Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Autoridad Independiente de Protección del Informante

La AIPI lanza recomendaciones prácticas sobre Sistemas Internos de Información

Publicado el 21-01-2026


La Autoridad Independiente de Protección del Informante (AIPI) ha publicado recientemente tres recomendaciones no vinculantes dirigidas a clarificar dudas habituales y a ofrecer criterios prácticos para el diseño y funcionamiento de los Sistemas Internos de Información, tanto en el ámbito privado como público:

 

 

Desde ARPA Abogados Consultores hemos elaborado una circular práctica en la que analizamos los aspectos clave de la Recomendación 1/2026, en el marco de la Ley 2/2023, junto con un checklist básico para verificar la correcta implantación del sistema. Puedes descargártelo pinchando aquí.

Seguiremos informando puntualmente de las principales novedades de la AIPI, incluida la futura habilitación del formulario para la notificación del nombramiento y cese del Responsable del Sistema Interno de Información (RSII).

Nuestro equipo queda a disposición para resolver cualquier duda o revisar la adecuación de su Sistema Interno de Información conforme a los criterios actuales.

 

Publicado en Cumplimiento Normativo | Etiquetado como , , , , , , , , Comentarios desactivados en La AIPI lanza recomendaciones prácticas sobre Sistemas Internos de Información

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1- 2026

Publicado el 18-01-2026
Derecho Digital y seguridad de la información

 

Cumplimiento normativo

 

 

 

DERECHO DIGITAL Y SEGURIDAD DE LA INFORMACIÓN

 

 

Nuevas guías de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) para facilitar el cumplimiento del Reglamento Europeo de IA.  

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado un conjunto de 16 guías prácticas y un compendio de checklists con el objetivo de facilitar la implementación y el cumplimiento del Reglamento de Inteligencia Artificial de la Unión Europea (RIA). Estos documentos están dirigidos a proveedores y responsables de sistemas de IA, y ofrecen orientación operativa para adaptarse a las nuevas obligaciones regulatorias, sirviendo como apoyo práctico en un contexto normativo todavía en desarrollo. 

Las guías, elaboradas en el marco del sandbox regulatorio español de IA, no tienen carácter vinculante, pero sí aportan recomendaciones alineadas con los requisitos del RIA. Su publicación se realiza sin perjuicio de las guías técnicas que prepara la Comisión Europea, a las que pretenden contribuir como base de trabajo. Los documentos se estructuran en guías introductorias, técnicas, un manual de uso de checklists y un compendio de ejemplos, y estarán sujetos a revisión y actualización continua conforme evolucionen los estándares europeos y se aprueben futuras modificaciones normativas, como el Ómnibus digital. 

 

Volver al índice

 

 

 

Publicado el Anteproyecto de Real Decreto para aplicar el Reglamento de Ciberresiliencia en España. 

El Gobierno español ha publicado el Anteproyecto de Real Decreto para designar las autoridades competentes en relación con los productos con elementos digitales, en cumplimiento del Reglamento (UE) 2024/2847 de Ciberresiliencia (CRA), estableciendo el marco institucional y los mecanismos de coordinación necesarios para su implementación en España. La norma refuerza la cooperación a nivel nacional y europeo, contempla medidas de apoyo dirigidas a pymes y startups y mantiene las obligaciones ya previstas para los operadores por la normativa europea, abriendo un plazo para presentar alegaciones hasta el 23 de enero de 2026. 

  

 

Volver al índice

 

 

La nueva Ley de Atención a la Clientela frena las llamadas spam y refuerza los derechos de los consumidores.  

El Congreso de los Diputados ha aprobado la Ley de Servicios de Atención a la Clientela, la primera norma en España que regula de forma integral la relación entre las empresas y las personas consumidoras en los servicios de atención al cliente. Entre sus medidas más relevantes destaca el control de las comunicaciones comerciales no consentidas, al imponer la identificación obligatoria de las llamadas comerciales, el bloqueo automático de aquellas realizadas sin consentimiento válido y la nulidad de los contratos celebrados mediante llamadas no autorizadas. 

La ley introduce, además, límites al uso de datos personales con fines comerciales, al establecer que el consentimiento para recibir llamadas que puedan dar lugar a una contratación debe haberse obtenido o renovado de forma expresa en los dos años anteriores a la comunicación, entendiéndose que no existe consentimiento válido en caso contrario. Asimismo, exige una mayor transparencia en el uso de algoritmos para la personalización de precios y publicidad, prohibiendo la utilización de parámetros discriminatorios o abusivos. 

 

 

Volver al índice

 

 

La UE avanza en la aplicación del AI Act con un Código de Buenas prácticas sobre marcado y etiquetado de contenidos generados por IA. 

La Unión Europea ha publicado el primer borrador del Código de Buenas Prácticas sobre marcado y etiquetado de contenidos generados por IA, un instrumento clave para la aplicación del Reglamento de Inteligencia Artificial. El documento establece orientaciones para identificar y etiquetar de forma fiable contenidos creados o manipulados mediante IA —como imágenes, vídeos, audios o textos— con el fin de facilitar su detección y reducir los riesgos de engaño, desinformación o manipulación de la opinión pública. 

