Boletín Jurídico N° 90 – Diciembre de 2025. 

 

Datos, IA, ciberseguridad: quién es quién en las directrices y regulaciones que se deben seguir en 2026.

Muchas de las normativas adoptadas en los últimos años entrarán ahora plenamente en vigor o alcanzarán fases decisivas de su implementación.

Al mismo tiempo, nuevas iniciativas de la Comisión Europea, en particular la Ley Ómnibus Digital y el Proyecto de Ley de Equidad Digital, anuncian nuevos ajustes normativos destinados a complementar o modificar las regulaciones existentes.

El RGPD, en vigor desde 2018, sigue siendo hoy la piedra angular del marco de protección de datos, junto con la Directiva sobre privacidad electrónica, cuya revisión se encuentra actualmente abandonada.

La Comisión pretende simplificar mediante su propuesta General Varios aspectos del RGPD relacionados con el desarrollo de la inteligencia artificial (IA): prevé reconocer el desarrollo y el funcionamiento de los sistemas de IA como un "interés legítimo" en el sentido del RGPD e introducir una nueva base jurídica para el tratamiento de datos sensibles destinados al entrenamiento de modelos de IA.

En términos más generales, el Ómnibus digital Esto reduciría la carga de cumplimiento normativo para las empresas, por ejemplo, al flexibilizar el umbral a partir del cual se debe notificar una violación de datos y al ampliar las situaciones en las que los datos pueden considerarse "anónimos".

La normativa del paquete digital, y más concretamente el Reglamento de Mercados Digitales (RMD) y el Reglamento de Servicios Digitales (RSD), aclara las normas aplicables a la economía digital y la responsabilidad de las plataformas.

Están en vigor desde 2024 y la Comisión comenzó a imponer sanciones en 2025.

La DSA Se aplica a las plataformas en línea de gran tamaño (VLOP) y a los motores de búsqueda en línea de gran tamaño (VLOSE), así como a todos los intermediarios que ofrecen sus servicios a usuarios con sede en la UE.

Varias obligaciones de la DSA coinciden con las del RGPD.

Por ejemplo, existen obligaciones similares o complementarias en lo que respecta a las "prácticas engañosas", la publicidad dirigida basada en datos sensibles o que afecte a menores, la transparencia, la elaboración de perfiles, el análisis de riesgos y la eliminación de contenido ilegal.

En 2025, el Comité Europeo de Protección de Datos (CEPD) publicó directrices sobre estas cuestiones interrelacionadas.

El objetivo principal del DMA El objetivo es evitar que los gigantes tecnológicos o los "guardianes" se aprovechen de su posición dominante.

Algunas de estas obligaciones refuerzan las previstas por la DSA en materia de protección del usuario, en particular en lo que respecta a la elaboración de perfiles.

La estrategia de datos de la UE tiene como objetivo crear un mercado único de datos, fomentar la innovación y garantizar un intercambio de datos seguro y eficiente en toda la Unión Europea.

Los siguientes textos tienen un impacto en los datos personales: el Reglamento sobre la gobernanza de datos (DGA), el Reglamento de datos (DA), el Reglamento sobre transacciones electrónicas (eIDAS) y el Reglamento sobre el espacio europeo de datos sanitarios (EHDS). 

La propuesta ómnibus de la Comisión tiene por objeto simplificar el marco legislativo en este ámbito.

El texto prevé notablemente la derogación de DGA y la directiva de 2019 sobre datos abiertos.

EL DA Seguiría siendo la referencia central e incluiría los elementos esenciales conservados de los demás textos.

Además de la armonización de las definiciones, las pequeñas y medianas empresas (hasta 750 empleados) estarían exentas de ciertas obligaciones.

La Ley de Dispositivos Médicos (DA, por sus siglas en inglés), aplicable desde el 12 de septiembre de 2025, contempla la entrada en vigor de una parte significativa de sus obligaciones el 12 de septiembre de 2026: la normativa establece la obligación de diseñar productos conectados y servicios asociados de forma que los datos relativos a dichos productos y servicios sean accesibles por defecto para los usuarios, y a partir de septiembre, los fabricantes deberán garantizar que el acceso a los datos esté técnicamente asegurado desde las fases de desarrollo y diseño del producto.

