AESIA y la gobernanza de la inteligencia artificial en Europa: el papel de España en la implementación del AI Act

13 marzo 2026 No hay comentarios

La publicación de las nuevas guías de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), disponible aquí, constituye uno de los desarrollos regulatorios más relevantes en el ámbito europeo de la gobernanza de la inteligencia artificial. España fue uno de los primeros países de la Unión Europea en crear una autoridad específica dedicada a la supervisión de la IA, con funciones de control, asesoramiento y promoción de buenas prácticas para garantizar un uso seguro y ético de estas tecnologías. En este contexto institucional, la publicación de estas guías representa un paso adicional hacia la operacionalización del nuevo marco jurídico europeo en materia de inteligencia artificial. Las guías publicadas por AESIA tienen como objetivo facilitar la aplicación práctica del Reglamento Europeo de Inteligencia Artificial (AI Act), proporcionando criterios interpretativos y recomendaciones operativas dirigidas a empresas, desarrolladores y administraciones públicas. Aunque estas orientaciones no tienen carácter jurídicamente vinculante, pretenden ayudar a las organizaciones a comprender cómo deben implementarse en la práctica las obligaciones que introduce el AI Act. En otras palabras, se trata de transformar un marco normativo complejo en una serie de pautas aplicables a situaciones reales de desarrollo y despliegue de sistemas de inteligencia artificial. Uno de los elementos más interesantes de estas guías es que no se limitan a reproducir el contenido del reglamento europeo, sino que traducen sus principios en controles organizativos y técnicos concretos que las organizaciones pueden implementar. Las guías abordan cuestiones como la gestión de riesgos de los sistemas de IA, los requisitos de gobernanza de datos, los mecanismos de supervisión humana, las obligaciones de transparencia o la documentación técnica necesaria para demostrar el cumplimiento normativo. Este enfoque refleja una tendencia creciente en la regulación tecnológica: pasar de principios abstractos a modelos de cumplimiento verificables. Además, estas orientaciones se han desarrollado en el marco del sandbox regulatorio español de inteligencia artificial, lo que les confiere un valor particular desde el punto de vista jurídico y regulatorio. Las recomendaciones no se basan únicamente en una interpretación doctrinal del reglamento europeo, sino también en la experiencia obtenida mediante pruebas reales de sistemas de IA bajo supervisión regulatoria. Este modelo experimental permite identificar problemas de cumplimiento antes de que las obligaciones del AI Act se apliquen plenamente en toda la Unión Europea. Desde una perspectiva más amplia, la iniciativa española refleja una evolución significativa en la gobernanza europea de la inteligencia artificial. La regulación ya no se limita a establecer prohibiciones o sanciones, sino que busca crear ecosistemas de cumplimiento normativo que integren a reguladores, empresas y expertos técnicos. En este sentido, las guías de AESIA pueden interpretarse como una herramienta de transición hacia el nuevo régimen regulatorio europeo, permitiendo que el sector tecnológico se prepare para un marco de obligaciones mucho más exigente. En términos jurídicos, el verdadero interés de estas guías radica en su capacidad para anticipar cómo podría interpretarse el AI Act en la práctica. Aunque formalmente no vinculan a los tribunales ni a las autoridades europeas, es probable que influyan en la forma en que se desarrollen los estándares de cumplimiento en el mercado digital europeo. En este sentido, constituyen un ejemplo temprano de soft law regulatorio en materia de inteligencia artificial. Por último, conviene subrayar que estas iniciativas sitúan a España en una posición relevante dentro del debate europeo sobre la regulación de la IA. La combinación de una agencia especializada, un sandbox regulatorio y una serie de guías interpretativas convierte al país en uno de los primeros laboratorios regulatorios del AI Act. Si esta estrategia resulta eficaz, podría servir como modelo para otros Estados miembros en la implementación práctica de la normativa europea sobre inteligencia artificial.

La Comisión Europea publica orientaciones sobre el Cyber Resilience Act: implicaciones jurídicas para empresas y desarrolladores

