Informe jurídico n.º 87 – septiembre de 2025. 

 

Cinco años después del Brexit: un vistazo a la situación en el Reino Unido.

Desde que el Reino Unido abandonó la Unión Europea, la legislación británica de protección de datos se ha ido alejando, lenta pero inexorablemente, del marco regulatorio europeo.

Si bien existe una tendencia a la simplificación de las normas a ambos lados del Canal de la Mancha, el Reino Unido está por delante de la Unión Europea.

Tras el Brexit, la Ley de Protección de Datos de 2018 (DPA, por sus siglas en inglés) fue modificada para seguir siendo complementaria al "RGPD del Reino Unido", la versión británica del RGPD que entró en vigor el 1 de enero de 2021.

El Reino Unido también ha adoptado el Reglamento sobre privacidad y comunicaciones electrónicas (PECR, por sus siglas en inglés), que implementa la Directiva europea sobre privacidad electrónica.

La Ley de Uso y Acceso a los Datos (DUAA, por sus siglas en inglés), aprobada el 19 de junio de 2025, supone una importante reforma del régimen de datos personales del Reino Unido.

Modifica y complementa tanto el RGPD del Reino Unido, la Ley de Protección de Datos (DPA) como el Reglamento sobre Privacidad y Medios de Comunicación (PECR), y representa un punto de inflexión estratégico mediante el cual el Reino Unido se aleja de una visión centrada en los derechos fundamentales para adoptar un enfoque más pragmático y favorable a la innovación.

Sus principales objetivos son:

• Proponer una base jurídica más amplia de "intereses legítimos reconocidos" para determinadas actividades de procesamiento, incluido el archivo en interés público, la seguridad pública o la tributación;
• Dar a las empresas la opción de suspender el tiempo de respuesta para las solicitudes de acceso,
• Simplificar las normas sobre cookies;
• Facilitar las transferencias internacionales de datos;
• Fomentar la innovación en los servicios digitales y la IA, flexibilizando el marco para la toma de decisiones automatizadas;
• Imponer la "privacidad desde el diseño" en los servicios digitales dirigidos a niños,
• Para permitir la implementación de una identidad digital,
• Simplificar las normas relativas a la policía y los servicios de inteligencia.

Sin embargo, algunos señalan los riesgos de estas reformas, y en particular el debilitamiento de los derechos individuales.

En el ámbito de la toma de decisiones automatizada, señalan, por ejemplo, el fiasco de los resultados de los exámenes de nivel "A" de 2020, en los que un algoritmo otorgó calificaciones irrelevantes, y los errores en las herramientas de detección de fraude del Departamento de Trabajo y Pensiones (DWP) que provocaron numerosos perjuicios a los afectados.

El proyecto de identidad digital, anunciado por el gobierno a principios de octubre, ha provocado una oleada de protestas, con millones de ciudadanos británicos firmando una petición que exige su retirada.

Desde hace algunos años, el gobierno británico también ha estado impulsando la implementación de mecanismos que permitan el acceso al contenido cifrado de las comunicaciones: el debate público se centra en enfoques técnicos controvertidos como el "escaneo del lado del cliente".

Cabe señalar que la Unión Europea está debatiendo actualmente un tema relacionado: la propuesta CSAR, cuyo objetivo es prevenir y combatir los abusos sexuales cometidos contra menores, vuelve a estar en la agenda del Consejo Europeo el 14 de octubre.

Esta propuesta, que contempla la posibilidad de escanear las comunicaciones en el terminal del usuario antes de que se envíen, es considerada por muchos científicos y miembros de la sociedad civil como ineficaz y particularmente peligrosa para los derechos fundamentales y el propio cifrado.

La Unión Europea también tiende actualmente a simplificar el marco regulatorio en materia de datos a través de su "paquete ómnibus digital".

La Comisión ha abierto un plazo de presentación de contribuciones, que finaliza el 14 de octubre, sobre áreas de la legislación de datos, incluidas las normas sobre cookies y otras tecnologías de seguimiento, la notificación de incidentes de ciberseguridad y ciertos aspectos de la ley sobre inteligencia artificial.

En lo que respecta al RGPD en concreto, las cuestiones en juego incluyen, por ejemplo, la limitación de la obligación de mantener un registro a las organizaciones con más de 500 empleados, frente al límite actual de 250. La Unión Europea no cuestiona actualmente los principios fundamentales del reglamento.