En lo que respecta a la normativa eIDASA partir de 2026, los Estados miembros estarán obligados a proporcionar a sus ciudadanos y empresas al menos una cartera de identidad digital compatible con la normativa de la UE, que permita a los usuarios almacenar de forma segura sus datos de identidad, identificadores y atributos (documento de identidad, permiso de conducir, información de pago, etc.) y comunicarlos selectivamente a las autoridades públicas y a los proveedores privados.

Las empresas, las plataformas en línea y los servicios administrativos también tendrán que adaptarse a estas nuevas formas de identificación y autenticación digital.

L'EHDS Entró en vigor el 26 de marzo de 2025, pero sus disposiciones principales serán plenamente aplicables a partir de marzo de 2029.

La regulación de la IALa normativa vigente desde agosto de 2024 se vuelve decisiva para las empresas a partir del 2 de agosto de 2026.

Algunas obligaciones ya están vigentes, como la transparencia en la interacción con los chatbots o el etiquetado del contenido generado por IA, y garantizar una competencia suficiente en IA entre los empleados que trabajan con sistemas de IA.

Pero a partir de agosto, deberán aplicarse requisitos más exhaustivos a los sistemas de IA de alto riesgo utilizados en áreas sensibles como la gestión de recursos humanos, la evaluación del desempeño o el acceso a servicios esenciales.

Sin embargo, la Comisión prevé, en su propuesta ómnibus, aplazar la aplicación de estas normas hasta diciembre de 2027.

En este caso también se simplificarían algunas obligaciones para las pequeñas y medianas empresas con hasta 750 empleados.

En términos de seguridad, mencionaremos el Directiva sobre la seguridad de las redes y los sistemas de información. (NIS2) en vigor desde octubre de 2024, el regulación sobre resiliencia operativa digital (DORA) en vigor desde enero de 2025, así como el Reglamento sobre Resiliencia Cibernética (CRA)).

En lo que respecta a esto último, las principales obligaciones de los fabricantes de productos que contienen elementos digitales entrarán en vigor el 11 de septiembre de 2026, incluida la obligación de notificar las vulnerabilidades que se estén explotando activamente y los incidentes de seguridad graves.

Por lo tanto, los fabricantes deberán informar a las autoridades de vigilancia del mercado pertinentes, en plazos muy breves, sobre las vulnerabilidades detectadas y los incidentes de seguridad que comprometan significativamente la seguridad del producto.

Para rematar esta lista de regulaciones, mencionemos finalmente la Propuesta relativa a un reglamento sobre equidad digital (EFD) Se prevé que esto incremente aún más la complejidad del marco legal para los proveedores de servicios en línea.

En julio de 2025, la Comisión puso en marcha una consulta pública sobre este proyecto, cuyo objetivo sería combatir las "prácticas comerciales desleales", como las prácticas engañosas, las funciones adictivas y la personalización abusiva, incluidas las relacionadas con los agentes de IA.

¿Cuál es el futuro de estas propuestas? Los próximos meses serán decisivos: la presidencia chipriota aspira a obtener un mandato a finales de marzo o principios de abril para negociar el proyecto de ley ómnibus con el Parlamento Europeo, lo que refleja el deseo de adoptarlo antes de que entren en vigor en agosto los requisitos de alto riesgo del reglamento de IA.

 

Tomamos nota de varias sanciones importantes impuestas por la CNIL justo antes y después de la transición a 2026, todas ellas relacionadas con la seguridad de los datos.

El 13 de enero de 2026, la CNIL (Autoridad Francesa de Protección de Datos) multó a las empresas Free Mobile y Free con 27 millones de euros y 15 millones de euros respectivamente. dada la insuficiencia de las medidas adoptadas para garantizar la seguridad de los datos de sus suscriptores.

En octubre de 2024, un atacante logró infiltrarse en los sistemas informáticos de las empresas y acceder a datos personales relativos a 24 millones de contratos de abonados, incluidos los IBAN.

