Informe jurídico n.º 83 – Mayo de 2025. 

Soberanía de datos europea: ¿una ilusión?

El bloqueo por parte de Microsoft de la cuenta de correo electrónico del Fiscal General de la Corte Penal Internacional (CPI), Karim Khan, plantea la cuestión crucial de la soberanía digital de Francia y de Europa en general frente a las principales empresas tecnológicas.

Según la AP, la cuenta de correo electrónico del Sr. Khan fue bloqueada sin previo aviso, lo que le obligó a utilizar los servicios del proveedor de internet suizo Proton.

Debido a que el tribunal depende en gran medida de proveedores de servicios como Microsoft, su trabajo se ha visto significativamente ralentizado.

Esta decisión de Microsoft es consecuencia directa de las medidas adoptadas por el presidente estadounidense Donald Trump contra el Tribunal de La Haya en febrero, después de que un panel de jueces de la CPI emitiera órdenes de arresto contra el primer ministro israelí Benjamin Netanyahu y su exministro de Defensa Yoav Gallant por crímenes de guerra en la Franja de Gaza.

El decreto presidencial prohíbe específicamente el suministro de fondos, bienes o servicios al Fiscal General de la CPI y cualquier transacción que eluda estas prohibiciones, con el argumento de que las acciones de la CPI constituyen una amenaza inusual y extraordinaria para la seguridad nacional y la política exterior de los Estados Unidos.

Una publicación holandesa del 31 de mayo señala en este contexto que, dado el número de servidores estadounidenses utilizados por el sector público, «el gobierno de EE. UU. podría bloquear o manipular más de 650 sitios web gubernamentales holandeses y de empresas críticas con solo pulsar un botón, incluidos los del Banco Central de los Países Bajos y la policía, pero también el sitio web (…) del Ministerio de Asuntos Exteriores. Al igual que el sitio web Crisis.nl, un sitio de referencia para los holandeses en caso de desastre».

Otro ejemplo de las posibles consecuencias de nuestra dependencia tecnológica se puede encontrar en un caso reciente entre OpenAI y el sistema judicial estadounidense: la empresa está luchando actualmente contra una decisión que le ordena conservar todos los registros de usuarios de ChatGPT, incluidos los chats eliminados y confidenciales, registrados a través de su API comercial.

La decisión tuvo su origen en una demanda presentada por organizaciones de prensa que reclamaban derechos de autor y que acusaban a OpenAI de destruir pruebas.

En su respuesta, la empresa argumenta que el tribunal se basa únicamente en una alegación del New York Times y otros demandantes de los medios de comunicación, y que "no existe ninguna razón válida que impida a OpenAI respetar las decisiones de privacidad de sus usuarios".

Sin tomar posición sobre la legítima cuestión del respeto a los derechos de autor, el caso nos lleva a cuestionar el control que potencias extranjeras, en este caso Estados Unidos, pueden ejercer sobre nuestras herramientas de trabajo cotidianas, desde el momento en que son ellas quienes deciden las motivaciones del interés nacional que justifican dicho control.

Esto resulta especialmente preocupante en un mundo donde el estado de derecho está cada vez más amenazado y donde las alianzas políticas fluctúan a diario.

En este sombrío contexto en el que a menudo se acusa a Europa de ir a la zaga, hay noticias alentadoras: a mediados de mayo, el Centro de Acceso Seguro a Datos (CASD) se convirtió en el primer servicio de alojamiento de datos en Europa en obtener la certificación oficial del RGPD, emitida en virtud del artículo 42 del RGPD y el estándar Europrivacy.

Esta certificación está oficialmente reconocida por las autoridades de protección de datos de 30 países, todos ellos Estados miembros de la UE y del EEE.

CASD ya cuenta con numerosas certificaciones (ISO 27001, ISO 2770) y, además, es un proveedor de servicios de alojamiento de datos sanitarios (HDS, por sus siglas en inglés).

También sabemos que Europa está invirtiendo actualmente en IA, tanto financieramente como con el objetivo de simplificar las regulaciones (véanse las noticias a continuación). El Manifiesto de la IMA (Innovation Makers Alliance), respaldado por actores como OVHcloud, Hexatrust y Mistral AI, también presentó 33 propuestas en marzo dirigidas a la IA, la computación en la nube, la ciberseguridad y la contratación pública, con miras a un reequilibrio urgente… Al mismo tiempo, Microsoft ofreció a los gobiernos europeos un programa gratuito de ciberseguridad.

Las iniciativas europeas solo alcanzarán su máximo potencial si evolucionan nuestros reflejos, ya sea en términos de decisiones estratégicas sobre herramientas de IA, servicios de alojamiento, pero también higiene digital: antes de transmitir o almacenar datos, es fundamental procesar inicialmente solo los datos estrictamente esenciales e implementar, tanto en el ámbito público como en el privado, prácticas y normas que limiten los riesgos de pérdida de control sobre estos datos.