A ambos lados del Canal de la Mancha, los beneficios anunciados para la industria están relacionados con la reducción de los costes de cumplimiento normativo.

Sin embargo, los costes de la propia implementación de la reforma, los costes derivados de errores o disputas, y el impacto en la confianza del consumidor no se comprenden del todo bien. Este argumento también se planteó durante el «diálogo sobre la implementación» organizado por la Comisión Europea a mediados de julio. El sector privado indicó que había «invertido en el cumplimiento normativo y que una reapertura general podría generar incertidumbre, especialmente en el contexto de las transferencias internacionales de datos».

En la actualidad, la relación beneficios/riesgos de las reformas británicas y su impacto en las alianzas internacionales, y de manera más decisiva, en el mantenimiento de la decisión de adecuación del Reino Unido con la UE, siguen siendo inciertos.

Sin embargo, el proyecto de decisión de adecuación de la Comisión Europea se muestra a favor de reconocer el nivel de protección del Reino Unido.

Sin embargo, debe presentarse al Comité Europeo de Protección de Datos para que emita su opinión y ser debatido en el Consejo.

Esperemos que la decisión final sea especialmente transparente en lo que respecta a los criterios tenidos en cuenta, dados los consiguientes cambios en la legislación británica.

Esto parece fundamental para garantizar una seguridad jurídica suficiente en el futuro tanto para las empresas europeas como para las establecidas fuera de la UE.

 

      

El 18 de septiembre de 2025, la CNIL multó a la empresa Samaritaine SAS con 100.000 euros por ocultar cámaras en el almacén de la tienda.

Estas cámaras estaban camufladas como detectores de humo y eran capaces de grabar sonido.

La CNIL ha recordado que un empleador puede instalar cámaras ocultas en circunstancias excepcionales y siempre que se logre un equilibrio justo entre el objetivo perseguido (la protección de la propiedad y las personas) y la protección de la privacidad de los empleados.

Dicho sistema podría autorizarse, por ejemplo, siempre que sea temporal y se implemente tras un análisis documentado de su compatibilidad con el RGPD y en vista de circunstancias excepcionales.

En este caso, la empresa sí informó de la existencia de robos cometidos en las reservas y explicó que el sistema era temporal, pero no realizó ningún análisis previo de cumplimiento del RGPD, ni documentó el carácter temporal de la instalación.

La CNIL también ha publicado varios contenidos relativos a la gestión de cuentas inactivas para profesionales del sector audiovisual y de los videojuegos, sobre dispositivos de vídeo en los centros educativos y sobre la geolocalización de menores.

La Asamblea Nacional aprobó el proyecto de ley de resiliencia en ciberseguridad en una comisión especial el 9 de septiembre. 

Philippe Latombe, presidente del comité, logró que se aprobara una enmienda destinada a consagrar el cifrado de extremo a extremo en el artículo 16 bis: «No se puede imponer a los proveedores de servicios de cifrado, incluidos los proveedores de servicios de confianza cualificados, la integración de dispositivos técnicos destinados a debilitar intencionadamente la seguridad de los sistemas de información y las comunicaciones electrónicas, como claves maestras de descifrado o cualquier otro mecanismo que permita el acceso no consentido a datos protegidos».

Este texto, que transpone al derecho francés las directivas europeas NIS2, DORA y REC, debería propiciar un aumento significativo del nivel general de ciberseguridad.

 

instituciones y organismos europeos

El 10 de septiembre, Ursula von der Leyen pronunció un discurso sobre el Estado de la Unión en el que reafirmó que Europa seguiría siendo soberana a la hora de definir sus propias normas y estándares, rechazando así las críticas transatlánticas.

Ese mismo día, 39 líderes y asociaciones de la industria europea firmaron la Declaración Europea sobre IA y Tecnología, comprometiéndose a invertir en la soberanía tecnológica de Europa.

La Sra. von der Leyen reiteró las prioridades clave de la estrategia de IA de la UE, incluida la futura regulación sobre la nube y el desarrollo de la IA, la iniciativa "Quantum Sandbox" y las importantes inversiones en "gigafábricas" europeas de IA.

La futura regulación sobre el desarrollo de la computación en la nube y la inteligencia artificial podría incluir medidas de soberanía de datos y localización, en consonancia con la futura estrategia de datos de la Unión.

