Protección de datos y seguridad de la información
-
Navarra crea el Comité de Ética de la Oficina del Datos para regular el uso de la IA.
-
Resolución sobre decisiones automatizadas: la AEPD analiza el sistema Bosco.
-
La Autoridad Italiana de protección de datos multa al chatbot Replika.
-
Nuevas Directrices sobre el tratamiento de datos personales en Blockchain.
Cumplimiento normativo
-
Publicada la nueva UNE 19601:2025 sobre sistemas de gestión de Compliance penal.
-
El Congreso impulsa la transparencia con su I Plan de Parlamento Abierto.
PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN
Navarra crea el Comité de Ética de la Oficina del Datos para regular el uso de la IA
El Gobierno de Navarra ha constituido el Comité de Ética de la Oficina del Dato mediante la Orden Foral 129E/2024, con el propósito de asegurar un uso transparente y responsable de la Inteligencia Artificial en la Administración Pública. Este órgano consultivo analizará las implicaciones éticas del uso de datos personales y públicos, así como de algoritmos de IA, actuando como garante del cumplimiento del Manifiesto ético del Gobierno en esta materia. Entre sus funciones destacan la elaboración de protocolos de actuación para resolver conflictos éticos, la emisión de recomendaciones y el asesoramiento en la elaboración de planes estratégicos relacionados con el uso de datos.
El comité estará compuesto por un máximo de 20 personas con experiencia técnica, jurídica o humanista, procedentes de la Administración, universidades, empresas tecnológicas y organizaciones ciudadanas. Se velará por la paridad de género y la pluralidad de perfiles, incluyendo juristas, especialistas en ética aplicada, comunicación y ciencia de datos. Tendrá una presidencia elegida entre sus vocalías y una secretaría adscrita al Departamento de Universidad, Innovación y Transformación Digital. Sus integrantes tendrán un mandato de cuatro años, y se reunirán al menos dos veces al año, con posibilidad de convocar sesiones extraordinarias según lo requiera la situación.
Volver al índice
Resolución sobre decisiones automatizadas: la AEPD analiza el sistema Bosco
La Agencia Española de Protección de Datos (AEPD) ha emitido la resolución PS/00324/2023, en la que se analiza el uso del sistema Bosco por parte del Ministerio de Trabajo y Economía Social (MTERD). Este sistema, basado en algoritmos, se emplea para detectar posibles fraudes en la contratación laboral. La AEPD evaluó si dicho tratamiento de datos personales se ajusta al Reglamento General de Protección de Datos (RGPD), identificando varias infracciones y señalando la necesidad de realizar una EIPD, dado que el sistema Bosco implica un tratamiento de datos personales a gran escala y puede tener un impacto significativo en los derechos de los ciudadanos. Además, la AEPD enfatiza en el principio de transparencia y destaca la importancia de que los responsables del tratamiento informen de manera clara y accesible sobre los criterios utilizados en los sistemas automatizados y las garantías implementadas para proteger los derechos de los interesados.
Volver al índice
La Autoridad Italiana de protección de datos multa al chatbot Replika
La Autoridad Italiana de Protección de Datos ha sancionado con 5 millones de euros a la empresa desarrolladora del chatbot de inteligencia artificial Replika, tras detectar varias infracciones del Reglamento General de Protección de Datos (RGPD). La investigación reveló que Replika carecía de una base legal adecuada para el tratamiento de datos personales, no implementaba mecanismos efectivos de verificación de edad, a pesar de excluir a menores como usuarios, y proporcionaba una política de privacidad deficiente.
Además de la sanción económica, la Autoridad italiana ha ordenado a la empresa que adapte sus prácticas de tratamiento de datos a las disposiciones del RGPD, particularmente en lo que respecta a la transparencia y protección de datos desde el diseño y por defecto. Asimismo, la Autoridad italiana ha anunciado la posibilidad de realizar una investigación adicional para evaluar la legalidad del tratamiento de datos a lo largo de todo el ciclo de vida del sistema de inteligencia artificial de Replika.
Volver al índice
Nuevas Directrices sobre el tratamiento de datos personales en Blockchain
El Comité Europeo de Protección de Datos (EDPB) ha publicado recientemente nuevas directrices sobre el tratamiento de datos personales mediante tecnologías blockchain. Estas directrices buscan ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD) al utilizar esta tecnología. Se enfatiza la necesidad de implementar medidas técnicas y organizativas desde las primeras etapas del diseño, realizar evaluaciones de impacto en la protección de datos cuando sea probable que el tratamiento conlleve un alto riesgo para los derechos y libertades de las personas, y evitar almacenar datos personales directamente en la cadena de bloques si esto entra en conflicto con los principios de protección de datos.
Las directrices también destacan la importancia de definir claramente los roles y responsabilidades de los diferentes actores involucrados en el tratamiento de datos personales mediante blockchain. Además, se subraya la necesidad de garantizar los derechos de los individuos, como la transparencia, rectificación y supresión de datos personales. Dado que la naturaleza inmutable de la blockchain puede dificultar la eliminación de datos, se recomienda diseñar sistemas que permitan anonimizar eficazmente los datos personales si se solicita su supresión.
Las directrices serán objeto de consulta pública hasta el 9 de junio de 2025, lo que brindará a las partes interesadas la oportunidad de presentar sus observaciones.
Volver al índice
La AEPD publica su memoria 2024: la inteligencia artificial y los neurodatos, nuevos desafíos en protección de datos
La Agencia Española de Protección de Datos (AEPD) ha publicado su memoria anual correspondiente al año 2024. Según el informe, la AEPD tramitó un total de 18.885 reclamaciones, una cifra ligeramente inferior a la de 2023, aunque sigue siendo la segunda cifra más alta registrada hasta la fecha. Las principales quejas de los ciudadanos se centraron en la videovigilancia (19%), los servicios de internet (8%) y sectores como el comercio, transporte y hostelería (7%). Además, la AEPD impuso 281 sanciones, destacando multas significativas a formaciones políticas y grandes entidades por el uso indebido de datos personales.