13 marzo 2026 No hay comentarios

La Comisión Europea ha abierto a consulta pública el borrador de orientaciones sobre la aplicación del Cyber Resilience Act, una de las normas más relevantes del nuevo marco europeo de ciberseguridad digital. El documento pretende aclarar diversos aspectos interpretativos de esta regulación, aprobada en 2024 como Reglamento (UE) 2024/2847, y que establece requisitos obligatorios de ciberseguridad para los productos con elementos digitales comercializados en el mercado europeo. La consulta pública permanecerá abierta hasta el 31 de marzo de 2026, lo que permitirá a empresas tecnológicas, expertos jurídicos y organismos regulatorios formular observaciones antes de su adopción definitiva. El Cyber Resilience Act (CRA) constituye la primera regulación europea que impone requisitos obligatorios de ciberseguridad a hardware y software con elementos digitales, incluidos dispositivos IoT, aplicaciones o componentes tecnológicos. La lógica del reglamento es clara: Para corregir esta situación, el CRA introduce obligaciones que afectan a todo el ciclo de vida del producto digital, desde su diseño hasta su mantenimiento posterior. Entre las obligaciones principales destacan: El reglamento entró en vigor el 10 de diciembre de 2024, aunque la mayor parte de sus obligaciones se aplicarán a partir del 11 de diciembre de 2027, con obligaciones de notificación de incidentes desde septiembre de 2026. El borrador de orientaciones publicado por la Comisión tiene un propósito fundamental: facilitar la interpretación y aplicación práctica del reglamento por parte de empresas y autoridades nacionales. En particular, el documento aborda cuestiones que han generado dudas en el sector tecnológico: Estas orientaciones, aunque no tienen carácter jurídicamente vinculante, reflejan la interpretación oficial de la Comisión y serán determinantes para una aplicación armonizada del reglamento en toda la Unión. Desde una perspectiva jurídica, el Cyber Resilience Act introduce un cambio estructural en la regulación tecnológica europea. Hasta ahora, gran parte de la responsabilidad en materia de seguridad digital recaía en los usuarios o en las organizaciones que implementaban los productos. El CRA desplaza esa responsabilidad hacia los fabricantes y desarrolladores. En otras palabras, la seguridad deja de ser una opción competitiva para convertirse en un requisito regulatorio obligatorio. Este cambio recuerda, en cierta medida, al impacto que tuvo el Reglamento General de Protección de Datos (GDPR)en el ámbito de la privacidad: el cumplimiento normativo pasa a integrarse desde la fase de diseño del producto (compliance by design). Otro aspecto especialmente relevante es la creciente interconexión del ecosistema regulatorio digital europeo. El Cyber Resilience Act no opera de forma aislada, sino que se integra con otras normas del marco digital europeo, entre ellas: El resultado es un sistema regulatorio cada vez más sofisticado que pretende garantizar seguridad, confianza y resiliencia digital en el mercado interior europeo. Desde una perspectiva práctica, el CRA tendrá un impacto profundo en el sector tecnológico. Las empresas que comercialicen productos con elementos digitales en la UE deberán: En términos regulatorios, estamos ante un proceso de “industrialización jurídica de la ciberseguridad”, donde la seguridad informática pasa a integrarse en el marco del derecho del mercado interior y del derecho de productos. La publicación de estas orientaciones constituye un paso importante en la implementación del Cyber Resilience Act. Más allá de su dimensión técnica, el CRA refleja una transformación profunda del Derecho tecnológico europeo: la ciberseguridad deja de ser una cuestión meramente técnica para convertirse en un elemento estructural del mercado interior digital. Para juristas, reguladores y empresas tecnológicas, el desafío será doble: comprender el nuevo marco normativo y, al mismo tiempo, integrar la seguridad digital como un componente esencial del diseño de productos y servicios. En definitiva, el Cyber Resilience Act inaugura una nueva etapa en la gobernanza jurídica de la ciberseguridad en Europa.

La reforma del derecho al honor en la era digital: análisis de la propuesta de la CNMC sobre la actualización de la Ley Orgánica 1/1982