El presidente de la Comisión también destacó los objetivos de simplificar la normativa europea, haciendo hincapié en las recientes propuestas de reforma que podrían afectar a la protección de datos, como la reducción de las obligaciones de registro de datos y la simplificación de los requisitos de notificación de incidentes en la legislación digital.

Finalmente, abordó el tema de la seguridad de los niños en internet, anunciando que la Comisión recabaría asesoramiento de expertos antes de que finalizara el año, posiblemente inspirándose en el enfoque australiano respecto a las restricciones en las redes sociales.

El Reglamento de Protección de Datos (Ley de Protección de Datos) entró en vigor el 12 de septiembre de 2025.

Este texto otorga a los usuarios de productos conectados (empresas o particulares que poseen, alquilan o arriendan dicho producto) un mayor control sobre los datos que generan, al tiempo que mantiene los incentivos para quienes invierten en tecnologías de datos.

También define las condiciones generales aplicables a las situaciones en las que una empresa tiene la obligación legal de compartir datos con otra empresa.

El Comité Europeo de Protección de Datos ha publicado directrices sobre la interacción entre el Reglamento de Servicios Digitales y el RGPD, que están abiertas a consulta pública hasta finales de octubre.

El Tribunal de Justicia de la Unión Europea ha ordenado a la Comisión Europea que pague 50.000 euros en concepto de indemnización a una persona implicada en un comunicado de prensa de la Oficina Europea de Lucha contra el Fraude (OLAF).

Aunque no se mencionó ningún nombre en el comunicado de prensa, las pistas contextuales permitieron identificar al investigador. El caso en cuestión, OC contra Comisión [C-479/22 P], había sido citado en el reciente caso SEPD contra SRB, que ahora está generando fuertes reacciones con respecto al alcance de la naturaleza identificable de los datos personales.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, el Tribunal Federal del Trabajo dictaminó que una empresa había transferido ilegalmente los datos personales de su empleado a su empresa matriz con el fin de probar un software de gestión de recursos humanos.

Esta transferencia no podía justificarse por un interés legítimo, ya que bastaban datos ficticios. El tribunal otorgó al empleado 200 euros en concepto de indemnización por daños morales.

En Austria, un tribunal dictaminó que el derecho de acceso de un titular de datos cesa con su fallecimiento y no se transfiere a su sucesor legal. De este modo, el tribunal revocó una decisión de la autoridad de protección de datos relativa a una violación del derecho de acceso tras el fallecimiento del titular, durante el proceso de apelación.

La organización austriaca de defensa de los derechos del consumidor VSV ha presentado una demanda colectiva contra Meta en Austria y Alemania, solicitando una indemnización de hasta 5.000 euros para personas mayores de 18 años. La demanda se refiere a las herramientas profesionales de Meta, que, según VSV, se utilizan para la "vigilancia ilegal" de la vida privada de los usuarios.

La autoridad belga de protección de datos ha multado al propietario de una residencia de estudiantes con 9.700 euros por operar ilegalmente un sistema de videovigilancia que no era necesario para la protección de la propiedad ni para controlar el cumplimiento de las normas de la casa, y que no podía basarse en un interés legítimo ni en la ejecución del contrato de alquiler.

La Agencia Española de Protección de Datos (APD) ha impuesto una multa de 1.800.000 euros a una empresa que trató datos personales de trabajadores autónomos recogidos por una autoridad pública sin base jurídica.

Consideró que, si bien la Agencia Tributaria Española (AEAT) tenía derecho legal a comunicar ciertos datos a la Cámara de Comercio, la posterior transferencia a la empresa Camerdata y el uso de estos datos con fines comerciales y de marketing carecían de base jurídica válida.

El interés legítimo invocado por la empresa no compensaba los riesgos para los derechos y libertades de los trabajadores cuyos datos habían sido divulgados.

En Estonia, la farmacéutica Allium UPI fue multada con 3.000.000 de euros por no implementar medidas técnicas y organizativas adecuadas, como la autenticación multifactor, lo que provocó una filtración de datos que afectó a 750.000 personas, incluidos niños y grupos vulnerables.