El borrador, elaborado mediante un proceso participativo que ha involucrado a industria, academia, sociedad civil y Estados miembros, propone medidas como el uso de un icono común europeo para señalar contenidos sintéticos y la adopción de mecanismos de marcado legibles por máquina, interoperables y detectables. El texto se somete ahora a un periodo de comentarios públicos hasta el 23 de enero y aspira a convertirse en una herramienta de referencia para que proveedores y usuarios de sistemas de IA generativa demuestren el cumplimiento de las obligaciones de transparencia previstas en el AI Act. 

 

Volver al índice

 

 

La AEPD advierte sobre los riesgos visibles e invisibles del uso de imágenes de terceros en sistemas de IA. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía informativa en la que alerta sobre los riesgos asociados al uso de imágenes de terceros en sistemas de inteligencia artificial, incluso en contextos aparentemente triviales o lúdicos. La Agencia subraya que toda imagen o vídeo en los que una persona sea identificable constituye un dato personal y que, por tanto, su tratamiento queda sujeto a la normativa de protección de datos. El documento analiza los impactos visibles derivados de la generación y difusión de estos contenidos, prestando especial atención a supuestos de alto riesgo como la sexualización de imágenes, la creación de contenidos íntimos sintéticos, la atribución de hechos no reales con efectos reputacionales, la descontextualización de imágenes o la afectación a menores de edad y personas especialmente vulnerables. 

La guía aborda asimismo los riesgos menos evidentes que pueden producirse por el mero hecho de subir imágenes o vídeos a sistemas de IA, como la pérdida efectiva de control sobre la propia imagen, la retención de copias no visibles, la generación de metadatos o la reutilización persistente de rasgos personales. La AEPD destaca que estos tratamientos pueden afectar no solo a la protección de datos personales, sino también a otros derechos fundamentales como el honor, la intimidad o la propia imagen, y recuerda que, en determinados supuestos, pueden resultar aplicables otras normas del ordenamiento jurídico, incluido el ámbito penal. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

Recomendaciones de la Autoridad Independiente de Protección del Informante sobre el Sistema Interno de Información 

 La Autoridad Independiente de Protección del Informante (AIPI) ha publicado tres recomendaciones orientadas a aclarar criterios y resolver dudas frecuentes sobre el diseño, la gestión y la implementación del Sistema Interno de Información (SII). Se trata de documentos de carácter interpretativo y práctico, concebidos para apoyar el cumplimiento de la normativa de protección de las personas informantes y favorecer una aplicación coherente y eficaz de los sistemas internos de información. 

Las recomendaciones incluyen tanto orientaciones de alcance general —como la Recomendación 1/2026, relativa al diseño e implementación del SII— como guías específicas dirigidas a determinados colectivos, entre ellas la Recomendación 1/2025/v2 para partidos políticos y la Recomendación 2/2026 para la Administración Local. La AIPI destaca que estos textos tienen vocación evolutiva y podrán ser actualizados a medida que se consoliden nuevos criterios interpretativos derivados de la experiencia práctica y de las consultas recibidas. 

 

 

Volver al índice

 

 

La CNMC abre consulta pública para actualizar la Guía de programas de cumplimiento en competencia 

 La Comisión Nacional de los Mercados y la Competencia (CNMC) ha abierto una consulta pública para actualizar la Guía de programas de cumplimiento en relación con la defensa de la competencia, publicada en junio de 2020. Desde su aprobación, la Guía se ha consolidado como un referente para las empresas españolas en la implantación de programas de compliance en materia de competencia, promoviendo una cultura de cumplimiento efectivo basada en criterios como la implicación de la alta dirección, la formación, los canales de denuncia, la gestión de riesgos y los sistemas disciplinarios.  

No obstante, los cambios normativos, jurisprudenciales, tecnológicos y empresariales producidos desde 2020 hacen aconsejable su revisión. Entre ellos destacan la implementación de la Directiva ECN+, las modificaciones introducidas en la Ley 15/2007 de Defensa de la Competencia, la entrada en vigor de la Ley 2/2023 de Protección del Informante, la experiencia práctica acumulada por la CNMC y los nuevos riesgos y oportunidades derivados de la digitalización y el uso de la inteligencia artificial. La consulta, abierta a empresas, asociaciones y expertos, busca recabar aportaciones para lograr una guía actualizada y alineada con la realidad actual del compliance en materia de competencia. 

