Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.
Volver a las noticias

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2025

Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

Charlas, eventos y novedades

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

 

Ya están en vigor las Prácticas de IA prohibidas y la Obligación de Alfabetización del Reglamento de Inteligencia Artificial. 

Este 2 de febrero entraron en vigor importantes obligaciones del Reglamento Europeo de Inteligencia Artificial (RIA), entre ellas las siguientes: 

Por un lado, las prácticas de IA prohibidas recogidas en el artículo 5, como por ejemplo la evaluación o clasificación basada en comportamiento o características personales, Inferencia de emociones en entornos laborales o clasificación biométrica para deducir características sensibles, como por ejemplo opiniones políticas o afiliación sindical.  

Por otro lado, la alfabetización en materia de IA regulada en el artículo 4. En este sentido, los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas. 

 

Volver al índice

 

Novedades legislativas en IA 

La Comisión Europea continúa desarrollando el marco regulador de la Inteligencia Artificial (IA) con nuevas directrices que buscan facilitar la aplicación del Reglamento de IA (AI Act).  

Recientemente, La Comisión Europea ha aprobado el borrador de las Directrices sobre la definición de sistema de IA con el objetivo de ayudar a los proveedores y demás partes interesadas a determinar si un software constituye un sistema de IA para facilitar la aplicación efectiva de las normas. Junto con la definición de sistemas de IA, la Comisión también ha publicado las Directrices sobre prácticas prohibidas de IA. Estas directrices buscan garantizar la aplicación uniforme del Reglamento de IA en toda la UE y establecen que ciertas prácticas son inaceptables debido a sus riesgos para los valores europeos y los derechos fundamentales. Entre las prácticas prohibidas se encuentran la manipulación dañina, la puntuación social y la identificación biométrica remota en tiempo real, entre otras. 

Por otro lado, cabe reseñar que la Comisión ha decidido retirar la propuesta de Directiva sobre responsabilidad en materia de IA, que buscaba establecer un marco legal para la compensación en casos de daños causados por sistemas de IA, lo que plantea interrogantes sobre el enfoque regulador en este ámbito. 

Volver al índice

 

 

Nueva regulación de llamadas comerciales | Lista Stop Publicidad: Una alternativa para evitar el spam comercial 

Se ha publicado recientemente la Orden TDF/149/2025, de 12 de febrero, por la que se establecen medidas para combatir las estafas de suplantación de identidad a través de llamada telefónicas y mensajes de texto fraudulentos y para garantizar la identificación de la numeración utilizada para la prestación de servicios de atención al cliente y realización de llamadas comerciales no solicitadas. 

Para contrarrestar estos fraudes, la orden impone a los operadores de telecomunicaciones la obligación de bloquear llamadas y mensajes con identificadores manipulados o procedentes de números no asignados. Además, la orden prohíbe a las empresas el uso de numeración móvil para llamadas comerciales y atención al cliente, promoviendo en su lugar la utilización de numeración gratuita 800 y 900, y se endurecerán las sanciones para las empresas que incumplan la normativa. 

Por otro lado, indicar que desde el 31 de enero, la Lista Stop Publicidad ofrece una nueva opción para quienes desean evitar la publicidad no deseada. Esta plataforma, respaldada por la Agencia Española de Protección de Datos (AEPD), permite a los usuarios inscribir sus datos para bloquear llamadas, mensajes, correos electrónicos y publicidad en redes sociales y aplicaciones de mensajería. 

Impulsada por la Asociación Española para la Privacidad Digital, cuya misión es la defensa, información y educación en materia de protección de datos personales y derechos digitales, Stop Publicidad es una lista de exclusión publicitaria voluntaria regulada por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.  A diferencia de la tradicional Lista Robinson, que ha sido referente en España durante más de 15 años para limitar llamadas comerciales, Stop Publicidad amplía su alcance y permite la inscripción de personas fallecidas, evitando que sus datos sean utilizados con fines comerciales. Las empresas están obligadas a verificar el registro antes de enviar publicidad, enfrentándose a posibles sanciones en caso de incumplimiento. 

 

Volver al índice

 

El CNIL publicita la versión final de la guía Evaluación de Impacto de las Transferencias (TIA) 

Con el objetivo de apoyar a las organizaciones que transfieren datos personales fuera del Espacio Económico Europeo (EEE), la Comisión Nacional de la Informática y las Libertades (CNIL), ha publicado la versión final de su guía sobre la Evaluación de Impacto de la Transferencia (TIA). Esta guía surge como resultado de una consulta pública y busca proporcionar un marco metodológico claro y estructurado para garantizar la protección adecuada de los datos personales en el contexto de transferencias internacionales.  

En este sentido, la guía TIA de CNIL se alinea con las recomendaciones del Comité Europeo de Protección de Datos (CEPD), proporciona orientaciones sobre los pasos a seguir para evaluar la adecuación de la protección de los datos en los países de destino, ofreciendo una metodología flexible que permite a las organizaciones adaptar su análisis a sus necesidades específicas. 

