De la confianza digital a la resiliencia estratégica: la evolución de la ciberseguridad en la UE

4 febrero 2026 No hay comentarios

La política europea de ciberseguridad no ha surgido de la nada. Es el resultado de una década de construcción normativa progresiva, marcada por crisis tecnológicas, tensiones geopolíticas y una creciente dependencia de infraestructuras digitales críticas. El anuncio de la Comisión Europea sobre el refuerzo de la resiliencia y capacidades de ciberseguridad de la Unión representa un punto de inflexión, pero solo se entiende bien si miramos el camino recorrido. 1. El punto de partida: confianza y mercado interior (2013–2019) En una primera fase, la UE abordó la ciberseguridad principalmente como un requisito para el buen funcionamiento del mercado interior: En esta etapa, la lógica era preventiva y técnica: armonizar, generar confianza y reducir fragmentación. 2. El cambio de contexto: de lo técnico a lo estratégico (2020–2023) A partir de 2020, el contexto cambia radicalmente toda vez que ahora estamos en una situación en la que concurre un aumento exponencial de ransomware y ataques a hospitales, energía y transporte; se llevan a cabo ataques a cadenas de suministro (SolarWinds como paradigma); se usan los ciberataques como instrumento híbrido en conflictos geopolíticos y la tecnología cada vez acelera más (cloud, IA, edge, IoT). La respuesta normativa se intensifica mediante la publicación normas como: La ciberseguridad deja de ser solo compliance: pasa a ser infraestructura de soberanía digital. 3. El problema detectado: complejidad, solapamientos y brechas reales Paradójicamente, el éxito regulatorio genera un nuevo riesgo que pasa por la fragmentación práctica en la aplicación; por marcos complejos y costosos para empresas; por certificaciones lentas y poco operativas; y por riesgos crecientes en cadenas de suministro TIC, especialmente con proveedores de terceros países. La UE detecta una desalineación entre el marco normativo y la realidad operativa, tanto para Estados como para empresas. 4. El punto actual: hacia el Cybersecurity Act 2 (2026) Aquí se sitúa el anuncio actual: una revisión profunda del Cybersecurity Act, con tres ejes estructurales: ENISA como actor central operativo No solo asesorar, sino coordinar, apoyar e intervenir. Más medios, más foco y más capacidad real de respuesta. Certificación como herramienta de cumplimiento La certificación europea deja de ser ornamental y se integra como mecanismo transversal de cumplimiento (NIS2, CRA, potencialmente RGPD). Seguridad de la cadena de suministro TIC Por primera vez, se aborda de forma horizontal y armonizada el riesgo no técnico de proveedores, dependencias críticas y resiliencia industrial. El enfoque ya no es solo “proteger sistemas”, sino proteger capacidades estratégicas europeas. En conclusión, La UE está cerrando un ciclo basado en el paso de la confianza digital a la resiliencia estructural y de ahí a la autonomía estratégica en ciberseguridad. La Opinión Conjunta 1/2026 del European Data Protection Board y del European Data Protection Supervisor sobre el Digital Omnibus on AI apoya el objetivo de simplificar la aplicación del AI Act, pero lanza una advertencia clara: la simplificación no puede traducirse en una rebaja del nivel de protección de los derechos fundamentales, en particular del derecho a la protección de datos. En este sentido, acepta la ampliación excepcional del tratamiento de categorías especiales de datos para la detección y corrección de sesgos, siempre que se mantenga el estándar de estricta necesidad y que su uso esté claramente delimitado para evitar abusos. Del mismo modo, rechaza eliminar obligaciones clave de registro y documentación de sistemas de IA, al considerar que la transparencia, la trazabilidad y la rendición de cuentas son elementos estructurales del modelo europeo de gobernanza algorítmica. La Opinión también respalda los sandboxes regulatorios europeos y una mayor centralización de la supervisión en la AI Office para determinados sistemas, pero insiste en reforzar la cooperación efectiva con las autoridades de protección de datos y en preservar su independencia. Advierte igualmente contra el debilitamiento de la obligación de alfabetización en IA y muestra preocupación por el posible retraso en la aplicación de las normas sobre sistemas de alto riesgo, por su impacto directo en la protección de los derechos fundamentales. El mensaje de fondo es inequívoco: hacer el AI Act más aplicable es necesario, pero hacerlo menos exigente sería incompatible con el enfoque europeo de una IA fiable, responsable y centrada en las personas.