El 22 de diciembre de 2025, multó a la empresa Nexpublica France con 1.700.000 euros.s por no implementar medidas de seguridad suficientes para su software PCRM, una herramienta para gestionar las relaciones de los usuarios en el ámbito de la acción social.

El 11 de diciembre de 2025, sancionó a Mobius Solutions Ltd, un subcontratista responsable de una filtración de datos que afectó a los usuarios de Deezer.Se le impuso una multa de un millón de euros por incumplimiento de las normas de subcontratación aplicables: retención de datos tras la expiración del contrato, tratamiento no autorizado y falta de registro del tratamiento realizado.

Tres empleados de la empresa conservaron una copia de los datos de más de 46 millones de usuarios de Deezer tras la finalización de su relación contractual, exponiéndolos a fallos de seguridad que llevaron a la publicación de datos en la web oscura.

El Tribunal Administrativo de Apelación de Versalles dictaminó el 11 de diciembre que un paciente no podía pedir a un hospital que corrigiera una evaluación médica, ya que esta constituía una opinión subjetiva.

Este principio sigue siendo aplicable incluso cuando el diagnóstico de la persona responsable del tratamiento difiere de los diagnósticos posteriores.

Las alucinaciones de la IA en las conclusiones de los abogados a veces son percibidas con indulgencia por los jueces; este es al menos el punto de vista del tribunal judicial de Périgueux en su decisión del 18 de diciembre.

Este último señala "(...) que las referencias jurisprudenciales citadas por el solicitante, pero no presentadas en sus documentos, no parecen corresponder a decisiones publicadas. (...).

Por lo tanto, el tribunal invitará al solicitante y a su abogado a verificar en el futuro que las referencias que hayan encontrado en los motores de búsqueda o con la ayuda de la inteligencia artificial no sean "alucinaciones".

Esta postura contrasta con una reciente decisión belga, que se menciona más adelante.

El Ministerio del Interior sufrió un ciberataque a gran escala a mediados de diciembre.

El ministro del Interior confirmó el miércoles 17 de diciembre que "los servicios del Ministerio del Interior fueron blanco de un ciberataque masivo", calificándolo de acto muy grave que resultó en la publicación de archivos, incluidos antecedentes penales y personas buscadas. La intrusión cibernética se produjo a través de las cuentas de correo electrónico del personal del ministerio.

En el ámbito de los ciberataques, cabe destacar también que la CNIL, en su resolución restringida del 18 de diciembre de 2025, solicitó una sanción de 5 millones de euros contra France Travail por una falta de seguridad que derivó en una filtración de datos que afectó a 36,8 millones de personas.

 

instituciones y organismos europeos

El reglamento de la UE que establece normas de procedimiento adicionales relativas a la aplicación del RGPD se publicó el 12 de diciembre y entrará en vigor el 2 de abril de 2027.

El objetivo de este texto es simplificar la gestión procesal de los casos transfronterizos en virtud del RGPD por parte de las autoridades nacionales de protección de datos (APD), mejorar la cooperación entre las APD mediante procedimientos estructurados, funciones más claras y plazos definidos, y reforzar las garantías procesales y la seguridad jurídica para los denunciantes y las partes investigadas, incluido el derecho a ser oídos, el acceso a los expedientes y la eficacia de los recursos judiciales.

La Comisión Europea publicó el 17 de diciembre su primer borrador de código de buenas prácticas sobre el marcado y el etiquetado de contenidos generados por inteligencia artificial.

El proyecto consta de dos secciones.

La primera sección abarca las normas relativas al marcado y la detección de contenido generado por IA, aplicables a los proveedores de sistemas de IA generativa.

• La segunda abarca el etiquetado de los deepfakes y de ciertos textos generados o manipulados por IA sobre asuntos de interés público, y se aplica a quienes implementan sistemas de IA generativa.

La Comisión recabará comentarios hasta el 23 de enero, con el objetivo de finalizar el código en junio.

El 19 de diciembre de 2025, la Comisión Europea anunció la renovación de las dos decisiones de adecuación relativas al Reino Unido. Adoptada inicialmente en 2021, reafirma que los datos personales pueden seguir fluyendo libremente entre el Espacio Económico Europeo y el Reino Unido.

