¿Y si hubiera sido un ciberataque?; Entrevista a Juan Fernando Muñoz Montalvo; El Modelo de Consentimiento o Pago en Reino Unido; El Síndrome de Eróstrato y la protección de datos en los procesos penales; Las primeras sanciones de la Comisión Europea a Apple y Meta por incumplimiento del Reglamento Europeo de Mercados Digitales; Generación de datos sintéticos. Aspectos esenciales y recomendaciones; De la Unidad de Supervisión y Control de Protección de Datos en el Ministerio Fiscal a la Unidad de Protección de Datos del Ministerio Fiscal; Informes Jurídicos de la AEPD; Sanciones millonarias, la desaparición de los apercibimientos y resoluciones por pago voluntario en los cinco primeros meses de este 2025; Encargado y autorizaciones para subcontratar, grabaciones sin legitimación en un gimnasio, DPD incompatible y geolocalización en los exámenes de la DGT…

Como si se acabara el mundo antes de unas merecidas vacaciones y tras un apocalíptico apagón nacional, cerramos antes del verano con el número 24 de nuestra Revista y con un Editorial donde nuestro Director, de forma magnífica y con su incansable inquietud intelectual, nos sitúa frente a un panorama que, lejos de ser alarmista, podría suceder -encontrarnos frente a un ciberataque- y que, como profesionales del Derecho y del sector tecnológico, deberíamos anticipar y actuar proactivamente. Y así nuestros/as colaboradores/as dan cuenta de las últimas novedades del sector y recogen el guante del ciberataque.

Dedicamos varios artículos de este número a considerar el peor escenario para el apagón: un ciberataque. Obviamente nunca hubiéramos deseado que este evento se hubiera producido. Sin embargo, no cabe duda de que debemos aprovechar la ventana de oportunidad que nos regala para ofrecer a nuestras y nuestros lectores la oportunidad de reflexionar en profundidad sobre los retos que este tipo de incidentes plantea y las eventuales lecciones aprendidas.

El Secretario General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, nos plantea que estamos ante un escenario que debemos aprovechar, pero que se requiere de recursos para reforzar los sistemas de acceso a datos sanitarios que deben ir acompañados de políticas de uso y tasas. Se señala que las normas per se no resuelven los problemas, sino que deben establecer mejores condiciones en los que los problemas puedan afrontarse. Y por ello, concluye, entre otras muchas cuestiones, que sin capacidad para ofrecer datos de gran calidad y sin capacidad para ponerlos a disposición de manera ágil, flexible y en entornos potentes de trabajo corremos el riesgo de convertirnos tan solo en proveedores de materia prima (datos) en beneficio de otros con la capacidad de usarlos.

Para un significativo número de empresas y organizaciones, el modelo de negocio en línea basado en el «pago o consentimiento» no es meramente una opción, sino un pilar fundamental para mantener su viabilidad. Este esquema se percibe, en muchos casos, como la única vía concebible, al menos por el momento, para rentabilizar los recursos invertidos en la prestación de productos o servicios a sus usuarios, quienes a menudo son también calificados como interesados en materia de protección de datos. No obstante, cuando este consentimiento se asocia al tratamiento de datos personales para la prestación de publicidad personalizada, la polémica está servida. La razón es clara: se trata de una materia altamente regulada, cuyas exigencias de cumplimiento normativo resultan especialmente complejas. De hecho, el ICO, al igual que otras Autoridades de Protección de Datos en Europa, tienen estas prácticas en su punto de mira. Sin embargo, su foco trasciende a la mera la supervisión. El ICO, comprometido con el impulso de la economía digital, respalda estas iniciativas mediante la publicación de comunicados, guías y la promoción de entornos de prueba como su sandbox. Aunque este respaldo no elimina las dificultades inherentes al cumplimiento normativo, sí ofrece a las grandes plataformas ciertos visos de viabilidad, en particular cuando se contemplan alternativas como la publicidad contextual.

La digitalización del expediente judicial, el acceso a bases de datos y la necesidad de la publicidad de la Justicia, hacen que la seguridad de la información de las personas que participan en los procesos penales y su relación con el derecho a recibir información veraz conforme un complejo entorno que exigiría delimitar más claramente los límites entre ambos. Los responsables del tratamiento tienen la obligación de garantizar la seguridad de los datos durante todo su ciclo de vida y atender los derechos de las personas interesadas. Las filtraciones de información, entendidas como perdidas de confidencialidad, cuando no resulta procedente la publicidad, ponen de relieve las consecuencias de estas fallas y hacen necesario que estos incidentes de seguridad se analicen como lo que son: brechas de protección de datos personales. Sin perjuicio de la afectación al derecho fundamental a la protección de datos, estos incidentes tendrían que investigarse, analizarse, documentarse y comunicarse a las autoridades competentes de protección de datos, dado que pueden afectar a los principios procesales, a las víctimas que enfrentan desde la estigmatización hasta el acoso o agresiones, los testigos que se pueden ver afectados en su testimonio y a los peritos ya que podrían ser objeto de presiones que comprometiesen la objetividad de sus conclusiones.

