Derecho Digital y seguridad de la información
Cumplimiento normativo
DERECHO DIGITAL Y SEGURIDAD DE LA INFORMACIÓN
Biometría en el trabajo: la AEPD avala un uso justificado y proporcional
La Agencia Española de Protección de Datos (AEPD) ha archivado un expediente relativo al uso de huella dactilar en el entorno laboral en Litera Meat, tras concluir que el tratamiento de datos biométricos estaba debidamente justificado y cumplía con la normativa de protección de datos. En su análisis, la AEPD valoró especialmente la justificación aportada por la empresa, la proporcionalidad de la medida adoptada y la adecuada documentación del sistema implantado, en relación con los riesgos identificados.
En este caso, la empresa presentó un análisis de riesgos detallado en el que expuso los motivos que, a su juicio, hacían necesaria la implantación del sistema biométrico, destacando la necesidad de acreditar de forma fiable la identidad de los trabajadores en atención a los estrictos requisitos de control sanitario aplicables a su actividad. Asimismo, aportó una evaluación de sistemas alternativos y una justificación razonada de por qué no se consideraban equivalentes, teniendo en cuenta tanto las particularidades de los equipos utilizados por los empleados como incidencias previas detectadas con tarjetas identificativas. Además, la AEPD valoró que el sistema biométrico se hubiera implantado exclusivamente en la zona respecto de la cual se acreditó dicha necesidad específica, mientras que en las áreas de oficina —donde no concurrían las mismas exigencias— se optó por un sistema alternativo de identificación mediante tarjeta.
El Gobierno actualiza la Ley del Derecho al Honor para adaptarla al entorno digital
El Consejo de Ministros ha aprobado el Anteproyecto de Ley Orgánica de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que sustituirá a la norma vigente desde 1982 para adaptarla al entorno digital y reforzar la tutela de estos derechos fundamentales. La reforma incorpora por primera vez la consideración como intromisión ilegítima del uso de la voz o la imagen de una persona creadas o manipuladas mediante inteligencia artificial (deepfakes) sin su consentimiento, especialmente con fines publicitarios o comerciales. Asimismo, aclara que compartir imágenes personales en redes sociales no autoriza su reutilización por terceros en otros canales y actualiza la regulación del derecho de rectificación en medios digitales e influencers.
El texto refuerza la protección de los menores, fijando en 16 años la edad para prestar consentimiento respecto al uso de la propia imagen y estableciendo que, aun existiendo dicho consentimiento, se considerará intromisión ilegítima cualquier utilización que menoscabe su dignidad o reputación. Además, regula el uso de la imagen tras el fallecimiento, permitiendo prohibirlo por testamento y establece criterios objetivos para determinar las indemnizaciones por daño moral, que no podrán ser meramente simbólicas. La norma mantiene las garantías de la libertad de expresión e información, incluyendo una excepción para usos creativos, satíricos o de ficción de la IA respecto de personas con proyección pública, siempre que se identifique expresamente el empleo de esta tecnología.
Conclusiones preliminares de la Comisión Europea sobre el diseño adictivo de TikTok
La Comisión Europea ha concluido de forma preliminar que TikTok infringe el Reglamento de Servicios Digitales debido al diseño adictivo de su plataforma. Según la investigación, funcionalidades como el desplazamiento infinito, la reproducción automática, las notificaciones push y los sistemas de recomendación altamente personalizados no habrían sido evaluadas adecuadamente por la empresa en términos de riesgo para el bienestar físico y mental de los usuarios, incluidos menores y personas vulnerables. La Comisión considera que TikTok subestimó indicadores relevantes de uso compulsivo, como el tiempo de uso nocturno por parte de menores o la frecuencia de apertura de la aplicación.
Asimismo, la Comisión estima que TikTok no ha aplicado medidas de mitigación eficaces, proporcionadas y razonables para reducir los riesgos derivados de este diseño, al considerar insuficientes herramientas como la gestión del tiempo de pantalla o los controles parentales. A juicio del Ejecutivo europeo, la plataforma debería introducir cambios estructurales en su diseño, como limitar progresivamente funciones adictivas clave, incorporar pausas efectivas de uso y adaptar sus sistemas de recomendación.
