Informe jurídico n.º 84 – junio de 2025. 

Cámaras aumentadas: la CNIL establece nuevas directrices.

El 11 de julio, la CNIL consideró que el uso de cámaras "aumentadas" para estimar la edad de los clientes en los estancos con el fin de controlar la venta de productos prohibidos a menores no es ni necesario ni proporcionado.

Estas cámaras se presentan como una herramienta para la toma de decisiones. Se basan en un algoritmo de inteligencia artificial, activado por defecto, que escanea el rostro de todas las personas en su campo de visión para determinar si son menores o adultos.

La CNIL (Autoridad Francesa de Protección de Datos) señala que, dado que la cámara "aumentada" solo realiza una estimación, los estancos deben solicitar sistemáticamente a sus clientes un documento que acredite su edad para cumplir con sus obligaciones. "Por consiguiente, el análisis facial previo mediante una cámara para estimar la edad no parece necesario: solo añadiría controles a los ya exigidos por la ley".

La CNIL señala un uso desproporcionado en relación con el objetivo perseguido, que conlleva la filmación de todas las personas, incluso de aquellas que son claramente adultas, e impide que las personas ejerzan su derecho a oponerse.

También considera que la instalación de cámaras en espacios habitables como los estancos contribuye al riesgo de trivialización y habituación a una forma de vigilancia reforzada por la multiplicación de este tipo de dispositivos.

No es la primera vez que la autoridad reguladora se pronuncia sobre este tema. A finales de mayo, provocó la indignación del alcalde de Niza al prohibir la instalación de cámaras de realidad aumentada frente a las escuelas de la ciudad, haciendo hincapié en la recopilación de datos personales y reiterando la necesidad de reducir al mínimo la vigilancia de las personas en los espacios públicos.

En algunos contextos, sin embargo, el uso de cámaras con realidad aumentada goza del favor de la CNIL: ha considerado que la instalación de estas cámaras en las cajas automáticas de los supermercados podría constituir un interés legítimo para limitar las pérdidas de ingresos causadas por errores o robos en las cajas, pero bajo ciertas condiciones: que el sistema sea necesario para el objetivo perseguido, que no vulnere desproporcionadamente los derechos de las personas y que no pueda lograrse de una manera menos intrusiva.

Deben implementarse medidas para minimizar la cantidad de datos, como limitar el área de captura a las cajas de autopago y restringir la duración, la resolución y la frecuencia de la captura. Además, se debe informar a los usuarios sobre el sistema y ofrecerles una alternativa sin cámara.

La CNIL tiene previsto regular el uso de estos sistemas, garantizando su necesidad y proporcionalidad en cada caso particular. Asimismo, recomienda aplicar el principio de privacidad desde el diseño.

Conviene recordar que el marco regulatorio para la videovigilancia algorítmica es un tema en constante evolución, sujeto a un marco regulatorio complejo.

Este marco difiere del de las cámaras biométricas, que procesan sistemáticamente datos relacionados con las características físicas de las personas, con el objetivo de identificarlas o autenticarlas de forma unívoca.

Estas operaciones de procesamiento, que implican datos sensibles, están prohibidas salvo en circunstancias excepcionales.

En lo que respecta a las cámaras "aumentadas", actualmente no existe un texto específico, salvo el marco experimental previsto en la ley de los Juegos Olímpicos y Paralímpicos del 19 de mayo de 2023.

La CNIL nos recuerda que "los mecanismos que puedan afectar a las garantías fundamentales que se ofrecen a los ciudadanos para el ejercicio de las libertades públicas solo pueden utilizarse si una ley los autoriza y los regula específicamente".

Para otros sistemas, deben implementarse medidas de seguridad rigurosas.

El período de prueba de la ley de los Juegos Olímpicos se extendió recientemente hasta 2027, a pesar de una evaluación que se presentó como controvertida.

Esta ley autoriza el uso experimental de dispositivos de cámara con realidad aumentada para garantizar la seguridad de determinados eventos deportivos, recreativos y culturales de gran envergadura, bajo condiciones muy específicas: solo los eventos especificados por la ley pueden ser objeto de detección, y no se puede realizar ningún reconocimiento facial.

Desde un punto de vista más político, la CNIL insta a las autoridades públicas a trazar una línea divisoria entre lo que debe o no debe permitirse en una sociedad democrática: no todo lo que es técnicamente factible es necesariamente deseable desde un punto de vista ético y social.

