Cyber monday flash - mayo

Actualizaciones regulatorias y jurisprudenciales en materia de privacidad y ciberseguridad

AEPD

La AEPD recibió más de 30.000 reclamaciones en 2025, un 64% más que el año anterior

La Agencia Española de Protección de Datos (AEPD) registró 30.931 reclamaciones en 2025, un 64% más que el año anterior, según la Memoria anual publicada el 6 de mayo de 2026. La actividad sancionadora también se disparó: las multas superaron los 48 millones de euros, con un notable incremento tanto en número de expedientes como en importe medio, y un foco claro en infracciones de mayor impacto real para los ciudadanos.


El dato más llamativo es la explosión de procedimientos por brechas de datos, que crecieron un 157% (77 casos) y concentraron cerca del 40 % del importe total sancionado. La AEPD consolida así un cambio de enfoque estratégico hacia un modelo más proactivo y tecnológico, priorizando riesgos de alto impacto en ámbitos como la inteligencia artificial, la ciberseguridad y la biometría, y reforzando su papel como autoridad clave de gobernanza digital en España.

+64%%

reclamaciones respecto a 2024 — 30.931 en total

48M€

en multas, con aumento del importe medio por expediente

+157

Brechas de datos

40%%

del importe total sancionado

Sanción de 200.000€ por obligar a los trabajadores a utilizar apps de seguimiento en sus móviles personales

La AEPD ha sancionado a ARES CAPITAL con 200.000 euros por obligar a sus conductores VTC a instalar en sus móviles personales aplicaciones que monitorizaban de forma intensiva su actividad (geolocalización, comunicaciones, contactos y datos de salud). La resolución es especialmente relevante en el ámbito BYOD, ya que la Agencia rechaza tanto la ejecución del contrato laboral como el consentimiento, considerado no libre en el contexto de la relación laboral como bases legitimadoras del tratamiento, y aprecia además la vulneración de los principios de minimización y del deber de información.


Junto a la sanción económica, la AEPD ordena medidas correctivas: limitar los datos recogidos a los estrictamente necesarios, documentar una base jurídica válida y reforzar la información a los trabajadores. La resolución constituye un aviso claro para cualquier empresa que imponga el uso de dispositivos personales con fines de control laboral, las prácticas de monitorización deben ajustarse rigurosamente a los principios de proporcionalidad y necesidad.

Herramienta de la AEPD para ver información sobre brechas notificadas

La AEPD pone a disposición del público un cuadro de mando interactivo basado en Power BI que permite consultar y analizar de forma dinámica la información sobre las brechas de datos personales notificadas a la Agencia. A través de esta herramienta, los usuarios pueden explorar y filtrar los datos por criterios como sector, tipo de brecha o periodo temporal.

La información se actualiza periódicamente, lo que facilita el seguimiento de tendencias y la comprensión del alcance e impacto de estos incidentes en distintos ámbitos. Puedes acceder a la herramienta desde la web de la AEPD, en su sección dedicada a notificaciones de brechas de datos personales.

La imagen muestra dos manos, una sosteniendo un bloc de notas y la otra una tablet con la palabra 'AI', sobre un fondo rojo.

La AEPD aterriza las exigencias RGPD en el uso de transcripción de voz con IA

La AEPD señala que el uso de herramientas de transcripción de voz con IA convierte esa actividad en un tratamiento de datos personales cuando una organización las integra en procesos como actas, reuniones o atención al cliente. En ese caso, la organización será responsable del tratamiento si decide los fines y medios, y deberá seleccionar la solución con diligencia, valorando no solo su utilidad, sino también los riesgos asociados: errores sistemáticos, sesgos lingüísticos, inferencia de información sensible o falta de garantías suficientes por parte del proveedor. 

Normativa europea

AI Act: la UE simplifica obligaciones y refuerza las prohibiciones frente a usos abusivos de la IA

El Parlamento Europeo y el Consejo han alcanzado un acuerdo provisional en el marco del paquete "digital omnibus" para simplificar determinadas obligaciones del Reglamento de IA sin renunciar al enfoque basado en riesgos.

Se reduce el solapamiento regulatorio: los productos con IA ya regulados por normativa sectorial de seguridad no deberán duplicar obligaciones bajo el AI Act.

El acuerdo introduce una nueva prohibición expresa de sistemas de IA destinados a generar contenidos íntimos no consentidos o material ilegal relacionado con menores. El acuerdo provisional debe aprobarse formalmente antes del 2 de agosto de 2026.