Aumentan las notificaciones de brechas de datos personales ante la AEPD en 2025
La Agencia Española de Protección de Datos (AEPD) recibió en 2025 un total de 2.765 notificaciones de brechas de datos personales, cifra que refleja el elevado número de ciberincidentes y situaciones susceptibles de generar riesgos para los derechos y libertades de las personas. El 80 % de las notificaciones procedieron del sector privado y el 20 % del sector público. Conforme al artículo 33 del Reglamento General de Protección de Datos (RGPD), la notificación a la autoridad de control forma parte del principio de responsabilidad proactiva y no implica automáticamente la apertura de un procedimiento sancionador. De hecho, solo once casos fueron trasladados a investigación adicional al apreciarse indicios de falta de diligencia en la gestión o en las medidas preventivas adoptadas.
Las brechas que afectaron a un mayor número de personas estuvieron vinculadas principalmente a ataques de ransomware e intrusiones con exfiltración masiva de datos, especialmente en plataformas CRM gestionadas por encargados del tratamiento. La AEPD señala que el acceso mediante credenciales comprometidas en VPN o aplicaciones web continúa siendo una de las principales vías de entrada, destacando la autenticación en dos factores como medida preventiva clave. Además, los responsables emitieron más de 200 millones de comunicaciones a personas afectadas por existir alto riesgo, recordando la Agencia que informar adecuadamente a los interesados es tan relevante como la notificación a la autoridad y constituye un elemento esencial para acreditar una respuesta diligente. En este sentido, insiste en la necesidad de adoptar medidas preventivas —como minimización, anonimización o segmentación de datos— y de contar con planes adecuados de gestión de brechas.
El EDPB y el EDPS analizan el Reglamento “Digital Omnibus”
Se ha publicado el documento “On he Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus)”, que recoge la Opinión Conjunta 2/2026, adoptada el 10 de febrero de 2026 por el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS). La Opinión analiza la propuesta de Reglamento “Digital Omnibus”, orientada a simplificar y armonizar el marco legislativo digital de la Unión Europea. Aunque ambas autoridades respaldan el objetivo de simplificación normativa, advierten de riesgos relevantes para la protección de datos en determinadas modificaciones, especialmente en lo relativo a la redefinición del concepto de dato personal, el tratamiento de datos pseudonimizados y ciertos ajustes en los derechos de los interesados y en el uso del interés legítimo en sistemas de inteligencia artificial.
La Opinión valora positivamente algunas iniciativas —como la clarificación del tratamiento con fines de investigación científica, la introducción de plantillas comunes para notificaciones de brechas y evaluaciones de impacto, o una excepción limitada para verificación biométrica bajo control exclusivo del interesado—, pero expresa preocupaciones sobre propuestas que podrían reducir el nivel de protección o generar inseguridad jurídica. Asimismo, analiza cambios en la Directiva ePrivacy y en el denominado “Data Acquis”, subrayando la necesidad de mantener salvaguardas sólidas, reforzar la cooperación entre autoridades y preservar la coherencia del marco europeo de protección de datos.
Anteproyecto de Ley de Administración Digital e IA en la Comunidad de Madrid
La Consejería de Digitalización de la Comunidad de Madrid ha elaborado el anteproyecto de Ley de Administración Digital e Inteligencia Artificial, actualmente en revisión por el Consejo Asesor como paso previo a su tramitación parlamentaria. El texto, compuesto por 50 artículos, regula el modelo de gobierno digital, la prestación de servicios públicos electrónicos, el uso de la IA en el sector público, la seguridad de la infraestructura digital y las medidas de impulso a la inteligencia artificial, entre otros ámbitos.
CUMPLIMIENTO NORMATIVO
La AIPI habilita el formulario para comunicar el nombramiento del Responsable del Sistema Interno de Información
La Autoridad Independiente de Protección del Informante (AIPI) ha habilitado el formulario para comunicar el nombramiento y el cese del Responsable del Sistema Interno de Información (RSII). De conformidad con lo dispuesto en la Disposición Transitoria Única del Real Decreto 1101/2024, por el que se aprueba el Estatuto de la AIPI, los nombramientos y ceses realizados desde la entrada en vigor de la Ley 2/2023 deberán notificarse a esta Autoridad en un plazo de dos meses, que comenzó a computarse el 10 de febrero de 2026 y por tanto finaliza el próximo 10 de abril. A partir de la notificación inicial, cada nuevo nombramiento o cese deberá comunicarse en el plazo de diez días hábiles, indicando expresamente, en caso de cese, las razones que lo justifican.
