El pasado 27 de marzo de 2025, la Abogada General del Tribunal de Justicia de la Unión Europea (TJUE), Tamara Capeta, emitió una opinión no vinculante respaldando la posición de WhatsApp en su disputa con la Junta Europea de Protección de Datos (EDPB). Esta controversia se originó en 2021, cuando la autoridad de protección de datos de Irlanda impuso a WhatsApp una multa de 225 millones de euros por infracciones relacionadas con el uso de datos personales en Irlanda. Dicha sanción fue aumentada tras la intervención del EDPB.   En 2022, un tribunal inferior desestimó el recurso de WhatsApp contra la decisión del EDPB, argumentando que la empresa no tenía legitimación…

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 4.800 euros a una empresa tecnológica por no proporcionar, dentro del plazo establecido, la información solicitada en el marco de una investigación sobre posibles incumplimientos del Reglamento General de Protección de Datos (RGPD). Según la resolución, la AEPD requirió a la compañía que, en un plazo de cinco días hábiles, entregara determinada documentación. Al no recibir respuesta en el tiempo estipulado, la Agencia interpretó esta falta de colaboración como una negativa a facilitar la información, lo que llevó al inicio de un procedimiento sancionador. Este caso subraya la importancia de que las empresas respondan de manera oportuna…

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente con 2.000 euros a una empresa de hospedaje por solicitar a sus clientes el envío de imágenes de sus Documentos Nacionales de Identidad (DNI) a través de WhatsApp.   La AEPD considera que esta práctica constituye un tratamiento excesivo de datos personales, vulnerando el principio de minimización establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD). Este principio establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Aunque los establecimientos de hospedaje están legalmente obligados a verificar la identidad de sus…

El Tribunal Supremo, en su reciente sentencia (STS, a 19 de febrero de 2025 – ROJ: STS 699/2025), ha confirmado la responsabilidad civil subsidiaria de Gamboa Automoción S.A., sosteniendo que la brecha de seguridad en su sistema informático facilitó un fraude a terceros. Un grupo de ciberdelincuentes suplantó la cuenta de correo de un empleado de Gamboa Automoción y envió a Comercio y Asistencia S.A. (CYASA) instrucciones falsas para realizar una transferencia de 32.594,75 euros. CYASA, confiando en la autenticidad del mensaje, efectuó el pago a una cuenta fraudulenta. En primera instancia, el Juzgado de lo Penal absolvió a Gamboa Automoción de responsabilidad civil subsidiaria. La Audiencia Provincial de Oviedo revocó la absolución en apelación, considerando que…

El 13 de marzo de 2025, el Comité Europeo de Protección de Datos (CEPD, en inglés European Data Protection Board – EDPB) emitió la Declaración 2/2025 en relación con la aplicación de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre el uso de los datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, Directiva PNR). Esta declaración responde a la interpretación dada por el Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 21 de junio de 2022 en el asunto Ligue des droits humains c. Conseil des ministres (C-817/19), que estableció…