Boletín Legal Nº 89 – Noviembre de 2025. 

 

Simplificación de la normativa digital europea: ¿qué podemos esperar?

¿Hasta dónde llegará la Comisión Europea en su afán por simplificar el marco legislativo europeo?

Desde la publicación del informe Draghi en septiembre de 2024, y en un contexto económico internacional turbulento, el ejecutivo europeo ha ido multiplicando las medidas a favor de la industria.

La reciente publicación del paquete "Digital Omnibus" pretende tranquilizar al sector privado sobre las limitaciones legales en el sector digital, para gran consternación de la sociedad civil, que teme una erosión sin precedentes de los derechos fundamentales.

La Comisión publicó oficialmente dos propuestas el 19 de noviembre, el “Ómnibus Digital” y el “Ómnibus Digital sobre IA”, y puso en marcha una evaluación de competencias digitales.

La propuesta relativa a la tecnología digital introduce modificaciones tanto al RGPD como al Reglamento sobre IA, así como a la Directiva sobre privacidad electrónica. El texto es extenso; a continuación, se destacan algunos puntos clave.

• • En relación con la Directiva sobre privacidad electrónica,

La Comisión propone, en particular, cambios en la política de cookies. El objetivo es reducir la frecuencia con la que aparecen los banners y permitir a los usuarios dar su consentimiento con un solo clic, guardando sus preferencias a través de la configuración central de sus navegadores y sistemas operativos. Esta disposición es una de las menos controvertidas.

El texto también prevé una interfaz de informes unificada que permite a las empresas cumplir con todas sus obligaciones de notificación de incidentes a través de un único portal seguro, con el objetivo de simplificar las obligaciones contrapuestas de la directiva NIS2, el RGPD y el reglamento sobre resiliencia operativa digital.

Se prevé una flexibilización de las obligaciones legales para las pymes y las pequeñas y medianas empresas en lo que respecta a la documentación, las sanciones y las normas de cambio a la nube.

• • En relación con el RGPD,

La propuesta restringe la definición de datos personales al introducir un enfoque subjetivo sobre la identificabilidad de los datos, lo que podría excluir ciertos datos seudónimos o números de identificación del ámbito de aplicación de la normativa.

La definición de datos sensibles se modificaría para que solo concierne a aquellos que revelen "directamente" información relativa a la salud, el origen racial, etc., a riesgo de excluir aquellos que podrían deducirse mediante un algoritmo, por ejemplo.

La propuesta también pretende restringir el derecho de las personas a solicitar acceso a sus datos únicamente con "fines de protección de datos".

Una nueva definición de "investigación científica" también podría dar lugar a amplias exenciones del RGPD que beneficiarían al sector privado: "cualquier investigación que pueda contribuir a la innovación, como el desarrollo y la demostración tecnológica", podría quedar exenta de las obligaciones de información y limitación de la finalidad.

La propuesta incluye cambios que facilitan la toma de decisiones automatizada y permiten el uso de datos personales para entrenar y operar sistemas de IA basados en un interés legítimo.

El texto también prevé un período transitorio de seis meses para el artículo 50(2) del reglamento de IA (obligaciones de transparencia).

El paquete ómnibus digital permanecerá abierto a comentarios durante un período de ocho semanas, prorrogable diariamente hasta que la propuesta esté disponible en todos los idiomas de la UE, actualmente hasta el 29 de enero de 2026.

Posteriormente, la propuesta seguirá los procedimientos legislativos ordinarios de la UE en el Parlamento Europeo y el Consejo, donde sin duda será objeto de un animado debate.

En lo que respecta al RGPD en concreto, algunos países están abiertos a revisar las propuestas de la Comisión, mientras que otros, como Eslovenia, Estonia y Austria, ya han indicado que, en su opinión, el RGPD "no requiere más cambios en este momento".

El proceso también incluirá las opiniones del Comité Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos, dos posturas que, si bien no son vinculantes, se espera que influyan en los debates posteriores.

 

Tras un informe inicial que evaluaba si los franceses estaban dispuestos a pagar por servicios en línea sin publicidad dirigida, la CNIL publicó el 17 de noviembre una segunda parte relativa a la actitud de los franceses hacia la monetización de sus datos.

El 65% de los encuestados (%) indicó estar dispuesto a vender sus datos. La valoración más frecuente se situó entre 10 y 30 euros mensuales, preferida por el 28% de estos encuestados (%).

Por otro lado, el 35% de las personas no desea vender sus datos, sea cual sea el precio, expresando un rechazo de principios a la monetización de los datos personales.