13 marzo 2026 No hay comentarios

La protección civil del derecho al honor, la intimidad personal y familiar y la propia imagen en España se articula fundamentalmente a través de la Ley Orgánica 1/1982, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, aprobada en un contexto tecnológico radicalmente distinto al actual. En 1982 no existían internet, las redes sociales ni la inteligencia artificial generativa. La difusión de contenidos era limitada y la viralización prácticamente inexistente. Hoy, sin embargo, la capacidad de generar y difundir contenidos falsos o manipulados —especialmente mediante herramientas de IA— ha multiplicado exponencialmente las posibles intromisiones ilegítimas en los derechos de la personalidad. En este contexto, el Gobierno ha elaborado un anteproyecto de reforma de la ley que pretende adaptar el marco jurídico al entorno digital. La Comisión Nacional de los Mercados y la Competencia (CNMC) ha emitido el Informe IPN/CNMC/004/26, en el que valora positivamente la actualización normativa y formula diversas recomendaciones para reforzar la seguridad jurídica y la coherencia regulatoria. El anteproyecto de reforma introduce diversas novedades relevantes destinadas a adaptar la protección de estos derechos fundamentales a la realidad tecnológica contemporánea. Entre las cuestiones centrales del texto destacan: 1. Regulación de contenidos manipulados tecnológicamente La reforma incorpora una regulación específica para las denominadas ultrafalsificaciones o deepfakes, es decir, contenidos audiovisuales generados o manipulados mediante inteligencia artificial que simulan la apariencia o la voz de una persona. La proliferación de estas tecnologías plantea riesgos evidentes para el derecho al honor y la propia imagen, especialmente cuando se utilizan para difundir contenidos falsos o degradantes con apariencia de autenticidad. 2. Clarificación del consentimiento El texto pretende clarificar el régimen del consentimiento en materia de uso de la imagen y datos personales en entornos digitales, introduciendo una presunción de madurez de los menores a partir de los 16 años. Este punto resulta especialmente relevante en el contexto de redes sociales, plataformas digitales y creación de contenidos por parte de menores. 3. Revisión de las excepciones a la protección También se actualizan las excepciones vinculadas a la libertad de información, la creación artística y la relevancia pública, con el objetivo de equilibrar adecuadamente la protección de los derechos de la personalidad con la libertad de expresión. 4. Criterios más claros para la indemnización del daño moral La reforma pretende ofrecer parámetros más definidos para la cuantificación del daño moral, una cuestión tradicionalmente compleja en este ámbito, con el fin de mejorar la previsibilidad de las resoluciones judiciales. Uno de los aspectos más interesantes del informe de la CNMC es su recomendación de extender expresamente la aplicación de la ley a las personas jurídicas. Aunque el texto de la Ley Orgánica 1/1982 se concibió originalmente para proteger derechos de la personalidad de las personas físicas, la jurisprudencia española ha reconocido desde hace décadas que las empresas también pueden sufrir lesiones a su reputación. El propio Tribunal Constitucional de España ha admitido que las personas jurídicas pueden invocar la protección del honor cuando se produce un ataque a su reputación empresarial que afecta a su actividad económica. En este sentido, la CNMC considera que la reforma debería incorporar expresamente esta protección, ya que la reputación corporativa constituye un elemento esencial para el funcionamiento de los mercados y la competencia. En la economía digital, donde la reputación online puede destruirse en cuestión de horas mediante campañas virales o desinformación, esta cuestión adquiere una relevancia particular. Otra de las recomendaciones destacadas del informe es la relativa a la edad de protección de los menores en el entorno digital. El anteproyecto establece una presunción de madurez a partir de los 16 años para prestar consentimiento. Sin embargo, la CNMC sugiere reconsiderar este umbral y elevarlo a 18 años, alineándolo con otros ámbitos regulatorios como el audiovisual. Este debate no es menor. La creciente exposición de los menores en redes sociales, combinada con fenómenos como el sharenting, el ciberacoso o la manipulación de imágenes mediante IA, plantea interrogantes sobre si los adolescentes disponen realmente de la madurez necesaria para comprender las consecuencias de la difusión digital de su imagen. El informe también recomienda que la definición de ultrafalsificaciones o deepfakes se alinee con la prevista en el Reglamento Europeo de Inteligencia Artificial (AI Act). Esta recomendación es particularmente acertada desde la perspectiva de la técnica legislativa. En un contexto de creciente regulación europea del entorno digital —incluyendo normas como el Reglamento de Servicios Digitales (Digital Services Act)— resulta esencial evitar divergencias terminológicas que generen inseguridad jurídica o dificultades interpretativas. Una definición armonizada permitiría mejorar la aplicación práctica de la norma y facilitar su integración en el ecosistema regulatorio europeo. La reforma de la Ley Orgánica 1/1982 refleja una transformación más profunda del derecho de la personalidad en la era digital. Hoy el honor puede verse afectado no solo por publicaciones periodísticas o declaraciones públicas, sino también por: En este escenario, el derecho al honor se convierte en un derecho de protección frente a la desinformación tecnológica, lo que exige respuestas jurídicas más sofisticadas. La actualización de la Ley Orgánica 1/1982 constituye un paso necesario para adaptar la protección del honor, la intimidad y la propia imagen a la realidad digital contemporánea. Las recomendaciones de la CNMC —especialmente en relación con la inclusión de las personas jurídicas, la protección reforzada de los menores y la armonización con la normativa europea de inteligencia artificial— apuntan en la dirección correcta. No obstante, el verdadero desafío de esta reforma será encontrar un equilibrio adecuado entre la protección de los derechos de la personalidad y las libertades informativas, en un entorno tecnológico donde la producción y difusión de contenidos se ha democratizado radicalmente. El debate jurídico que acompañará a esta reforma será, sin duda, uno de los más relevantes en los próximos años para el derecho de la comunicación, el derecho digital y la protección de los derechos fundamentales.