La UE refuerza su resiliencia en ciberseguridad: hacia un nuevo

4 febrero 2026 No hay comentarios

Cybersecurity Act 2 La Comisión Europea ha dado un paso decisivo para fortalecer la resiliencia y las capacidades de ciberseguridad de la Unión Europea. A través de un nuevo paquete normativo, se propone una profunda revisión del marco vigente con un objetivo claro: adaptar la gobernanza europea de la ciberseguridad a un entorno de amenazas más sofisticado, más geopolítico y más dependiente de las cadenas de suministro digitales. ¿Qué está cambiando? El eje central de la reforma es la propuesta de un nuevo Reglamento que sustituirá al actual Cybersecurity Act de 2019, reforzando tres pilares clave: 1. Un ENISA con un mandato más fuerte y operativo La Agencia de la Unión Europea para la Ciberseguridad (ENISA) pasará de un rol eminentemente técnico-consultivo a uno más estratégico y operativo, con mayor capacidad para: Este refuerzo irá acompañado de más recursos humanos y financieros, conscientes de que no hay resiliencia digital sin capacidad institucional real. 2. Reforma del sistema europeo de certificación en ciberseguridad El European Cybersecurity Certification Framework (ECCF) se reforma para hacerlo: La certificación deja de ser solo un “sello de confianza” y se convierte en una pieza estructural del cumplimiento regulatorio europeo. 3. Seguridad de la cadena de suministro ICT Uno de los elementos más sensibles del nuevo marco es la creación de un sistema europeo armonizado para gestionar riesgos en las cadenas de suministro TIC, incluyendo: Aquí la ciberseguridad se conecta directamente con la autonomía estratégica, la seguridad económica y la protección de infraestructuras críticas. ¿Por qué es relevante (de verdad)? Esta reforma no es solo técnica. Refleja un cambio de paradigma:

Brechas de datos en España en 2025: lecciones y desafíos tras los datos publicados por la AEPD

30 enero 2026 No hay comentarios

El año 2025 ha sido un punto de inflexión en materia de brechas de datos personales en España. Los datos publicados por la Agencia Española de Protección de Datos (AEPD) reflejan no solo la intensidad de los incidentes de seguridad digital sino también el grado de concienciación y responsabilidad de las organizaciones ante su obligación de notificación bajo el Reglamento General de Protección de Datos (RGPD). Subida de notificaciones: más de 2.700 brechas reportadas En 2025, la AEPD recibió un total de 2.765 notificaciones de brechas de datos personales, situando la cifra en un nivel históricamente alto. Estas notificaciones no implican necesariamente una sanción, sino que constituyen la obligación legal de comunicar a la autoridad de control los incidentes que puedan suponer un riesgo para los derechos y libertades de las personas. La mayor parte de estas brechas se originó en el sector privado (80 %), debido al gran volumen de datos que gestiona y a la intensidad con la que se utilizan tecnologías digitales en este ámbito. Ciberataques y vectores de riesgo Aunque en años anteriores muchas brechas tenían un origen operativo (como errores humanos o envíos accidentales de información), 2025 estuvo marcado por ciberincidentes sofisticados, especialmente: Este patrón evidencia que muchos incidentes no requieren técnicas extremadamente avanzadas, sino que se aprovechan de fallos básicos de higiene digital, como contraseñas débiles o la ausencia de mecanismos de autenticación robustos. Más de 200 millones de comunicaciones a afectados Un dato especialmente revelador es el volumen de comunicaciones emitidas a personas afectadas en los casos en que la brecha implicaba un riesgo alto. En 2025 se superaron los 200 millones de comunicaciones, una cifra que casi duplicó los datos de años anteriores y refleja la gravedad de los incidentes de mayor impacto. Notificar no es sinónimo de sancionar Un aspecto esencial que subraya la AEPD es que la notificación de una brecha no implica automáticamente una sanción. De las 2.765 notificaciones registradas, solo una minoría (aproximadamente 0,4 %) dio lugar a una investigación formal por indicios de falta de diligencia. Esto pone de manifiesto que la diligencia en cumplir con las obligaciones de notificación es, en sí misma, una forma de responsabilidad proactiva conforme al RGPD. Claves para reducir el riesgo y mejorar la gestión Los datos de 2025 ofrecen varias lecciones estratégicas para organizaciones y profesionales del derecho y la seguridad: La evolución de las brechas de datos en España en 2025 pone de manifiesto un entorno cada vez más exigente en términos de ciberseguridad y cumplimiento normativo. Si bien la notificación de incidentes es ahora más habitual y representa un avance en la cultura del cumplimiento, los vectores de ataque más frecuentes y el elevado número de datos afectados subrayan la necesidad de medidas preventivas robustas y una gestión proactiva del riesgo.