 

Volver al índice

 

 

Videovigilancia en el trabajo:  Sentencia de unificación de doctrina por el Tribunal Supremo. 

El Tribunal Supremo, en su sentencia 149/2025 de 14 de enero, ha unificado doctrina en relación con el suministro de información a los trabajadores sobre la instalación de sistemas de videovigilancia con fines de control laboral. La sentencia establece que la utilización de imágenes captadas por cámaras visibles y previamente informadas a los representantes de los trabajadores es una medida válida para comprobar la comisión de infracciones laborales. 

En el caso en cuestión el visionado de las imágenes permitió constatar la irregularidad de la conducta de la trabajadora, lo que sirvió como prueba determinante en el procedimiento. La sentencia subraya que las cámaras estaban ubicadas en zonas de trabajo y no en espacios de descanso, además de haber sido instaladas con conocimiento de los empleados y sus representantes. 

El Tribunal ratifica la jurisprudencia mencionando la “STC 119/2022, de 29 de septiembre, en lo que se refiere a la instalación de sistemas de videovigilancia y la utilización de las imágenes para fines de control laboral: «el tratamiento de esos datos no exige el consentimiento expreso del trabajador, porque se entiende implícito por la mera relación contractual. Pero, en todo caso, subsiste el deber de información del empresario, como garantía ineludible del citado derecho fundamental.” Además, subraya que, en casos de flagrante conducta ilícita, el deber de información puede considerarse cumplido si existen distintivos visibles que adviertan de la videovigilancia. 

Finalmente, la sentencia valora la medida de videovigilancia conforme a los principios de justificación, idoneidad, necesidad y proporcionalidad. En este caso, la instalación de cámaras estaba justificada por la existencia de sospechas previas, resultó idónea para confirmar la infracción, era necesaria al no existir una alternativa menos invasiva, y fue proporcionada en relación con la gravedad de la conducta detectada.  

 

Volver al índice

 

 

 

La guía de la Unión Europa para el despliegue del Reglamento de Gobernanza de Datos 

Hace un año entró en vigor el Reglamento de Gobernanza de Datos (DGA), cuyo objetivo es fomentar un ecosistema de datos que impulse la transformación digital de los Estado miembros, garantizando un equilibro entre acceso, reutilización y protección de la información. En este contexto, La Comisión Europa ha publicado recientemente la Guía práctica de la Ley de Gobernanza de Datos para ayudar a las partes interesadas a aplicar Ley de Gobernanza de Datos. 

Esta Guía recuerda los objetivos esenciales de la DGA: 

    • Regular la reutilización de determinados datos de titularidad pública sujetos a los derechos de terceros («datos protegidos», como los datos personales o los datos comerciales confidenciales o susceptibles de propiedad intelectual). 
    • Impulsar el intercambio de datos mediante la regulación de los proveedores de servicios de intermediación de datos. 
    • Fomentar el intercambio de datos con fines altruistas. 
    • Crear el Comité Europeo de Innovación en materia de datos para facilitar el intercambio de mejores prácticas. 

 

Volver al índice

 

 

Verificación de edad en servicios online: Principios clave del CEPD 

El Comité Europeo de Protección de Datos (CEPD) ha adoptado recientemente en reunión plenaria un Dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos. Estas directrices han sido impulsadas por la Agencia Española de Protección de Datos (AEPD) y recogen diez principios clave para el cumplimiento de la normativa de protección de datos a la hora de acceder a servicios online que tengan restricciones de acceso en función de la edad. 

Entre los principios recogidos, se establece que las herramientas de verificación de edad no deben operar de forma aislada, sino dentro de un marco de protección de derechos y libertades. Se enfatiza la prevención de riesgos y la minimización de datos, evitando que estos sistemas sean utilizados para la identificación, localización o seguimiento digital de los usuarios. Además, se subraya la necesidad de que los mecanismos implementados respeten los principios de licitud, lealtad y transparencia, y que no den lugar a decisiones automatizadas sin las debidas garantías del RGPD. 

Por último, el Dictamen resalta la importancia de aplicar medidas de seguridad que prevengan brechas de datos y protejan la privacidad de los usuarios. También señala la necesidad de establecer métodos de gobernanza en el ecosistema digital para asegurar el cumplimiento normativo. Con estas directrices, el CEPD busca reforzar la protección de los menores en el entorno digital sin menoscabar sus derechos. 

 

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

 

España desciende en el Índice de Percepción de la Corrupción 2024 

Se ha publicado recientemente El Índice de Percepción de la Corrupción (IPC) de 2024. El IPC es una herramienta elaborada anualmente por Transparencia Internacional que evalúa la percepción de la corrupción en el sector público de 180 países y territorios. Utilizando una escala de 0 a 100, donde 0 indica un nivel muy alto de corrupción y 100 representa una ausencia total de la misma, el IPC se ha consolidado como un referente global desde su creación en 1995. Este índice se basa en datos recopilados de diversas fuentes expertas, incluyendo instituciones como el Banco Mundial y el Foro Económico Mundial. 

