Informe jurídico n.º 92 – Febrero de 2026. 

 

El subcontratista, entre el eslabón débil y el actor estratégico.

El 9 de febrero, la CNIL presentó su informe de 2025 sobre sanciones y medidas correctivas: las cookies, la monitorización de empleados y la seguridad de los datos son los principales temas de las sanciones impuestas en 2025, cuyo importe acumulado de multas asciende a un total de 486.839.500 euros.

Entre las sanciones, un número significativo de casos involucra a subcontratistas por incumplir las obligaciones relativas a los datos que se les confiaron.

La CNIL nos recuerda que el subcontratista debe:

• Tratar los datos únicamente siguiendo las instrucciones del responsable del tratamiento de datos;
• Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado;
• Y eliminar los datos al finalizar la relación contractual con el responsable del tratamiento de datos.

El subcontratista también debe ayudar al responsable del tratamiento a cumplir con ciertas obligaciones del reglamento: evaluación del impacto en la privacidad, notificación de violaciones de datos, seguridad y contribución a las auditorías.

También debe mantener un registro de las actividades de procesamiento y, en ciertos casos, designar un responsable de protección de datos.

El artículo 28 del RGPD, que trata sobre el establecimiento de un contrato específico entre el responsable del tratamiento y el encargado del tratamiento, especifica las disposiciones obligatorias que deben incluirse en el contrato.

Esto puede basarse, total o parcialmente, en cláusulas contractuales estándar, como las aprobadas por la Comisión Europea o por alguno de los Estados miembros de la UE.

Es recomendable definir claramente las responsabilidades respectivas del contratista y del subcontratista en estas cláusulas. Estos detalles pueden resultar útiles en caso de incumplimiento por parte de alguna de las partes.

Cabe recordar que muchas filtraciones de datos recientes, que han afectado tanto al sector público como al privado, han sido causadas por un fallo de seguridad por parte de un subcontratista.

A menudo, la causa es un error humano, y más concretamente, el robo de las credenciales de un empleado.

La autenticación de dos factores y el uso de contraseñas complejas siguen siendo medidas esenciales para protegerse contra este tipo de ataques, como ya señalamos en un comentario sobre la reciente sanción "France travail" de la CNIL.

Los subcontratistas tienen, en efecto, obligaciones específicas en materia de seguridad, confidencialidad y documentación.

Para garantizar una protección de datos eficaz, adaptada a los riesgos, deben implementar todas las medidas útiles desde el diseño del servicio o producto y por defecto ("privacidad desde el diseño y por defecto").

Además, cualquier violación de datos debe notificarse al responsable del tratamiento de datos dentro de los plazos estipulados por la ley.

Por último, eliminar los datos al finalizar el contrato no solo es una obligación, sino también la mejor manera de protegerse contra las filtraciones de datos una vez finalizada la relación contractual, como lo demuestra la multa de un millón de euros impuesta a finales de diciembre por la CNIL a la empresa Mobius Solutions.

La empresa había conservado una copia de los datos de más de 46 millones de usuarios de Deezer tras la finalización de su relación contractual, a pesar de su obligación de eliminar todos esos datos al término del contrato, lo que hizo posible una importante filtración de datos.

 

La CNIL publicó una versión actualizada de sus tablas de protección de datos el 2 de marzo. 

Estas tablas recopilan y organizan la jurisprudencia esencial y la práctica decisoria en materia de protección de datos personales a nivel nacional y europeo.

A finales de febrero, un reportaje de France 2 alertó sobre una filtración de datos médicos, y más concretamente sobre el pirateo del software "MonLogicielMedical" por parte de Cegedim.

El ataque permitió a un pirata informático recopilar los datos médicos de entre 11 y 15 millones de franceses, accesibles en la dark web.

La CNIL ya había sancionado a la empresa en septiembre de 2024 con una multa de 800.000 euros, principalmente por procesar datos sanitarios sin autorización.

El 18 de febrero de 2026, la Dirección General de Finanzas Públicas (DGFiP) informó en un comunicado de prensa que se había detectado un acceso ilegítimo al fichero nacional de cuentas bancarias (FICOBA), tras la usurpación de los identificadores de un agente autorizado.

El pirata informático había obtenido las credenciales de la cuenta antes del ciberataque: el Ministerio de Economía no había implementado la autenticación de dos factores.

Los datos en cuestión se refieren a aproximadamente 1,2 millones de cuentas e incluyen, en particular, la identidad de los titulares de las cuentas, su dirección, su banco y su IBAN.

