El fraude online, con 45.445 casos, se consolida como la principal amenaza, mientras que el phishing suma 25.133 incidentes. Estos datos no son meras estadísticas: reflejan una sofisticación cada vez mayor en las técnicas de ingeniería social y una explotación sistemática de la confianza digital. El cierre de 4.600 dominios fraudulentos demuestra que la respuesta institucional existe, pero la prevención debe reforzarse desde la base.

Especial atención merece el malware, con 55.411 incidentes registrados, incluidos 392 ataques de ransomware. Que el 85% de los sistemas infectados estén vinculados a dispositivos IoT confirma algo que venimos advirtiendo desde hace años: la conectividad sin seguridad es una vulnerabilidad estructural. Por último, hacer referencia a las 142.767 consultas atendidas por la Línea de Ayuda de INCIBE que reflejan una mayor concienciación social.

IMPORTANTE

La ciberseguridad es un pilar estratégico para el gobierno corporativo y garantía de la continuidad del negocio.

La entrada Nuevo escenario estratégico de la ciberseguridad en España se publicó primero en Adaptación RGPD.

El uso de técnicas de huella digital del dispositivo exige a los responsables del tratamiento una especial diligencia. El RGPD es claro: si mediante el fingerprinting se puede identificar directa o indirectamente a una persona, estamos ante un tratamiento de datos personales y deben cumplirse todas las garantías legales.

Pensemos, por ejemplo, en una web que utiliza fingerprinting para personalizar publicidad. Aunque el usuario no introduzca su nombre ni acepte cookies, su comportamiento puede ser seguido de forma persistente. En estos casos, no basta con alegar una finalidad técnica: es necesario informar de manera clara y obtener un consentimiento válido antes de iniciar el tratamiento.

Entre las buenas prácticas recomendadas destacan la minimización de datos, la limitación de técnicas intrusivas y la integración de la privacidad desde el diseño. Aquí, el papel del Delegado de Protección de Datos resulta clave, ya que puede ayudar a valorar si el uso del fingerprinting es realmente proporcional o si existen alternativas menos invasivas.

IMPORTANTE

El fingerprinting exige consentimiento previo, análisis de riesgos, y aplicación efectiva del principio de responsabilidad proactiva.

La entrada Fingerprinting y cumplimiento normativo: lo que los responsables del tratamiento deben tener en cuenta (II) se publicó primero en Adaptación RGPD.

La reclamación, presentada inicialmente ante la autoridad de control sueca y posteriormente trasladada a la AEPD por su carácter transfronterizo, denunciaba la exposición indebida de datos personales en un complejo hotelero.

En concreto, se puso de manifiesto que el personal de seguridad, durante las labores de control de acceso a la comunidad de propietarios y al hotel, mantenía a la vista listados impresos con información personal de propietarios y huéspedes (nombre, apellidos, país, DNI, pasaporte) quedando accesibles a terceros y pudiendo incluso ser fotografiadas.

Asimismo, quedó acreditado que la empresa de seguridad actuaba como encargada del tratamiento, bajo las instrucciones de la gestora hotelera, responsable del tratamiento en su condición de administradora de la comunidad. En el expediente se concluyó que la gestora del hotel no había implantado medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de la información.

La conducta fue calificada como vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, imponiéndose una sanción económica de 40.000 euros y la obligación de adoptar medidas correctivas.

IMPORTANTE

La responsabilidad del tratamiento incluye el control efectivo sobre los encargados y la adopción de medidas reales, no meramente formales, para garantizar la confidencialidad de los datos personales.

La entrada Multada una empresa hotelera con 40.000 euros por dejar datos personales a la vista en el control de accesos se publicó primero en Adaptación RGPD.

La norma refuerza, además, su independencia funcional al disponer que el DPD “no recibirá ninguna instrucción” en el desempeño de sus funciones, que “no será destituido ni sancionado” por el ejercicio de las mismas y que “rendirá cuentas directamente al más alto nivel jerárquico” de la organización. Estas garantías no son meramente formales, sino que aseguran la objetividad y autonomía de su criterio técnico.

Asimismo, el RGPD exige que se le proporcionen los recursos necesarios, acceso a la información y formación adecuada, evitando cualquier conflicto de intereses.

IMPORTANTE

El Delegado de Protección de Datos debe actuar con independencia, recursos suficientes y autonomía, garantizando una supervisión eficaz del cumplimiento normativo del RGPD.

La entrada Principio de independencia y medios necesarios para el ejercicio de las funciones del DPD se publicó primero en Adaptación RGPD.

