios.

La Asociación Internacional de Profesionales de la Privacidad (IAPP, por sus siglas en inglés) publica una tabla que ofrece una visión general de los requisitos para la notificación de incidentes de seguridad digital y el intercambio de información en varias legislaciones europeas.

Tiene en cuenta el RGPD, la directiva "policial", la directiva ePrivacy, el reglamento de gobernanza de datos, el reglamento de datos, la directiva NIS2, el reglamento de resiliencia operativa digital, la Directiva de Servicios de Pago 2, el reglamento de ciberresiliencia y el reglamento de IA.

Microsoft ha implementado oficialmente su principio de límites europeos para los datos en los servicios en la nube, comprometiéndose a almacenar y procesar los datos personales de sus clientes exclusivamente dentro de la UE y la EFTA.

Sin embargo, los datos de determinados servicios de Azure podrán transferirse fuera de la UE si Microsoft lo considera necesario para investigaciones de ciberseguridad.

Además, cabe señalar que la Ley de la Nube permite a las autoridades estadounidenses acceder a los datos de las empresas estadounidenses independientemente de dónde estén almacenados.

 

Noticias procedentes de los países miembros de la Unión Europea.

El Tribunal Federal de Justicia de Alemania Se considera que las entidades cualificadas (como las organizaciones de consumidores) tienen derecho a interponer acciones legales por incumplimiento de las obligaciones de información del RGPD en virtud de la legislación de protección del consumidor, independientemente del incumplimiento específico y sin necesidad de un mandato de los interesados.

El caso se refería al incumplimiento por parte de Meta Platforms Ireland Ltd (Meta) de los requisitos legales relacionados con la obtención del consentimiento del usuario.

En BélgicaUna resolución recuerda que el ámbito de aplicación del RGPD se extiende a los datos profesionales: la APD impuso una multa de 20.000 euros a un intermediario de datos entre empresas por haber recopilado y divulgado la dirección de correo electrónico del socio gerente de una compañía.

La APD también recordó que un responsable del tratamiento de datos no puede obligar a una persona a crear una cuenta en línea si no es necesario, en este caso para presentar una queja.

La empresa ha infringido en este caso los principios de minimización y protección de datos, tanto por defecto como desde el diseño.

En España, Una empresa (Marina Salud) que gestiona datos hospitalarios en nombre del gobierno autónomo de la Comunidad Valenciana ha sido multada con 500.000 euros por nombrar subcontratistas secundarios sin la autorización del responsable del tratamiento de datos, en violación del artículo 28, apartado 2, del RGPD.

También en España, un banco fue multado con 120.000 euros por el tratamiento ilícito de los datos personales de un cliente, en violación del artículo 6, apartado 1, del RGPD, tras la imitación de la firma del cliente por parte de un empleado en un acuerdo de protección de datos.

TikTok fue condenado el 2 de mayo por Asociación para la Defensa irlandesa a una multa de 530 millones de euros por enviar ilegalmente datos personales de ciudadanos europeos a China y ocultárselos a sus usuarios.

TikTok tiene seis meses para adaptar sus prácticas al RGPD.

Un tribunal irlandés ha ratificado la decisión de la Autoridad de Protección de Datos (APD), que había determinado que un empleador no era el responsable del tratamiento de los datos no profesionales contenidos en el teléfono de trabajo de uno de sus empleados.

La APD maltesa Publica una serie de preguntas frecuentes sobre la gestión de las cuentas de correo electrónico de los empleados cuando abandonan la organización.

La guía anima a los empleadores a adoptar un enfoque proactivo y estructurado para la gestión de cuentas, tanto durante la relación laboral como después de la marcha del empleado, y a abordar cuestiones clave relativas a prácticas comunes como el reenvío automático de correo y los mensajes de respuesta automática.

En el contexto de las elecciones presidenciales celebradas en Rumania los días 4 y 18 de mayo, TikTok anunció nuevas medidas destinadas a prevenir una campaña de desinformación comparable a la que supuestamente ayudó a impulsar al candidato Călin Georgescu a la cima de la primera vuelta el pasado noviembre.

La aplicación también ha puesto en marcha un "Centro Electoral", que presenta información como fechas importantes y enlaces al sitio web de la Autoridad Electoral Permanente, y ha publicado herramientas de sensibilización sobre la desinformación.

Estas medidas se están adoptando debido a que la Comisión Europea ha iniciado una investigación en virtud de la Ley de Servicios Digitales (DSA, por sus siglas en inglés) para esclarecer los sucesos de noviembre.

 

En China, la Administración del Ciberespacio acaba de anunciar el lanzamiento de una campaña de tres meses para combatir el uso indebido de las tecnologías de IA. Los departamentos responsables de la regulación de internet deberán orientar a las plataformas en línea para que cumplan con los requisitos de la campaña, reforzando los mecanismos de revisión del contenido generado por IA, mejorando las capacidades de detección y garantizando la correcta aplicación de las medidas correctivas.

En Estados Unidos, miembros del Comité de Energía y Comercio de la Cámara de Representantes han iniciado una investigación sobre los vínculos de Deepseek con el Partido Comunista Chino. Se alega que el chatbot no solo envía datos a China, sino que también comparte información personal de los usuarios con otras entidades vinculadas al partido, incluida ByteDance Ltd. Asimismo, se sospecha que la aplicación de inteligencia artificial recopila datos sobre la frecuencia cardíaca de sus usuarios.

El Future of Privacy Forum (FPF) está en el punto de mira de la administración Trump. El presidente del Comité de Comercio del Senado, Ted Cruz (republicano por Texas), exige explicaciones al FPF, que supuestamente utilizó subvenciones federales para presionar a los estados a adoptar leyes de IA de corte progresista. Al senador Cruz le preocupa que el grupo defienda abiertamente regulaciones de IA alineadas con la agenda política de la administración Biden. También está examinando con lupa las subvenciones federales otorgadas a la organización.

Según Euractiv, que cita información del Financial Times, la Comisión Europea está proporcionando teléfonos desechables a su personal enviado a Estados Unidos debido a la preocupación por la vigilancia. «Las nuevas directrices emitidas por el ejecutivo de la UE, que también recomiendan el uso de ordenadores portátiles básicos al viajar a Estados Unidos, son similares a las que se aplican a los viajes a Ucrania o China. Se recomienda a todo el personal apagar sus dispositivos y guardarlos en una bolsa anti-espionaje específica al entrar en el país».

CNN informa que la administración Trump, con la ayuda de Palantir, está creando una base de datos general para agilizar la aplicación de las leyes de inmigración y las deportaciones, combinando datos confidenciales de todo el gobierno federal, creando listas de objetivos y arrestando a las personas señaladas. Wired informó previamente que el Departamento de Seguridad Nacional (DHS) está recopilando bases de datos de inmigración y descargando datos de agencias externas, incluida la Administración del Seguro Social (SSA), así como registros de votación, que, según se informa, se alojan en un software desarrollado por Palantir.