01net informa sobre la evaluación realizada por la empresa Surfshark en relación con las filtraciones de datos en Francia.

Para 2025, se habrán pirateado 425,7 millones de cuentas en todo el mundo. El país más afectado es Estados Unidos, con 34 millones de filtraciones de datos a nivel global. En segundo lugar se encuentra Francia, seguida de India, Alemania y Rusia. Para 2025, los usuarios de internet franceses habrán sufrido, en promedio, casi un ataque informático por segundo.

Francia también destaca por tener "una densidad de infracciones 12 veces superior a la media mundial". Se está señalando la falta de inversión en seguridad, tanto por parte de empresas como de entidades públicas.

Los intermediarios de datos, que rastrean la web para revender los datos personales así recopilados, también son un objetivo principal para los piratas informáticos.

 

instituciones y organismos europeos

La propuesta "ómnibus" de la Comisión Europea para simplificar el RGPD sufre un revés en el Consejo de la UE.

En un documento fechado el 20 de febrero, el Consejo tiene la intención de retirar la propuesta de modificar la definición de datos personales.

Además, según Euractiv, el Consejo también quiere retirar la propuesta de la Comisión de ampliar sus propias competencias, lo que le permitiría determinar qué constituye un dato suficientemente anonimizado.

El texto de compromiso, elaborado por la Presidencia chipriota del Consejo, servirá de base para las negociaciones entre los gobiernos nacionales.

Se prevé que el Consejo examine el texto el 27 de febrero.

El 11 de febrero, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) ya habían adoptado un dictamen conjunto largamente esperado sobre los aspectos de protección de datos de esta propuesta ómnibus.

En su comunicado de prensa, los reguladores insisten en que la simplificación no debe ir en detrimento de la protección de las personas.

Instan a los colegisladores a no adoptar las enmiendas propuestas a la definición de datos personales, ya que reducirían significativamente su alcance y estarían en contradicción con la jurisprudencia del TJUE.

“Debemos garantizar que cualquier modificación del RGPD y del Reglamento General de Protección de Datos europeo aclare realmente las obligaciones y proporcione seguridad jurídica, al tiempo que se preserva la confianza y un alto nivel de protección de los derechos y libertades individuales.”

El dictamen conjunto también subraya la necesidad de que las autoridades de protección de datos ejerzan un control claro sobre los avisos de cookies y la reutilización de datos del sector público.

El CEPD ha publicado un informe sobre su actuación coordinada en relación con la aplicación del derecho al olvido.

Este derecho es uno de los que se ejercen con mayor frecuencia.

Esto ha dado lugar a numerosas quejas y a un número creciente de decisiones por parte de las autoridades de protección de datos.

El informe destaca siete desafíos importantes para las organizaciones, entre ellos la falta de procedimientos internos. Asimismo, ofrece recomendaciones prácticas para ayudar a las organizaciones a afrontar estos desafíos.

El Comité también publicó un informe sobre el evento celebrado el 12 de diciembre de 2025 en relación con la anonimización y la pseudonimización.

El informe resume las opiniones de alrededor de cien participantes reunidos para debatir la aplicación del RGPD a estas técnicas tras la sentencia del TJUE en el caso SEPD contra SRB.

Destaca las incertidumbres prácticas a la hora de determinar cuándo los datos siguen siendo "identificables" en función de los actores y los contextos, y la cuestión de los "medios razonablemente probables" que se utilizarían para volver a identificar a una persona.

El documento no proporciona directrices definitivas, pero identifica las cuestiones clave que orientarán las futuras directrices del CEPD en materia de anonimización y pseudonimización en su programa de trabajo.

El CEPD ha aprobado su programa de trabajo para el periodo 2026-2027.

Trabajará en varios modelos destinados a facilitar el cumplimiento del RGPD: notificaciones de violaciones de datos, evaluaciones de impacto en la protección de datos, evaluación del interés legítimo, registro de procesamiento y aviso/política de privacidad.

El Tribunal de Justicia dictaminó el 10 de febrero en el asunto C-97/23 P | WhatsApp Irlanda contra el Comité Europeo de Protección de Datos que la demanda interpuesta por WhatsApp contra una decisión del CEPD era admisible.

Dado que el Tribunal de Justicia de la Unión Europea aún no ha examinado el fondo del asunto, el Tribunal anula la orden impugnada y remite el caso de nuevo al Tribunal.