Deepfakes sexuales, Grok y la respuesta jurídica: hacia una nueva tutela del honor y la propia imagen en la era de la inteligencia artificial

16 enero 2026 No hay comentarios

Deepfakes sexuales, Grok y la respuesta jurídica: hacia una nueva tutela del honor y la propia imagen en la era de la inteligencia artificial La inteligencia artificial generativa ha dejado de ser un fenómeno experimental para convertirse en infraestructura cotidiana de creación de contenidos. Texto, imagen, audio y vídeo pueden hoy generarse o manipularse con una facilidad inédita. El problema surge cuando esta potencia tecnológica se cruza con derechos fundamentales de la personalidad: honor, intimidad personal y familiar y propia imagen. En las últimas semanas, el debate ha saltado al primer plano mediático a raíz de los casos de generación de “desnudos” y contenido sexualizado no consentido mediante IA, asociados al uso de xAI y su modelo Grok, integrado en la red social X. Estos episodios han actuado como catalizador político y jurídico, acelerando una respuesta normativa que en España llevaba tiempo gestándose: la reforma integral de la Ley Orgánica 1/1982, pilar histórico de la protección civil del honor y la propia imagen. El caso Grok y los “deepfakes de desnudos”: más allá del escándalo tecnológico Diversas investigaciones periodísticas y denuncias de usuarias han puesto de relieve que determinados flujos de uso de Grok permitían generar imágenes sexualizadas o de desnudez a partir de fotografías reales, “desvestir” digitalmente a mujeres sin su consentimiento y difundir estos contenidos en entornos sociales con alto potencial viral. No se trata únicamente de un problema de moderación de contenidos, sino de algo cualitativamente distinto la fabricación de una realidad visual falsa atribuida a una persona real, con un impacto directo en su dignidad y reputación. Hasta ahora, muchos ordenamientos —incluido el español— se enfrentaban a una dificultad la imagen difundida no existía en la realidad, no era una “fotografía íntima robada”, sino una recreación artificial y el daño, sin embargo, era idéntico o superior. La Ley Orgánica 1/1982 fue concebida en un mundo analógico y, aunque su interpretación jurisprudencial ha sido flexible, no estaba diseñada para deepfakes hiperrealistas generados por IA. El Consejo de Ministros aprobó en enero de 2026 el Anteproyecto de Ley Orgánica que sustituirá íntegramente la norma de 1982 con el objetivo de actualizar la tutela civil de los derechos de la personalidad al entorno digital y algorítmico. Entre los cambios, destacar que el anteproyecto introduce expresamente como intromisión ilegítima el uso de la imagen o la voz de una persona, generadas, recreadas o manipuladas mediante sistemas de inteligencia artificial o tecnologías análogas, sin su autorización. Este punto es crucial ya que no se exige que la imagen sea real, no depende de la finalidad comercial y no se neutraliza por el mero etiquetado como “contenido generado por IA”. En otras palabras, aunque el deepfake esté “marcado” o advertido, puede ser ilícito civilmente. La reforma aclara otro aspecto esencial: el hecho de que una persona publique una imagen en una red social no implica autorización para su reutilización, transformación o redistribución en otros contextos. Este inciso es especialmente relevante para el entrenamiento de modelos, la generación de deepfakes a partir de imágenes públicas y la defensa frente a la excusa del “contenido accesible públicamente”. La reforma española no actúa en el vacío, sino que se superpone al Reglamento de Inteligencia Artificial, ya aprobado a nivel europeo. En primer lugar, el artículo 50 impone obligaciones de información al usuario cuando interactúa con IA, marcado del contenido sintético (imagen, audio, vídeo) y divulgación expresa cuando se trate de deepfakes. Pero conviene subrayarlo con claridad jurídica: el AI Act no legitima la creación de deepfakes lesivos; simplemente impone deberes de transparencia. La licitud material sigue dependiendo del Derecho nacional (civil, penal, administrativo). Los artículos 51 y 52 regulan los modelos de IA de uso general (GPAI) y su eventual calificación como de riesgo sistémico. Esto es relevante porque los grandes modelos capaces de generar deepfakes hiperrealistas pueden quedar sometidos a obligaciones reforzadas. Y en litigios civiles, estas obligaciones pueden operar como estándar de diligencia exigible al proveedor. No crean derechos subjetivos directos, pero influyen decisivamente en la valoración de la culpa o negligencia. La reforma española del derecho al honor, la intimidad y la propia imagen es oportuna, técnicamente sólida y conceptualmente correcta. Sin embargo, sería un error pensar que con ella queda resuelto el desafío