 

 

Volver al índice

 

 

Nueva Directiva de la UE para reforzar la lucha contra la corrupción 

 El Consejo de la Unión Europea y el Parlamento Europeo han alcanzado un acuerdo provisional sobre una nueva Directiva destinada a reforzar la lucha contra la corrupción en la Unión Europea. El texto establece normas mínimas comunes para la definición de las infracciones de corrupción y las sanciones aplicables en todos los Estados miembros, con el objetivo de armonizar los marcos penales nacionales y mejorar la eficacia de las investigaciones y del enjuiciamiento. Entre las conductas que deberán tipificarse de forma uniforme figuran, entre otras, el cohecho público y privado, la malversación y apropiación indebida, el tráfico de influencias, la obstrucción a la justicia, el enriquecimiento por infracciones de corrupción, encubrimiento y determinadas violaciones graves del ejercicio ilícito de un cargo público. 

La Directiva también eleva el nivel de las sanciones, fijando penas máximas de prisión de al menos cinco años para determinadas infracciones y contemplando sanciones adicionales como multas, inhabilitación para ejercer cargos públicos o la exclusión del acceso a financiación y licitaciones públicas. Asimismo, introduce un régimen específico de responsabilidad para las personas jurídicas, con multas que podrán alcanzar entre el 3 % y el 5 % del volumen de negocios mundial total o importes comprendidos entre al menos 24 y 40 millones de euros, según la infracción. Junto a las medidas represivas, el acuerdo refuerza la vertiente preventiva, obligando a los Estados miembros a promover la transparencia, crear organismos anticorrupción independientes, evaluar periódicamente los riesgos y garantizar la protección de los denunciantes. El acuerdo deberá ahora ser confirmado formalmente por ambas instituciones antes de su adopción definitiva. 

 

 

Volver al índice

 

 

ISO avanza en un estándar de compliance adaptado a micro y pymes 

 El comité técnico ISO/TC 309 ha iniciado la tramitación del Preliminary Work Item ISO 37305, un proyecto normativo dirigido a micro, pequeñas y medianas empresas que busca facilitar la implantación gradual y flexible de sistemas de gestión de compliance. Inspirado en estándares como ISO 14005 e ISO 50005, el enfoque permite a las pymes avanzar desde distintos niveles de madurez organizativa, priorizar los riesgos críticos y desarrollar progresivamente un sistema de compliance completo. Si finalmente se aprueba, ISO 37305 se convertiría en el primer referente internacional concebido específicamente para apoyar la implantación del compliance en pymes, contribuyendo a reducir riesgos legales y reputacionales, fortalecer la cultura ética y mejorar su competitividad y credibilidad en entornos regulatorios cada vez más exigentes.

 

Volver al índice

 

 

Primer precedente sancionador por represalias contra alertadores de la Oficina Antifraude de Cataluña 

La Oficina Antifraude de Cataluña (OAC) ha impuesto por primera vez una sanción a una empresa pública por adoptar represalias contra una persona alertadora que había denunciado posibles irregularidades internas, en aplicación de la Ley 2/2023 de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.  El caso se originó tras la apertura de un procedimiento disciplinario contra una trabajadora que había puesto en conocimiento de la organización presuntas irregularidades en materia de contratación y gestión interna. Un juzgado de lo social anuló la sanción al considerar acreditado su carácter represivo, criterio que fue posteriormente confirmado por el Tribunal Superior de Justicia de Cataluña. 

A la vista de estas resoluciones judiciales, la OAC calificó los hechos como una infracción muy grave y acordó inicialmente una multa de 800.000 euros, que finalmente quedó fijada en 600.000 euros, junto con una amonestación pública. La entidad sancionada ha anunciado que recurrirá la decisión al considerar la sanción improcedente y desproporcionada, alegando, entre otros motivos, la inexistencia de represalias y una supuesta aplicación retroactiva de la normativa. La resolución constituye un precedente relevante en la aplicación del régimen sancionador en materia de protección de alertadores y refuerza el mensaje de que cualquier actuación represiva frente a denuncias formuladas de buena fe será objeto de una respuesta firme por parte de las autoridades competentes. 

 

 

Volver al índice

 

 

El Sepblac publica su Memoria de Actividades  

 El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (Sepblac) ha publicado su Memoria de Actividades 2024, que ofrece una visión detallada de la institución, sus principales funciones, su estructura organizativa y el marco normativo en el que desarrolla su labor. El informe confirma, además, un notable aumento del fraude financiero —especialmente el vinculado al cibercrimen —, junto con un refuerzo de la supervisión, la cooperación internacional y los mecanismos de análisis y reporte. Todo ello se enmarca en un año clave de adaptación al nuevo paquete normativo europeo contra el blanqueo y a la Autoridad Europea de Lucha contra el Blanqueo (AMLA). 

 

 

Volver al índice

 

 

 

Publicado en Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1- 2026

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Publicado el 07-11-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

CUMPLIMIENTO NORMATIVO

 

La AIPI actualiza su web y habilita su canal externo de información  

La Autoridad Independiente de Protección del Informante (AIPI) ha habilitado en su página web el canal externo de información, a través del cual cualquier persona física puede comunicar acciones u omisiones incluidas en el ámbito de aplicación de la Ley 2/2023, ya sea directamente o tras haber acudido previamente al canal interno correspondiente. La AIPI recuerda que el canal interno de información, gestionado por el propio organismo o empresa, es el cauce preferente para presentar informaciones, aunque el canal externo se mantiene disponible para aquellos casos en los que el informante tema represalias o considere que su comunicación no será atendida adecuadamente. 