El Tribunal Europeo de Derechos Humanos dictaminó el 17 de febrero, en el caso Alianza Verde contra Bulgaria – 6580/22, que la normativa búlgara que autoriza al organismo de seguridad nacional a utilizar "agentes encubiertos" viola el artículo 8 del Convenio Europeo de Derechos Humanos, ya que permite la vigilancia encubierta de organizaciones sin las salvaguardias ni los controles suficientes.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, según Heise.de y Table.Media, el Bundestag está trabajando intensamente en una reestructuración completa de su arquitectura digital. El Parlamento quiere liberarse del dominio tecnológico de empresas estadounidenses como Microsoft para actuar con mayor resiliencia y, sobre todo, con independencia de terceros países en tiempos de crisis.

La Autoridad Austriaca de Protección de Datos (DPA) ha multado con 1.500 euros a un responsable del tratamiento de datos por grabar ilegalmente una acera pública con una cámara de videovigilancia y publicar las imágenes de un presunto ladrón en las redes sociales, infringiendo así los principios de minimización y transparencia de datos, así como las normas que rigen el tratamiento de datos judiciales.

La Autoridad Danesa de Protección de Datos (APD) ha amonestado a 51 municipios y, al mismo tiempo, les ha advertido sobre el uso de productos de Google en centros de enseñanza primaria y secundaria. En concreto, ha constatado que los municipios no habían demostrado adecuadamente que garantizaban un nivel apropiado de protección para los datos personales tratados fuera de la UE.

La Agencia Irlandesa de Protección de Datos (DPA, por sus siglas en inglés) anunció el 17 de febrero la apertura de una investigación sobre la empresa X, de Elon Musk. La investigación se centra en la creación y publicación, en la plataforma X, de imágenes potencialmente dañinas, íntimas o sexualmente explícitas, sin consentimiento, que contienen o implican el tratamiento de datos personales de personas de la UE/EEE, incluidos menores, mediante una función de IA generativa asociada al modelo de lenguaje Grok. Varios países ya han decidido prohibir por completo el chatbot de IA de Elon Musk, y la Comisión Europea inició una investigación el 26 de enero.

En los Países Bajos, un tribunal dictaminó que la Autoridad de Protección de Datos (APD) no había justificado suficientemente su desestimación de una denuncia contra un cine que ya no aceptaba pagos en efectivo. Según el tribunal, la APD no había evaluado si la exigencia de pagos con tarjeta respondía a un objetivo suficientemente concreto y justificado en virtud del RGPD.

En Eslovaquia, el Tribunal Constitucional invalidó una ley que obligaba a las ONG a publicar datos relativos a sus colaboradores, al considerar que infringía la privacidad, la autodeterminación informativa y la libertad de asociación, además de imponer cargas excesivas.

 

La autoridad británica de protección de datos (ICO) ha multado a Reddit con 14,47 millones de libras esterlinas (aproximadamente 16,6 millones de euros) por incumplir sus obligaciones en materia de privacidad de los datos de los menores.

La ICO considera que la verificación de edad de Reddit es insuficiente y que, por lo tanto, la plataforma "no tenía una base legal para procesar la información personal de niños menores de 13 años".

Además, Reddit "no realizó una evaluación de impacto en la protección de datos (EIPD) para evaluar y mitigar los riesgos para los niños antes de enero de 2025".

La ICO también anunció el 5 de febrero una multa de 247.590 libras esterlinas contra MediaLab.AI, Inc., la empresa responsable de la plataforma para compartir imágenes Imgur.

MediaLab permitió que los niños usaran Imgur sin implementar las medidas de seguridad básicas exigidas por la legislación británica de protección de datos.

En febrero de 2026, India decidió extender el uso de Aadhaar, el sistema de identidad digital más grande del mundo, a la privacidad cotidiana mediante una nueva aplicación y un sistema de verificación sin conexión.

Estos cambios deberían permitir a las personas demostrar su identidad sin verificación en tiempo real en la base de datos, mediante la integración de servicios de verificación privados como Google Wallet y Apple Wallet.

Una campaña de la sociedad civil argumenta que el sistema de verificación fuera de línea corre el riesgo de reintroducir el uso de Aadhaar por parte del sector privado, lo cual ya ha sido condenado por la Corte Suprema. 

El sistema también permite que "los estados indios y la policía vinculen todo tipo de información personal al número Aadhaar: coordenadas GPS, números de teléfono, redes sociales, tarjeta de registro de votante, pasaporte, préstamos, beneficios sociales, a veces incluso los nombres de familiares o incluso los nombres de parejas en ciertos formularios policiales".

