Cyber Monday Flash

Analizamos las principales novedades regulatorias, criterios de autoridades y pronunciamientos judiciales en materia de privacidad, ciberseguridad y resiliencia digital, con impacto directo en la gobernanza tecnológica y la responsabilidad de las organizaciones.

Gobernanza digital, IA y resiliencia: claves regulatorias

En un entorno marcado por la expansión de la inteligencia artificial, el uso intensivo de datos biométricos, el refuerzo de los mecanismos europeos de coherencia y una creciente exigencia en materia de resiliencia operativa (DORA, NIS2, Cyber Resilience Act), la gestión del riesgo digital se consolida como una prioridad estratégica a nivel de Consejo de Administración. 

En esta edición de Cyber Monday Flash, abordamos de forma estructurada y práctica las últimas posiciones de la AEPD sobre IA y biometría, la impugnabilidad de decisiones del EDPB ante el TJUE, la decisión de adecuación para Brasil, las claves supervisoras de la CNMV en materia DORA y las nuevas iniciativas europeas en ciberseguridad. 

Un análisis integral que conecta regulación, supervisión y responsabilidad corporativa en el actual ecosistema digital.



Un jugador de tenis golpea una pelota en una cancha verde.

AEPD e IAG: uso de imágenes de terceros y pérdida de control bajo el RGPD

La Agencia Española de Protección de Datos ha publicado la guía “El uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles”, en la que señala que toda imagen en la que una persona sea identificada o identificable, aunque haya sido generada o modificada mediante IA, es un dato personal. Su carga en un sistema de IA implica un tratamiento sujeto al RGPD, incluso si el uso es lúdico, interno o no se difunde.

Desde esta premisa, la Agencia enfatiza que el riesgo no reside únicamente en la posible difusión del contenido generado. Junto a los riesgos visibles (sexualización sintética, atribución creíble de hechos falsos, daño reputacional o afectación de menores), identifica riesgos estructurales propios del tratamiento, como la pérdida de control frente a proveedores, la retención y reutilización no transparentes, la generación de metadatos y la identificación persistente. Que una imagen esté disponible en línea no legitima su reutilización en herramientas de IA; debe analizarse la base jurídica, la expectativa razonable del afectado y, cuando proceda, realizar una EIPD.

La Agencia centrará su actuación en supuestos de pérdida efectiva de control o generación de contenidos falsos pero creíbles que atribuyan hechos inexistentes. En estos casos, la falta de análisis previo, políticas internas y evidencias de control puede dar lugar a actuaciones supervisoras y a la aplicación del artículo 83 RGPD, situando el uso corporativo de IA con imágenes de terceros en el plano directo de la gobernanza y la responsabilidad del órgano de administración.

Un ciclista compite en una pista iluminada durante la noche.

Advertencia de la AEPD por el uso de datos biométricos a Worldcoin

La Agencia Española de Protección de Datos ha dirigido una Advertencia formal a Tools for Humanity GmbH por el tratamiento de datos biométricos vinculado al sistema Orb y al denominado World ID, en el marco de la reanudación de sus operaciones en España.

La AEPD aprecia que la captación de imágenes de iris y rostro para generar un código único destinado a verificar la singularidad del usuario puede constituir un tratamiento de datos biométricos en los términos del artículo 4.14 RGPD e implica el tratamiento de categorías especiales de datos personales recogidas en el artículo 9. Aunque la entidad invoca técnicas como Anonymized Multi-Party Computation (AMPC) y modelos de custodia personal, ello no excluye por sí mismo la naturaleza biométrica del tratamiento.

Asimismo, cuestiona la suficiencia de las EIPD aportadas y recuerda que el uso de biometría y tecnologías innovadoras constituye tratamiento de alto riesgo ex artículo 35 RGPD, lo que exige justificar necesidad, proporcionalidad y la inexistencia de alternativas menos intrusivas. También detecta posibles déficits en transparencia, bases legitimadoras y en la concurrencia de una excepción válida del artículo 9.2 RGPD.

Dos atletas realizan un relevo en una pista de atletismo.

WhatsApp Ireland v EDPB: el TJUE reconoce la impugnabilidad de las decisiones del EDPB

El Tribunal de Justicia de la Unión Europea ha declarado que las decisiones vinculantes del Comité Europeo de Protección de Datos (EDPB) adoptadas en virtud del artículo 65 RGPD son actos impugnables ante los tribunales de la Unión, al estimar el recurso de casación interpuesto por WhatsApp Ireland.

