Para los consejeros delegados, comités de dirección y responsables del tratamiento, el mensaje de la NIS2 es rotundo: la seguridad digital es responsabilidad de todos, y la cuenta pendiente la pagan los que mandan.

El impacto en el bolsillo: Un precio muy alto

Si todavía alguien pensaba que una brecha de seguridad es solo un mal trago, la NIS2 pone los números sobre la mesa para disipar dudas. Estamos hablando de un marco sancionador severo, diseñado para que nadie duerma tranquilo si no hace sus deberes.

Las multas pueden alcanzar los 10 millones de euros o, lo que es aún más impactante para grandes corporaciones, el 2% del volumen de negocio global anual. No es una multa por “llegar tarde”; es una sanción que puede poner en riesgo la viabilidad económica de una empresa.

Pero, ¿qué es lo que realmente hace saltar las alarmas a las autoridades? No se trata de perfección absoluta, sino de negligencia. Las sanciones suelen caer como una hachazo por errores que parecen básicos pero que, en la práctica, son demasiado comunes:

• Ceguera ante el riesgo: No tener un análisis de riesgos actualizado. Es como salir a la autopista sin revisar los frenos durante años; es cuestión de tiempo que algo falle.
• Improvisación ante el desastre: Carecer de planes de respuesta a incidentes. Cuando ocurre un ataque, no hay tiempo para pensar. Si no hay un guion previo, el caos es inevitable.
• Silencio culpable: Notificar tarde a la autoridad competente. Ocultar un incidente o tardar en comunicarlo agrava el daño y la sanción.

La Alta Dirección en el punto de mira

Aquí es donde la NIS2 cambia las reglas del juego de forma definitiva. Ya no vale con contratar a un buen CISO (Jefe de Seguridad) y lavarse las manos. La nueva directiva exige una implicación directa, personal y activa de la alta dirección.

¿Qué significa esto para los líderes de una empresa? Significa que ya no pueden mirar hacia otro lado. Las exigencias son claras:

1. Aprobar y supervisar (de verdad): No basta con firmar un permiso de gastos. Los órganos de administración (Consejo de Administración o Junta Directiva) deben aprobar las medidas de ciberseguridad y, sobre todo, supervisar su cumplimiento de forma activa. Tienen que entender qué se está haciendo y por qué.
2. Responsabilidad personal: Esto es lo que más preocupa a los ejecutivos. La norma establece que si hay un incumplimiento grave debido a una negligencia manifiesta o a una falta de supervisión por parte de la dirección, ellos asumen la responsabilidad. El escudo corporativo ya no protege de la culpa por mala gestión.
3. Formación obligatoria: Nadie está exento, ni siquiera el CEO. La ley exige que la alta dirección reciba formación específica en ciberseguridad. Es imposible liderar la defensa de una empresa si no se comprenden las amenazas a las que se enfrenta.

En resumen: No se trata de tecnología, se trata de cultura

Lo más importante que debemos entender de la NIS2 es que busca elevar el estándar de seguridad mediante el ejemplo.

Un recordatorio vital: Las sanciones elevadas no son una amenaza teórica; llegarán ante incumplimientos habituales como una mala gestión de riesgos, una respuesta torpe ante incidentes críticos o el intento de ocultar la información retrasando las notificaciones.

En este nuevo escenario, la ciberseguridad es un activo estratégico que debe protegerse desde la primera línea de mando. Si eres directivo, la pregunta ya no es “¿qué hace mi equipo de IT?”, sino “¿qué estoy haciendo yo para asegurar que estamos protegidos?”.

La entrada Sanciones por incumplimiento de la NIS2: riesgos y responsabilidades para la dirección se publicó primero en Adaptación RGPD.