Cuando hablamos de ciberseguridad, pocas medidas resultan tan determinantes —y a la vez tan infravaloradas— como la autenticación. Verificar correctamente quién accede a un sistema no es una cuestión accesoria, sino la primera barrera frente a la mayoría de los incidentes de seguridad que afectan hoy a organizaciones de cualquier tamaño.

La experiencia demuestra que un elevado porcentaje de incidentes de seguridad se produce por el uso de contraseñas débiles, reutilizadas o comprometidas, lo que evidencia la necesidad de implantar mecanismos de autenticación robustos y adaptados al riesgo.

Invertir en una autenticación robusta no solo reduce la probabilidad de accesos indebidos, sino que aporta estabilidad, confianza y continuidad operativa. Es, en definitiva, una decisión de madurez en la gestión de la ciberseguridad.

IMPORTANTE

No se trata únicamente de verificar quién accede, sino de hacerlo de forma fiable, trazable y resistente a ataques.

La entrada Autenticación segura: el pilar esencial de la ciberseguridad en entornos digitales se publicó primero en Adaptación RGPD.

En el día de hoy los navegadores pueden ser configurados por el usuario, para que no acepten cookies o bien para que acepten cookies temporales que se borran automáticamente al cerrar el navegador. Sin embargo, existen nuevas formas de salvar las protecciones para recopilar y explotar datos de los usuarios.

Un ejemplo sencillo ayuda a entender su alcance: aunque dos personas utilicen el mismo navegador, pequeñas diferencias en la configuración de su dispositivo permiten distinguirlas con gran precisión. De este modo, incluso si el usuario borra cookies o navega en modo incógnito, puede seguir siendo reconocido.

El estudio de la AEPD demuestra que la recopilación de características técnicas del navegador y del equipo —resolución de pantalla, sistema operativo, fuentes instaladas o configuración gráfica— es posible construir un identificador prácticamente único.

Desde el punto de vista de la privacidad, el impacto es evidente. Identificar un dispositivo equivale, en la práctica, a identificar a la persona que lo utiliza.

IMPORTANTE

El usuario/a rara vez es consciente de que este tratamiento se está produciendo, lo que dificulta el ejercicio de sus derechos.

La entrada Fingerprinting o Huella digital del dispositivo (I) se publicó primero en Adaptación RGPD.

La denuncia fue formulada por la representación legal de los trabajadores, en concreto, se denunciaba que la entidad había solicitado al personal laboral sus números de teléfono móviles personales y otros datos identificativos, sin proporcionar información adecuada ni recabar consentimiento, para utilizarlos en el acceso a herramientas informáticas con la finalidad de doble factor de autenticación.

Los empleados comenzaron a recibir en sus teléfonos personales mensajes con credenciales de acceso a sistemas corporativos del cliente, deduciéndose que se habían comunicado dichos datos sin base jurídica válida y sin ofrecer alternativas menos intrusivas, como el uso de medios corporativos. Asimismo, se alegó la inexistencia de información clara sobre la transferencia internacional de datos y omitir el informe desfavorable del Delegado de Protección de Datos sobre esta práctica.

La Agencia concluyó que dicho tratamiento no era necesario para la ejecución del contrato laboral y que vulneraba el principio de licitud del artículo 5.1.a) del RGPD. La multa administrativa alcanzó los 80.000€.

IMPORTANTE

La conducta fue calificada como infracción muy grave, imponiéndose una sanción, junto con la obligación de cesar en el uso de teléfonos personales y adoptar medidas correctivas.

La entrada Sancionada una entidad con 80.000€ por la cesión ilícita de datos de empleados a terceros y uso de su teléfono personal se publicó primero en Adaptación RGPD.

Debido a la creciente complejidad de los tratamientos, el uso intensivo de tecnologías digitales y al impacto que determinadas actividades pueden tener sobre los derechos y libertades de las personas, algunas organizaciones específicas precisan contar con un asesor especializado, independiente y con conocimientos jurídicos y técnicos suficientes para supervisar de forma continuada el cumplimiento de la normativa.

El Delegado de protección de datos facilita la implantación de políticas internas, la gestión de riesgos y la interlocución con la Agencia Española de Protección de Datos. Su presencia efectiva permite anticipar incumplimientos, reducir la exposición a sanciones y demostrar una verdadera cultura de protección de datos, alineada con las exigencias del marco normativo español y europeo.

IMPORTANTE

No designar Delegado de Protección de Datos en supuestos obligatorios constituye una infracción grave del RGPD, sancionable con multas administrativas significativas.

La entrada El Delegado de protección de datos aliado estratégico en el cumplimiento normativo se publicó primero en Adaptación RGPD.