Asimismo, la AIPI ha incorporado en su página web un apartado específico relativo al Responsable del Sistema de Información. Aunque todavía no es posible registrarse, la Autoridad ha precisado que el plazo de dos meses para comunicar el nombramiento del Responsable del Sistema interno de información, comenzará a computarse una vez se publique en su portal el formulario específico de notificación. Por otro lado, cabe destacar que la web de la AIPI adelanta la puesta en marcha de una nueva función consistente en el desarrollo de un sistema de inspección de canales de información, cuyo objetivo será verificar que cumplen con lo establecido en la Ley 2/2023. Esta función se concretará mediante la próxima aprobación de una circular específica. 

 

Volver al índice

 

El Tribunal Constitucional amplía la protección frente a las represalias laborales 

La Sentencia del Tribunal Constitucional 148/2025, de 23 de octubre, reconoce que las represalias empresariales contra un trabajador que presenta una reclamación ante el Comité de Empresa pueden vulnerar la garantía de indemnidad, como manifestación del derecho a la tutela judicial efectiva (art. 24.1 CE). En el caso analizado, un trabajador fue despedido tras trasladar al Comité de Empresa una queja por la modificación de su cuadrante de guardias. Aunque en primera instancia se declaró la nulidad del despido, el Tribunal Superior de Justicia lo calificó de improcedente, al considerar que la actuación del trabajador no estaba amparada por dicha garantía al no tratarse de una reclamación judicial o administrativa formal. 

El Tribunal Constitucional corrige este criterio y amplía la interpretación de la garantía de indemnidad, estableciendo que también quedan amparadas por el derecho a la tutela judicial efectiva las reclamaciones efectuadas ante la representación legal de los trabajadores cuando constituyen un medio legítimo de defensa de los derechos laborales o un mecanismo de resolución extrajudicial de conflictos. En consecuencia, el Tribunal considera que el despido constituyó una represalia directa contra el ejercicio legítimo del derecho de defensa del trabajador, por lo que declara la nulidad del despido y restablece la protección frente a cualquier acto empresarial que pretenda castigar o disuadir la comunicación de conflictos laborales a los órganos de representación de los trabajadores. 

 

Volver al índice

 

Responsabilidad penal de la persona jurídica: el Supremo refuerza la exigencia de prueba del defecto organizativo 

 La reciente jurisprudencia del Tribunal Supremo reafirma una interpretación restrictiva y garantista del artículo 31 bis del Código Penal, al subrayar que la responsabilidad penal de las personas jurídicas no puede derivarse automáticamente de la comisión del delito por una persona física.  

En este sentido, la STS 768/2025, de 25 de septiembre, constituye un ejemplo paradigmático de esta línea doctrinal, al absolver a la mercantil pese a la condena de su administradora por un delito continuado de estafa. El Alto Tribunal concluye que “no basta para condenar a la persona jurídica acreditar el delito de la persona física; ningún defecto organizativo se alega ni se acredita”, reforzando así la idea de que la culpabilidad corporativa exige la existencia acreditada de un defecto estructural en los mecanismos de control, vigilancia o supervisión, rechazando cualquier tipo de responsabilidad objetiva o vicaria. En coherencia con su doctrina consolidada desde la STS 154/2016, y reiterada en las STS 668/2017 y 949/2022, el Tribunal insiste en que “la responsabilidad de la persona jurídica no es objetiva ni vicaria, sino que debe fundarse en la existencia de un incumplimiento grave de los deberes de supervisión”, enfatizando la obligación del Ministerio Fiscal de acreditar positivamente ese incumplimiento. 

En la misma línea, la STS 836/2025, de 14 de octubre, precisa que la persona jurídica solo puede ser condenada cuando el delito cometido por la persona física haya sido posible “por la ausencia de una cultura de respeto al Derecho, manifestada en formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados”. En consecuencia, advierte que “la persona jurídica no es responsable penalmente de todos y cada uno de los delitos cometidos en el ejercicio de actividades sociales y en su beneficio directo o indirecto”, sino únicamente cuando se demuestre un incumplimiento efectivo de los deberes de supervisión y control. 

 

 

Volver al índice

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Certificación en materia de privacidad: ISO 27701 

Se ha publicado recientemente la actualización de la norma internacional ISO/IEC 27701:2025, titulada “Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la información sobre privacidad — Requisitos y orientaciones”.  Una de las novedades más destacables es la posibilidad de certificarse en esta norma sin depender de la ISO 27001. 

 En todo caso merece la pena indicar que esta nueva edición actualiza y amplía las directrices para la creación, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Información de Privacidad (PIMS), ofreciendo un marco sólido que permite a las organizaciones demostrar responsabilidad, gestionar riesgos y cumplir con regulaciones como el Reglamento General de Protección de Datos.  