Para realizar la notificación será necesario disponer del código CNAE de la entidad y de un certificado digital válido para la autenticación. Asimismo, durante el proceso deberá adjuntarse la documentación digitalizada correspondiente, que incluirá, en su caso, la acreditación de la representación cuando se actúe en nombre de un tercero y, tanto en supuestos de nombramiento como de cese del Responsable del Sistema Interno de Información, el documento que formalice dicha designación o extinción.
Con el fin de facilitar el cumplimiento de esta obligación, la AIPI ha facilitado una Guía, Manual práctico y Listado de preguntas frecuentes.
La Audiencia Nacional eleva el estándar de eficacia en los programas de Compliance
La Audiencia Nacional ha dictado la Sentencia nº 34/2025, de 19 de diciembre, en el procedimiento abreviado 4/2023, en el marco del denominado caso “Cofely”. La resolución analiza graves irregularidades en la contratación pública en distintos ayuntamientos, con condenas por delitos como fraude a la Administración, cohecho, prevaricación, falsedad documental y organización criminal. Desde la perspectiva de Compliance, la sentencia resulta especialmente relevante por el detallado examen de los mecanismos utilizados para alterar adjudicaciones, canalizar pagos indebidos y manipular información, evidenciando fallos estructurales de control tanto en el ámbito público como empresarial.
En relación con la responsabilidad penal de la persona jurídica conforme al artículo 31 bis del Código Penal, la Sala fija un estándar probatorio exigente: no basta con acreditar la existencia formal de códigos éticos, políticas anticorrupción o canales de denuncia. El tribunal exige demostrar la implantación y eficacia real del modelo de organización y gestión en el momento de los hechos. En el caso analizado, pese a la existencia documental de instrumentos de compliance, la Audiencia Nacional concluye que el sistema no fue eficaz, al haberse producido conductas corruptas de forma prolongada y transversal sin mecanismos internos de control eficaces.
La sentencia identifica indicadores concretos de ineficacia, como la ausencia de controles financieros sustantivos (análisis de sobrecostes o verificación real de trabajos), deficiencias en la supervisión de terceros e intermediarios y falta de evidencia de detección y reacción disciplinaria. Además, otorga un papel decisivo a la prueba pericial técnica y basada en evidencias, rechazando informes meramente teóricos. El mensaje es claro: en un proceso penal, el compliance no se presume, se prueba; y solo los programas previos, operativos y capaces de demostrar trazabilidad de control podrán excluir o atenuar la responsabilidad penal corporativa.
La Comisión Europea actualiza la lista de terceros países de alto riesgo en PBC&FT
La Comisión Europea ha actualizado en enero de 2026 el listado de terceros países de alto riesgo en materia de prevención del blanqueo de capitales y la financiación del terrorismo, en aplicación del Reglamento (UE) 2016/1675 y sus modificaciones más recientes. En el marco de esta revisión, se incorporan Bolivia y las Islas Vírgenes Británicas a la categoría de países de alto riesgo que han asumido compromisos políticos de alto nivel y han acordado un plan de acción con el Grupo de Acción Financiera Internacional (GAFI), mientras que Burkina Faso, Mali, Mozambique, Nigeria, Sudáfrica y Tanzania son retirados de dicha lista tras los avances constatados en sus sistemas de control.
Asimismo, como principal novedad estructural, se introduce una nueva categoría IV de terceros países de alto riesgo con deficiencias estratégicas, destinada a jurisdicciones cuya pertenencia al GAFI ha sido suspendida. En este contexto, la Federación de Rusia es incluida por primera vez en el anexo del Reglamento, ampliando el alcance del marco europeo de prevención y reforzando la obligación de aplicar medidas reforzadas de diligencia debida por parte de las entidades obligadas de la Unión.
CNMC multa a I.C.O.N. con 1,2 millones por fijación de precios y restricciones de venta
La Comisión Nacional de los Mercados y la Competencia (CNMC) ha impuesto una multa de 1,2 millones de euros a I.C.O.N. Europe, S. L. por restringir la competencia en el mercado de productos de peluquería profesional entre los años 2010 y 2024 (expediente S/0015/23). El organismo sancionador considera acreditado que la empresa fijó precios de reventa en todo el territorio nacional, imponiendo precios obligatorios, limitando descuentos y prohibiendo la venta en marketplaces como Amazon, todo ello mediante un sistema de control, vigilancia y represalias frente a los distribuidores incumplidores.
