El 22 de diciembre de 2025, la autoridad francesa de protección de datos (CNIL) impuso una multa de 1 700 000 € a la empresa Nexpublica France por no implementar medidas técnicas y organizativas adecuadas de seguridad en su software PCRM, una herramienta utilizada para la gestión de la relación con usuarios en el ámbito de la acción social.   El PCRM, utilizado por algunas Maisons Départementales des Personnes Handicapées (MDPH), permitió que usuarios accedieran indebidamente a documentos de terceros, lo que motivó notificaciones de violaciones de datos personales ante la CNIL a finales de noviembre de 2022. Los controles posteriores revelaron que Nexpublica no había establecido medidas de seguridad adecuadas para proteger los datos sensibles procesados en esa plataforma.   La formación restreinte…

La reciente publicación por la Agencia Española de Protección de Datos de su Política general para el uso de IA generativa en procesos administrativos constituye, a mi juicio, un hito especialmente relevante desde una doble perspectiva: institucional y académica. No es habitual que una autoridad de control, llamada precisamente a supervisar y sancionar usos indebidos de tecnologías intensivas en datos, se sitúe de forma tan explícita en la posición de usuario responsable de dichas tecnologías, y lo haga además mediante un documento público, sistemático y jurídicamente fundamentado. Como profesor de Derecho, valoro muy positivamente que la AEPD no haya optado por un enfoque meramente tecnológico o experimental, sino que haya articulado el uso de la IA…

El Consejo de la Unión Europea ha adoptado recientemente una regulación destinada a optimizar los procedimientos de reclamación transfronteriza bajo el General Data Protection Regulation (RGPD).  Esta iniciativa constituye una evolución significativa del régimen de cooperación entre las autoridades nacionales de protección de datos, que hasta ahora había sido objeto de críticas por su lentitud y falta de uniformidad cuando los casos abarcan más de un Estado miembro. Desde una perspectiva académica y profesional, resulta imprescindible destacar cómo esta medida procura armonizar tres niveles jurídicos: la admissibilidad de las reclamaciones, los derechos procesales de las partes (tanto del reclamante como del investigado), y la fijación de plazos máximos para la tramitación…

La Agencia Española de Protección de Datos ha publicado recientemente una guía práctica sobre el uso del cifrado como medida de seguridad dirigida específicamente a autónomos y pequeñas y medianas empresas. Este documento, de marcado carácter pedagógico, responde a una necesidad acuciante: acercar los principios técnicos y jurídicos de la seguridad de la información a un segmento empresarial que, por lo general, carece de medios especializados para afrontar los retos que plantea el cumplimiento del Reglamento General de Protección de Datos (RGPD). La guía se estructura en torno a una serie de casos reales en los que se produjeron brechas de seguridad —desde pérdidas de dispositivos hasta accesos no autorizados—,…

El 10 de julio de 2023 la Comisión adoptó la decisión de adecuación para el DPF, autorizando transferencias de datos personales desde la UE a organizaciones en EE.UU. sin requisitos adicionales, al considerar que el nivel de protección ofrecido era “adecuado” conforme al Reglamento (UE) 2016/679 (RGPD) artículo 45.   El precedente inmediato lo constituyen los fallos de la Court of Justice of the European Union (CJEU) en los casos Max Schrems I (C-362/14) y II (C-311/18), en los que se anuló primero el Safe Harbour (2015) y luego el Privacy Shield (2020) al considerar que EE.UU. no garantizaba un nivel de protección “esencialmente equivalente” al de la UE.   El señor…

El Supervisor Europeo de Protección de Datos (EDPS) ha publicado el 11 de noviembre de 2025 una guía clave sobre gestión de riesgos en sistemas de inteligencia artificial, dirigida a instituciones y organismos de la Unión Europea que actúan como responsables del tratamiento. Aunque formalmente se centra en el Reglamento (UE) 2018/1725, su metodología es extrapolable a cualquier organización que deba conciliar el uso de IA con la protección de los derechos fundamentales. 1. Un marco de gestión de riesgos inspirado en ISO 31000:2018 La guía adopta la metodología ISO 31000:2018, aplicándola al ciclo de vida de los sistemas de IA. Identifica, analiza y trata los riesgos asociados a cada fase —desde el diseño y…

La Agencia Española de Protección de Datos (AEPD) ha impuesto la primera sanción en Europa por la difusión de una imagen falsa de desnudo generada mediante inteligencia artificial. La multa —2.000 €, reducida a 1.200 por pronto pago— se impuso al creador de un deepfake que insertó el rostro de una persona en el cuerpo desnudo de otra sin consentimiento. La AEPD tuvo conocimiento de los hechos a raíz de una reclamación presentada por una de las víctimas, tras la amplia difusión mediática de los llamados “deepfakes de Almendralejo”. La investigación confirmó que las imágenes se generaron y compartieron sin consentimiento, vulnerando el artículo 6.1 RGPD sobre la licitud del tratamiento de datos personales. La Agencia recuerda…

El European Data Protection Board (EDPB) ha adoptado la Opinión 28/2025 en relación con el borrador de decisión de adecuación propuesto por la European Commission respecto a la protección de los datos personales en la Federative Republic of Brazil (Brasil).   Este acontecimiento marca un paso relevante dentro del marco jurídico de las transferencias internacionales de datos personales, y conviene analizar sus implicaciones para empresas y entidades que operan tanto en la UE como en Brasil. Bajo el artículo 45 del Regulation (EU) 2016/679 (GDPR), la Comisión puede declarar que un país tercero ofrece un nivel de protección de datos “adecuado” — lo cual permite que las transferencias de datos personales…