Informe jurídico n.º 85 – julio de 2025. 

 

Cumplimiento del RGPD: ¿cuáles son los beneficios económicos?

Los estudios realizados por la Asociación para la Formación Profesional de Adultos (AFPA) y la CNIL confirman ahora los beneficios económicos vinculados a la presencia de un responsable de protección de datos (RPD) en las empresas.

La encuesta estadística llevada a cabo por la AFPE en enero de 2024, basada en más de 3600 respuestas de los DPO, se complementó con entrevistas en profundidad realizadas por la CNIL a diez DPO propuestos por la Asociación Francesa de Corresponsales de Protección de Datos (AFCDP).

Los resultados de estos análisis presentados por la CNIL a finales de julio identifican cuatro beneficios principales para las empresas que cuentan con un DPO: competitividad, prevención de sanciones, prevención de fugas de datos y racionalización de la gestión de datos.

Estas ventajas son percibidas por empresas de todos los tamaños, y en particular en los sectores de "Investigación, TI y Consultoría" y "Banca, Seguros y Mutuas".

• En términos de competitividad, el cumplimiento del RGPD se presenta, por tanto, como una palanca para ganar licitaciones, especialmente cuando estas están relacionadas con datos.

En este contexto, el DPO se presenta como un contacto clave para los compradores.

• Si bien el responsable de protección de datos (DPO) ayuda a limitar los riesgos de sanciones, estos beneficios se extienden no solo al monto de las multas, sino también a los aspectos reputacionales.

Además del impacto en los ingresos de las empresas, las sanciones también pueden afectar a sus calificaciones financieras y, por lo tanto, a su capacidad de financiación.

• En materia de seguridad, el DPO, junto con el Director de Seguridad de la Información (CISO), desempeña un papel fundamental en la sensibilización del personal y en la implementación de políticas internas de protección de datos y gestión de incidentes.

En este sentido, la CNIL señala que el coste medio de una filtración de datos es de 5 millones de dólares, según un estudio de IBM de 2024.

• Por último, la optimización de la gestión de datos nos permite ahorrar dinero en servidores, lo que podría ascender a varios cientos de miles de euros, y mejorar la eficiencia en la toma de decisiones.

En este sentido, un estudio de Annual Reviews de 2023 sobre los aspectos económicos de la privacidad digital también señaló que "una cantidad excesiva de datos puede reducir el poder de mercado de una empresa".

El informe de la CNIL tiene en cuenta cómo percibe el responsable del tratamiento de datos la normativa. 

Cuanto más convencidos estén el responsable de protección de datos y la empresa de los beneficios de cumplir con el RGPD e integrar sus principios en los procesos internos, más se notarán los efectos positivos, a diferencia de las empresas que perciben el cumplimiento como una limitación.

Por lo tanto, al tener en cuenta los principios de la normativa, se establecería un círculo virtuoso de motivación y beneficios.

El estudio realizado en Francia no es el único que identifica los beneficios económicos de la regulación de datos. 

También se destacan otros aspectos, por ejemplo, por parte del Comité Europeo de Protección de Datos (CEPD), que subraya la confianza que genera entre los ciudadanos la implementación de una política de protección de datos visible, más allá del contexto de las convocatorias de licitación.

A principios de este año, la OCDE también publicó un análisis de los flujos internacionales de datos, en el que afirmaba que "los regímenes que prevén salvaguardias logran un equilibrio entre los costes comerciales asociados a la regulación de datos y los beneficios en términos de confianza que proporcionan las salvaguardias de datos".

En un contexto donde el robo de datos se está intensificando y el desarrollo de la inteligencia artificial plantea un número creciente de cuestiones éticas, ganarse y mantener la confianza de las personas representa una ventaja significativa ante el público.

 

        

En una decisión fechada el 8 de agosto de 2025, el Consejo Constitucional declaró inconstitucional la práctica, por parte de la restringida formación de la CNIL, de no notificar el derecho a guardar silencio de las personas a las que desea escuchar durante las audiencias o las solicitudes de observaciones.

Esta decisión se basa en el derecho a no autoincriminarse, derivado del artículo 9 de la Declaración de los Derechos del Hombre y del Ciudadano.