En la sentencia Storstockholms Lokaltrafik (C-422/24) del 18 de diciembre, el Tribunal de Justicia de la Unión Europea aclaró el concepto de recogida directa de datos personales.

Esta ley «no exige que la persona interesada proporcione datos a sabiendas ni que realice ninguna acción en particular. Por lo tanto, los datos obtenidos mediante la observación de la persona que los proporciona se consideran recabados directamente de ella».

Estas aclaraciones tienen un impacto en el momento y el alcance de la obligación de proporcionar información, que debe ser inmediata y más completa.

El caso concreto se refería a la comprobación de un billete de transporte por parte de un agente equipado con una cámara corporal.

El Tribunal sugiere que la información más importante se indique en una señal de advertencia, y que el resto de la información se proporcione en un lugar de fácil acceso.

El 23 de diciembre, la administración Trump impuso sanciones a 5 ciudadanos europeos. En respuesta a la reciente multa impuesta por la Comisión Europea a la empresa X en virtud de la Ley de Servicios Digitales (DSA), Thierry Breton, excomisario europeo de Economía Digital, así como varios miembros de la sociedad civil que trabajan para las ONG HateAid, Center for Countering Digital Hate y The Global Disinformation Index, tienen prohibida la entrada a Estados Unidos.

Washington denuncia las obligaciones de moderación, información y rendición de cuentas de las plataformas previstas en la DSA, que aquí se consideran medidas de censura extraterritorial.

El 5 de diciembre, la Comisión Europea multó a X con 120 millones de euros por incumplir sus obligaciones de transparencia en virtud de la Ley de Servicios Digitales (DSA).

Entre las deficiencias se incluyen el diseño engañoso de su sistema de "validación azul" para cuentas verificadas, la falta de transparencia en su directorio publicitario y la imposibilidad de proporcionar a los investigadores acceso a datos públicos.

 

Noticias procedentes de los países miembros de la Unión Europea.

En una decisión fechada el 10 de noviembre, el tribunal regional de Darmstadt, en Alemania, redujo a cero los honorarios de un perito que había utilizado ampliamente la inteligencia artificial para elaborar un informe judicial sin revelarlo.

El tribunal citó los siguientes factores para reducir los honorarios:

1. La omisión de declarar el uso de inteligencia artificial y la ausencia de un verdadero autor constituyeron una violación de las obligaciones procesales.
2. El informe se consideró inutilizable: falta de revisión personal, errores de hecho y claros indicios de texto generado por inteligencia artificial.
3. La transparencia y la rendición de cuentas son esenciales en las opiniones de los expertos.

El tribunal alemán de Lübeck concedió a un demandante una indemnización de 5.000 euros por daños morales contra Meta por el tratamiento de datos personales sin obtener el consentimiento previo mediante el uso de las herramientas comerciales de Meta.

Las transferencias de datos desde sitios web de terceros a Meta se producen independientemente de la activación de las aplicaciones de Meta por parte del usuario y de la obtención de su consentimiento.

El tribunal determinó que Meta había infringido el artículo 6(1) del RGPD, lo que supuso una amenaza suficientemente concreta para el interesado, quien sufrió un temor fundado de que sus datos personales se utilizaran indebidamente en forma de pérdida de control.

En Austria, el Tribunal Supremo dictaminó el 26 de noviembre que Meta debe proporcionar a sus usuarios acceso completo a todos sus datos personales, incluyendo sus fuentes, destinatarios y finalidades.

Una simple lista indicativa no es suficiente.

El Tribunal también dictaminó que la publicidad personalizada y el tratamiento de datos personales (sensibles) procedentes de sitios web de terceros requieren el consentimiento del interesado.

Una reciente decisión judicial belga ha multado a los demandantes con más de 25.000 euros por utilizar herramientas de inteligencia artificial generativa para redactar sus recursos de apelación, por abuso manifiesto de procedimiento, apelación frívola y recurso abusivo.

El Tribunal de Apelación de Amberes constata la presentación de argumentos "incoherentes y completamente carentes de sentido", respaldados por jurisprudencia inexistente y fuentes jurídicas inventadas.