En este comentario se analizan las primeras Decisiones adoptadas por la Comisión Europea en las que se sanciona a APPLE y META por su incumplimiento de las obligaciones impuestas por el Reglamento Europeo de Mercados Digitales.

El artículo presenta los aspectos esenciales de la propuesta de guía sobre generación de datos sintéticos elaborada y adaptada por la Agencia Española de Protección de Datos (AEPD), a partir de la PDPC de Singapur. Los datos sintéticos son conjuntos artificiales que imitan las características estadísticas de datos reales, permitiendo innovar en inteligencia artificial y análisis avanzado sin comprometer la privacidad. La guía propone una metodología en cinco etapas para generar, evaluar y gestionar estos datos, destacando buenas prácticas y recomendaciones para minimizar riesgos como la reidentificación y asegurar el cumplimiento normativo.

La evolución normativa que ha conducido a la transformación de la Unidad de Supervisión y Control de Protección de Datos en la Unidad de Protección de Datos del Ministerio Fiscal refleja un esfuerzo legislativo significativo por adecuar las funciones del Ministerio Fiscal a las demandas de protección de datos en un contexto jurídico en constante cambio. Este trabajo analiza en profundidad las disposiciones normativas previas y las modificaciones introducidas por la Ley Orgánica 1/2025, destacando las implicaciones jurídicas, las ventajas y las críticas asociadas a este cambio estructural. A lo largo del texto, se aborda la relación entre los principios de independencia, neutralidad y eficacia que deben regir el ámbito de protección de datos en el seno del Ministerio Fiscal, así como las limitaciones y desafíos que plantea la reforma.

Destacamos en este artículo los puntos más relevantes de dos Informes jurídicos publicados por la AEPD y que nos parecen de interés.

Analizando estos primeros cinco meses del año 2025, tan solo hay 6 resoluciones archivadas, no hay ningún apercibimiento y de las 116 resoluciones totales (una de ellas caducada), 77 han tenido su fin en el pago voluntario con la reducción de sanción. Cinco meses de cambios en la tendencia de la Agencia y con datos realmente sorprendentes.

Una vez más, la tabla al final del artículo os recoge los hechos infractores del año, clasificados por sectores, e incluye los preceptos vulnerados del RGPD, la LOPDGDD y la LSSI, junto con las sanciones impuestas y la indicación expresa de si se ha producido terminación por pago en período voluntario.

Además, se presentan gráficos visuales que resumen la información por meses, tipo de infracción y cuantía de las sanciones en cada sector.

Tanto el Reglamento General de Protección de Datos como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, al regular la relación entre el responsable del tratamiento y el encargado del tratamiento establecen todo un catálogo de obligaciones. Entre ellas, que el encargado no puede contratar con otro encargado si no existe autorización previa por parte del responsable.

Siguiendo con el contenido de la norma europea, dos de sus apartados fundamentales lo constituyen tanto la regulación sobre la legitimación para el tratamiento de datos personales como la figura del delegado de protección de datos. Sobre la legitimación, el artículo 6 regula las bases legitimadoras para el tratamiento de datos personales, siendo una de ellas la ejecución de un contrato. En ocasiones, esta base no cubre todo el tratamiento de datos personales, como puede ocurrir para las grabaciones de imágenes, en que será necesario la solicitud de un consentimiento previo y libre. En cuanto al delegado de protección de datos, se establece que sus funciones no pueden ser compatibles con aquellas que supongan un conflicto de intereses.

Y respecto al contenido de la norma española, en su Título X contiene los denominados «Derechos digitales», de los que podemos diferenciar dos grupos, puesto que uno de ellos, se les aplica la normativa de protección de datos de datos personales, y el otro no. Entre los del primer grupo se encuentra el artículo 90 sobre el «Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral», que posibilita su uso para el ejercicio de funciones de control de los trabajadores o empleados públicos, siempre y cuando se haya informado de manera previa a los afectados.

Analizamos en este artículo cuatro resoluciones sancionadoras de la AEPD que versan sobre todos estos temas.

La Agencia para la Administración Digital de la Comunidad de Madrid tiene entre sus competencias el desarrollo y ejecución de la estrategia diseñada por la consejería de la Comunidad de Madrid competente en materia de Digitalización en relación con la inteligencia artificial y, para ello, la ley le atribuye funciones de encargado de tratamiento, por lo que los retos que afronta en materia de protección de datos personales e inteligencia artificial son los mismos que los de otras entidades o empresas tecnológicas.

