Derecho Digital y seguridad de la información
-
La Comisión Europea actualiza las normas de competencia para las licencias de tecnología.
-
El Reglamento de Ciberresiliencia inicia su aplicación progresiva a partir de junio de 2026.
-
Evaluaciones de Impacto: del análisis al cumplimiento efectivo.
Cumplimiento normativo
-
La UE aprueba una Directiva para reforzar la lucha contra la corrupción
-
El Supremo refuerza el valor del Compliance como garantía de integridad en el fútbol.
-
Se refuerza la respuesta penal frente a la multirreincidencia.
DERECHO DIGITAL Y SEGURIDAD DE LA INFORMACIÓN
Un Juzgado avala el fichaje biométrico en hospitales
El Juzgado de lo Social n.º 3 de A Coruña, en la Sentencia SJSO 2400/2025, ha avalado el uso del fichaje biométrico mediante huella dactilar en un hospital al desestimar la demanda presentada contra el Instituto Policlínico Santa Teresa, que alegaba vulneración de derechos fundamentales. En su sentencia 370/2025, de 24 de julio, el juzgado concluye que el sistema implantado no vulnera los derechos a la privacidad, la intimidad, la salud o la libertad sindical y considera legítimo su uso en el ámbito sanitario, donde concurren exigencias reforzadas de seguridad y control.
La resolución pone el acento en que la empresa había realizado evaluaciones de impacto en protección de datos y análisis de idoneidad, necesidad y proporcionalidad, actualizados periódicamente, y que el sistema permitía evitar fraudes en el registro horario y la suplantación de identidad, además de contribuir a la seguridad asistencial y al control de acceso a zonas sensibles, como las de medicamentos y productos sanitarios. El juzgado destaca asimismo que el dispositivo genera una plantilla biométrica y no almacena la huella digital en bruto, y entiende que, en estas condiciones, el fichaje biométrico sigue siendo un medio seguro y adecuado para proteger bienes, personas y servicios esenciales en un entorno hospitalario.
Volver al índice
La Comisión Europea actualiza las normas de competencia para las licencias de tecnología
La Comisión Europea ha actualizado las normas de competencia aplicables a los acuerdos de licencia de tecnología con la adopción de una nueva versión del Reglamento de Exención por Bloque de Transferencia de Tecnología (TTBER) y de las nuevas Directrices sobre la aplicación del artículo 101 del TFUE. La reforma, resultado de la revisión de las normas vigentes desde 2014, busca ofrecer a las empresas un marco más claro y adaptado a la economía digital para evaluar la compatibilidad de sus licencias tecnológicas con el Derecho de la competencia de la UE. Las nuevas reglas, que entrarán en vigor el 1 de mayo de 2026, tienen en cuenta el papel estratégico de los datos y el creciente uso de tecnologías esenciales para estándares que garantizan la interoperabilidad entre productos.
Entre las principales novedades, el nuevo marco incorpora orientaciones específicas sobre los acuerdos de licencia de bases de datos, aclara el tratamiento de los grupos de negociación de licencias y revisa determinados criterios para valorar los umbrales de cuota de mercado, además de reforzar las condiciones del puerto seguro para los pools tecnológicos. Con ello, la Comisión persigue reforzar un entorno normativo más previsible para la innovación y la circulación de tecnología en el mercado interior, sin rebajar el control sobre posibles restricciones anticompetitivas.
Volver al índice
Consulta pública sobre las nuevas directrices europeas para el tratamiento de datos en investigación científica
El Comité Europeo de Protección de Datos (EDPB) ha abierto consulta pública sobre las Directrices 1/2026 relativas al tratamiento de datos personales con fines de investigación científica, con el objetivo de recabar observaciones de las partes interesadas hasta el 25 de junio de 2026. Los comentarios deberán remitirse a través del formulario habilitado al efecto y, tal y como advierte la propia EDPB, su envío implica la aceptación de su posterior publicación en la página web del organismo. Además, el Comité recuerda que las contribuciones podrán estar sujetas a solicitudes de acceso público a documentos conforme al Reglamento 1049/2001, sin perjuicio de la aplicación de las normas europeas de protección de datos.
Volver al índice
El Reglamento de Ciberresiliencia inicia su aplicación progresiva a partir de junio de 2026
Con la próxima aplicación parcial del Reglamento (UE) 2024/2847, conocido como Reglamento de Ciberresiliencia (CRA), las empresas deben prepararse para el inicio escalonado de sus obligaciones. Aunque la norma entró en vigor el 10 de diciembre de 2024, sus primeras disposiciones comenzarán a aplicarse el 11 de junio de 2026, en lo relativo a la notificación de los organismos de evaluación de la conformidad, mientras que las obligaciones de notificación del artículo 14 serán exigibles desde el 11 de septiembre de 2026. De forma general, el Reglamento será aplicable a partir del 11 de diciembre de 2027, por lo que este periodo transitorio resulta clave para que los operadores económicos adapten sus productos, procesos y sistemas de cumplimiento a las nuevas exigencias europeas en materia de ciberseguridad.