En Bélgica, la APD también amonestó a una empresa por transmitir ilegalmente información sobre un antiguo empleado durante una conversación telefónica con otra empresa en el marco de un proceso de selección de personal.

El Departamento de Policía de Austin (APD) también reprendió a las dos empresas por no responder a las solicitudes de acceso del individuo.

En Croacia, el banco AZOP fue multado con 1.500.000 euros por múltiples infracciones del RGPD.

El banco procesó los datos personales de 433.922 usuarios sin base legal, sin proporcionar la información requerida a los usuarios y sin haber implementado las medidas técnicas y organizativas adecuadas.

 

La Autoridad de Protección de Datos del Reino Unido (DPA, por sus siglas en inglés) ha multado con 1,2 millones de libras esterlinas al proveedor de gestores de contraseñas LastPass UK Ltd tras una filtración de datos ocurrida en 2022 que comprometió la información personal de casi 1,6 millones de sus usuarios en el Reino Unido.

La ICO determinó que LastPass no había implementado medidas técnicas y de seguridad suficientemente sólidas, lo que finalmente permitió que un pirata informático obtuviera acceso no autorizado a su base de datos de respaldo.

Estados Unidos ha reiterado su demanda de acceso a las bases de datos biométricas nacionales de los países de la UE que participan en el Programa de Exención de Visado (PEV), y tiene la intención de concluir un acuerdo sobre este asunto antes de finales de 2026.

Washington lleva solicitando este acceso desde 2022, como parte de las "Asociaciones para la Mejora de la Seguridad Fronteriza" (EBSP, por sus siglas en inglés) de Estados Unidos, y amenaza con retirar la exención de visado si se le deniega.

El alcance del acceso sigue siendo incierto.

La postura europea en esta etapa parece querer limitarlo a las personas que viajan a los Estados Unidos.

El acceso incluiría datos biométricos como huellas dactilares y escaneos faciales, pero también otros datos sensibles que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical o datos relativos a la salud o la vida sexual cuando sea necesario y proporcional "para prevenir o combatir delitos criminales y terroristas".

En diciembre, las capitales europeas acordaron otorgar a la Comisión Europea el mandato de negociar el marco de este acuerdo, cuyos detalles serán decididos por los Estados miembros.

En Estados Unidos, el uso de la inteligencia artificial para transcribir informes de las cámaras corporales de la policía en Heber City, Utah, ha tenido consecuencias incongruentes.

El software Draft One, basado en LLM de OpenAI, informó que un agente se había transformado en una rana.

El software había detectado la película que se estaba reproduciendo de fondo, que resultó ser "La princesa y el sapo".

Más allá de la ironía de la situación, este caso en particular plantea interrogantes que Cybernews ha destacado. «Si bien el objetivo es reducir la cantidad de papeleo, con errores como el cometido en Heber City, los agentes corren el riesgo de dedicar aún más tiempo a revisar informes». Una investigación realizada el año pasado por la Electronic Frontier Foundation (EFF) reveló que el Borrador Uno «parece haber sido diseñado deliberadamente para evitar auditorías que podrían garantizar la rendición de cuentas pública».

"A menudo es imposible saber qué partes de un informe policial fueron generadas por inteligencia artificial y qué partes fueron redactadas por un agente."

Por último, un informe de Privacy Laws & Business indica que la regulación de la privacidad se está fortaleciendo en Estados Unidos, donde 19 estados han seguido el ejemplo de California al adoptar leyes de privacidad, a menudo centradas en cuestiones relacionadas con los niños.

Pocos estados están interesados en la recopilación y el uso de datos biométricos.

Illinois ha ocupado durante mucho tiempo una posición de liderazgo, seguido ahora por Texas y el estado de Washington.

Todavía no existe consenso sobre las nuevas regulaciones federales de privacidad, "pero la FTC ha emprendido acciones coercitivas que implican cientos de millones de dólares en daños y sanciones monetarias en acuerdos con importantes empresas en línea como Epic Games, Amazon y Microsoft", o recientemente con Disney Worldwide Services, con un acuerdo de 10 millones de dólares por violar la Ley de Protección Infantil en Línea (COPPA).