En Finlandia, la APD multó a un banco (S-Pankki Oyj) con 1.800.000 euros por no implementar medidas técnicas y organizativas suficientes con respecto a una nueva función de inicio de sesión en su aplicación, lo que provocó el acceso no autorizado de sus clientes a las cuentas de otros clientes.

La Autoridad Italiana de Protección de Datos (APD) dictaminó que la clienta de una empresa tiene derecho a retirar su consentimiento para el uso de su imagen en la publicidad de la empresa. Aclaró que dicho consentimiento puede retirarse independientemente de las consecuencias económicas negativas que esto pueda acarrear para el responsable del tratamiento de datos.

Con la votación del Senado el 17 de septiembre, Italia se convierte en el primer país europeo en adoptar una ley sobre inteligencia artificial.

Tras definir el marco de principios generales, la ley presta especial atención a sectores cruciales como el laboral, el sanitario y el judicial.

También regula el uso de la IA por parte de menores e incluye disposiciones penales.

La Autoridad de Protección de Datos (APD) de los Países Bajos está llevando a cabo una investigación, en colaboración con las APD de Italia, Luxemburgo y Hungría, sobre cómo los televisores conectados procesan los datos personales.

El informe señala, en particular, que los televisores conectados envían una cantidad significativa de datos durante su instalación, su uso diario, cuando están en modo de espera e incluso cuando están apagados, y que operan en un ecosistema de Internet opaco en el que participan diferentes partes: fabricantes, proveedores de sistemas operativos, desarrolladores de aplicaciones, etc.

Señala que, a menudo, los usuarios no tienen más remedio que aceptar las políticas de privacidad y tienen dificultades para identificar a los responsables del tratamiento de datos.

Las aplicaciones preinstaladas (a veces imposibles de eliminar) plantean interrogantes sobre la minimización de datos y los derechos de los usuarios.

Tras el lanzamiento de Apertus AI, el chat suizo de código abierto, ha surgido otro importante modelo de aprendizaje automático de código abierto respaldado por una institución pública en Europa: TildeOpen LLM.

Se trata de un modelo lingüístico fundamental diseñado para compensar las deficiencias de los modelos lingüísticos existentes con respecto a las lenguas nórdicas y de Europa del Este, que actualmente están infrarrepresentadas.

Este modelo de 30 mil millones de parámetros fue desarrollado con financiación de la Comisión Europea y entrenado en la supercomputadora LUMI.

Estos dos modelos han anunciado que cumplen con la normativa europea sobre inteligencia artificial.

 

 

La 47ª Asamblea General sobre la Protección de la Privacidad, celebrada el pasado mes de septiembre en Seúl, reafirmó que la privacidad y la seguridad de los datos son cuestiones cruciales a las que se enfrenta el mundo hoy en día.

Este evento anual reúne a organismos reguladores, así como a empresas y organizaciones de todo el mundo.

Veinte autoridades de protección de datos adoptaron una declaración conjunta con motivo de esta ocasión, con el fin de construir un marco de gobernanza fiable para una IA segura y confiable.

Abogan por integrar los principios de protección de datos desde la fase de diseño, establecer una gobernanza de datos sólida y anticipar la gestión de riesgos.

El comunicado también destaca la creciente complejidad del procesamiento de datos en este contexto y subraya la diversidad de actores involucrados, así como la necesidad de un marco regulatorio adaptado al progreso tecnológico.

En Estados Unidos, el "cierre del gobierno" tiene consecuencias significativas en términos de protección de datos.

Algunas agencias federales están prácticamente paralizadas, incluida la Comisión Federal de Comercio (FTC), el principal organismo responsable de velar por la privacidad de los datos.

Dentro de la FTC, la Oficina de Protección al Consumidor es la más afectada por los despidos forzosos.

Salvo en los casos en que el daño se considere extremadamente grave, los asuntos de protección al consumidor quedarán suspendidos, ya se trate de investigaciones preliminares, procedimientos administrativos o demandas en tribunales federales.

Los usuarios estadounidenses de ChatGPT Plus, Pro y Free ya pueden comprar directamente en la plataforma de ventas de Etsy, y pronto también podrán acceder a muchos otros vendedores.

Esto implica, tanto para ChatGPT como para otros sistemas de IA basados en agentes, que el usuario otorga a terceros acceso a su información personal, y en particular a su información bancaria, con todos los problemas de vulnerabilidad de datos que esto conlleva.