Según un informe de CNBC del 19 de febrero, Accenture vincula los ascensos de sus altos ejecutivos al uso regular de sus herramientas de inteligencia artificial.

Según se informa, los directores asociados y los gerentes sénior fueron notificados de que se requeriría el "uso regular" de la IA para acceder a puestos de liderazgo.

La estrategia de inteligencia artificial de la compañía "requiere la adopción de las herramientas y tecnologías más recientes para poder atender a nuestros clientes de la manera más eficiente posible", declaró un portavoz a CNBC.

El 11 de febrero de 2026, el Fiscal General de California anunció un acuerdo récord de 2,75 millones de dólares con la compañía Walt Disney. con el fin de resolver las alegaciones de que la empresa no respetó adecuadamente las objeciones de los consumidores al procesamiento de sus datos, de conformidad con la Ley de Privacidad del Consumidor de California.

En un artículo del 13 de febrero, el New York Times informa que Meta, la empresa matriz de Facebook, planea añadir la funcionalidad de reconocimiento facial a sus gafas inteligentes, que fabrica en colaboración con el propietario de Ray-Ban y Oakley, tan pronto como este año.

Esta función, denominada internamente "Etiqueta de nombre", permitiría a los usuarios de gafas inteligentes identificar personas y obtener información sobre ellas mediante el asistente de inteligencia artificial de Meta. En un memorando interno publicado el año pasado, Meta habría declarado que la inestabilidad política en Estados Unidos desviaría la atención de los críticos del lanzamiento de esta función.

El 23 de febrero de 2026, 61 autoridades de protección de datos publicaron una declaración conjunta sobre las imágenes generadas por inteligencia artificial.

Esta declaración conjunta aborda las preocupaciones sobre los sistemas de IA capaces de generar imágenes y vídeos realistas que muestran a personas identificables sin su conocimiento ni consentimiento.

El 19 de febrero de 2026, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) publicó nuevas directrices para ayudar a las organizaciones a implementar las Directrices de la OCDE para Empresas Multinacionales y los Principios de la OCDE sobre IA.

Estas directrices tienen como objetivo ayudar a las organizaciones a gestionar los riesgos relacionados con la IA y a cumplir con los estándares internacionales de conducta empresarial responsable.

El desarrollo de agentes de IA, si bien está destinado a facilitar muchas tareas administrativas, también plantea serias cuestiones de seguridad.

OpenClaw, el proyecto más reciente, es un proyecto de código abierto que gira en torno a un agente de IA autónomo capaz de pilotar un ordenador en lugar del usuario.

OpenClaw, adquirida recientemente por OpenAI, es ahora blanco de graves ataques de seguridad.

En cuestión de semanas, ciberdelincuentes comprometieron más de 30.000 instancias de OpenClaw, mediante scripts falsos que permitieron la instalación de virus y malware capaces de registrar todo lo que se tecleaba en el teclado de los ordenadores con Windows. 

Cada vez más líderes de startups prohíben los agentes autónomos en los dispositivos de la empresa por temor a filtraciones de datos confidenciales. Los expertos en seguridad expresan serias preocupaciones sobre la falta de auditoría, perspectiva, medidas de seguridad reales y transparencia en torno a la IA, mientras que cada vez más empleados la integran en sus tareas diarias en busca de mayor productividad.

Estas advertencias fueron transmitidas el 12 de febrero por la Autoridad de Protección de Datos de los Países Bajos (APD, por sus siglas en inglés), que advierte a los usuarios y organizaciones sobre el uso de OpenClaw y sistemas experimentales similares debido a vulnerabilidades de seguridad críticas.

La Asociación Internacional de Profesionales de la Privacidad (IAPP, por sus siglas en inglés) publicó el 5 de febrero una versión actualizada de su directorio mundial de leyes de privacidad y autoridades de protección de datos.

La IAPP señala que los regímenes de protección de datos siguen desarrollándose y consolidándose en todo el mundo. «En los últimos 12 meses, India ha introducido nuevas normas de aplicación para implementar la Ley de Protección de Datos Personales Digitales, Bangladesh y Gambia han adoptado o están considerando adoptar nuevas leyes integrales, y otros países, como Ecuador e Indonesia, han creado nuevos organismos para interpretar y hacer cumplir las leyes de privacidad vigentes».