Volver al índice
La autoridad italiana de protección de datos refuerza las reglas sobre píxeles de seguimiento en emails
La Autoridad Italiana de Protección de Datos ha publicado sus nuevas Directrices sobre el uso de píxeles de seguimiento en correos electrónicos, con el objetivo de reforzar la transparencia y el control de los usuarios sobre sus datos personales. El texto subraya el carácter especialmente invasivo de esta tecnología, al permitir conocer la apertura de los mensajes y recopilar información sobre el comportamiento del destinatario, y aclara que, con carácter general, su utilización exige el consentimiento previo, libre, específico e informado del usuario. Las Directrices contemplan algunas excepciones concretas —como supuestos de seguridad o necesidades técnicas estrictamente necesarias—, insisten en la obligación de ofrecer información clara y mecanismos sencillos para retirar el consentimiento, y conceden a los operadores un plazo de seis meses para adaptarse desde su publicación en el Boletín Oficial.
Volver al índice
Evaluaciones de Impacto: del análisis al cumplimiento efectivo
La reciente resolución de la AEPD frente a una entidad financiera, con una sanción de 500.000 euros vuelve a recordar la importancia del artículo 32 RGPD y la necesidad de que las medidas de seguridad respondan, de forma efectiva, al riesgo del tratamiento. En el caso analizado, el acceso a las imágenes de videovigilancia se realizaba mediante un usuario genérico compartido, lo que impedía identificar de forma individualizada quién había accedido al sistema, cuándo y con qué alcance
La resolución es especialmente relevante desde la perspectiva de las Evaluaciones de Impacto en Protección de Datos. La entidad financiera había realizado una EIPD del tratamiento de videovigilancia y en ella se contemplaban medidas relativas a la gestión de usuarios, la revisión de permisos, la restricción de accesos y el mantenimiento de registros de actividad. Sin embargo, para la AEPD, esas previsiones no se trasladaron de forma efectiva a la operativa del sistema. El criterio de la Agencia es claro: la EIPD no puede quedar reducida a un análisis documental. Cuando identifica riesgos que exigen trazabilidad, control de accesos o segregación de perfiles, esas medidas deben estar implantadas, ser verificables y poder acreditarse.
La resolución también recuerda que la existencia de un encargado del tratamiento no desplaza la responsabilidad del responsable. La externalización del servicio no elimina el deber de supervisar que las medidas exigidas contractual y normativamente se aplican en la práctica.
En definitiva, la EIPD solo cumple su función si conecta el análisis de riesgos con medidas reales de control. De lo contrario, puede volverse en contra del responsable: no como prueba de cumplimiento, sino como evidencia de que el riesgo fue identificado y no gestionado adecuadamente.
Volver al índice
CUMPLIMIENTO NORMATIVO
La UE aprueba una Directiva para reforzar la lucha contra la corrupción
El Consejo de la Unión Europea ha dado su aprobación definitiva a la nueva Directiva europea contra la corrupción, una norma que armoniza en todos los Estados miembros la definición de los principales delitos corruptos y fija un marco común de sanciones. La nueva regulación refuerza la lucha contra la corrupción tanto en el sector público como en el privado y sustituirá a los instrumentos europeos vigentes desde 1997 y 2003 en esta materia. Entre las conductas cubiertas figuran, entre otras, el cohecho en el sector público, el soborno en el privado, la malversación, el tráfico de influencias, la obstrucción a la justicia, el encubrimiento y determinadas infracciones graves vinculadas al ejercicio ilícito de funciones públicas.
La Directiva establece además niveles mínimos comunes de sanción, con penas máximas de prisión de entre tres y cinco años según el delito, y prevé también multas para las empresas de entre el 3 % y el 5 % de su volumen de negocios mundial total o de entre 24 y 40 millones de euros. Asimismo, obliga a los Estados miembros a crear organismos especializados en prevención y sensibilización y a adaptar su normativa nacional en un plazo general de 24 meses desde la entrada en vigor de la norma, que se producirá veinte días después de su publicación en el Diario Oficial de la UE; en el caso de las evaluaciones de riesgos y estrategias nacionales, el plazo de transposición será de 36 meses.