En este sentido, la CNIL señala que, si bien es posible transferir un derecho de uso sobre los propios datos, "la práctica de 'monetizar' los datos personales, en el sentido de transferir los derechos de propiedad sobre ellos, no es posible dentro del marco legal actual, ya que no se pueden renunciar a los derechos sobre los propios datos".

El 20 de noviembre de 2025, la CNIL multó a la empresa francesa Conde Nast Publications con 750.000 euros por incumplir la normativa aplicable en materia de cookies instaladas en los terminales de los usuarios que visitan la página web "vanityfair.fr".

La empresa ya había recibido una notificación formal tras una queja de la asociación Noyb en 2019, sin haberla acatado.

La multa tiene en cuenta la falta de respuesta de la empresa, el número de personas implicadas y las diversas deficiencias: la falta de obtención del consentimiento, la falta de información a los usuarios y el fallo de los mecanismos para rechazar y retirar el consentimiento.

El 27 de noviembre de 2025, la CNIL también impuso una multa de 1,5 millones de euros a la empresa American Express Carte France por incumplimiento de la normativa aplicable en materia de cookies.

El 26 de noviembre, la ANSSI publicó un informe sobre el estado de la amenaza a los teléfonos móviles.

El informe destaca la explotación por parte de los atacantes de vulnerabilidades que pueden afectar a las redes, el sistema operativo o las aplicaciones, e identifica una amenaza específica: las operaciones de espionaje y vigilancia llevadas a cabo por agentes estatales.

Los teléfonos móviles también son un objetivo primordial para los ciberdelincuentes, quienes, al comprometer su seguridad, logran robar dinero a sus víctimas.

Los teléfonos móviles también están siendo utilizados indebidamente para la vigilancia privada o para operaciones de desestabilización.

El informe también ofrece recomendaciones de seguridad para los usuarios.

Estas medidas incluyen apagar y encender el teléfono con regularidad sin usar la función de reinicio, no hacer clic en enlaces ni abrir archivos en mensajes no solicitados, tener cuidado al abrir enlaces transmitidos mediante códigos QR, aplicar las actualizaciones del sistema operativo, desactivar las interfaces Wifi y Bluetooth cuando no se utilicen y evitar conectarse a redes Wifi públicas.

 

instituciones y organismos europeos

El 26 de noviembre, los representantes de los Estados miembros de la UE acordaron la posición del Consejo con respecto al reglamento destinado a prevenir y combatir el abuso sexual infantil.

El texto tiene como objetivo imponer a las empresas del sector digital la obligación de impedir la difusión de pornografía infantil y la captación de menores.

Las autoridades nacionales competentes tendrán la facultad de obligar a las empresas a eliminar y bloquear el acceso a determinados contenidos o, en el caso de los motores de búsqueda, a eliminar determinados resultados de búsqueda.

El reglamento también prevé la creación de una nueva agencia europea, el Centro Europeo sobre Pornografía Infantil, encargada de ayudar a los Estados miembros y a los proveedores de servicios en línea a aplicar la ley.

El Consejo también desea convertir en permanente una medida actualmente temporal que permite a las empresas analizar voluntariamente sus servicios para detectar casos de abuso sexual infantil.

Aunque menos intrusivo que su versión anterior, el texto sigue siendo considerado por sus detractores como un ataque al cifrado de extremo a extremo y a la confidencialidad de las comunicaciones.

El proyecto aún debe ser debatido en diálogos tripartitos con la Comisión y el Parlamento Europeo.

El 5 de diciembre, la Comisión Europea multó a X con 120 millones de euros por incumplir sus obligaciones de transparencia en virtud de la Ley de Servicios Digitales (DSA).

Entre las deficiencias se incluyen el diseño engañoso de su sistema de "validación azul" para cuentas verificadas, la falta de transparencia en su directorio publicitario y la imposibilidad de proporcionar a los investigadores acceso a datos públicos.

En su sentencia del 2 de diciembre en el caso Russ media, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que el editor de una plataforma de publicidad es responsable del tratamiento de los anuncios publicados en ella y debe comprobar, antes de su publicación, si contienen datos sensibles y si su tratamiento cumple con el RGPD.

1/ El operador de un mercado es responsable del tratamiento de los anuncios publicados: varios elementos justifican esta clasificación para el TJUE:

• El anuncio solo es accesible en línea debido al servicio que ofrece la plataforma.
• La editorial persigue sus propios objetivos, principalmente comerciales y publicitarios, y no se limita a un servicio técnico.
• Determina los medios esenciales: presentación, duración de la publicación en línea, secciones, clasificación y métodos de distribución.
• Por lo tanto, el operador y el anunciante son responsables conjuntamente del tratamiento de datos realizado sobre los anuncios.