El Tribunal concluye que la Decisión Vinculante 1/2021, mediante la cual el EDPB obligó a la autoridad irlandesa a modificar su proyecto de decisión, produce efectos jurídicos propios y altera directamente la posición jurídica del responsable, sin dejar margen de apreciación a las autoridades nacionales implicadas.

Frente a la tesis del Tribunal General, que había considerado dicha decisión un acto intermedio no recurrible, el TJUE sostiene que el pronunciamiento del EDPB resuelve de forma definitiva las cuestiones objeto del mecanismo de coherencia y vincula de manera incondicionada a las autoridades de control concernidas. En consecuencia, la acción de WhatsApp se declara admisible y el asunto se devuelve al Tribunal General para que se pronuncie sobre el fondo del litigio, incluida la eventual infracción del RGPD.

Un parapentista vuela sobre un paisaje montañoso cubierto de niebla al amanecer.

La Comisión Europea adopta la decisión de adecuación para Brasil y facilita las transferencias desde la UE

La Comisión Europea ha adoptado la Decisión de Adecuación que reconoce a Brasil como país con nivel adecuado de protección de datos personales, permitiendo transferencias desde la UE sin necesidad de garantías adicionales del Capítulo V RGPD. La evaluación concluye que el marco brasileño, el reconocimiento constitucional del derecho a la protección de datos y la actuación independiente de su autoridad de control (la ANPD) garantiza un nivel de protección “esencialmente equivalente” al europeo.

La Decisión analiza de forma exhaustiva el marco constitucional brasileño, la aplicabilidad extraterritorial de la Lei Geral de Proteção de Dados (LGPD), la definición amplia de datos personales y sensibles (incluyendo biométricos y genéticos), los principios de licitud, finalidad, minimización, seguridad y responsabilidad, así como los mecanismos de tutela judicial y supervisión independiente. Destaca la existencia de límites y salvaguardas frente al acceso por autoridades y la posibilidad de control jurisdiccional, alineándose con el estándar fijado por el TJUE en Schrems I y Schrems II.

La adecuación consolida a Brasil como jurisdicción estratégica para operaciones digitales transfronterizas, al eliminar la necesidad de SCC, BCR u otros mecanismos de transferencia y reducir la fricción contractual y los costes de cumplimiento.

Un grupo de ciclistas compite en una carrera, mostrando velocidad y dinamismo en un entorno urbano.

La AEPD alerta sobre los riesgos estructurales de la IA agéntica en entornos corporativos

La Agencia Española de Protección de Datos ha publicado el documento “Inteligencia Artificial Agéntica desde la perspectiva de protección de datos”, en el que analiza los riesgos específicos que introduce el despliegue de agentes de IA en tratamientos de datos personales.

La AEPD subraya que estos sistemas no son meros modelos generativos reactivos, sino agentes autónomos capaces de planificar tareas, descomponer objetivos, interactuar con entornos internos y externos, invocar herramientas y mantener memoria persistente, lo que puede alterar el alcance, el contexto e incluso la finalidad efectiva de tratamientos ya existentes.

El documento identifica vulnerabilidades estructurales derivadas de la interacción con el entorno, la integración de servicios, la gestión de memoria (de trabajo y de gestión) y el grado de autonomía. En particular, advierte sobre riesgos de acceso masivo a datos internos, exfiltración silenciosa a través de llamadas a servicios externos, contaminación entre tratamientos, perfilado inadvertido y errores compuestos en cadenas de razonamiento largas.

Dos jugadores de hockey sobre hielo compiten por el puck en una pista de hielo.

Propuesta de Reglamento de Ciberseguridad de la UE

La Comisión Europea ha presentado una Propuesta de Reglamento de Ciberseguridad que amplía y refuerza el actual EU Cybersecurity Act (Reglamento (UE) 2019/881). El objetivo es armonizar obligaciones, evitar la fragmentación del mercado y elevar la resiliencia frente a ciberamenazas en toda la Unión, consolidando el papel de ENISA (Agencia de la Unión Europea para la Ciberseguridad) en alertas tempranas, apoyo técnico y coordinación. El texto prevé esquemas de certificación más accesibles y exigentes, así como mayores garantías en cadenas de suministro TIC, con impacto directo en fabricantes, proveedores y organizaciones que integran soluciones digitales en la UE.

