Cyber Monday Flash - Marzo

En esta edición analizamos las principales novedades en protección de datos y ciberseguridad, con resoluciones clave de la AEPD y nuevos desarrollos regulatorios.

Una imagen abstracta que muestra luces en movimiento en tonos rojos y blancos formando patrones circulares.

La AEPD advierte conflicto de intereses en la Diputación de Huesca

La Agencia Española de Protección de Datos (AEPD) ha declarado que la Diputación Provincial de Huesca incumplió el RGPD  al designar simultáneamente a su Delegado de Protección de Datos (DPO) como Responsable del Sistema Interno de Información, al considerar que esta acumulación compromete la independencia exigida por la normativa.

La resolución se centra en el riesgo de conflicto de intereses, recordando que el artículo 38 del RGPD prohíbe que el DPO asuma funciones que afecten a su imparcialidad, especialmente cuando implica determinar fines y medios del tratamiento o gestionar información sensible.

En consecuencia, la AEPD concluye que no se garantizó una adecuada separación de funciones, vulnerando el artículo 38 del RGPD.

Una puerta con el número 13 en un ambiente artístico y nostálgico.

Deficiencias en la protección de datos de menores: la AEPD impone 20.000 € a un centro escolar

La AEPD ha sancionado con 20.000 € a un centro educativo por incumplimientos en materia de protección de datos en el uso de Google Workspace for Education.

La autoridad concluyó que la Evaluación de Impacto (EIPD) era incompleta y no identificaba adecuadamente los riesgos en el tratamiento de datos de menores, además de apreciar la ausencia de una base legitimadora válida, lo que suponía un tratamiento desproporcionado en un entorno especialmente sensible.

La resolución recuerda la necesidad de un cumplimiento riguroso del principio de responsabilidad proactiva, exigiendo a los centros garantizar que el tratamiento de datos no exceda los fines educativos ni genere usos adicionales no justificados.

La imagen muestra un conjunto de tubos fluorescentes iluminados en color rojo formando una estructura geométrica.

Nuevas obligaciones probatorias en el sector eléctrico tras el RD 88/2026

El Real Decreto 88/2026 introduce un giro importante en la contratación del suministro eléctrico al exigir a las comercializadoras acreditar jurídicamente todo el proceso de contratación, desde la identificación del titular hasta el consentimiento, reforzando la trazabilidad especialmente en canales digitales y telefónicos.

Entre sus principales novedades, destaca el envío previo obligatorio del documento resumen, la conservación de evidencias de su recepción y la actualización de datos del titular antes de la firma. Asimismo, se refuerza el uso de firma electrónica y servicios de confianza como mecanismos válidos de acreditación.

En conjunto, la norma sitúa la prueba del consentimiento en el centro del sistema, impulsando modelos de contratación más seguros, auditables y adaptados a un entorno digital.

Una persona espera en una parada de autobús iluminada en medio de la niebla oscura.

CEPD y SEPD alertan de riesgos para la protección de datos en la propuesta del European Biotech Act

El CEPD y el SEPD han publicado una opinión conjunta sobre el European Biotech Act, advirtiendo que, aunque refuerza la competitividad del sector, introduce cambios relevantes que impactan en el tratamiento de datos personales, especialmente en ensayos clínicos, uso de IA y entornos de prueba.

La propuesta redefine la base jurídica de los tratamientos, identifica a patrocinadores e investigadores como responsables y amplía el uso de tecnologías avanzadas, lo que podría modificar el alcance de tratamientos existentes.

Además, se señalan riesgos como la ampliación de plazos de conservación, accesos excesivos por autoridades, reutilización de datos con fines poco definidos y la falta de claridad jurídica en determinados tratamientos vinculados a IA.

La imagen muestra un techo de hormigón con claraboyas en un patrón geométrico en blanco y negro.

La AEPD sanciona a YOTI por supeditar el acceso a la app a la entrega obligatoria de datos biométricos

La (AEPD) ha impuesto a YOTI LTD tres sanciones por un total de 950.000 € por tratar datos biométricos, incluidos los de menores, sin una base jurídica válida a través de su aplicación Digital ID.

La autoridad concluye que el uso de la app estaba condicionado al escaneo facial, utilizado para autenticación y otros fines, además de activar por defecto tratamientos adicionales sin el consentimiento expreso requerido.

Asimismo, se detectaron incumplimientos en los plazos de conservación, al mantener datos biométricos y de geolocalización más tiempo del necesario. En conjunto, la AEPD aprecia vulneraciones del RGPD en materia de consentimiento, tratamiento de categorías especiales y principio de minimización.

La imagen muestra un patrón de círculos rojos sobre un fondo blanco en un suelo moderno.