 

 

En un contexto de mayor concienciación sobre la lucha contra la discriminación, la CNIL publica una recomendación sobre la medición de la diversidad en el lugar de trabajo.

Ella subraya que dicha medida es un ejercicio delicado que implica que los empleadores respeten estrictamente la decisión del Consejo Constitucional del 15 de noviembre de 2007, interpretada con frecuencia y erróneamente como una prohibición absoluta de las estadísticas relacionadas con el origen.

La comisión subraya en particular que las investigaciones deben seguir siendo opcionales y que los empleados o agentes deben estar debidamente informados y sus derechos deben ser respetados.

También recomienda priorizar las encuestas anónimas y limitar los datos recopilados mediante preguntas cerradas.

La CNIL también publicó dos preguntas frecuentes sobre el uso de la IA en las escuelas y un manga destinado a concienciar a los jóvenes sobre la protección de sus datos personales.

También ha publicado recomendaciones sobre herramientas de medición de audiencia en internet y una herramienta de autoevaluación para valorar su conformidad con el marco legal.

Ha publicado recomendaciones sobre el desarrollo de sistemas de IA, que especifican las condiciones para el uso del interés legítimo, en particular en el caso de la recopilación de datos (web scraping), y el 12 de junio abrió una consulta pública sobre su borrador de recomendación relativo al uso de píxeles de seguimiento en los correos electrónicos.

El objetivo es ayudar a los actores que utilizan estos sistemas de seguimiento a comprender mejor sus obligaciones, en particular en lo que respecta a la obtención del consentimiento del usuario.

Según una publicación del 30 de junio del medio de comunicación especializado en ciberseguridad Cybernews, actualmente hay 16 mil millones de nombres de usuario y contraseñas robados accesibles en línea.

La información comprometida incluye identificadores, como nombres de usuario y direcciones de correo electrónico, así como contraseñas.

Los directorios también contienen tokens de acceso, cookies de inicio de sesión y metadatos.

 Esto no sería una nueva fuga de datos, sino la acumulación de diferentes fugas de datos anteriores, lo que puede aumentar los riesgos de robo de datos al facilitar el trabajo de agentes malintencionados.

Google se arriesga a una multa récord de 525 millones de euros por su gestión de las cookies y la publicidad en las bandejas de entrada de Gmail.

En su proyecto de decisión, la CNIL acusa a Google de haber violado los principios que implementan la directiva europea "privacidad y comunicaciones electrónicas", al no obtener el consentimiento del usuario para la descarga de cookies al crear una cuenta de Gmail y para la visualización, en las bandejas de entrada de Gmail, de anuncios que parecen correos electrónicos.

Si el comité restringido de la CNIL ratifica la multa, esta será la más alta en la historia de la CNIL y la más alta jamás impuesta por una infracción de la Directiva sobre privacidad electrónica. La decisión final se anunciará en unas semanas.

El incumplimiento del RGPD es motivo de rescisión de contrato, especialmente en el ámbito de los servicios de desarrollo de comunicaciones digitales: siguiendo decisiones anteriores, en su sentencia del 11 de junio de 2025, el Tribunal de Apelación de Burdeos confirmó la existencia de un dispositivo de protección reCAPTCHA asociado a varias cookies instaladas sin el consentimiento del usuario final.

Ante los continuos incumplimientos contractuales por parte del proveedor de servicios, el cliente tiene derecho a solicitar la rescisión del contrato de conformidad con los artículos 1610, 1217 y 1224 del Código Civil.

 

instituciones y organismos europeos

El calendario para la transposición del reglamento europeo sobre inteligencia artificial se publicó a mediados de junio.

Tras los rumores sobre un posible período de gracia, la Comisión aclaró que el texto se aplicaría de acuerdo con los plazos establecidos.

La normativa se aplica a los sistemas de IA en función de los riesgos que presentan, y rige los modelos de IA de propósito general (GPAI) en función de sus capacidades.

Las normas relativas a la IAGP entrarán en vigor el 2 de agosto de 2026; para los sistemas existentes, la aplicación comenzará el 2 de agosto de 2027.

Además, el 10 de julio se publicó el Código de Buenas Prácticas para la IA de Propósito General.

Consta de 3 capítulos.

Los capítulos sobre transparencia y derechos de autor proporcionan a todos los proveedores de modelos de IA de propósito general un medio para demostrar que cumplen con sus obligaciones en virtud del artículo 53 de la Ley de IA.