2/ Como responsable del tratamiento de datos, el operador debe identificar los riesgos potenciales del tratamiento de datos e implementar medidas y salvaguardias adecuadas al riesgo identificado: el TJUE indica que el operador debe, en la fase previa:

• Detecta si un anuncio contiene datos confidenciales.
• Compruebe si estos datos pertenecen al anunciante o si el anunciante cuenta con alguna exención, en particular un consentimiento explícito de la persona interesada.
• Rechazar la publicación si no se cumplen estas condiciones.

Como parte de sus obligaciones de seguridad, el operador también debe implementar medidas para limitar la copia y reproducción ilegal de anuncios que contengan datos sensibles.

El 20 de noviembre, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó en el caso Policejní prezidium sobre las prácticas de la policía checa de recopilar y almacenar indefinidamente los datos biométricos y genéticos de todas las personas sospechosas de haber cometido delitos intencionados.

El objetivo era determinar si la directiva europea "Police" exige una evaluación caso por caso de la necesidad de conservación de datos, si se permiten períodos de conservación indefinidos y qué garantías legales deben regir el tratamiento de estos datos sensibles.

El Tribunal no encuentra una prohibición en principio, pero impone una serie de condiciones: el responsable del tratamiento de datos debe cumplir con todos los principios y requisitos específicos aplicables al tratamiento de datos sensibles, y la legislación nacional debe establecer plazos adecuados para una revisión periódica de la estricta necesidad de conservar estos datos.

La Agencia de los Derechos Fundamentales de la Unión Europea publicó el 4 de diciembre un informe sobre la protección de los derechos fundamentales en el uso de la IA en zonas de alto riesgo. En él se destaca la falta de conocimiento sobre estos derechos.

 

Noticias procedentes de los países miembros de la Unión Europea.

El Tribunal Regional de Viena para Asuntos Civiles dictaminó que las acciones legales contra un responsable del tratamiento de datos no establecido en la UE deben notificarse al propio responsable y no a su representante en la UE.

La notificación al representante conforme al artículo 27 del RGPD es insuficiente, a menos que la legislación procesal nacional prevea esta opción.

El 14 de noviembre, la Autoridad Croata de Protección de Datos (APD) impuso una multa administrativa por un total de 4.500.000,00 euros a un operador de telecomunicaciones, en su calidad de responsable del tratamiento de datos, por transferir datos personales a un tercer país en violación del RGPD.

La transferencia a un subcontratista serbio se llevó a cabo sin una base legal válida y sin información transparente a las personas afectadas, el procesamiento de copias de documentos de identidad y certificados de antecedentes penales de los empleados sin base legal, y en ausencia de controles previos adecuados del subcontratista.

La Universidad Internacional de Valencia, en España, ha sido multada con 750.000 euros por utilizar el reconocimiento facial y la inteligencia artificial para identificar a los participantes en los exámenes sin una base legal adecuada.

También en España, la APD multó a una clínica médica con 30.000 euros por infringir el artículo 5(1)(f) del RGPD al divulgar los números de teléfono y los datos sanitarios de unos 90 clientes en un grupo de Whatsapp sin consentimiento previo y sin medidas de confidencialidad adecuadas.

Un tribunal ha concedido más de 480 millones de euros en concepto de indemnización a 87 medios de comunicación españoles tras concluir que Meta había utilizado ilegalmente datos personales recogidos en sus redes sociales para crear perfiles de usuario detallados y ofrecer publicidad personalizada más eficaz que sus competidores, obteniendo así una ventaja competitiva desleal.

El tribunal consideró que el tratamiento de datos personales es un factor competitivo clave en la economía digital y que las infracciones del RGPD pueden constituir competencia desleal cuando confieren una ventaja significativa.

La Autoridad Italiana de Protección de Datos (APD) ha multado a la provincia de Bolzano con 32.000 euros por operar ilegalmente una red de cámaras de control de tráfico. La provincia carecía de una base legal válida para el tratamiento de datos personales, en particular de números de matrícula.

 

En el Reino Unido, 73 académicos, abogados, expertos en protección de datos y organizaciones no gubernamentales han solicitado, mediante una carta dirigida a la Cámara de los Comunes, una investigación sobre la autoridad británica de protección de datos (ICO), tras lo que describen como un "colapso de las medidas de aplicación de la ley", en particular a raíz del escándalo de la filtración de datos en Afganistán.

Advierten de "fallos estructurales más profundos" que van más allá de esta filtración de datos.

Esto constituyó una filtración de información particularmente grave sobre afganos que habían colaborado con las fuerzas británicas antes de que los talibanes tomaran el control del país en agosto de 2021, poniendo en peligro la vida de las 100.000 personas cuyos nombres habían sido revelados por el Ministerio de Defensa.