Para poner fin a esta inconstitucionalidad desde la fecha de publicación de su decisión, el Consejo Constitucional decidió que, hasta la entrada en vigor de una nueva ley o hasta la fecha de derogación de las disposiciones incriminatorias, la persona interesada, antes de la formación restringida, deberá ser notificada de su derecho a guardar silencio.

Tras la decisión del Tribunal de Justicia de la Unión Europea (TJUE), el Consejo de Estado (CE) publicó el 31 de julio su decisión en el caso Mousse, que recibe su nombre de la asociación que presentó la denuncia contra la SNCF.

Él cree que SNCF Connect "no puede obligar a sus clientes a demostrar su civismo".

Este tratamiento de datos no cumple con el RGPD, que exige que solo se recopilen los datos personales estrictamente necesarios.

La CE considera que la exigencia de cortesía no es esencial para la venta de billetes ni para los controles de identidad durante el viaje, y debería ser opcional, salvo en determinados servicios, como los compartimentos con literas reservados para mujeres que viajan solas.

Por lo tanto, se anula la decisión de la CNIL de 23 de marzo de 2021, que deberá reexaminar la denuncia de la asociación Mousse.

El 6 de agosto de 2025, Bouygues Telecom confirmó haber sufrido una intrusión informática que permitió a los ciberdelincuentes acceder a los datos personales de más de seis millones de clientes.

Las contraseñas y los números de tarjetas bancarias no se vieron afectados, pero los piratas informáticos obtuvieron acceso a mucha información, incluidos nombres, direcciones postales y de correo electrónico, fecha de nacimiento, número de contrato e IBAN. 

France Travail también sufrió otra filtración de datos personales a mediados de julio, que afectó a 340.000 expedientes de solicitantes de empleo, incluyendo datos de identidad, dirección, fecha de nacimiento y número de teléfono. Ante el creciente número de filtraciones de datos, la CNIL (Autoridad Nacional de Informática y Libertades de Francia) ha actualizado sus recomendaciones para los usuarios.

 

instituciones y organismos europeos

La Comisión Europea publicó el 7 de agosto su código de buenas prácticas para las empresas que operan sistemas de inteligencia artificial de propósito general (GPAI).

Este documento se elaboró en colaboración con la industria y la sociedad civil y tiene como objetivo facilitar el cumplimiento de la normativa sobre inteligencia artificial.

La lista completa de firmantes incluye a 26 empresas, entre ellas Amazon, Anthropic, Google, Microsoft, Mistral y OpenAI.

La empresa de Elon Musk, xAI, solo ha firmado la parte del código dedicada a cuestiones de seguridad. Por lo tanto, xAI tendrá que demostrar su cumplimiento con las obligaciones de transparencia y derechos de autor de la normativa mediante medios alternativos adecuados.

Tras haber asumido recientemente la presidencia del Consejo de la Unión Europea, Dinamarca se encuentra en una posición privilegiada para influir en la política de la UE durante los próximos seis meses.

El 4 de julio, un documento informal del gobierno danés mencionaba su intención de proponer una revisión específica del RGPD y de la Directiva sobre privacidad electrónica con el fin de reducir la carga de cumplimiento para las empresas y garantizar su competitividad.

También se espera que la Comisión Europea publique en los próximos meses una evaluación de la calidad de la legislación digital de la UE, así como un paquete integral de medidas digitales.

La revisión del RGPD no parece ser un hecho, si hemos de creer el resumen del "diálogo de aplicación" organizado por la Comisión a mediados de julio, cuyas conclusiones se publicaron a principios de agosto.

El sector privado indicó que había "invertido en el cumplimiento de las normas y que una reapertura general podría generar incertidumbre, especialmente en el contexto de las transferencias internacionales de datos".

En un caso relativo al transporte público sueco, el Abogado General del Tribunal de Justicia de la Unión Europea (TJUE) aclaró el 1 de agosto el alcance de los artículos 13 y 14 del RGPD en lo que respecta a la información de los interesados.

El caso concreto se refería a la recopilación de imágenes mediante las cámaras integradas en los controladores.

El Abogado General considera que el artículo 13 se aplica siempre que el interesado sea la fuente de los datos («recopilados del interesado»), independientemente de la participación de este último en la recopilación de los datos y desde el momento en que no existe ningún intermediario entre el interesado y el responsable del tratamiento.