Para las empresas, la propuesta se traduce en exigencias de seguridad “by design”, mayor trazabilidad y verificabilidad de controles, y una convergencia regulatoria con otras normas europeas (como NIS2 y el Cyber Resilience Act), facilitando además la aceptación mutua de certificaciones. En la práctica, anticipa programas de cumplimiento más robustos, auditorías de terceros y mayor responsabilidad de la alta dirección en la gestión del riesgo.


Dos espadachines compiten en un combate de esgrima.

CNMV y DORA: Claves prácticas para la resiliencia operativa digital

La CNMV ha actualizado el documento técnico de Preguntas Frecuentes sobre DORA (Digital Operational Resilience Act, Reglamento (UE) 2022/2554) que aclara aspectos críticos de cumplimiento. Subraya que el Consejo de Administración es responsable último del riesgo TIC; que contar con ISO 27001 no equivale a cumplir DORA; y que resultan obligatorios un inventario de activos TIC exhaustivo, un registro de proveedores TIC (con clasificación por criticidad y notificaciones al supervisor) y programas de pruebas regulares, incluyendo TLPT (Threat‑Led Penetration Testing) cuando proceda. El BIA (Business Impact Analysis) se erige como base del marco de continuidad (RTO, RPO y dependencias de terceros).

En términos legales y supervisores, la CNMV advierte que la inacción (p. ej., carecer de inventario actualizado, no registrar proveedores críticos, omitir pruebas o notificaciones) puede derivar en requerimientos formales y sanciones, con independencia de certificaciones privadas. DORA exige evidencias trazables: demostrar periódicamente que los controles existen, funcionan y se prueban.

Un nadador se zambulle en una piscina de competición.

ENISA: metodología oficial para ejercicios de ciberseguridad

ENISA ha publicado un marco metodológico end‑to‑end para planificar, ejecutar y evaluar ejercicios de ciberseguridad. Estructurado en seis fases (iniciación, diseño, preparación, ejecución, evaluación y acciones posteriores), integra roles alineados con el European Cybersecurity Skills Framework, checklists “go/no‑go”, construcción de escenarios realistas mediante eventos‑incidentes‑injects, e indicadores y métricas para valorar resultados, con referencias a ISO 22398 e ISO 22361.

El marco facilita cumplir y evidenciar diligencia debida frente a NIS2, DORA y el Cyber Resilience Act, reduciendo errores de planificación y elevando el valor operativo de los ejercicios (desde table‑top hasta simulaciones técnicas). Para organizaciones reguladas y operadores esenciales, ofrece una hoja de ruta reproducible para probar la respuesta ante incidentes, la coordinación interáreas y la mejora continua.


Conclusión

El actual escenario regulatorio confirma que la privacidad y la ciberseguridad han dejado de ser ámbitos meramente técnicos para situarse en el núcleo de la estrategia empresarial. Las autoridades refuerzan su foco en la pérdida de control sobre los datos, el uso de tecnologías emergentes como la IA agéntica o la biometría, y la necesidad de demostrar —con evidencias trazables— que los sistemas de control funcionan y se supervisan de forma continua. La exigencia ya no se limita al cumplimiento formal, sino que alcanza directamente a la gobernanza, la diligencia debida y la responsabilidad del órgano de administración.

En este contexto, anticiparse resulta clave: revisar bases legitimadoras, reforzar las EIPD, auditar cadenas de suministro TIC, probar planes de resiliencia y documentar decisiones estratégicas en materia digital. La convergencia normativa europea y el endurecimiento supervisor configuran un entorno donde la prevención, la trazabilidad y la alineación entre negocio, tecnología y cumplimiento normativo marcan la diferencia competitiva. En ECIJA, acompañamos a las organizaciones en este proceso, integrando visión jurídica, técnica y estratégica para transformar el riesgo digital en ventaja sostenible.


Ciberseguridad y privacidad

Nuestra visión integral combina conocimiento legal, técnico y de negocio para diseñar estrategias de cumplimiento normativo que no solo minimicen riesgos, sino que también permitan a las empresas aprovechar las oportunidades del entorno digital de manera segura y sostenible.

Conoce el área