Entre los retos prioritarios señalados por la AEPD en esta memoria se encuentran el avance de la inteligencia artificial, el desarrollo de espacios de datos compartidos y el uso emergente de neurodatos. La agencia advierte del riesgo creciente que suponen estas tecnologías para la privacidad, especialmente cuando se trata de datos especialmente sensibles como los sanitarios o los que pueden revelar información cerebral o cognitiva. En este contexto, la AEPD plantea la necesidad de establecer garantías reforzadas, incluyendo la posible creación de “neuroderechos” para proteger la libertad y la intimidad de las personas frente a usos invasivos de las nuevas tecnologías.
Volver al índice
La UE adopta el Espacio Europeo de Datos de Salud
El Consejo de la Unión Europea ha adoptado recientemente el Reglamento (UE) 2025/327 que establece el Espacio Europeo de Datos de Salud (EEDS). Esta iniciativa busca mejorar el acceso y el intercambio de datos sanitarios electrónicos en toda la UE. Este marco legal tiene como finalidad otorgar mayor control a los ciudadanos, permitiéndoles acceder y controlar sus datos de salud personales desde cualquier Estado miembro, al tiempo que facilita la reutilización segura de información anonimizada con fines de investigación, innovación y formulación de políticas públicas. Además, los países de la UE deberán crear autoridades de salud digital para implementar estas disposiciones, promoviendo así la transformación digital del sector sanitario europeo.
El Reglamento también establece requisitos para garantizar la interoperabilidad de los sistemas de historia clínica electrónica, exigiendo que todos cumplan con el formato europeo de intercambio de historias clínicas electrónicas. Esto permitirá un acceso transfronterizo eficiente y seguro a los servicios y productos sanitarios digitales dentro de la UE. El Reglamento entró en vigor el 26 de marzo de 2025, iniciando una fase de implementación gradual que culminará en 2031.
Volver al índice
CUMPLIMIENTO NORMATIVO
Manuel Villoria toma posesión como presidente de la Autoridad Independiente de Protección del Informante
El pasado 9 de mayo, Manuel Villoria Mendieta asumió oficialmente el cargo de presidente de la Autoridad Independiente de Protección del Informante (AIPI), en un acto presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños. Este organismo, creado en el marco del Plan de Acción por la Democracia y conforme a la Ley 2/2023, tiene como objetivo proteger a quienes denuncien infracciones normativas y actos de corrupción, garantizando su anonimato y ofreciendo apoyo financiero y psicológico.
Manuel Villoria, catedrático de Ciencia Política en la Universidad Rey Juan Carlos y experto en ética pública y lucha contra la corrupción, liderará una institución con autonomía funcional e independencia de cualquier entidad pública o privada. Entre sus funciones se incluyen la recepción de denuncias a través de un canal seguro, la verificación de su contenido y, en su caso, la remisión a la Fiscalía, la tramitación de procedimientos sancionadores y el asesoramiento al Gobierno.
Volver al índice
Publicada la nueva UNE 19601:2025 sobre sistemas de gestión de Compliance penal
La Asociación Española de Normalización (UNE) ha publicado la nueva versión de la norma UNE 19601:2025, que sustituye, actualiza y deja sin efecto a la edición anterior, vigente desde el año 2017. Esta norma establece los requisitos para implantar, mantener y mejorar sistemas de gestión de compliance penal en las organizaciones, y su actualización responde a la necesidad de adaptar el marco normativo a los cambios legislativos y a la evolución de las mejores prácticas en materia de cumplimiento.
Entre las principales novedades se encuentra la clarificación de las obligaciones del órgano de gobierno, diferenciando con mayor precisión aquellas que son de su responsabilidad directa de las que implican únicamente una labor de supervisión y vigilancia. Además, se distingue entre «formación» y «toma de conciencia», adaptando cada una según el nivel de exposición al riesgo del personal implicado. Asimismo, se integran los requisitos de la Ley 2/2023 sobre protección de informantes, fortaleciendo los canales internos de denuncia como pilares esenciales del sistema de compliance.
Volver al índice
El Congreso impulsa la transparencia con su I Plan de Parlamento Abierto
El Congreso de los Diputados ha aprobado el I Plan de Parlamento Abierto (2025–2027), una iniciativa que busca fortalecer la transparencia, la participación ciudadana y la rendición de cuentas en la Cámara Baja, con el objetivo de hacer de esta una institución más accesible y cercana a los ciudadanos. Este Plan, que incluye una treintena de medidas, se desarrollará en torno a cuatro grandes ejes: transparencia, participación, rendición de cuentas, y formación y sensibilización.
Entre las medidas destacadas se encuentra la promoción del uso del lenguaje claro, permitiendo que los grupos parlamentarios y otros actores con capacidad de presentar iniciativas legislativas elaboren resúmenes comprensibles de sus propuestas, los cuales estarán disponibles en la web del Congreso. Además, se prevé la creación de guías en lenguaje claro sobre el procedimiento legislativo, elaboradas por la Secretaría General del Congreso.
Otra medida significativa es la creación de un registro obligatorio y público de grupos de interés o ‘lobbies’ que deseen influir en la actividad parlamentaria. Este registro, junto con un código de conducta, busca garantizar la transparencia y la integridad en la toma de decisiones. Asimismo, se establecerá un régimen sancionador para quienes incumplan las obligaciones de transparencia, como no publicar las reuniones mantenidas con diputados.
Volver al índice