La Oficina del Comisionado de Información (ICO) es criticada por no haber iniciado procedimientos legales formales contra el ministerio, a pesar de las reiteradas deficiencias. 

En Argentina, algunos tribunales se han pronunciado en los últimos meses sobre el uso de la inteligencia artificial en los alegatos y escritos de los abogados.

Los casos involucraron a abogados que incluyeron citas de jurisprudencia que resultaron ser falsas o inexactas debido a alucinaciones provocadas por la IA.

Al igual que en Estados Unidos, en particular, los tribunales argentinos están empezando a evaluar el alcance de la responsabilidad profesional de los abogados: incluso cuando actúan de buena fe, la presentación de escritos que citan jurisprudencia inexistente socava los principios fundamentales de la profesión, como la honestidad, la lealtad y la sinceridad, tal como se establece en los códigos de ética de las distintas jurisdicciones argentinas.

En los casos concretos examinados, los tribunales decidieron no imponer sanciones directas a los abogados.

No obstante, consideraron oportuno informar a los colegios de abogados locales para concienciar sobre los riesgos y las responsabilidades asociados al uso de la IA y para promover un debate más amplio sobre el uso responsable de la IA en la práctica jurídica.

El gobierno australiano es el último en presentar una hoja de ruta para la inteligencia artificial.

Tras considerar una estrategia centrada en la seguridad, el gobierno finalmente optó por priorizar la inversión y la economía.

En lugar de establecer medidas de protección obligatorias en entornos de alto riesgo, Australia se basará en "los sólidos marcos legales y regulatorios ya existentes".

El Plan Nacional, anunciado el 2 de diciembre, tiene como objetivo mejorar la reputación de Australia como destino de inversión en IA y promueve objetivos para el uso generalizado de la IA en todo el país, y en los servicios públicos en particular.

También describe el papel del Instituto de Seguridad de la IA en las pruebas y el intercambio de información sobre las capacidades, los riesgos y los peligros de la IA.

En Australia, los niños y adolescentes menores de 16 años tampoco podrán usar las redes sociales a partir del 10 de diciembre.

Las plataformas están obligadas a implementar medidas de verificación de edad.

El incumplimiento podría acarrear multas de hasta 28 millones de euros.

Esta prohibición podría ir seguida de otras: el 26 de noviembre, el Parlamento Europeo pidió que se estableciera la edad mínima en 16 años en toda la Unión Europea para las redes sociales, las plataformas para compartir vídeos y los asistentes de IA, al tiempo que se permitiera el acceso a los jóvenes de entre 13 y 16 años con el consentimiento de sus padres.

Si bien los eurodiputados expresan su apoyo a la Comisión en lo que respecta a una aplicación europea de verificación de edad y una cartera de identidad digital europea (eID), insisten en que los sistemas de verificación de edad deben proteger la privacidad de los menores.

En Estados Unidos, solo dos de los cinco comisionados permanecen en la Comisión Federal de Comercio (FTC).

La FTC anunció una tercera dimisión, la de Melissa Holyoak, el 17 de noviembre de 2025.

Esta dimisión se produce tras la destitución por parte del presidente Trump de dos comisionados demócratas, dejando en sus puestos únicamente a dos comisionados republicanos.

El Tribunal Supremo se ha hecho cargo del asunto, y su decisión podría tener implicaciones más amplias para el poder del presidente sobre los organismos independientes.           

Los viajeros procedentes de países como Gran Bretaña, Francia o Corea del Sur, países que pueden acogerse al Programa de Exención de Visado de EE. UU., podrían tener que someterse próximamente a una revisión de su actividad en las redes sociales de los últimos cinco años, según una propuesta presentada el 9 de diciembre por la Oficina de Aduanas y Protección Fronteriza de EE. UU. (CBP).

La CBP también planea solicitar a los solicitantes una larga lista de datos personales, incluyendo sus direcciones de correo electrónico de los últimos diez años, así como los nombres, fechas de nacimiento, lugares de residencia y lugares de nacimiento de sus padres, cónyuges, hermanos, hermanas e hijos.

El 13 de noviembre de 2025, el Ministerio de Electrónica y Tecnología de la Información de la India promulgó las normas de aplicación de la Ley de Protección de Datos Personales Digitales de 2023.

Según la firma Nishith Desai Associates, estas especifican los requisitos de transparencia, consentimiento y registro, las obligaciones de notificación en caso de una violación de datos, los derechos de las personas afectadas y los detalles relativos al Consejo Indio de Protección de Datos.