 

El 15 de mayo de 2025, la CNIL multó a la empresa Solocal Marketing Services con 900.000 euros por captar clientes potenciales sin su consentimiento y transmitir sus datos a socios sin una base legal válida.

Ese mismo día, multó a la empresa Caloga con 80.000 euros por captar clientes potenciales sin su consentimiento y transmitir sus datos a socios sin una base legal válida.

A finales de mayo, el diputado y miembro de la CNIL, Philippe Latombe, interrogó al Ministro de Economía, Finanzas y Soberanía Industrial y Digital mediante una pregunta parlamentaria sobre la elección de la mutua de seguros ALAN por parte de muchos organismos públicos para proporcionar un seguro médico complementario a sus empleados.

Señala que "este unicornio francés (...) aloja sus datos en Amazon Web Services (AWS) y, por lo tanto, está sujeto a la extraterritorialidad de la ley estadounidense".

El diputado pregunta al gobierno si está considerando, "para proteger los datos confidenciales de sus agentes y ser coherente con las directivas que emite, solicitar a ALAN que migre a una nube soberana".

En una decisión de fecha 5 de mayo, el Consejo de Estado remitió una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (TJUE) en relación con el alcance del consentimiento: el caso se refiere a la empresa Canal+, sancionada por la CNIL en octubre de 2023 por utilizar datos recogidos por sus socios proveedores de servicios de internet con fines de marketing electrónico, aun cuando dichos socios no fueron identificados explícitamente al otorgarse el consentimiento.

El Consejo de Estado pregunta esencialmente al Tribunal de Justicia de la Unión Europea si el consentimiento otorgado a un responsable principal del tratamiento de datos (como un proveedor de servicios de Internet) para el tratamiento por parte de "sus socios" puede considerarse suficiente para autorizar a cada uno de estos socios a llevar a cabo campañas de marketing, incluso si no están identificados en el momento de la recogida.

El 25 de abril, el Consejo de Estado (CE) rechazó suspender una decisión de la CNIL que autorizaba a la Agencia Europea de Medicamentos (EMA) a procesar datos para un estudio sobre la incidencia y prevalencia de enfermedades en el marco del proyecto “DARWIN EU”.

El solicitante argumentó que la medida era urgente porque el tratamiento propuesto afectaba a los datos sanitarios de 10 millones de franceses, que estarían alojados en Microsoft, lo que requeriría transferencias a Estados Unidos, donde las garantías serían insuficientes.

La CE considera que, "si bien no se puede excluir totalmente que los datos del procesamiento (...) puedan ser objeto de solicitudes de acceso por parte de las autoridades de los Estados Unidos, a través de la empresa matriz del anfitrión, y que esta última no pueda oponerse, este riesgo sigue siendo hipotético en la etapa actual de la investigación.

En segundo lugar, además de que Microsoft Irlanda posee la certificación "Health Data Hosting" (HDS) (...), la implementación del proyecto está rodeada de garantías y medidas de seguridad, en particular porque los datos serán pseudonimizados varias veces y no directamente identificables, por lo que la CNIL consideró que este riesgo se redujo a un nivel que no justificaba denegar la autorización solicitada, cuya duración también limitó a tres años.

El Tribunal de Apelación de Burdeos anuló el 13 de mayo un contrato relativo al desarrollo de un sitio web debido al incumplimiento de la normativa sobre protección de datos personales, y en particular en lo que respecta a las obligaciones relativas a la información y el consentimiento en relación con las cookies.

El sector de las criptomonedas se encuentra sumido en el caos tras varios intentos de secuestro.

Un directivo de la plataforma Paymium, que fue objeto de un atentado reciente, señala los avances regulatorios que pretenden aplicar al sector de las criptomonedas varias normas destinadas a eliminar el anonimato, y que ya se aplican al sector bancario en materia de blanqueo de capitales o en la lucha contra el narcotráfico.

Están apuntando especialmente a los mecanismos nacionales y europeos diseñados para que los fondos sean imposibles de rastrear.

Estas preocupaciones son compartidas por algunos expertos en ciberseguridad que argumentan que el anonimato puede utilizarse en un contexto legítimo, pero también son puestas en perspectiva por otros que señalan todas las garantías de protección de datos ya aplicables al sector financiero.

 

instituciones y organismos europeos

El 21 de mayo, la Comisión Europea publicó una propuesta para modificar el RGPD con el objetivo de suavizar las obligaciones de las pymes y extenderlas a las empresas medianas que emplean a menos de 750 personas.