jurídico que plantea la inteligencia artificial generativa. Los retos que introduce la IA son de tal magnitud, transversalidad y profundidad, y afectan a tantos ámbitos del ordenamiento (civil, penal, administrativo, mercantil, procesal, constitucional y europeo), que las respuestas normativas aisladas o sectoriales resultan necesariamente insuficientes. No estamos ante un problema puntual, sino ante un cambio estructural del ecosistema informacional, probatorio y reputacional. Antes incluso de entrar en los retos técnicos, conviene subrayar uno estrictamente institucional la propia viabilidad parlamentaria de la reforma. La debilidad parlamentaria del Gobierno convierte la aprobación de una Ley Orgánica —que exige mayoría absoluta— en un proceso incierto. Este factor introduce una paradoja preocupante pues el diagnóstico jurídico parece correcto, la urgencia social es evidente, pero el marco político puede impedir que la respuesta normativa llegue a tiempo. Este riesgo refuerza la necesidad de pensar en soluciones estructurales y coordinadas, más allá de una única reforma legislativa. En cualquier caso, incluso si la reforma prospera, subsisten problemas de enorme complejidad jurídica y probatoria. Uno de los principales desafíos será acreditar que un contenido ha sido generado o manipulado mediante IA. Sin una evolución del Derecho procesal y probatorio, el reconocimiento material del derecho puede quedar vacío de efectividad práctica. La IA introduce cadenas de valor y de decisión difusas (i) quien entrena el modelo, (ii) quien lo ajusta, (iii) quien lo despliega, (iv) quien introduce el «prompt», (v) quien difunde el resultado y/o (vi) quien lo monetiza o amplifica. El esquema clásico de autor–editor–difusor resulta insuficiente. El reto no es menor: sin un responsable claro, no hay tutela efectiva. Esto obliga a replantear los criterios de imputación, la responsabilidad solidaria o por riesgo y el concepto mismo de “control efectivo” sobre el contenido. Los casos como Grok ponen de manifiesto un problema recurrente tales como proveedores radicados fuera de la UE, las plataformas globales y los contenidos accesibles instantáneamente en España. La tutela civil nacional, por sí sola, no puede operar de forma aislada. Se requieren mecanismos eficaces de cooperación judicial internacional, la ejecución transfronteriza de resoluciones y sobre todo, corresponsabilidad real de las plataformas que alojan, amplifican o monetizan el contenido. El elefante en la habitación: la responsabilidad definitiva de los gatekeepers Aquí se sitúa el debate que el legislador europeo y nacional llevan años evitando afrontar de manera frontal: La responsabilidad de los grandes gatekeepers por los contenidos que alojan no puede seguir siendo ambigua, limitada o meramente reactiva. El modelo de “neutralidad tecnológica” y de responsabilidad atenuada fue razonable en los albores de Internet y resulta cada vez menos defendible en un ecosistema dominado por plataformas que optimizan, recomiendan, amplifican y rentabilizan activamente los contenidos. Cuando un sistema prioriza, recomienda, viraliza y obtiene beneficio económico, deja de ser un mero intermediario pasivo. La cuestión ya no es si deben responder, sino cuándo, cómo y en qué medida, especialmente en supuestos de deepfakes sexuales, daños reputacionales irreversibles y lesiones graves a la dignidad humana. Sin una asunción clara de esta responsabilidad, cualquier tutela civil seguirá siendo reactiva, tardía y parcialmente ilusoria. Conviene insistir en una idea central los casos de Grok y los deepfakes sexuales no son una anécdota ni un fallo puntual de diseño. Son el primer gran conflicto estructural entre la IA generativa como infraestructura de producción de realidad y los derechos de la personalidad como núcleo de la dignidad humana. Lo que hoy afecta al honor y a la imagen mañana afectará a la prueba judicial, pasado mañana a la democracia deliberativa. Y, en último término, a la confianza social en la verdad. España, con el intento de reformar la Ley Orgánica de 1982, se sitúa indudablemente en la vanguardia europea de la tutela civil frente a la IA, complementando de forma inteligente el Reglamento europeo de inteligencia artificial. Pero este paso, siendo imprescindible, no es suficiente. La magnitud del desafío exige respuestas holísticas, no peregrinas, la coordinación real entre Derecho europeo y nacional, la implementación de reformas procesales, probatorias y de responsabilidad, y, sobre todo, una redefinición clara del papel y la responsabilidad de los grandes actores tecnológicos. Porque si algo ha demostrado la IA generativa es que el daño ya no es futuro, sino presente, y que el Derecho no puede permitirse llegar siempre un paso por detrás.

