Cyber Monday Flash - Abril

Claves regulatorias que marcan la agenda de privacidad y ciberseguridad.

Una tienda vintage con un escaparate iluminado en tonos rosados que muestra el texto 'PHOTOS'.

La Comisión Europea lanza una app para verificar la edad online

La Comisión Europea ha anunciado que la aplicación europea de verificación de edad ya es técnicamente operativa y estará disponible próximamente para proteger a los menores frente a contenidos nocivos y prácticas adictivas en plataformas digitales.

Desde una perspectiva regulatoria, la iniciativa refuerza la aplicación del Digital Services Act y anticipa un mayor escrutinio sobre las obligaciones de verificación de edad, privacidad y diseño responsable de las plataformas.

Un semáforo emitiendo luces roja y verde en una noche oscura.

El EDPB abre consulta pública sobre un modelo armonizado de EIPD

El Comité Europeo de Protección de Datos (EDPB) ha abierto una consulta pública (hasta el 9 de junio de 2026) sobre su nuevo modelo armonizado de Evaluación de Impacto en Protección de Datos (DPIA), acompañado de un documento explicativo, con el objetivo de reducir la fragmentación existente entre autoridades nacionales y reforzar la coherencia en la aplicación del artículo 35 RGPD.

La propuesta fija una estructura común de EIPD, sin imponer una metodología concreta, y apunta a su adopción como formato europeo de referencia, con impacto directo en la gobernanza del riesgo y la accountability.

Una imagen que muestra trazos de luz en movimiento en la oscuridad.

La Audiencia Nacional rebaja a apercibimiento una sanción por uso de huella dactila

La Audiencia Nacional (SAN 799/2026) ha anulado la multa de 20.000 euros impuesta por la AEPD por el uso de huella dactilar para el acceso a vestuarios y aseos laborales, sustituyéndola por un apercibimiento, al considerar desproporcionada la sanción económica.

No obstante, el tribunal confirma que el uso de biometría vulneraba el principio de minimización del artículo 5.1.c) RGPD, al existir alternativas menos intrusivas, consolidando una doctrina restrictiva sobre el uso de datos biométricos en el ámbito laboral.

Una vista desde abajo de rascacielos que se elevan hacia el cielo.

La AEPD sanciona a una entidad financiera con 400.000 euros por deficiencias en seguridad de videovigilancia

La AEPD ha sancionado a una entidad financiera con 400.000 euros por infracción del artículo 32 RGPD, al constatar deficiencias en la gestión de accesos a las imágenes de su sistema de videovigilancia, tras la terminación del procedimiento por pago voluntario.

La Agencia acredita que el proveedor de seguridad accedía a las imágenes mediante un usuario genérico compartido, sin identificación individual ni trazabilidad efectiva, pese a que el contrato y la EIPD exigían controles reforzados. La resolución recuerda que la externalización no exonera al responsable del tratamiento, que debe verificar la implantación real y continuada de las medidas técnicas y organizativas, especialmente en tratamientos de alto impacto como la videovigilancia bancaria.

La imagen muestra una pared con paneles iluminados en colores naranja, rosa y blanco contra un fondo azul claro.

La AEPD declara ilícita la exigencia de copia del DNI

La AEPD ha declarado que la exigencia y conservación de una copia o escaneo del DNI para la presentación presencial de escritos en oficinas de registro vulnera el principio de minimización del artículo 5.1.c) RGPD (Resolución PS‑00138‑2025).

La Agencia recuerda que la verificación de identidad no legitima, por sí sola, la conservación del documento, debiendo optarse por medios menos intrusivos y evaluarse cada caso conforme a los criterios de necesidad y proporcionalidad, reforzando el enfoque de privacy by design en procedimientos presenciales.

Vista de una torre desde una ventana con un cielo despejado.

La AEPD sanciona a una entidad de telecomunicaciones por incumplir el derecho de acceso

La AEPD ha confirmado una sanción de 100.000 euros impuesta a una entidad de telecomunicaciones por incumplir de forma reiterada una resolución firme que le ordenaba atender el derecho de acceso de un usuario a sus datos de geolocalización, desestimando el recurso de reposición interpuesto.

La Agencia concluye que la información facilitada no permitía conocer la localización geográfica efectiva del terminal, vaciando de contenido el derecho de acceso, y recuerda que los operadores están obligados, conforme a la Ley 25/2007, a conservar y facilitar los datos necesarios para identificar la localización del equipo móvil. La resolución refuerza la doctrina de que el derecho de acceso debe ser efectivo, completo y útil, y que el cumplimiento meramente formal o parcial, especialmente tras resoluciones firmes, constituye una infracción autónoma sancionable.

Una pantalla de luces cálidas colgantes en un ambiente moderno.

El EDPB consolida Europrivacy como sello europeo y habilita su uso en transferencias internacionales

El EDPB, mediante las Opiniones, 14/2026 y 15/2026, ha consolidado Europrivacy como el primer esquema plenamente operativo de certificación conforme al artículo 42.5 del RGPD y, por primera vez, como garantía adecuada para transferencias internacionales en virtud del artículo 46 RGPD.

El Comité confirma su reconocimiento automático en todo el EEE como Sello Europeo de Protección de Datos y reconoce que la certificación puede utilizarse incluso en ausencia de decisión de adecuación, siempre que el importador asuma compromisos vinculantes. Aunque no sustituye la evaluación caso por caso, amplía el abanico de mecanismos disponibles junto a las SCCs y las BCRs, reforzando la accountability y la seguridad jurídica en los flujos internacionales de datos.

Conoce a nuestro equipo

Acompañamos a organizaciones en la gestión integral de riesgos en privacidad y ciberseguridad.