En el informe conjunto de la Agencia Española de Protección de Datos y del Supervisor Europeo de Protección de Datos, se indica que estas garantías no constituyen solo construcciones éticas, sino una respuesta jurídica necesaria ante tecnologías capaces de registrar, analizar e incluso influir en la actividad cerebral. Los riesgos asociados a estas capacidades incluyen injerencias profundas en la esfera mental, con potencial impacto sobre la autodeterminación individual

Desde la perspectiva del Derecho de la Unión Europea, la tutela de los neurodatos debe integrarse de forma coherente en el marco del RGPD y de la Carta de los Derechos Fundamentales. En este contexto, los principios de licitud, proporcionalidad, minimización y transparencia resultan esenciales

IMPORTANTE

Los neuroderechos amplían la protección de datos para salvaguardar la mente humana frente al uso invasivo de neurotecnologías y neurodatos.

La entrada Neuroderechos: proteger la mente en la era de la inteligencia artificial (II) se publicó primero en Adaptación RGPD.

Los hechos se originan cuando la entidad reclamada creó un grupo de mensajería instantánea denominado “Medicina Estética 2”, en el que incorporó los números de teléfono de numerosos clientes, incluidos los reclamantes, permitiendo que todos los integrantes pudieran visualizar los datos personales del resto. La AEPD acreditó que el grupo fue creado sin base jurídica ni consentimiento expreso.

La autoridad de control subraya que, aunque el responsable podía tratar los datos con base en la ejecución del contrato o en su interés legítimo para promociones comerciales, estaba obligado a garantizar la confidencialidad.

La infracción reviste especial gravedad al afectar a datos de salud, categoría especial del artículo 9 del RGPD. En consecuencia, la AEPD impuso una multa de 30.000 euros y ordenó la eliminación del grupo y la implantación de sistemas de comunicación que impidan la visibilidad de los datos entre destinatarios.

IMPORTANTE 

El artículo 5.1.f del RGPD exige que los datos personales se traten garantizando su seguridad y confidencialidad, evitando accesos, comunicaciones o usos no autorizados.

La entrada Sancionada una clínica con 30.000 euros por falta de medidas de confidencialidad en sus campañas comerciales se publicó primero en Adaptación RGPD.

Hablemos claro: el mundo de la protección de datos puede parecer un laberinto de papeleos y normas frías. Pero si hay una figura clave dentro del Reglamento General de Protección de Datos (RGPD) que actúa como un “faro” para las organizaciones, esa es el Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés).

Muchas empresas se preguntan si realmente necesitan nombrar a uno. ¿Es obligatorio para todo? No. Pero si tu encajas en ciertos perfiles, no es solo una recomendación, es un requisito legal que no puedes ignorar.

Vamos a desglosar, en lenguaje sencillo, en qué casos la ley te obliga a tener este “guardián” de la privacidad.

1. El Sector Público: La transparencia es mandatoria

Esta es la regla más sencilla. Si eres una autoridad u organismo público (ayuntamientos, ministerios, administraciones autónomas, etc.), tienes que tener un DPD, sin excepciones. La única salvedad son los tribunales cuando están actuando estrictamente en su función judicial (allí entran otros matices). La idea aquí es clara: la gestión de datos ciudadanos por parte de la administración requiere un control experto y constante.

2. El “Gran Hermano”: Observación sistemática a gran escala

¿Tu negocio se basa en vigilar, monitorizar o rastrear a las personas de forma habitual? Si la respuesta es sí, probablemente necesites un DPD. Imagina empresas que gestionan videovigilancia masiva en espacios públicos, o aquellas que hacen tracking intensivo de comportamiento en internet (como crear perfiles detallados de lo que compramos o navegamos). Si tu actividad principal consiste en esta observación sistemática y a gran escala de individuos, necesitas a alguien que garantice que no estás cruzando la línea de la privacidad.

3. El manejo de información sensible: Datos especiales a gran escala

Aquí hablamos de lo más íntimo de las personas. No es lo mismo gestionar una lista de correos que manejar datos de salud, orientación política, religión, opiniones sindicales o datos biométricos. La ley llama a esto “categorías especiales de datos”. Si tu actividad principal (el núcleo de tu negocio) implica tratar este tipo de información sensible o datos relativos a condenas penales e infracciones, y lo haces a gran escala, la presencia de un DPD es obligatoria. Es la única forma de asegurar que información tan delicada esté blindada.