El Tribunal Supremo avala los pactos parasociales incluso cuando contemplan la unanimidad

8 enero 2026 No hay comentarios

La Sala Primera del Tribunal Supremo ha sentado una doctrina clave en materia societaria al confirmar la validez de los pactos parasociales incluso cuando contemplan una unanimidad práctica para la adopción de ciertos acuerdos y una duración indeterminada pero determinable. La sentencia n.º 1713/2025, de 26 de noviembre, consolida una jurisprudencia favorable a la autonomía de la voluntad de los socios, reforzando la seguridad jurídica en las relaciones societarias. ¿Qué son los pactos parasociales? Los pactos parasociales son acuerdos celebrados entre algunos o todos los socios de una sociedad para regular aspectos de la relación societaria que no están recogidos en los estatutos. Son habituales en sociedades cerradas o en operaciones de M&A, y se sustentan en el principio de libertad contractual del artículo 1255 del Código Civil. El caso: unanimidad práctica y duración indeterminada En el caso analizado, los socios impugnaron un pacto parasocial alegando que: El Tribunal Supremo desestimó el recurso, confirmando que estas cláusulas no son nulas per se y pueden ser compatibles con el ordenamiento si han sido libremente pactadas y mantenidas en el tiempo sin vulnerar derechos esenciales ni imponer cargas irracionales a los socios. Claves de la doctrina fijada 1. Autonomía de la voluntad y límites a la nulidad El Alto Tribunal recuerda que la libertad contractual es un principio rector en los pactos entre socios, siempre que estos no contravengan normas imperativas ni perjudiquen de forma irrazonable a los partícipes. 2. Unanimidad práctica no necesariamente abusiva La exigencia de unanimidad para adoptarse ciertos acuerdos no se considera automáticamente contraria al artículo 200 LSC si responde a un equilibrio de intereses y fue aceptada sin coacción. 3. Duración indeterminada, pero determinable La ausencia de un plazo fijo no invalida el pacto si su duración es determinable —por ejemplo, mientras los socios mantengan su participación— y no priva a nadie de derechos fundamentales ni elimina la posibilidad de salida razonable. 4. Buena fe y doctrina de los actos propios Un elemento decisivo fue que los socios impugnantes habían cumplido y ejecutado el pacto durante años sin objeción. La conducta contradictoria de impugnarlo solo cuando dejó de ser conveniente vulnera el principio de buena fe contractual. ¿Qué aporta esta sentencia? Esta resolución refuerza la confianza en los pactos parasociales como instrumentos válidos en la regulación interna de sociedades. Aclara que este tipo de acuerdos, bien diseñados y aceptados, son eficaces y no pueden ser anulados simplemente por su duración o por mecanismos de mayoría reforzada si no dañan derechos esenciales ni contravienen normas imperativas. Para los profesionales del derecho societario, la sentencia supone una guía práctica para diseñar pactos más seguros y una advertencia sobre la importancia de la coherencia y la buena fe en la conducta de los socios.