El artículo 14 se aplica siempre que los datos se recopilen de una fuente distinta del interesado.

Por lo tanto, en caso de que se recojan imágenes mediante cámaras a bordo, la obligación de informar a las personas afectadas debe ser inmediata y no se beneficia de las exenciones del art. 14.

El 28 de julio, el Supervisor Europeo de Protección de Datos (SEPD) concluyó de manera positiva su investigación sobre el uso de Microsoft 365 por parte de la Comisión Europea.

En un comunicado, la Comisión destaca la importante mejora en el cumplimiento de la protección de datos gracias al uso de Microsoft 365, y también reconoce y agradece "los esfuerzos de Microsoft para cumplir con los requisitos de la Comisión derivados de la decisión del SEPD de marzo de 2024".

El informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), publicado el 26 de junio, proporciona orientación técnica para apoyar la implementación de la Directiva NIS2 para varios tipos de entidades en los sectores de infraestructura digital NIS2, gestión de servicios TIC y proveedores digitales.

Recopila un inventario de normas y marcos normativos europeos e internacionales relevantes (ISO 27001, NIST, ETSI o CEN).

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, el tribunal de Düsseldorf concedió 200 euros en concepto de daños morales a un particular tras una violación de datos causada por el incumplimiento del responsable del tratamiento de datos de garantizar la eliminación de los datos personales procesados por su subcontratista dentro de los plazos legalmente exigidos.

Haciéndose eco del caso Mousse mencionado anteriormente, el tribunal de Frankfurt dictaminó que la compañía ferroviaria nacional alemana había exigido ilegalmente a sus clientes que proporcionaran su dirección de correo electrónico o número de teléfono móvil para comprar billetes.

Consideró que esto no era necesario para la ejecución del contrato y que el consentimiento otorgado no era sincero ni libre.

La Autoridad Croata de Protección de Datos (APD) ha multado a una empresa de servicios públicos con 320.000 euros por no implementar las medidas de seguridad requeridas al emitir nuevas contraseñas a sus usuarios y por no cooperar con ella.

La Agencia Española de Protección de Datos (APD) ha multado con 96.000 euros a una empresa que gestiona centros deportivos por implementar sistemas obligatorios de reconocimiento facial para entrar y salir de las instalaciones sin informar previamente a sus socios ni obtener su consentimiento.

También en España, la APD multó a una compañía energética con 1.380.000 euros por adjudicar erróneamente un contrato de suministro de gas al cliente equivocado y cobrarle tarifas adicionales, en violación de los principios de exactitud de datos y seguridad del tratamiento.

El Tribunal Supremo irlandés dictaminó que las reclamaciones de indemnización por daños morales relacionados con angustia, trastornos o ansiedad pueden estar directamente sujetas al RGPD, y que las disposiciones nacionales que exigen la autorización de un organismo independiente antes de reclamar daños y perjuicios por lesiones personales no son aplicables.

La autoridad italiana de competencia inició el 22 de julio una investigación sobre Meta Platforms en relación con la incorporación de servicios de inteligencia artificial a WhatsApp sin el consentimiento de los usuarios.

Cabe recordar que, el 23 de mayo de 2025, el Tribunal Regional Superior de Colonia rechazó una orden judicial contra Meta en relación con el entrenamiento de su inteligencia artificial.

El Tribunal consideró que la combinación de datos anonimizados de Facebook e Instagram en un conjunto de datos de entrenamiento no constituía una "fusión" ilícita de datos en el sentido del artículo 5(2) del Reglamento de Mercados Digitales (RMD).

La Autoridad de Protección de Datos (APD) de Lituania consideró, en un caso que involucraba a dos vecinos, que la recopilación ocasional de datos personales mediante un dron aéreo, con el fin de reunir pruebas para un procedimiento judicial, se ajustaba a la exención nacional prevista por el RGPD.

La APD indica que se remitió a las directrices del CEPD de 2020 sobre este punto.

En Polonia, el Tribunal Administrativo Federal dio la razón al defensor del pueblo y dictaminó que la legislación polaca que obliga a los jueces y fiscales a revelar su afiliación a organizaciones religiosas, sindicales y políticas es incompatible con sus derechos en virtud de la Carta de los Derechos Fundamentales de la Unión Europea y el Convenio Europeo de Derechos Humanos.