Para los consejeros delegados, comités de dirección y responsables del tratamiento, el mensaje de la NIS2 es rotundo: la seguridad digital es responsabilidad de todos, y la cuenta pendiente la pagan los que mandan.

El impacto en el bolsillo: Un precio muy alto

Si todavía alguien pensaba que una brecha de seguridad es solo un mal trago, la NIS2 pone los números sobre la mesa para disipar dudas. Estamos hablando de un marco sancionador severo, diseñado para que nadie duerma tranquilo si no hace sus deberes.

Las multas pueden alcanzar los 10 millones de euros o, lo que es aún más impactante para grandes corporaciones, el 2% del volumen de negocio global anual. No es una multa por “llegar tarde”; es una sanción que puede poner en riesgo la viabilidad económica de una empresa.

Pero, ¿qué es lo que realmente hace saltar las alarmas a las autoridades? No se trata de perfección absoluta, sino de negligencia. Las sanciones suelen caer como una hachazo por errores que parecen básicos pero que, en la práctica, son demasiado comunes:

• Ceguera ante el riesgo: No tener un análisis de riesgos actualizado. Es como salir a la autopista sin revisar los frenos durante años; es cuestión de tiempo que algo falle.
• Improvisación ante el desastre: Carecer de planes de respuesta a incidentes. Cuando ocurre un ataque, no hay tiempo para pensar. Si no hay un guion previo, el caos es inevitable.
• Silencio culpable: Notificar tarde a la autoridad competente. Ocultar un incidente o tardar en comunicarlo agrava el daño y la sanción.

La Alta Dirección en el punto de mira

Aquí es donde la NIS2 cambia las reglas del juego de forma definitiva. Ya no vale con contratar a un buen CISO (Jefe de Seguridad) y lavarse las manos. La nueva directiva exige una implicación directa, personal y activa de la alta dirección.

¿Qué significa esto para los líderes de una empresa? Significa que ya no pueden mirar hacia otro lado. Las exigencias son claras:

1. Aprobar y supervisar (de verdad): No basta con firmar un permiso de gastos. Los órganos de administración (Consejo de Administración o Junta Directiva) deben aprobar las medidas de ciberseguridad y, sobre todo, supervisar su cumplimiento de forma activa. Tienen que entender qué se está haciendo y por qué.
2. Responsabilidad personal: Esto es lo que más preocupa a los ejecutivos. La norma establece que si hay un incumplimiento grave debido a una negligencia manifiesta o a una falta de supervisión por parte de la dirección, ellos asumen la responsabilidad. El escudo corporativo ya no protege de la culpa por mala gestión.
3. Formación obligatoria: Nadie está exento, ni siquiera el CEO. La ley exige que la alta dirección reciba formación específica en ciberseguridad. Es imposible liderar la defensa de una empresa si no se comprenden las amenazas a las que se enfrenta.

En resumen: No se trata de tecnología, se trata de cultura

Lo más importante que debemos entender de la NIS2 es que busca elevar el estándar de seguridad mediante el ejemplo.

Un recordatorio vital: Las sanciones elevadas no son una amenaza teórica; llegarán ante incumplimientos habituales como una mala gestión de riesgos, una respuesta torpe ante incidentes críticos o el intento de ocultar la información retrasando las notificaciones.

En este nuevo escenario, la ciberseguridad es un activo estratégico que debe protegerse desde la primera línea de mando. Si eres directivo, la pregunta ya no es “¿qué hace mi equipo de IT?”, sino “¿qué estoy haciendo yo para asegurar que estamos protegidos?”.

La entrada Sanciones por incumplimiento de la NIS2: riesgos y responsabilidades para la dirección se publicó primero en Adaptación RGPD.

En el informe conjunto de la Agencia Española de Protección de Datos y del Supervisor Europeo de Protección de Datos, se indica que estas garantías no constituyen solo construcciones éticas, sino una respuesta jurídica necesaria ante tecnologías capaces de registrar, analizar e incluso influir en la actividad cerebral. Los riesgos asociados a estas capacidades incluyen injerencias profundas en la esfera mental, con potencial impacto sobre la autodeterminación individual

Desde la perspectiva del Derecho de la Unión Europea, la tutela de los neurodatos debe integrarse de forma coherente en el marco del RGPD y de la Carta de los Derechos Fundamentales. En este contexto, los principios de licitud, proporcionalidad, minimización y transparencia resultan esenciales

IMPORTANTE

Los neuroderechos amplían la protección de datos para salvaguardar la mente humana frente al uso invasivo de neurotecnologías y neurodatos.

La entrada Neuroderechos: proteger la mente en la era de la inteligencia artificial (II) se publicó primero en Adaptación RGPD.