 

Volver al índice

 

EDPB avala —con cautelas— la prórroga de la adecuación de Reino Unido para las transferencias internacionales de datos. 

Como bien es sabido, desde la salida del Reino Unido de la UE, todo flujo de datos de carácter personal entre la UE y Reino Unido constituye una transferencia internacional de datos (arts. 44 y ss. RGPD). Dicha transferencia ha estado amparada en una decisión de adecuación mediante la cual se reconoce que el nivel de protección ofrecido por el Reino Unido es esencialmente equivalente al de la UE. No obstante, esta decisión tiene carácter temporal y debe ser renovada periódicamente. 

En ese contexto, el Comité Europeo de Protección de Datos (EDPB), ha emitido la Opinión 26/2025 en el que se muestra favorable al borrador de la Comisión Europea para renovar la decisión de adecuación hasta el 27 de diciembre de 2031(con revisión a los 4 años). Sin embargo, el EDPB solicita una monitorización reforzada ante posibles divergencias normativas, exenciones por motivos de seguridad nacional y su impacto en el uso del cifrado, así como un seguimiento de la efectividad de la nueva estructura de la ICO (la autoridad de control del Reino Unido). 

 

 

Volver al índice

 

Novedades normativas 

En esta edición destacamos dos novedades: 

    • En el ámbito europeo, es aplicable desde el 10 de octubre de 2025 el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transparencia y segmentación en la publicidad política.  

 

Volver al índice

 

Otros: Chester Digital Stories ATECNA 

Nuestro compañero Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores ha participado en el nuevo capítulo de Chester Digital Stories, organizado por ATECNA, en una charla dedicada a reflexionar sobre tecnología, datos y ciberseguridad. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Publicado el 08-09-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

 

 

CUMPLIMIENTO NORMATIVO

 

La Autoridad Independiente de Protección del Informante ya está operativa. 

Desde el 1 de septiembre de 2025 está en funcionamiento la Autoridad Independiente de Protección del Informante, AAI (en adelante AIPI), cuya puesta en marcha fue fijada por la Orden PJC/908/2025, de 8 de agosto (publicada en el BOE el 12 de agosto) en cumplimiento de la Ley 2/2023. Presidida por Manuel Villoria Mendieta, la AIPI nace como pilar institucional en la lucha contra la corrupción y para garantizar la protección efectiva de las personas que informen de infracciones, adaptando al ordenamiento español la Directiva (UE) 2019/1937. 

La nueva autoridad asume, entre otras, la gestión del canal externo de denuncias, la adopción de medidas de protección y apoyo a las personas informantes y la potestad sancionadora (con multas que pueden llegar hasta 300.000 € para personas físicas y 1.000.000 € para personas jurídicas, según la infracción). También emitirá circulares y recomendaciones, y supervisará el correcto funcionamiento de los sistemas internos de información de las organizaciones, en coordinación con otras autoridades nacionales y autonómicas. 

En este contexto, conviene destacar que las entidades obligadas por la Ley de Protección al Informante disponen de dos meses desde el inicio de actividad para designar y comunicar a la AIPI a la persona y/o Comité responsable de su Sistema interno de información, con fecha límite 1 de noviembre de 2025. 

 

Volver al índice

 

 

Canales de denuncia de la Autoridad Independiente de Protección del informante. 

Con motivo del inicio de su actividad, la Autoridad Independiente de Protección del Informante ha habilitado una web provisional (www.proteccioninformante.gob.es), mientras culmina el desarrollo de su Sede Electrónica y portal definitivo, que, según figura en nota informativa, estará operativo en breve y contará con las medidas de seguridad y confidencialidad legalmente exigidas. 

Mientras tanto, se puede contactar con la Autoridad Independiente de Protección del Informante a través de los siguientes correos habilitados: para asuntos generales o informativos y para comunicaciones del Responsable del Sistema de Información, aipi@proteccioninformante.es; para el Canal Externo de Información, canal.externo@proteccioninformante.es (omitiendo cualquier dato personal de terceros por razones de confidencialidad); y para el Canal Interno de Información, canal.interno@proteccioninformante.es (igualmente, sin datos personales de terceros). 

 

Volver al índice

 

 

Plan Estatal de Lucha contra la Corrupción. 

El pasado 9 de julio, el Gobierno presentó el Plan Estatal de lucha contra la corrupción, estructurado en cinco ejes y quince medidas para reforzar el marco legal existente en materia de integridad pública.  

Entre sus novedades destacan la creación de una Agencia Independiente de Integridad Pública, el uso de IA y big data en contratación para detectar irregularidades y la extensión de mapas de riesgos en la gestión de fondos. Asimismo, el Plan blinda el anonimato en los canales de denuncia, endurece las sanciones por represalias, obliga a las organizaciones que contraten con la Administración a contar con sistemas de cumplimiento anticorrupción y a someterse a auditorías externas de integridad. Además, crea una lista de inhabilitación que excluirá de la contratación pública, subvenciones y beneficios fiscales a las entidades condenadas en firme por corrupción. 