La sanción histórica de la UE a X por incumplimiento del DSA: un antes y un después en la regulación digital

7 enero 2026 No hay comentarios

El 5 de diciembre de 2025 la Comisión Europea impuso una sanción de 120 millones de euros a la plataforma X (antes Twitter) por incumplir sus obligaciones en virtud del **Reglamento (UE) 2022/2065, conocido como Ley de Servicios Digitales (DSA). Esta decisión no sólo representa la primera multa significativa bajo el nuevo régimen jurídico europeo para plataformas digitales, sino que marca un punto de inflexión en la aplicación efectiva del derecho europeo en el entorno digital. I. El contexto jurídico del DSA La DSA es un reglamento de aplicación directa en todos los Estados miembros que establece un marco exhaustivo sobre responsabilidad, transparencia y rendición de cuentas de los proveedores de servicios digitales, especialmente de las plataformas en línea de gran dimensión (VLOPs y VLOSEs). Su finalidad es armonizar las obligaciones de estas plataformas frente a los riesgos sistémicos derivados de la difusión de contenidos, la protección de usuarios y la transparencia de su operativa, con especial énfasis en los mecanismos que afectan a derechos fundamentales y al mercado único digital. II. ¿Qué incumplió X? Análisis de las infracciones detectadas La Comisión Europea identificó al menos tres violaciones graves de las obligaciones de transparencia impuestas por la DSA: III. Significado jurídico de la sanción La multa de 120 millones de euros equivale aproximadamente al 5 % de la facturación global anual de X en 2024, acercándose al máximo permitido por la normativa (6 % en casos de reincidencia o incumplimientos sistémicos). Este criterio castigador —aunque proporcional— refuerza la lógica disuasoria del DSA: las obligaciones no son meramente formales, sino que tienen consecuencias reales y cuantiosas para quienes las infringen. Ya no se trata de exhortaciones o advertencias, sino de un modelo sancionador efectivo impulsado desde Bruselas. Además, la decisión establece un precedente interpretativo clave: la UE está dispuesta no sólo a sancionar, sino a exigir modificaciones en el comportamiento de las plataformas, con plazos concretos para adaptarse y corregir prácticas contrarias al derecho. IV. Impacto y reflexión jurídica La sanción contra X abre varias reflexiones de calado para operadores digitales, juristas y reguladores: V. Conclusión La multa impuesta a X no es únicamente un hito cuantitativo; representa la madurez del marco regulatorio digital europeo y su capacidad para imponerse frente a grandes plataformas que operan a escala transnacional. Es una advertencia firme al sector tecnológico: el cumplimiento del DSA no es una opción, y la transparencia, la veracidad de la interfaz y el acceso a información son pilares innegociables del nuevo Derecho digital europeo. Para operadores, asesores y académicos, este caso invita a repensar no solo estrategias de compliance, sino también la manera en que se concibe la responsabilidad jurídica de las plataformas en la era digital. El DSA ya no es una promesa: es una realidad jurídica tangible con efectos directos en el mercado, los derechos de los usuarios y la gobernanza global de los servicios digitales.