Los cambios más importantes se refieren a los requisitos relativos al registro de actividades de procesamiento (RPA).

La excepción actual en la sección 30(5) se extendería a todas esas empresas.

Esta nueva excepción se aplicaría a menos que el tratamiento de datos pueda suponer un "alto riesgo" para los derechos y libertades de las personas afectadas (a diferencia del "riesgo" actual).

El texto también añadiría un considerando que especifica que el tratamiento de determinadas categorías de datos necesarias para la aplicación del derecho laboral y de la seguridad social en virtud del artículo 9(2)(b) no genera, por sí mismo, la obligación de mantener una RAT.

Las propuestas también modificarían las disposiciones relativas a los códigos de conducta (Artículo 40) y los sistemas de certificación (Artículo 42) para extenderlas a las empresas que empleen a menos de 750 personas.

Actualmente, estos artículos exigen a los Estados miembros, a las autoridades de protección de datos (APD), a la Comisión y al CEPD que "fomenten" el desarrollo de códigos y certificaciones que tengan en cuenta las "necesidades específicas" de las PYME.

Para orientar la futura estrategia de datos de la UE, la Comisión Europea abre una consulta sobre el uso de datos en la IA, la simplificación de las normas sobre datos y los flujos internacionales de datos.

El objetivo es posibilitar la creación de conjuntos de datos de alta calidad, interoperables y diversos, necesarios para la IA, al tiempo que se garantiza la coherencia entre las políticas, las infraestructuras y los instrumentos legales relacionados con los datos.

El periodo de consulta estará abierto hasta el 18 de julio.

La Comisión también publica una consulta sobre un proyecto de directriz relativa a la Ley de Servicios Digitales (DSA, por sus siglas en inglés), que estará abierta hasta el 10 de junio.

El texto incluye directrices para la protección de menores en línea. La Comisión tiene previsto publicar las directrices definitivas este verano. Asimismo, está trabajando en una aplicación de verificación de edad.

El 27 de mayo, la Comisión Europea anunció que había abierto investigaciones para proteger a los menores del contenido pornográfico en virtud de la Ley de Servicios Digitales (DSA, por sus siglas en inglés).

Las investigaciones sobre Pornhub, Stripchat, XNXX y XVideos se centran en los riesgos asociados a la falta de medidas efectivas de verificación de edad.

Paralelamente, los Estados miembros, reunidos en el seno del Consejo Europeo de Servicios Digitales, están adoptando medidas coordinadas contra las pequeñas plataformas pornográficas.

El Supervisor Europeo de Protección de Datos publicó el 28 de mayo un dictamen sobre la propuesta de reglamento que establece un sistema común para el retorno de nacionales de terceros países que residen irregularmente en la UE.

Si bien reconoce la necesidad de una aplicación más eficaz de la legislación vigente en materia de migración y asilo, subraya que "la protección de datos, como derecho fundamental consagrado en la Carta, es una de las últimas líneas de defensa para las personas vulnerables, como los migrantes y los solicitantes de asilo que se acercan a las fronteras exteriores de la UE".

La ONG noyb envió a Meta una carta de "cese y desistimiento" el 14 de mayo, en calidad de entidad cualificada según la nueva directiva europea sobre acciones colectivas, en relación con el entrenamiento de IA de Meta sin el consentimiento de los usuarios.

La entidad Verbraucherzentrale NRW también había presentado una solicitud de medida cautelar en Alemania, que fue rechazada por el tribunal a finales de mayo (véase más abajo).

 

Noticias procedentes de los países miembros de la Unión Europea.

La Autoridad Federal Alemana de Protección de Datos (BfDI) ha publicado un cuestionario de cumplimiento sobre IA diseñado para ayudar a las organizaciones a validar sus iniciativas de IA y garantizar que cumplen con el RGPD.

El Tribunal Superior Regional de Colonia dictaminó el 23 de mayo que Meta no había infringido el RGPD ni el Reglamento Europeo de Mercados Digitales al utilizar datos de perfiles de usuario para mejorar su sistema de IA, señalando que esta valoración es coherente con la realizada por la Comisión Irlandesa de Protección de Datos (DPC), que es competente en Europa con respecto a Meta.

TikTok se enfrenta a una demanda colectiva en Alemania. La ONG holandesa Stichting Onderzoek Marktinformatie (Somi), que presentó una demanda por daños y perjuicios ante un tribunal de Berlín, alega que "TikTok recopila y analiza datos altamente personales e íntimos de sus usuarios en una medida que va mucho más allá de lo necesario".

La organización alega que el algoritmo de la plataforma crea "un sistema de manipulación y adicción", especialmente para los niños. La ONG reclama una indemnización de hasta 2000 euros por persona.