Nuevos plazos de inscripción


  • Operadores con sistemas de contenido ilegal / no consentido deben adaptar sus sistemas

  • Fecha prevista de aprobación formal del acuerdo por el Parlamento y el Consejo

  • Sistemas alto riesgo: biometría, infraestructuras críticas, educación, empleo, servicios públicos


  • Sistemas integrados como componentes de seguridad sujetos a normativa sectorial

La imagen muestra una multitud de esferas brillantes en tonos rojos y grises, creando un efecto visual interesante.

La Comisión Europea contra Meta

DSA · Comisión Europea

La Comisión Europea ha concluido de forma preliminar que Meta incumple la Ley de Servicios Digitales (DSA) al no impedir eficazmente que menores de 13 años accedan a Instagram y Facebook, pese a que sus propias condiciones fijan esa edad mínima. Según la investigación, entre un 10 y un 12% de los usuarios de ambas redes en la UE son menores de esa edad. La Comisión exige a Meta reforzar sus mecanismos de verificación, prevención y eliminación de cuentas de menores, y si las conclusiones se confirman, la empresa podría enfrentarse a una multa de hasta el 6% de su facturación mundial anual.

Jurisprudencia

Límites del RGPD en la solicitud y acceso a datos

El TS exige cumplir el RGPD desde la recogida de datos

El Tribunal Supremo ha establecido, mediante esta sentencia, que la mera solicitud de datos personales constituye en sí misma un tratamiento de datos sujeto al RGPD, con independencia de que el interesado llegue o no a facilitarlos. En el supuesto analizado, un centro penitenciario requirió a un funcionario la aportación de su diagnóstico médico y tratamiento para justificar una ausencia laboral de tres días, pese a que este ya había presentado el correspondiente justificante facultativo. El Alto Tribunal confirmó la sanción de apercibimiento impuesta por la AEPD al considerar que dicha solicitud resultaba excesiva e innecesaria para el control del absentismo laboral, vulnerando así el principio de minimización de datos recogido en el artículo 5.1.c) del RGPD. 

La implicación práctica de este pronunciamiento es relevante para cualquier organización, pública o privada: antes de solicitar datos personales, el responsable del tratamiento debe valorar si dicha petición es adecuada, pertinente y proporcionada respecto del fin perseguido, dado que el solo hecho de formular la solicitud activa el conjunto de obligaciones que impone la normativa europea de protección de datos.

El TJUE permite rechazar solicitudes de acceso abusivas

El TJUE, en Brillen Rottler (C‑526/24, 19 de marzo de 2026), analiza si una solicitud de acceso del art. 15 RGPD puede ser rechazada por abusiva, aunque sea la primera solicitud dirigida a ese responsable. El caso parte de una persona que se suscribió a la newsletter de una óptica alemana y, pocos días después, ejerció el derecho de acceso. La empresa lo rechazó alegando que el interesado seguía un patrón sistemático de suscribirse a newsletters, presentar solicitudes de acceso y reclamar indemnizaciones. 

El Tribunal concluye que una primera solicitud de acceso puede considerarse “excesiva” o abusiva si el responsable demuestra que no busca conocer o verificar el tratamiento de sus datos, sino crear artificialmente las condiciones para reclamar una indemnización. No obstante, el umbral es alto y la carga de la prueba recae en el responsable. Además, el TJUE confirma que una infracción del derecho de acceso puede dar lugar a indemnización bajo el art. 82 RGPD, pero solo si se acredita daño real y nexo causal, que puede romperse cuando el propio comportamiento abusivo del interesado sea la causa del supuesto perjuicio.   

Análisis

Una serie de bombillas encendidas emitiendo luz roja y cálida.

DPD y RSII: ¿es posible la compatibilidad?

La compatibilidad entre las funciones de Delegado de Protección de Datos (DPD) y Responsable del Sistema Interno de Información (RSII) constituye una cuestión especialmente sensible desde la perspectiva del principio de independencia del primero. A este respecto, tanto la AEPD como la Audiencia Nacional coinciden en que, si bien no existe una prohibición automática de acumulación de ambos roles, su eventual concurrencia exige garantizar de forma estricta la ausencia de conflicto de intereses. En particular, resulta imprescindible evitar que el DPD asuma funciones decisorias u operativas que puedan comprometer su papel supervisor. Así, aunque la separación de funciones sigue siendo la regla general, la compatibilidad solo podría plantearse de forma excepcional cuando exista una delimitación clara de las responsabilidades.

En este análisis adquieren especial relevancia el conjunto de elementos que permitirían delimitar adecuadamente las funciones encomendadas al DPD y al RSII para evitar el conflicto de intereses: la estructura organizativa, la disponibilidad de recursos, la posible externalización del canal o la configuración colegiada del sistema. 

Conoce a nuestro equipo

Acompañamos a organizaciones en la gestión integral de riesgos en privacidad y ciberseguridad.