De la confianza digital a la resiliencia estratégica: la evolución de la ciberseguridad en la UE

4 febrero 2026 No hay comentarios

La política europea de ciberseguridad no ha surgido de la nada. Es el resultado de una década de construcción normativa progresiva, marcada por crisis tecnológicas, tensiones geopolíticas y una creciente dependencia de infraestructuras digitales críticas. El anuncio de la Comisión Europea sobre el refuerzo de la resiliencia y capacidades de ciberseguridad de la Unión representa un punto de inflexión, pero solo se entiende bien si miramos el camino recorrido. 1. El punto de partida: confianza y mercado interior (2013–2019) En una primera fase, la UE abordó la ciberseguridad principalmente como un requisito para el buen funcionamiento del mercado interior: En esta etapa, la lógica era preventiva y técnica: armonizar, generar confianza y reducir fragmentación. 2. El cambio de contexto: de lo técnico a lo estratégico (2020–2023) A partir de 2020, el contexto cambia radicalmente toda vez que ahora estamos en una situación en la que concurre un aumento exponencial de ransomware y ataques a hospitales, energía y transporte; se llevan a cabo ataques a cadenas de suministro (SolarWinds como paradigma); se usan los ciberataques como instrumento híbrido en conflictos geopolíticos y la tecnología cada vez acelera más (cloud, IA, edge, IoT). La respuesta normativa se intensifica mediante la publicación normas como: La ciberseguridad deja de ser solo compliance: pasa a ser infraestructura de soberanía digital. 3. El problema detectado: complejidad, solapamientos y brechas reales Paradójicamente, el éxito regulatorio genera un nuevo riesgo que pasa por la fragmentación práctica en la aplicación; por marcos complejos y costosos para empresas; por certificaciones lentas y poco operativas; y por riesgos crecientes en cadenas de suministro TIC, especialmente con proveedores de terceros países. La UE detecta una desalineación entre el marco normativo y la realidad operativa, tanto para Estados como para empresas. 4. El punto actual: hacia el Cybersecurity Act 2 (2026) Aquí se sitúa el anuncio actual: una revisión profunda del Cybersecurity Act, con tres ejes estructurales: ENISA como actor central operativo No solo asesorar, sino coordinar, apoyar e intervenir. Más medios, más foco y más capacidad real de respuesta. Certificación como herramienta de cumplimiento La certificación europea deja de ser ornamental y se integra como mecanismo transversal de cumplimiento (NIS2, CRA, potencialmente RGPD). Seguridad de la cadena de suministro TIC Por primera vez, se aborda de forma horizontal y armonizada el riesgo no técnico de proveedores, dependencias críticas y resiliencia industrial. El enfoque ya no es solo “proteger sistemas”, sino proteger capacidades estratégicas europeas. En conclusión, La UE está cerrando un ciclo basado en el paso de la confianza digital a la resiliencia estructural y de ahí a la autonomía estratégica en ciberseguridad. La Opinión Conjunta 1/2026 del European Data Protection Board y del European Data Protection Supervisor sobre el Digital Omnibus on AI apoya el objetivo de simplificar la aplicación del AI Act, pero lanza una advertencia clara: la simplificación no puede traducirse en una rebaja del nivel de protección de los derechos fundamentales, en particular del derecho a la protección de datos. En este sentido, acepta la ampliación excepcional del tratamiento de categorías especiales de datos para la detección y corrección de sesgos, siempre que se mantenga el estándar de estricta necesidad y que su uso esté claramente delimitado para evitar abusos. Del mismo modo, rechaza eliminar obligaciones clave de registro y documentación de sistemas de IA, al considerar que la transparencia, la trazabilidad y la rendición de cuentas son elementos estructurales del modelo europeo de gobernanza algorítmica. La Opinión también respalda los sandboxes regulatorios europeos y una mayor centralización de la supervisión en la AI Office para determinados sistemas, pero insiste en reforzar la cooperación efectiva con las autoridades de protección de datos y en preservar su independencia. Advierte igualmente contra el debilitamiento de la obligación de alfabetización en IA y muestra preocupación por el posible retraso en la aplicación de las normas sobre sistemas de alto riesgo, por su impacto directo en la protección de los derechos fundamentales. El mensaje de fondo es inequívoco: hacer el AI Act más aplicable es necesario, pero hacerlo menos exigente sería incompatible con el enfoque europeo de una IA fiable, responsable y centrada en las personas.