La Autoridad Belga de Protección de Datos (APD) ha llevado a cabo una evaluación del acuerdo FATCA suscrito entre el Estado belga y los Estados Unidos y ha determinado que no es compatible con el RGPD.

Las quejas se referían a la transferencia de datos personales de los denunciantes, incluidos los belgas "estadounidenses accidentales", a las autoridades fiscales estadounidenses.

La APD reprendió al Servicio Público Federal de Finanzas por infracciones del RGPD y constató una violación de los principios de limitación de la finalidad, minimización de datos y normas de transferencia de datos. 

Esta decisión tiene implicaciones que van más allá de Bélgica, ya que Estados Unidos ha firmado acuerdos similares en otros países de la Unión Europea.

La Agencia Española de Protección de Datos (APD) ha multado con 1.200 euros a una empresa andaluza por pedir a sus empleados que teletrabajan que faciliten su número de teléfono personal para añadirlos al grupo de WhatsApp de la empresa.

En teoría, los empleados podían dar su consentimiento o elegir la alternativa del correo electrónico, pero la empresa les animó a utilizar WhatsApp para facilitar una comunicación fluida.

La APD reiteró que el consentimiento no es una base legal válida en una relación laboral.

También en España, la empresa Carrefour fue multada con 3,2 millones de euros por la APD por no proteger el acceso a las cuentas de sus clientes.

La empresa fue condenada a pesar de que las credenciales utilizadas en el pirateo no fueron robadas directamente de ella, sino porque incumplió su deber de diligencia y sus sistemas de seguridad no le permitieron detectar ataques masivos desde un gran número de direcciones IP.

La Autoridad Italiana de Protección de Datos (APD) ha multado a la empresa estadounidense Luka Inc, proveedora del "acompañante virtual" "Replika AI", con 5 millones de euros por el tratamiento ilegal de datos personales, la violación de las normas de transparencia y por no implementar mecanismos eficaces para verificar la edad de los usuarios.

La Autoridad Polaca de Protección de Datos (APD) ha multado al Ministro de Digitalización polaco con 100.000 PLN (23.448,50 €) y al Servicio Postal Polaco con 27.124.816 PLN (6.444.174 €) por procesar ilegalmente los datos personales de aproximadamente 30 millones de ciudadanos para facilitar el voto por correo en unas elecciones generales.

 

El gobierno australiano ha publicado cláusulas estándar relativas a la IA.

Estas cláusulas se aplican a las condiciones de compra de sistemas de IA, garantizando que su adquisición e implementación se realicen de forma responsable, ética y segura. Su objetivo es mitigar los riesgos y promover la transparencia y la rendición de cuentas en el despliegue de la IA.

Un informe publicado el 5 de junio por Privacy Laws and Business indica que muchos países africanos están adoptando leyes de protección de datos personales, en un entorno socioeconómico completamente diferente al de Europa o América del Norte.

África es el continente líder en el uso de dinero móvil, con más de 1.100 millones de cuentas registradas, lo que representa más de la mitad del total mundial. Por consiguiente, las prioridades en materia de privacidad en los países africanos son necesariamente diferentes a las de los países europeos.

Para el autor, este contexto socioeconómico diferente implica que las evaluaciones de la UE sobre la "idoneidad" de Kenia y otros países de África, Asia y América Latina deberían, en cierta medida, tener en cuenta las circunstancias nacionales.

El presidente de los Estados Unidos firmó el 19 de mayo la "Ley para Eliminar Imágenes No Consensuales", un proyecto de ley cuyo propósito es bloquear las imágenes íntimas no consentidas y que también abarca los "deepfakes" creados con inteligencia artificial.

“Take It Down” es el acrónimo de “Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Ley de Herramientas para Abordar la Explotación Conocida mediante la Inmovilización de Deepfakes Tecnológicos en Sitios Web y Redes).

Google ha acordado pagar 1.375 millones de dólares al estado de Texas para resolver dos demandas que acusaban a la compañía de rastrear la ubicación de los usuarios, realizar búsquedas "de incógnito" y recopilar datos de voz y faciales sin su permiso.

Según se informa, la empresa declaró que estaba resolviendo el proceso judicial sin admitir culpa ni responsabilidad, y sin tener que modificar sus productos, y que sus prácticas habían evolucionado desde los hechos.

Mientras tanto, los resultados de una investigación publicada el 3 de junio muestran que Meta y la empresa rusa Yandex están rastreando la navegación web de los usuarios de Android, incluso en modo incógnito o con una VPN, explotando un puerto local para vincular la actividad de navegación con la identidad conectada.

Google afirma estar investigando este abuso, que permite a Meta y Yandex convertir identificadores web efímeros en identidades de usuario persistentes para aplicaciones móviles.