La reciente iniciativa de la CNIL sobre los píxeles de seguimiento en correos electrónicos constituye uno de los movimientos regulatorios más relevantes en materia de privacidad digital de los últimos años. Bajo la apariencia de una recomendación técnica, lo que realmente se está produciendo es una redefinición profunda del equilibrio entre marketing digital, analítica de comportamiento y derechos fundamentales, especialmente en lo relativo al consentimiento y a la transparencia. Los denominados “tracking pixels” —pequeñas imágenes invisibles insertadas en correos electrónicos— permiten a los remitentes conocer si un mensaje ha sido abierto, cuándo, desde qué dispositivo o incluso desde qué ubicación aproximada. Se trata de una tecnología ampliamente extendida en el email marketing…

La reciente adopción por parte del European Data Protection Board (EDPB) de un nuevo template armonizado para la evaluación de impacto en protección de datos (DPIA) marca un punto de inflexión en la evolución del compliance europeo. No se trata simplemente de un formulario más detallado o de una herramienta técnica adicional, sino de un verdadero cambio de paradigma: el paso de un enfoque documental a uno estructural, donde la protección de datos se integra desde el diseño mismo de los sistemas, procesos y decisiones empresariales. El nuevo modelo, adoptado el 10 de marzo de 2026, introduce una arquitectura exhaustiva que obliga a los responsables del tratamiento a describir con…

La reciente sentencia del Tribunal de Justicia de la Unión Europea de 19 de marzo de 2026 (asunto C-526/24) constituye un hito relevante en la evolución del sistema europeo de protección de datos, en la medida en que aborda, de forma directa y técnicamente sofisticada, tres cuestiones que están en el centro de la litigación actual en materia de RGPD: el abuso del derecho de acceso, el alcance del derecho a indemnización y la configuración del daño moral. La resolución parte de un supuesto paradigmático de lo que podría denominarse “litigación estratégica en protección de datos”: un interesado que, tras facilitar voluntariamente sus datos, ejerce el derecho de acceso con…

Es un placer compartir la publicación de mi nuevo libro: “La nueva gobernanza europea de los datos: análisis jurídico del Data Act”, editado por Aranzadi. La obra aborda uno de los desarrollos normativos más relevantes del Derecho de la Unión Europea en materia digital: el Reglamento sobre datos (Data Act), pieza clave en la configuración del nuevo ecosistema europeo de economía del dato. Nos encontramos ante un cambio de paradigma que trasciende la protección de datos personales para adentrarse en la regulación del acceso, uso y circulación de los datos —tanto personales como no personales— en entornos cada vez más interconectados. El objetivo del libro es ofrecer un análisis sistemático, riguroso…

La reciente sentencia del Tribunal Superior de Justicia de Canarias que condena a Mercadona a indemnizar con 7.500 euros a una trabajadora por la utilización de sus datos personales en la carta de despido de su pareja constituye un pronunciamiento de especial relevancia en la intersección entre el Derecho laboral y la protección de datos personales. Nos encontramos ante un supuesto paradigmático en el que el ejercicio legítimo de la potestad disciplinaria empresarial entra en conflicto directo con un derecho fundamental: el derecho a la protección de datos reconocido en el artículo 18.4 de la Constitución y desarrollado por el RGPD. Los hechos del caso son jurídicamente muy ilustrativos. La…

La política europea de ciberseguridad no ha surgido de la nada. Es el resultado de una década de construcción normativa progresiva, marcada por crisis tecnológicas, tensiones geopolíticas y una creciente dependencia de infraestructuras digitales críticas. El anuncio de la Comisión Europea sobre el refuerzo de la resiliencia y capacidades de ciberseguridad de la Unión representa un punto de inflexión, pero solo se entiende bien si miramos el camino recorrido. 1. El punto de partida: confianza y mercado interior (2013–2019) En una primera fase, la UE abordó la ciberseguridad principalmente como un requisito para el buen funcionamiento del mercado interior: En esta etapa, la lógica era preventiva y técnica: armonizar, generar confianza y reducir fragmentación. 2. El…

El año 2025 ha sido un punto de inflexión en materia de brechas de datos personales en España. Los datos publicados por la Agencia Española de Protección de Datos (AEPD) reflejan no solo la intensidad de los incidentes de seguridad digital sino también el grado de concienciación y responsabilidad de las organizaciones ante su obligación de notificación bajo el Reglamento General de Protección de Datos (RGPD).   Subida de notificaciones: más de 2.700 brechas reportadas En 2025, la AEPD recibió un total de 2.765 notificaciones de brechas de datos personales, situando la cifra en un nivel históricamente alto. Estas notificaciones no implican necesariamente una sanción, sino que constituyen la obligación legal de comunicar a la…