En este contexto, el 26 de agosto se aprobó el Real Decreto 711/2025, por el que se crea la Comisión Interministerial para el impulso del Plan Estatal de Lucha contra la Corrupción y se regula su composición y funcionamiento. Esta Comisión, concebida para la dirección estratégica, el fomento y la coordinación de las medidas a adoptar por la Administración General del Estado, tiene por objeto asegurar el cumplimiento efectivo de las actuaciones previstas en el Plan. 

 

Volver al índice

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Biometría ¿Cambio de criterio de la Agencia Española de Protección de Datos? 

La Agencia Española de Protección de Datos (AEPD) ha respondido a una consulta previa de las Fuerzas y Cuerpos de Seguridad del Estado sobre el uso de biometría para el control de accesos. A partir de una evaluación de impacto (EIPD), el informe distingue dos enfoques: la identificación, con mayores riesgos para la privacidad, y la autenticación, que bien diseñada y limitada al punto de acceso, puede resultar más proporcionada y menos intrusiva. La Agencia exige justificar necesidad y proporcionalidad, acreditar la mejora frente a sistemas previos y escoger, entre alternativas igual de eficaces, la menos gravosa. Entre las garantías técnicas que valora figuran el tratamiento local cuando sea posible, puntos de control aislados, la retención mínima, la ausencia de acceso externo y las opciones de respaldo. En línea con el Comité Europeo de Protección de Datos, se valoran positivamente modelos en los que la plantilla reside en el dispositivo del usuario o se almacena cifrada con una clave bajo su exclusivo control. 

En cuanto al marco jurídico, la Agencia considera que, para el supuesto analizado, existe base suficiente para la utilización del sistema biométrico: su finalidad principal es la prevención de delitos y amenazas contra la seguridad pública, y a tal efecto el informe se apoya en la Ley Orgánica 7/2021 y, como norma específica, en la Ley Orgánica 2/1986. No obstante, aun reconociendo dicha cobertura, el propio informe subraya la conveniencia de que el legislador refuerce el marco con disposiciones más detalladas y garantías adicionales, acordes al impacto real de estos tratamientos. 

 

Volver al índice

 

 

Data Act: entrada en aplicación el 12 de septiembre de 2025. 

El Reglamento (UE) 2023/2854, conocido como Data Act, establece el marco para el acceso y la utilización de los datos generados por productos conectados y servicios relacionados en la Unión Europea, abarcando tanto datos personales como no personales. Su aplicación general comienza el 12 de septiembre de 2025, aunque se han previsto plazos adicionales para determinadas obligaciones, como las de diseño y fabricación, que se aplicarán de forma escalonada en 2026 y 2027. 

Entre las disposiciones más relevantes de la norma se pueden destacar las siguientes: 

    • Derecho de los usuarios de productos conectados a solicitar el acceso a los datos generados por el uso, incluyendo información sobre consumo, funcionamiento u operaciones de mantenimiento, y a compartirlos con terceros de su elección. 
    • Prohibición de cláusulas contractuales abusivas que limiten el acceso legítimo a dichos datos, especialmente en contratos B2B, con un régimen específico para contratos celebrados antes de la fecha de aplicación general. 
    • Obligaciones de interoperabilidad y portabilidad para facilitar el cambio entre proveedores de servicios de tratamiento de datos (por ejemplo, servicios en la nube) y mejorar la interoperabilidad técnica. 

 

Volver al índice

 

 

Sentencia del Tribunal Supremo sobre mirillas digitales. 

El Tribunal Supremo, en su Sentencia 1166/2025 de 17 de julio, ha confirmado la condena por intromisión ilegítima en el derecho a la intimidad derivada de la instalación de una mirilla digital. En el caso analizado, la instalación no superó a juicio del Tribunal el juicio de proporcionalidad ya que “no respondió a problemas de seguridad (…) sino a la simple comodidad de los demandados, que estaban ausentes durante temporadas y tenían interés por saber si iba alguien a entregar algún paquete a su vivienda”. La mirilla digital se activaba “sin necesidad de que hayan llamado al timbre de la vivienda de los demandados o intentado abrir su puerta” por lo que dada “la situación enfrentada de ambas puertas, a una distancia mínima, supone que cuando se abre la puerta de la vivienda de los demandantes el dispositivo permite ver el interior de esa vivienda; no existen garantías de limitación al acceso de esas imágenes”. 

 

Volver al índice

 

 

Transferencias internacionales de datos a USA: el Tribunal General de la UE confirma el Data Privacy Framework. 

El 3 de septiembre de 2025 el Tribunal General de la Unión Europea desestimó una acción que cuestionaba el Data Privacy Framework, que recordemos constituye el principal mecanismo para las transferencias internacionales de datos de carácter personal entre la UE y USA. 

La Agencia Española de Protección de Datos (AEPD) ha emitido un nota valorativa en la que subraya que “considera que la sentencia aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias internacionales de datos entre la UE y EEUU”. 