En la edición de 2024, España ha experimentado un notable descenso en su puntuación, obteniendo 56 puntos sobre 100, lo que supone una caída de cuatro puntos respecto al año anterior. Esta disminución ha llevado al país a situarse en la posición 46 de 180 en el ranking global, compartiendo lugar con Chipre, República Checa y Granada. Según Transparencia Internacional, este retroceso se atribuye a un estancamiento en las reformas anticorrupción a nivel nacional y al desmantelamiento de estructuras dedicadas a combatir la corrupción en algunas comunidades autónomas. 

 

Volver al índice

 

 

Principio non bis in idem en el contexto de la responsabilidad penal en sociedades unipersonales 

La sentencia del Tribunal Supremo (STS 1073/2024) aborda el principio non bis in idem en el contexto de la responsabilidad penal del administrador y la persona jurídica en sociedades unipersonales. En el caso en cuestión, se planteaba si era viable imponer una doble penalidad tanto al administrador único de una sociedad unipersonal como a la propia entidad por los mismos hechos delictivos. La Sala concluyó que esta dualidad sancionadora resultaría contraria a dicho principio, dado que la sanción a la persona jurídica recaería materialmente en la misma persona física ya condenada, generando una duplicidad punitiva injustificada. 

El Tribunal Supremo sostuvo que, en estos casos, opera el principio de consunción, modulando las cuantías de las multas o incluso excluyendo la responsabilidad penal de la sociedad. La sentencia enfatiza que la responsabilidad penal de las personas jurídicas se justifica en la ausencia de mecanismos de control interno, pero cuando el único socio y administrador es la misma persona que comete el delito, no tiene sentido sancionar a la empresa por la falta de medidas que solo él podía implementar. Se trata de evitar una doble penalidad que, en realidad, termina siendo soportada exclusivamente por el mismo individuo. 

Asimismo, la sentencia extiende esta doctrina a estructuras empresariales familiares, donde el vínculo entre la persona física y la jurídica es tan estrecho que aplicar sanciones a ambas resultaría redundante. Este razonamiento se alinea con la jurisprudencia del Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos, que han establecido límites a la doble sanción penal cuando no hay una efectiva alteridad entre los sujetos sancionados. 

Por otro lado, el voto particular formulado en esta sentencia expresa una opinión discrepante, sugiriendo que la exclusión automática de la responsabilidad de la persona jurídica puede abrir espacios de impunidad y debilitar la efectividad del régimen de responsabilidad penal corporativa. Según esta postura, aunque la persona jurídica y su administrador coincidan, no deberían descartarse de manera generalizada las sanciones a la empresa, pues ello podría incentivar el uso de sociedades unipersonales como escudo frente a las consecuencias penales. Esta visión resalta la necesidad de ponderar caso por caso la estructura y operativa de la sociedad para evitar vacíos de responsabilidad. 

 

Volver al índice

 

 

Banca March sancionada con una multa de 605.000 euros por incumplimientos en normativa de prevención de blanqueo 

Banca March ha sido sancionada con una multa de 605.000 euros por incumplir la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (PBCFT). Este caso destaca la importancia de que los sujetos obligados implementen procedimientos efectivos para detectar y prevenir riesgos, realicen auditorías externas anuales y refuercen sus controles internos para evitar sanciones y daños a su reputación. 

El SEPBLAC es el organismo encargado de supervisar a los sujetos obligados, pero las sanciones las impone la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. Para cumplir con la normativa y reducir riesgos, los sujetos obligados deben contar con sistema sólidos de prevención de blanqueo de capitales, así como con auditorías externas. Todo ello garantiza transparencia, cumplimiento normativo, protección reputacional y una mejor supervisión de clientes y operaciones. 

 

 
Volver al índice
 

 

CHARLAS, EVENTOS Y NOVEDADES

 

 

Foro Compliance y buenas prácticas en la industria Pharma

El jueves 20 de febrero tendrá lugar el ‘Foro Compliance y buenas prácticas en la industria Pharma’. Se celebrará una mesa redonda, moderada por Jorge Arellano, asociado y responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, en la que participarán:  

  
El encuentro se celebrará en la sede de Diario de Navarra en la calle Zapatería de Pamplona y será presentado por Belén Galindo (responsable de comunicación del Grupo La Información) y Miguel Lecumberri (responsable del equipo de Pharma & Healthcare de ARPA Abogados Consultores). 

 

Volver al índice

 

Obligaciones del Reglamento de IA para los sectores empresariales

El próximo 26 de febrero, Álvaro Abáigar socio- director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores, impartirá una jornada informativa sobre las obligaciones del Reglamento de IA para los sectores empresariales realizada por ATANA. En concreto, abordará mediante una sesión formativa la regulación de la IA y su aplicación para las entidades. 

 

 
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X