4. Los sectores específicos (según la ley española)

Además del RGPD europeo, en España tenemos nuestra propia normativa (LOPDPGDD) que añade escenarios concretos. Aunque no siempre impliquen “gran escala” en términos gigantescos, la ley exige esta figura por la sensibilidad del sector:

• Centros educativos: Por la protección de los datos de menores de edad.
• Entidades financieras y aseguradoras: Por el volumen de datos económicos y patrimoniales.
• Centros sanitarios: Por la obvia protección de la salud de los pacientes.
• Empresas de servicios de comunicaciones electrónicas: Think telecomunicaciones y operadoras de internet, que manejan nuestras llamadas y navegación.

Y una vez tienes al DPD, ¿qué pasa?

Si después de leer esto ves que tu empresa encaja en uno de estos supuestos, el paso siguiente es vital: el nombramiento oficial no es un trámite interno silencioso.

Una vez que designes a esa persona (que puede ser un empleado o un servicio externo), tienes obligaciones de comunicación:

1. Notificar a la Autoridad de Control: Tienes un plazo de 10 días desde el nombramiento para comunicárselo a la Agencia Española de Protección de Datos (o al autonómico que corresponda). No puedes dejarlo para “cuando tengas tiempo”.
2. Hacerlo público: Los datos de contacto de tu DPD deben estar visibles. Normalmente esto se publica en la web de la empresa, de forma que cualquier ciudadano o cliente pueda contactar con él si tiene dudas sobre cómo estás usando sus datos.

En resumen: Tener un DPD no es un obstáculo, es una inversión en confianza. Si tu empresa trabaja con datos sensibles, observa a gran escala o pertenece al sector público, esta figura es tu mejor aliada para cumplir con la ley y dormir tranquilo.

IMPORTANTE

El DPD actúa como garante interno del cumplimiento normativo, asesorando, supervisando y sirviendo de enlace con la autoridad de control.

La entrada Supuestos de designación obligatoria del Delegado de protección de datos. se publicó primero en Adaptación RGPD.

Uno de los cambios más significativos introducidos por el Reglamento General de Protección de Datos (RGPD) fue la exigencia de un consentimiento válido que vaya mucho más allá de las antiguas prácticas habituales. Frente al modelo previo —en el que bastaba con una aceptación tácita, un simple clic en una casilla genérica (“He leído y acepto la política de privacidad”) o incluso la continuación en el uso de un sitio web—, el RGPD estableció criterios mucho más rigurosos: el consentimiento debe ser libre, específico, informado e inequívoco.

Este nuevo estándar supone un giro hacia una verdadera autonomía del usuario, que debe poder decidir de forma consciente y diferenciada sobre cada finalidad para la que se tratan sus datos. No basta ya con agrupar todas las finalidades —como marketing, análisis de perfil, cesiones a terceros o newsletters— en una sola aceptación genérica. De hecho, la Agencia Española de Protección de Datos (AEPD), en su reciente informe sobre políticas de privacidad en Internet, ha alertado de que muchas empresas siguen utilizando mecanismos de aceptación global, lo que incumple directamente el espíritu y la letra del RGPD y, en consecuencia, invalida jurídicamente el consentimiento obtenido.

¿Qué implica un consentimiento informado?

Para que el consentimiento sea considerado válido, el interesado debe recibir, previamente a su manifestación de voluntad, una información clara y comprensible sobre:

• La identidad y los datos de contacto del responsable del tratamiento;
• Las finalidades específicas para las que se recogen sus datos (por ejemplo, gestión de compras, envío de boletines, segmentación publicitaria, etc.);
• Los tipos de datos personales que se van a tratar;
• Su derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo;
• La posible existencia de decisiones automatizadas (como perfiles o scoring) que puedan afectarle;
• Y, en su caso, los riesgos derivados de transferencias internacionales de datos a países que no ofrecen un nivel adecuado de protección, tal como lo establece la normativa europea.