Según la CNMC, esta estrategia tuvo como objetivo eliminar la competencia entre distribuidores de la misma marca, dando lugar a precios uniformes y elevados en perjuicio de los consumidores y limitando el desarrollo de canales de distribución más eficientes. La resolución constata además la venta directa en Amazon a través de una sociedad interpuesta, pese a la prohibición impuesta a su red, así como la coordinación de respuestas entre distribuidores ante los requerimientos de información de la CNMC. Además de la multa, se impone a la empresa la prohibición de contratar con el sector público durante cinco meses para el suministro de productos de cuidado capilar.
ISO 37009:2025, nuevo marco internacional para la gestión de conflictos de interés
La reciente publicación de la ISO 37009:2025 marca un hito en materia de buen gobierno corporativo al ofrecer un marco internacional específico para la gestión de los conflictos de interés. La norma, alineada con estándares como ISO 37001 e ISO 37301, establece cuatro principios rectores —integridad, confianza, transparencia y rendición de cuentas— y propone un enfoque estructurado basado en la identificación, evaluación, gestión y monitorización continua de los conflictos. Además, distingue entre conflictos reales, potenciales y aparentes, ampliando su alcance tanto a situaciones personales como organizacionales.
Aunque no es certificable, la ISO 37009 se consolida como una guía técnica de referencia para reforzar la objetividad en la toma de decisiones y proteger la confianza de los grupos de interés. El estándar enfatiza la necesidad de políticas claras, registros documentados, mecanismos de abstención y recusación, formación periódica y una cultura organizativa que normalice la declaración temprana de conflictos. Más allá de prevenir conductas irregulares, la norma contribuye a fortalecer la gobernanza y la rendición de cuentas, integrándose de forma natural en los sistemas globales de cumplimiento y gestión de riesgos.
Índice de Percepción de la Corrupción 2025: retroceso global
Se ha publicado recientemente el Índice de Percepción de la Corrupción 2025, elaborado por Transparency International, uno de los indicadores de referencia para medir la percepción de la corrupción en el sector público a escala global. El informe analiza 182 países y territorios en una escala de 0 a 100 (donde 0 indica alta percepción de corrupción y 100 muy baja), y refleja un retroceso generalizado: la media mundial desciende hasta los 42 puntos, el nivel más bajo registrado, con más de dos tercios de los países por debajo de 50, lo que evidencia niveles preocupantes de percepción de corrupción. Solo 31 países han logrado mejoras sostenidas desde 2012, mientras que la mayoría se mantiene estancada o ha empeorado, incluidos algunos Estados tradicionalmente bien valorados.
El informe insiste en que la lucha eficaz contra la corrupción exige instituciones sólidas, liderazgo político real, mecanismos efectivos de rendición de cuentas, libertades civiles amplias y una sociedad civil activa, subrayando la necesidad de reforzar estos elementos para recuperar la integridad pública. En este contexto, España obtiene 55 puntos sobre 100, lo que supone una caída de un punto respecto al año anterior. Aunque el informe reconoce la adopción de planes nacionales anticorrupción para abordar las lagunas detectadas, advierte de que su eficacia dependerá de una implementación ambiciosa, adecuadamente financiada y sometida a una supervisión rigurosa.
La Autoridad Independiente de Protección del Informante (AIPI) ha publicado recientemente tres recomendaciones no vinculantes dirigidas a clarificar dudas habituales y a ofrecer criterios prácticos para el diseño y funcionamiento de los Sistemas Internos de Información, tanto en el ámbito privado como público:
Desde ARPA Abogados Consultores hemos elaborado una circular práctica en la que analizamos los aspectos clave de la Recomendación 1/2026, en el marco de la Ley 2/2023, junto con un checklist básico para verificar la correcta implantación del sistema. Puedes descargártelo pinchando aquí.
Seguiremos informando puntualmente de las principales novedades de la AIPI, incluida la futura habilitación del formulario para la notificación del nombramiento y cese del Responsable del Sistema Interno de Información (RSII).
Nuestro equipo queda a disposición para resolver cualquier duda o revisar la adecuación de su Sistema Interno de Información conforme a los criterios actuales.