La AEPD reconoce las partidas guardadas de videojuegos como datos personales

La Agencia Española de Protección de Datos (AEPD) ha estimado una reclamación presentada contra NVIDIA por no responder en plazo a una solicitud de acceso. El usuario pidió copia de los archivos de partidas guardadas vinculados a su cuenta de GeForce NOW, pero la compañía no facilitó la información dentro del periodo exigido.

La AEPD considera que los archivos de partidas guardadas constituyen datos personales, al reflejar la actividad del jugador, sus preferencias, su progreso y sus patrones de uso, todos ellos directamente asociados al interesado.

NVIDIA alegó que estos archivos no forman parte del flujo habitual de datos disponible a través de su Privacy Center y que su recuperación requiere procesos técnicos complejos. Sin embargo, la Agencia recuerda que, incluso cuando los datos no estén integrados en los circuitos internos del Responsable del Tratamiento, deben ponerse a disposición del usuario dentro del plazo legal de respuesta.

Una persona espera en una estación de metro desierta y luminosa.

La AEPD concluye que el FC Barcelona utilizó datos biométricos sin las garantías necesarias

La Agencia Española de Protección de Datos (AEPD) ha sancionado al FC Barcelona con 500.000 € por irregularidades en el uso de biometría durante la actualización digital del censo social. El Club defendió que el reconocimiento facial y de voz era necesario para evitar suplantaciones y que existía alternativa presencial.

La AEPD concluye que el Club no realizó una Evaluación de Impacto (EIPD), pese a que el tratamiento lo exigía por su alcance y naturaleza. Concretamente, considera que el reconocimiento facial y vocal implica tratamiento de datos biométricos de alto riesgo y, por tanto, de categorías especiales, lo que requiere cumplir los artículos 9 y 35 del RGPD.

El proceso afectó potencialmente a 143.000 personas, incluidos menores. Para la AEPD, el FC Barcelona no evaluó adecuadamente los riesgos ni valoró alternativas menos intrusivas, por lo que el tratamiento resulta desproporcionado e incumplidor del RGPD.

Una cámara analógica Minolta SR-T 101 con un diseño vintage y un objetivo grande.

El EDPB alerta del posible uso de datos biométricos de viajeros europeos en el control de entrada a EE.UU

El Comité Europeo de Protección de Datos ha comunicado a la Comisión Europea su inquietud ante la reforma del sistema ESTA impulsada por Estados Unidos, que ampliaría de forma significativa los datos exigidos a ciudadanos del EEE, incluyendo historiales de redes sociales de cinco años y datos de familiares no vinculados al viaje.

El EDPB también critica que las solicitudes pasen a gestionarse solo mediante una app móvil, una medida que podría dificultar el ejercicio de derechos y reducir la transparencia del tratamiento.

El punto más sensible es la posible recogida de datos biométricos. El Comité advierte de que, por el alcance y la naturaleza de la información prevista, el tratamiento podría implicar datos especialmente sensibles.

El EDPB pide a la Comisión que solicite a EE. UU. información clara sobre garantías, ejercicio de derechos y plazos de conservación, especialmente si se incorporan datos biométricos, además de esclarecer de qué modo las modificaciones propuestas podrían incidir en los acuerdos de cooperación fronteriza.

La imagen muestra una serie de formas geométricas en tonos de color naranja que se superponen entre sí.

La Justicia luxemburguesa ratifica la sanción de la CNPD contra Amazon por vulneraciones del RGPD

El Tribunal Administrativo de Luxemburgo confirmó en 2025 la multa de 746 millones de euros impuesta a Amazon por múltiples infracciones del RGPD, entre ellas el uso de una base jurídica inadecuada para publicidad basada en intereses y la vulneración de derechos como transparencia, acceso, rectificación, supresión y oposición. No obstante, la ejecución de la sanción quedó suspendida durante el proceso de apelación.

En marzo de 2026, la Corte Administrativa revisó nuevamente el caso y decidió anular la multa, no porque Amazon no hubiera cometido infracciones del RGPD, sino porque la CNPD no analizó adecuadamente si hubo intención o negligencia ni si la multa era la medida más proporcionada. Aun así, la Corte confirmó la mayor parte de las infracciones identificadas previamente y reconoció que Amazon ya había subsanado las deficiencias cuando se revisó el caso. El caso volvió a la CNPD para que reevalúe la sanción siguiendo la jurisprudencia más reciente del Tribunal de Justicia de la UE.

Ciberseguridad y privacidad

Nuestra visión integral combina conocimiento legal, técnico y de negocio para diseñar estrategias de cumplimiento normativo que no solo minimicen riesgos, sino que también permitan a las empresas aprovechar las oportunidades del entorno digital de manera segura y sostenible.

Conoce el área