 

Volver al índice

 

 

La Comisión Europea abre consulta sobre la futura Ley de Equidad Digital. 

La Comisión Europea ha puesto en marcha una consulta pública y una convocatoria de datos sobre la futura Ley de Equidad Digital, cuyo objetivo es reforzar la protección de los consumidores frente a prácticas digitales desleales. La iniciativa, abierta a ciudadanos, autoridades y partes interesadas, busca recoger aportaciones que permitan reforzar la protección de los consumidores en el entorno digital, así como establecer condiciones de competencia claras y equilibradas para las empresas en la Unión Europea. 

La propuesta pretende hacer frente a fenómenos cada vez más extendidos en el ámbito digital, como el uso de patrones oscuros en interfaces, el marketing engañoso de influencers en redes sociales, el diseño adictivo de productos y servicios digitales o la elaboración de perfiles que explotan las vulnerabilidades de los usuarios. La consulta estará abierta hasta el 24 de octubre de 2025. 

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025

Publicado el 14-04-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

200.000 euros de multa por vulnerar la confidencialidad en un procedimiento de acoso laboral. 

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa con una multa de 200.000 euros tras recibir dos reclamaciones por la vulneración de la confidencialidad en un procedimiento interno por acoso laboral. La empresa divulgó de forma indebida las identidades de los denunciantes y denunciados al remitir por correo electrónico las resoluciones del protocolo de acoso a múltiples destinatarios, incluyendo a personas ajenas al proceso. Esta actuación expuso datos personales, como nombres, apellidos y puestos de trabajo, lo cual fue considerado una infracción del artículo 5.1.f) del RGPD, que obliga a garantizar la integridad y confidencialidad de los datos personales. 

La AEPD concluyó que la empresa no aplicó medidas adecuadas para proteger dichos datos y mostró una alta negligencia, permitiendo el acceso indiscriminado a datos personales entre las partes. Esta circunstancia reviste especial gravedad dada la naturaleza del procedimiento y la obligación de preservar la confidencialidad en este tipo de casos. 

Como parte de la sanción, que se redujo a 120.000 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte de la empresa, la AEPD también ha exigido la adopción de medidas correctoras en un plazo de tres meses, recordando que la confidencialidad en protocolos de acoso debe aplicarse de manera efectiva. 

 

 

Volver al índice

 

 

Nueva ley para proteger a los menores en el entorno digital. 

El Consejo de Ministros ha remitido recientemente a las Cortes el proyecto de Ley Orgánica para proteger a los menores de edad en los entornos digitales, incorporando medidas como la obligatoriedad de controles parentales efectivos en dispositivos móviles, la regulación del uso de tecnologías en el ámbito educativo y la lucha contra contenidos perjudiciales como la pornografía, los ‘deepfakes’ vejatorios y los mecanismos adictivos en videojuegos. El proyecto Ley reconoce el derecho de los menores a una navegación segura, a la información veraz y al acceso equitativo a dispositivos, además de promover el aprendizaje de competencias digitales desde edades tempranas. Además, se eleva a 16 años la edad mínima para otorgar consentimiento en el tratamiento de datos personales en redes sociales. 

Por otro lado, el proyecto contempla importantes reformas legales, como la modificación del Código Penal para tipificar como delito la difusión de pornografía a menores, los ‘deepfakes’ sexuales y la creación de perfiles falsos por adultos con fines delictivos. Se habilita la intervención judicial para bloquear o retirar contenidos inapropiados y se modifica la Ley General de Comunicación Audiovisual, imponiendo a los grandes operadores y creadores de contenido la obligación de establecer canales de denuncia y mecanismos de verificación de edad.  

 

 

Volver al índice

 

 

España impulsa la IA responsable con un Sandbox pionero en Europa. 

El Gobierno de España ha puesto en marcha el primer Sandbox de Inteligencia Artificial (IA) de la Unión Europea, una iniciativa pionera orientada a facilitar la adaptación de sistemas de IA a las exigencias del nuevo Reglamento de IA. A través de este entorno de pruebas, se pretende apoyar a empresas, especialmente PYMES y startups, en la implementación de sistemas de IA seguros, éticos y alineados con las normativas europeas.  

Entre los 12 proyectos seleccionados se encuentran soluciones aplicadas a sectores como servicios esenciales, empleo, infraestructuras críticas y salud. En el ámbito de la biometría, destaca la participación de Veridas con su sistema para verificar la edad de usuarios en máquinas de vending, asegurando el cumplimiento normativo en la venta de productos regulados como tabaco o también normativa pendiente de regular para vapeadores.  

Durante abril de 2025 se dará inicio al proyecto, en colaboración con la Oficina Europea de IA, ofreciendo formación y consultoría de alto nivel para adaptar los sistemas seleccionados a las obligaciones del Reglamento de IA. Como resultado de esta experiencia, se desarrollarán las guías técnicas de implementación del Reglamento que se publicarán para uso de todos los desarrolladores IA en España. 

 

Volver al índice

 

Actualizada la guía sobre criterios Generales de Auditoría y Certificación del ENS (Esquema Nacional de Seguridad). 