La UE refuerza su resiliencia en ciberseguridad: hacia un nuevo

4 febrero 2026 No hay comentarios

Cybersecurity Act 2 La Comisión Europea ha dado un paso decisivo para fortalecer la resiliencia y las capacidades de ciberseguridad de la Unión Europea. A través de un nuevo paquete normativo, se propone una profunda revisión del marco vigente con un objetivo claro: adaptar la gobernanza europea de la ciberseguridad a un entorno de amenazas más sofisticado, más geopolítico y más dependiente de las cadenas de suministro digitales. ¿Qué está cambiando? El eje central de la reforma es la propuesta de un nuevo Reglamento que sustituirá al actual Cybersecurity Act de 2019, reforzando tres pilares clave: 1. Un ENISA con un mandato más fuerte y operativo La Agencia de la Unión Europea para la Ciberseguridad (ENISA) pasará de un rol eminentemente técnico-consultivo a uno más estratégico y operativo, con mayor capacidad para: Este refuerzo irá acompañado de más recursos humanos y financieros, conscientes de que no hay resiliencia digital sin capacidad institucional real. 2. Reforma del sistema europeo de certificación en ciberseguridad El European Cybersecurity Certification Framework (ECCF) se reforma para hacerlo: La certificación deja de ser solo un “sello de confianza” y se convierte en una pieza estructural del cumplimiento regulatorio europeo. 3. Seguridad de la cadena de suministro ICT Uno de los elementos más sensibles del nuevo marco es la creación de un sistema europeo armonizado para gestionar riesgos en las cadenas de suministro TIC, incluyendo: Aquí la ciberseguridad se conecta directamente con la autonomía estratégica, la seguridad económica y la protección de infraestructuras críticas. ¿Por qué es relevante (de verdad)? Esta reforma no es solo técnica. Refleja un cambio de paradigma:

Brechas de datos en España en 2025: lecciones y desafíos tras los datos publicados por la AEPD

30 enero 2026 No hay comentarios

El año 2025 ha sido un punto de inflexión en materia de brechas de datos personales en España. Los datos publicados por la Agencia Española de Protección de Datos (AEPD) reflejan no solo la intensidad de los incidentes de seguridad digital sino también el grado de concienciación y responsabilidad de las organizaciones ante su obligación de notificación bajo el Reglamento General de Protección de Datos (RGPD). Subida de notificaciones: más de 2.700 brechas reportadas En 2025, la AEPD recibió un total de 2.765 notificaciones de brechas de datos personales, situando la cifra en un nivel históricamente alto. Estas notificaciones no implican necesariamente una sanción, sino que constituyen la obligación legal de comunicar a la autoridad de control los incidentes que puedan suponer un riesgo para los derechos y libertades de las personas. La mayor parte de estas brechas se originó en el sector privado (80 %), debido al gran volumen de datos que gestiona y a la intensidad con la que se utilizan tecnologías digitales en este ámbito. Ciberataques y vectores de riesgo Aunque en años anteriores muchas brechas tenían un origen operativo (como errores humanos o envíos accidentales de información), 2025 estuvo marcado por ciberincidentes sofisticados, especialmente: Este patrón evidencia que muchos incidentes no requieren técnicas extremadamente avanzadas, sino que se aprovechan de fallos básicos de higiene digital, como contraseñas débiles o la ausencia de mecanismos de autenticación robustos. Más de 200 millones de comunicaciones a afectados Un dato especialmente revelador es el volumen de comunicaciones emitidas a personas afectadas en los casos en que la brecha implicaba un riesgo alto. En 2025 se superaron los 200 millones de comunicaciones, una cifra que casi duplicó los datos de años anteriores y refleja la gravedad de los incidentes de mayor impacto. Notificar no es sinónimo de sancionar Un aspecto esencial que subraya la AEPD es que la notificación de una brecha no implica automáticamente una sanción. De las 2.765 notificaciones registradas, solo una minoría (aproximadamente 0,4 %) dio lugar a una investigación formal por indicios de falta de diligencia. Esto pone de manifiesto que la diligencia en cumplir con las obligaciones de notificación es, en sí misma, una forma de responsabilidad proactiva conforme al RGPD. Claves para reducir el riesgo y mejorar la gestión Los datos de 2025 ofrecen varias lecciones estratégicas para organizaciones y profesionales del derecho y la seguridad: La evolución de las brechas de datos en España en 2025 pone de manifiesto un entorno cada vez más exigente en términos de ciberseguridad y cumplimiento normativo. Si bien la notificación de incidentes es ahora más habitual y representa un avance en la cultura del cumplimiento, los vectores de ataque más frecuentes y el elevado número de datos afectados subrayan la necesidad de medidas preventivas robustas y una gestión proactiva del riesgo.