En Polonia, McDonald's Polska Sp. z oo también fue multada con 3.955.000 euros por incumplir los principios generales relativos al tratamiento de datos, en particular por adoptar medidas inadecuadas para proteger los datos personales.

 

En el Reino Unido, el gobierno, presionado por Estados Unidos, podría abandonar su orden dirigida contra la función avanzada de protección de datos de Apple.

La solicitud del Ministerio del Interior se realizó en virtud de la Ley de Poderes de Investigación (IPA, por sus siglas en inglés), que autoriza al gobierno del Reino Unido a "emitir órdenes secretas que obliguen a los proveedores a eludir el cifrado insertando puertas traseras en sus productos de software".

Según Ars Technica, funcionarios estadounidenses, incluido el vicepresidente JD Vance, están presionando al Reino Unido para que revierta su decisión. "Esto molesta mucho al vicepresidente y debe resolverse", habría dicho un funcionario del departamento británico.

Wetransfer, utilizado por muchos profesionales y particulares para compartir documentos, modificó sus términos y condiciones a mediados de julio: la empresa había indicado que a partir de agosto utilizaría el contenido de los datos de sus usuarios para entrenar su sistema de inteligencia artificial.

Como consecuencia de las reacciones provocadas por esta información y las dudas suscitadas en materia de confidencialidad de los datos, la empresa, según se informa, dio marcha atrás en los días siguientes.

El uso de ChatGPT puede conllevar la divulgación de datos sin el conocimiento de los usuarios: esto es lo que revela una publicación de Digital Digging del 31 de julio.

La investigación revela que 512 conversaciones de ChatGPT se hicieron públicas mediante búsquedas de palabras clave específicas, lo que expuso información comprometedora y datos confidenciales.

Gracias a la función de "compartir", los usuarios, sin saberlo, hicieron públicas sus interacciones con ChatGPT, haciéndolas indexables por los motores de búsqueda.

Las conversaciones compartidas versarían sobre casos de uso de información privilegiada, información financiera detallada sobre empresas, confesiones de fraude y pruebas de infracciones normativas, todo ello conservado en forma de archivos públicos de acceso permanente.

En India, El impacto de la geopolítica en la tecnología digital La IAPP informa que, a finales de julio, Microsoft denegó el acceso a sus datos a Nayara Energy, la tercera refinería más grande de la India, con 6.000 estaciones de servicio, sin previo aviso, a pesar de que había pagado íntegramente sus licencias.

Rosneft, una entidad rusa, posee una participación de 49,13 % en Nayara Energy. Se cree que esta medida es consecuencia de las sanciones impuestas a Rusia en el contexto de la guerra en Ucrania.

Otro incidente se refiere a la retirada de la autorización de servicio otorgada por el Centro Nacional Indio de Promoción y Autorización Espacial a dos satélites de la Compañía de Telecomunicaciones por Satélite de Asia después del 31 de marzo de 2026.

El principal accionista de AsiaSat es una entidad propiedad del gobierno chino.

Esta decisión tendrá repercusiones para algunas de las mayores cadenas de televisión de entretenimiento de la India, como Zee y Jiostar, que ahora tendrán que buscar alternativas.

Estos acontecimientos recuerdan el bloqueo que Microsoft hizo la primavera pasada de la cuenta de correo electrónico del Fiscal General de la Corte Penal Internacional (CPI).

Este bloqueo fue consecuencia directa de las medidas adoptadas por el presidente estadounidense Donald Trump contra el Tribunal de La Haya en febrero, después de que un panel de jueces de la CPI emitiera órdenes de arresto contra el primer ministro israelí Benjamin Netanyahu y su exministro de Defensa Yoav Gallant por crímenes de guerra en la Franja de Gaza.

La edición de agosto del PL&B International Report incluye un artículo de Maria Tzanou, profesora de derecho en la Universidad Británica de Sheffield y directora del proyecto de vigilancia FemTech.

Ella plantea interrogantes sobre la vigilancia de las mujeres a través de productos y servicios como aplicaciones de seguimiento de la fertilidad y del ciclo menstrual, afirmando que existen "prácticas de recopilación de datos problemáticas y a menudo ilegales".