La AEPD recomienda que esta información esencial se incluya directamente en el formulario de recogida de datos, de forma resumida pero clara, evitando obligar al usuario a navegar por documentos largos o enlaces externos para comprender en qué está consintiendo. El resto de los detalles pueden ampliarse en la política de privacidad, pero la información clave debe estar accesible allí donde se da el consentimiento.

Facilitar la retirada del consentimiento: un derecho tan sencillo como su otorgamiento

Otro aspecto fundamental —y a menudo descuidado— es garantizar que el usuario pueda retirar su consentimiento con la misma facilidad con la que lo otorgó. Si basta con marcar una casilla o pulsar un botón para aceptar, no puede exigírselo rellenar formularios complejos, enviar burocracia por correo certificado o llamar por teléfono para deshacer esa decisión. La AEPD insiste en que las organizaciones deben proporcionar mecanismos accesibles y directos, como un enlace en el pie de los correos electrónicos, un formulario en línea o una dirección de correo electrónico específica, que permitan al usuario ejercer este derecho sin obstáculos.

En definitiva, el RGPD no solo reformuló legalmente el consentimiento, sino que lo convirtió en una herramienta real de empoderamiento del ciudadano frente al uso de sus datos personales. Las organizaciones que sigan aplicando prácticas obsoletas no solo corren el riesgo de sanciones, sino que erosionan la confianza de sus usuarios, en un contexto donde la transparencia y el respeto por la privacidad son ya valores estratégicos.

La entrada Políticas de privacidad bajo el RGPD: el consentimiento informado en la era digital 2 se publicó primero en Adaptación RGPD.

El cliente presentó una reclamación ante la AEPD en la que alegaba que, al registrarse, se le exigió el escaneo completo de su DNI, ante su negativa, el personal copió manualmente sus datos personales.

En el proceso de investigación, la AEPD comprobó que el establecimiento llevaba a cabo el escaneo íntegro de los documentos de identidad de los huéspedes, conservando imágenes con datos que no son necesarios, como la fotografía, número de soporte o firma, alegando el cumplimiento del Real Decreto 933/2021 sobre registro documental de viajeros. Este Real Decreto solamente obliga a recabar determinados datos, sin exigir la copia completa.

La Agencia concluyó que se vulneró el principio de minimización de datos (art. 5.1.c del RGPD), puesto que trató información excesiva para el fin perseguido, además el procedimiento carecía de proporcionalidad, ya que existían medios menos intrusivos, como por ejemplo la verificación visual.

En la resolución, se le indica, además, que debe modificar su sistema de registro y eliminar los documentos de identidad escaneados almacenados en su sistema.

IMPORTANTE

Se deberán evitar tratamientos innecesarios, limitar los datos recabados a lo estrictamente necesario y garantizar que sean pertinentes y justificables para la finalidad del tratamiento.

La entrada Sancionado un establecimiento hotelero con 9.000€ por el escaneado del DNI de los huéspedes se publicó primero en Adaptación RGPD.

IMPORTANTE
Cuando los datos se recogen directamente, debe informarse al interesado en ese momento; si se obtienen indirectamente, la información debe facilitarse en un mes o en la primera comunicación.

La entrada Políticas de privacidad bajo el RGPD: el reto de informar de forma clara y comprensible (I) se publicó primero en Adaptación RGPD.

La reclamación fue presentada por el padre de una alumna menor de edad, quien denunció que el centro había creado una cuenta de correo electrónico institucional y un perfil en una plataforma educativa sin haber recabado el consentimiento de los tutores legales, tal como exige la normativa en el caso de menores de 14 años. Se produjo además un incidente de suplantación de identidad, por una seguridad deficiente: la contraseña que se utilizó no cumplía con las medidas de seguridad adecuadas.

La AEPD determinó las siguientes infracciones: tratamiento de datos sin una base legítima; falta de información sobre el Delegado de Protección de Datos en la política de privacidad y aplicación de medidas de seguridad inadecuadas.