Volver al índice
El Supremo refuerza el valor del Compliance como garantía de integridad en el fútbol
El Tribunal Supremo ha aprovechado la sentencia que confirma la absolución en el denominado caso Neymar para subrayar la relevancia de los sistemas de cumplimiento en el deporte profesional. En la resolución, la Sala de lo Penal destaca expresamente que los modelos de compliance implantados en el fútbol profesional desde la temporada 2018-2019 constituyen un mecanismo eficaz para prevenir irregularidades penales y no penales, tanto dentro de los clubes como en sus relaciones con terceros. Además, la sentencia cita hasta diez resoluciones previas —entre ellas las SSTS 316/2018, 365/2018, 35/2020 y 298/2024— para reforzar la idea de que los modelos organizativos del deporte han dado “un salto cualitativo siguiendo la estela del modelo empresarial” en materia de prevención.
Más allá del caso concreto, el fallo refuerza la idea de que el compliance no es una exigencia meramente formal, sino una herramienta de prevención y autoprotección corporativa, alineada con la cultura de integridad y con la responsabilidad de las organizaciones. El Supremo subraya así que la implantación de sistemas eficaces de cumplimiento, con supervisión especializada, contribuye a reducir riesgos, poner límites a conductas irregulares y proteger a las entidades deportivas frente a actuaciones ilícitas de directivos, empleados o terceros.
Volver al índice
Más de 23.000 notificaciones de responsables del Sistema interno de información en los dos primeros meses de plazo
La Autoridad Independiente de Protección del Informante ha hecho público un balance provisional sobre las notificaciones de responsables del Sistema Interno de Información (SII) registradas entre el 10 de febrero y el 10 de abril de 2026. Según los datos difundidos, en ese periodo se contabilizaron 23.270 notificaciones, con una clara concentración en la fase final del plazo, en la que se pasó de unas 200 notificaciones diarias a cifras de entre 2.500 y 3.000 al día.
El resumen también pone de manifiesto el predominio del sector privado, que representa aproximadamente el 89 % del total, así como el peso casi absoluto de las altas iniciales, que alcanzan cerca del 98 % de las solicitudes registradas. En cuanto al modelo de responsable del sistema, la opción unipersonal es la mayoritaria, con alrededor del 75 %, mientras que la Autoridad señala además haber gestionado 1.150 consultas de soporte durante este proceso.
Volver al índice
Navarra refuerza su marco de transparencia y buen gobierno
La Ley Foral 3/2026, de 23 de marzo, ha introducido una reforma de la normativa navarra de transparencia y buen gobierno con el objetivo de reforzar la integridad institucional, facilitar el acceso a la información pública y actualizar diversas obligaciones de publicidad activa. La norma modifica tanto la Ley Foral 5/2018, de Transparencia, acceso a la información pública y buen gobierno, como la Ley Foral 7/2018, de creación de la Oficina de Buenas Prácticas y Anticorrupción, e incorpora a esta última dentro del ámbito de aplicación de la ley de transparencia en relación con su actividad administrativa. El preámbulo subraya que la reforma busca fortalecer la transparencia y la integridad democrática, reforzando además la independencia del Consejo de Transparencia de Navarra.
Entre las principales novedades, la ley clarifica los límites aplicables a las obligaciones de transparencia y al derecho de acceso a la información, precisa el tratamiento de los datos personales en este ámbito y permite presentar denuncias ante el Consejo de Transparencia por incumplimientos de publicidad activa, con derecho a una respuesta motivada y garantía de confidencialidad. Además, refuerza la publicidad de determinadas informaciones —como resoluciones de compatibilidad, listas de espera anonimizadas o el contenido de las agendas públicas—, prevé apoyo del Gobierno de Navarra a las entidades locales para cumplir sus obligaciones y asigna a la Oficina de Buenas Prácticas y Anticorrupción la gestión del Registro de Grupos de Interés.
Volver al índice
Se refuerza la respuesta penal frente a la multirreincidencia
La Ley Orgánica 1/2026, de 8 de abril, ha introducido una reforma del Código Penal y de la Ley de Enjuiciamiento Criminal en materia de multirreincidencia, con el objetivo de reforzar la respuesta penal frente a hurtos y estafas reiterados de escasa cuantía y de ajustar la regulación a las exigencias de seguridad jurídica y proporcionalidad.
Entre las principales novedades, la reforma redefine el tratamiento de la reincidencia en delitos leves cuando exista multirreincidencia, agrava determinados supuestos de hurto —incluida la sustracción de teléfonos móviles y otros dispositivos con datos personales—, revisa el régimen del delito leve de estafa y habilita a las entidades locales para ejercer la acción penal en delitos de hurto. Además, refuerza las medidas cautelares para prevenir la reiteración delictiva, permitiendo al juez acordar prohibiciones de residir o acudir a determinados lugares y, en determinados casos, la retirada provisional de contenidos ilícitos o la interrupción de servicios en entornos digitales.
Volver al índice