El capítulo sobre seguridad se refiere únicamente a un pequeño número de proveedores de modelos altamente avanzados, sujetos a las obligaciones establecidas para los proveedores de modelos de IA de propósito general que presenten un riesgo sistémico según el artículo 55 de la Ley de IA.

Según un documento interno al que ha tenido acceso MLex, se espera que la propuesta de la Comisión Europea para un "plan ómnibus digital" se presente antes del 10 de diciembre.

Formará parte de un paquete que incluye el Reglamento sobre redes digitales, la revisión del Reglamento sobre ciberseguridad y la cartera electrónica europea.

La normativa relativa al desarrollo de la computación en la nube y la inteligencia artificial está prevista, de forma provisional, para la semana siguiente.

A finales de junio, las instituciones europeas adoptaron una posición común sobre normas de procedimiento adicionales relativas a la aplicación del RGPD. El texto debe ahora ser aprobado formalmente mediante votación en el Parlamento Europeo.

En una reunión de dos días celebrada en Helsinki los días 1 y 2 de julio, el Comité Europeo de Protección de Datos (CEPD) anunció que ayudaría a las organizaciones a comprender mejor sus obligaciones en virtud del RGPD mediante la publicación de directrices simplificadas. En su declaración, la presidenta del comité indicó que, «a través de directrices concisas y oportunas, y herramientas listas para usar, como una plantilla común de notificación de violaciones de datos, listas de verificación, guías prácticas y preguntas frecuentes, seguiremos facilitando el cumplimiento del RGPD para todos».

Por el momento, los flujos de datos transatlánticos siguen siendo válidos en el marco del "Marco de protección de datos", a pesar de las medidas adoptadas por la administración Trump que debilitan dicho marco en Estados Unidos.

A mediados de junio, la Comisión Europea confirmó, en respuesta a una pregunta parlamentaria, que la destitución de los miembros del PCLOB (Comité de Supervisión de la Privacidad y las Libertades Civiles) no afecta a la validez del marco de protección de datos entre la UE y Estados Unidos, ya que el PCLOB sigue siendo funcional.

 

Noticias procedentes de los países miembros de la Unión Europea.

La Autoridad de Protección de Datos (APD) del Estado de Berlín En una decisión fechada el 27 de junio, concluyó que las transferencias de datos de DeepSeek a China son ilegales y solicitó a Google y Apple que bloqueen la aplicación.

Según se informa, DeepSeek no pudo proporcionar a la Autoridad de Protección de Datos (DPA) pruebas convincentes de que los datos de los usuarios alemanes estén protegidos en China a un nivel equivalente al de la Unión Europea.

Las autoridades chinas tienen amplios derechos de acceso a los datos personales que poseen las empresas chinas. Además, los usuarios de DeepSeek en China no cuentan con derechos exigibles ni recursos legales efectivos, como sí se garantiza en la Unión Europea.

APD belga El 26 de junio se rechazaron 16 denuncias presentadas por la ONG Noyb en 5 casos diferentes, alegando que no existía un mandato real (no ficticio) de las personas implicadas.

En su comunicado de prensa, la APD destaca la diferencia entre los artículos 80(1) y 80(2) del RGPD y el hecho de que el legislador belga optó por no permitir que las organizaciones de derechos del consumidor presenten quejas sin un mandato.

Concluyó afirmando que, "dada la importancia de estas organizaciones, (ella) está a favor de una enmienda legislativa que también permita esta opción en Bélgica".

En DinamarcaUna enmienda a la ley de derechos de autor otorgará a los ciudadanos un derecho sobre su voz, rostro y cuerpo, incluso cuando estos sean reproducidos digitalmente por inteligencia artificial generativa.

El ministro de Cultura danés declaró al respecto que "los seres humanos corren el riesgo de convertirse en fotocopiadoras digitales y ser utilizados para todo tipo de fines abusivos, y no estoy dispuesto a aceptarlo".

En EspañaLa APD ha multado a Carrefour con 3.200.000 euros tras una serie de filtraciones de datos.

Descubrió que Carrefour no había implementado las medidas de seguridad adecuadas y no había informado de la filtración a las personas afectadas.

La APD también impuso una multa de 12.000 euros a un subcontratista por contratar a un subcontratista secundario sin la autorización del responsable del tratamiento de datos, en violación del artículo 28(2) del RGPD.