El Centro Criptológico Nacional (CCN) ha publicado una versión actualizada de la guía CCN-CERT IC 01/19, que establece los criterios generales de auditoría y certificación del Esquema Nacional de Seguridad (ENS). Esta revisión, elaborada por el Consejo de Certificación del Esquema Nacional de Seguridad (CoCNS), está dirigida a las entidades de certificación acreditadas por ENAC o reconocidas por el propio Centro Criptológico Nacional (CCN). La guía se alinea con lo establecido en el artículo 31 del Real Decreto 311/2022, que regula la auditoría de seguridad en el marco del Esquema Nacional de Seguridad. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

Designado presidente de la Autoridad Independiente de Protección del Informante. 

El Congreso de los Diputados ha aprobado por mayoría absoluta la propuesta del Consejo de Ministros para designar al catedrático Manuel Villoria Mendieta como presidente de la Autoridad Independiente de Protección del Informante, A.A.I. Este organismo clave en la aplicación de la Ley 2/2023 de protección al informante, desempeña un papel fundamental en la prevención de la corrupción y en la salvaguarda de quienes informan sobre irregularidades, garantizando su confidencialidad y seguridad. Tras la ratificación parlamentaria, el nombramiento deberá ser formalizado por el Consejo de Ministros mediante Real Decreto, lo que supondrá un avance significativo en el fortalecimiento institucional del sistema de alertas internas en España. 

Manuel Villoria Mendieta es catedrático de Ciencia Política y de la Administración en la Universidad Rey Juan Carlos y figura destacada en el ámbito de la transparencia, ética pública y buen gobierno. Miembro de Transparencia Internacional España, cuenta con una amplia trayectoria académica y profesional vinculada al estudio de la gobernanza democrática y la lucha contra la corrupción. 

 

Volver al índice

 

El Parlamento Europeo aplaza la entrada en vigor de las directivas sobre Sostenibilidad (CSRD y CSDDD). 

El Parlamento Europeo ha respaldado la propuesta de aplazar la entrada en vigor de la Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) y de la Directiva sobre Diligencia Debida en materia de Sostenibilidad Corporativa (CSDDD). Con una amplia mayoría de votos, los eurodiputados aprobaron esta iniciativa en el marco del paquete legislativo Omnibus I, orientado a la simplificación normativa y al fortalecimiento de la competitividad de la Unión Europea. 

En lo que respecta a la Directiva sobre Diligencia Debida (CSDDD), la decisión adoptada concede un año adicional a los Estados miembros para transponer sus disposiciones a los ordenamientos jurídicos nacionales, y difiere la aplicación de las obligaciones para las empresas, en función de su tamaño y volumen de facturación. De este modo, las grandes entidades empresariales comenzarán a implementar los nuevos requisitos a partir de 2028. Por su parte, la entrada en vigor de Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) también se prorrogará dos años.  

Con el objetivo de acelerar la adopción de estas medidas, el Parlamento ha acordado recurrir al procedimiento de urgencia. Para su entrada en vigor, el proyecto de ley requiere ahora la aprobación formal del Consejo de la Unión Europea. 

 

Volver al índice

 

 

Nuevos catálogos de indicadores de riesgo de blanqueo de capitales 

Se han publicado recientemente los nuevos catálogos de indicadores de riesgo de blanqueo de capitales por parte del Tesoro Público. Estos documentos actualizados ofrecen una guía más precisa para la identificación temprana de operaciones sospechosas, incorporando tipologías delictivas emergentes y criterios adaptados a la evolución de los riesgos. Especial atención reciben sectores como el financiero, los proveedores de servicios de criptoactivos y ámbitos no financieros, incluyendo arte, joyería, inmobiliario y servicios jurídicos, cada uno con indicadores ajustados a sus particularidades y niveles de exposición. 

Esta actualización fortalece el enfoque basado en el riesgo y dota a los sujetos obligados de herramientas más efectivas para adaptarse a un entorno delictivo en constante transformación, contribuyendo así a una mayor solidez en el sistema de prevención del blanqueo de capitales y la financiación del terrorismo. 

 

Volver al índice

 

 

CHARLAS, EVENTOS Y NOVEDADES

 

Jornada anual del Colegio Oficial de Enfermeras de Navarra sobre inteligencia artificial y enfermería. 

El próximo 8 de mayor se celebra la Jornada anual del Colegio Oficial de Enfermeras de Navarra (COENAV,) bajo el título “Inteligencia Artificial y Enfermería:  una alianza para un cuidado más humano/Adimen Artifiziala eta Erizaintza: aliantza bat zaintza gizatiarrago bat izateko”. 

En el marco de esta jornada, Álvaro Abáigar, Socio- director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores, participará en una mesa redonda dedicada a las “Aplicaciones tecnológicas de apoyo para el cuidado del paciente”.  

Inscripciones en: Abierta la inscripción a la jornada anual del Colegio sobre inteligencia artificial y enfermería 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X