IMPORTANTE

Tratar datos personales sin una base jurídica válida conforme al artículo 6 del RGPD constituye una infracción grave según la LOPDGDD.

La entrada Tratamiento de datos de menores sin base legal ni garantías de seguridad se publicó primero en Adaptación RGPD.

1. El tratamiento “incidental” de datos sigue siendo tratamiento de datos personales

Uno de los mitos más extendidos es que el procesamiento incidental o “no intencionado” de datos personales no está cubierto por la normativa de protección de datos. En realidad, cualquier tratamiento de datos personales, independientemente de su finalidad, está sujeto al Reglamento General de Protección de Datos (RGPD). Esto implica que los desarrolladores de IA generativa deben analizar con precisión si sus modelos manejan datos personales y, si es así, garantizar el cumplimiento normativo. Ignorar esta evaluación puede llevar a sanciones significativas.

2. Prácticas comunes no equivalen a cumplimiento normativo

El hecho de que una práctica sea habitual no significa que sea legal o aceptable desde la perspectiva de los interesados. Este es un error crítico en el contexto del uso de datos personales para entrenar modelos de IA generativa, especialmente cuando se hace sin informar adecuadamente a los usuarios o con fines diferentes a los inicialmente previstos. La transparencia y la claridad son pilares fundamentales para establecer confianza y cumplir con las normativas.

3. Más allá de la PII: el alcance de “datos personales” en el RGPD

Muchos desarrolladores confunden el concepto de “información de identificación personal” (PII) con “datos personales”. Sin embargo, el RGPD define “datos personales” de manera más amplia, incluyendo cualquier información que pueda identificar directa o indirectamente a una persona física. Este matiz es vital para garantizar el cumplimiento normativo en el desarrollo y la aplicación de modelos de IA generativa.

4. La jurisprudencia sobre motores de búsqueda no aplica a la IA generativa

Un error común es extrapolar las decisiones judiciales sobre motores de búsqueda al ámbito de la IA generativa. Mientras los motores de búsqueda simplemente indexan información, la IA generativa sintetiza datos para producir nuevo contenido. Estas diferencias subrayan la necesidad de un análisis específico y detallado de la IA generativa bajo el RGPD, considerando los riesgos únicos que presenta.

5. Los modelos de IA generativa pueden incorporar datos personales

Otro concepto erróneo es que los modelos de IA no almacenan datos personales. Aunque los datos pueden no estar directamente visibles, los modelos pueden incorporar información retenida durante su entrenamiento. Esto plantea preocupaciones significativas respecto a la minimización de datos y el derecho de supresión, ambos principios fundamentales del RGPD.

6. La protección de datos no se limita al ámbito de IA

Algunos desarrolladores creen que las normativas de protección de datos ofrecen flexibilidad en el contexto de la IA generativa. Sin embargo, no existe una “excepción para la IA”. Todas las organizaciones que utilicen datos personales, independientemente del contexto, deben cumplir plenamente con las regulaciones de protección de datos.

Conclusión: Hacia un enfoque ético en la IA Generativa

El informe del ICO y las publicaciones anteriores de la AEPD refuerzan la importancia de adoptar un enfoque ético y transparente en el uso de la IA generativa. Las organizaciones deben priorizar no solo la innovación, sino también la protección de los derechos fundamentales de las personas. Garantizar el cumplimiento normativo no solo minimiza riesgos legales, sino que también fomenta la confianza pública, un recurso invaluable en el crecimiento tecnológico.

Al abordar estos conceptos erróneos, se abre el camino para que la IA generativa sea una herramienta poderosa y responsable para el progreso. ¿Qué opinas de este enfoque? ¿Añadimos algún detalle o le damos otro ángulo?

Fuente: AEPD

La entrada Inteligencia Artificial Generativa: Aclarando Malentendidos Claves se publicó primero en Adaptación RGPD.

La entrada Worldcoin tendrá que eliminar los códigos de iris almacenados desde el inicio del proyecto se publicó primero en Adaptación RGPD.