Microsoft se enfrenta a la primera demanda colectiva en Irlanda. El Consejo Irlandés de Libertades Civiles (ICCL) inició un procedimiento ante el Tribunal Superior de Dublín a finales de mayo. Esta acción legal, interpuesta en virtud de la nueva directiva europea sobre acciones colectivas, alega que el sistema de pujas en tiempo real (RTB) utilizado por Microsoft para ofrecer publicidad online segmentada es incompatible con el RGPD.

Los documentos relacionados con las solicitudes de acceso no se pueden conservar indefinidamente: tras una investigación iniciada por el usuario, Ayuda oficial al desarrollo de Lituania Ordenó a un proveedor de servicios médicos que estableciera períodos de retención para los documentos relacionados con la tramitación de las solicitudes de acceso.

Cuidado con los píxeles de seguimiento: Ayuda oficial al desarrollo noruega Se impuso una multa de 250.000 coronas noruegas (21.600 euros) al municipio de Kristiansand por procesar ilegalmente datos personales de menores a través de píxeles Snap y Meta en el sitio web de su línea de ayuda para casos de abuso infantil.

La APD también consideró que la información relativa a las visitas a páginas de un sitio web que contenían contenido sobre temas médicos específicos constituía datos sensibles, y reprendió a una empresa por procesar ilegalmente esta información sensible a través del píxel Meta.

 

En el Reino Unido, la Ley de Uso y Acceso a los Datos (DUAA, por sus siglas en inglés) recibió la aprobación real el 19 de junio. Esta ley incluye disposiciones destinadas a promover el desarrollo de servicios de verificación digital, nuevos programas de datos inteligentes como la banca abierta y un nuevo registro nacional de activos ocultos.

También incluye cambios significativos en la legislación británica sobre protección de datos.

La DUAA no sustituirá al RGPD del Reino Unido, pero introducirá algunos cambios "para simplificar las normas para las organizaciones, fomentar la innovación, ayudar a los organismos encargados de hacer cumplir la ley a combatir la delincuencia y permitir el intercambio responsable de datos, manteniendo al mismo tiempo altos estándares de protección de datos".

En Estados Unidos, la reciente decisión del Tribunal Supremo en el caso Free Speech Coalition v. Paxton ha causado gran conmoción en el panorama digital.Un artículo de la IAPP expresa preocupación por el cuestionamiento de las nociones de verificación de edad, la libertad de expresión y las implicaciones para la privacidad.

El fallo del 27 de junio ratifica una ley de Texas que exige que los sitios web con contenido para adultos verifiquen la edad de los visitantes mediante técnicas potencialmente intrusivas, como la biometría. Si bien esta decisión busca proteger a los menores del contenido explícito, también plantea interrogantes sobre los riesgos asociados con la recopilación de información personal sensible.

En Estados Unidos también, a principios de julio el Congreso votó a favor de adoptar la "Ley de la Gran Ley Unificada".El proyecto de ley codificaba la agenda nacional del presidente Trump, con una excepción clave: la moratoria sobre la regulación de la IA que se incluyó inicialmente. Esta moratoria habría paralizado más de 1000 proyectos de ley de regulación de la IA que habían estado avanzando en los procesos legislativos en las capitales estatales desde enero.

Meta, la empresa propietaria de WhatsApp, anunció el 16 de junio el lanzamiento de nuevas funciones en la pestaña "Actualizaciones" de WhatsApp, que incluyen publicidad segmentada y un modelo de suscripción.La compañía afirmó que estas funciones se irían implementando gradualmente para los usuarios "en los próximos meses". Para ello, Meta utilizará las "preferencias e información publicitaria" de las cuentas de Facebook e Instagram de los usuarios vinculadas a WhatsApp.

La Comisión Irlandesa de Protección de Datos (DPC, por sus siglas en inglés) declaró que WhatsApp le había informado de que su modelo publicitario no se implementaría en la UE hasta 2026 y que se discutiría con otras autoridades de protección de datos para que pudieran expresar sus inquietudes como reguladores europeos.

Según el diario L'Express del 26 de mayo, Rusia planea implementar, a partir del 1 de septiembre de 2025, un proyecto experimental que exigirá a los extranjeros que realicen estancias temporales en Moscú y su región el uso de una aplicación móvil de geolocalización y la realización de controles biométricos.Los usuarios deberán registrarse en la aplicación, "aceptar la recopilación de sus datos personales, incluida la geolocalización, indicar su lugar de residencia al Ministerio del Interior y actualizarlo en un plazo de tres días si se mudan".