El artículo aborda la importancia de garantizar la continuidad de las operaciones en momentos de crisis, centrándose en los sistemas de información como infraestructuras críticas. A través de ejemplos históricos como el apagón del Nordeste de EE. UU. en 2003 y el reciente apagón en la península ibérica en 2025, se destacan las consecuencias significativas para la sociedad y las infraestructuras críticas. Se proponen medidas técnicas y organizativas, como sistemas de alimentación ininterrumpida, generadores eléctricos, redundancia y segmentación de sistemas, así como la importancia de la detección temprana y la realización de simulacros periódicos. El artículo concluye que la preparación y la actualización constante de los planes de continuidad de negocio y recuperación de desastres son esenciales para garantizar la resiliencia operativa en escenarios de emergencia.

Este artículo analiza si un ciberataque pudo causar el apagón del 28 de abril y qué establece la normativa vigente para proteger infraestructuras críticas y responder ante estas amenazas. Se revisan casos anteriores y se destaca la necesidad de reforzar su protección y resiliencia. También se abordan las normativas española y europea, como las directivas NIS2 y CER, que buscan fortalecer la ciberseguridad y garantizar la continuidad de los servicios esenciales. Finalmente, se subraya la importancia de la coordinación, la formación y la actualización de los planes de protección y continuidad operativa.

El reciente apagón general sufrido en España ha supuesto un toque de atención importante sobre la dimensión «disponibilidad» del RGPD. En este artículo desarrollo un análisis de las implicaciones normativas de incidentes de este tipo y también la forma de implementar medidas de seguridad, basadas en estándares, que mitiguen la probabilidad e el impacto asociados a este tipo de eventos disruptivos.

En enero de 2025, el Comité Europeo de Protección de Datos (CEPD) publicó las Directrices 01/2025 sobre pseudonimización, destinadas a orientar su aplicación conforme al Reglamento General de Protección de Datos (RGPD). Durante el período de consulta pública, diversas organizaciones y expertos manifestaron preocupaciones respecto a la complejidad del marco propuesto, la ambigüedad conceptual y los retos prácticos para su implementación. El presente artículo analiza estas alegaciones con el propósito de ofrecer una visión sistematizada de las principales inquietudes y recomendaciones formuladas. Abarca aspectos tales como la interpretación restrictiva de la pseudonimización, la escasez de ejemplos prácticos, el riesgo de exclusión de entidades con recursos limitados, la escasa distinción entre pseudonimización y anonimización, la aplicación del RGPD en relación con transferencias de datos y ejercicio de derechos de los sujetos interesados, así como la ambigüedad de nuevos conceptos como «dominio de pseudonimización» e «información adicional».

La aplicación de la controvertida Ley de inteligencia francesa, aprobada en 2015, que permite llevar a cabo técnicas de interceptación de comunicaciones y de recopilación de información, ha sido objeto de numerosas críticas y procedimientos judiciales, llegando hasta el TEDH. En este caso, varios abogados y periodistas reclamaron ante el TEDH la vulneración de sus derechos a la privacidad y al secreto de las comunicaciones por haber sido objeto de técnicas de recopilación de información por parte de los servicios de inteligencia franceses, pero el TEDH avala con esta decisión la actuación de las autoridades nacionales, poniendo fin al debate suscitado sobre esta polémica ley.

En la primera parte del presente artículo se presentó el Modelo Estándar de Protección de Datos (SDM), que recordamos que ha sido desarrollado en varias etapas desde 2009 en Alemania por la «Conferencia de Comisionados de Protección de Datos de la Federación y los Estados (DSK)»(*). En la mencionada primera parte se presentaron esencialmente los aspectos teóricos del SDM, y en esta segunda parte se explicará la aplicación práctica de los objetivos de protección.

El presente artículo analiza los principales aspectos abordados en el XXII Encuentro de la Red Iberoamericana de Protección de Datos Personales («RIPD»), celebrado en Cartagena de Indias en mayo de 2025. Se contextualiza el rol de la RIPD como foro regional no vinculante que ha desempeñado un papel relevante en la armonización normativa, la producción de estándares técnicos y la promoción de buenas prácticas en materia de protección de datos personales en Iberoamérica. Asimismo, se examinan los aspectos discutiros durante el Encuentro, entre ellos la propuesta de actualización de los Estándares de Protección de Datos y la Carta Abierta dirigida a empresas que realizan tratamientos masivos de datos personales. Finalmente, se reflexiona sobre el impacto práctico de sus iniciativas, su potencial influencia sobre las legislaciones locales y los desafíos de su implementación efectiva en un contexto regional heterogéneo.

El presente hace referencia a la sanción impuesta a Mercado Libre Colombia Ltda., por la Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) colombiana.

La ciudad gallega ha sido escenario del XI Congreso Internacional de Privacidad APEP, con más de 250 asistentes y expertos internacionales reunidos durante dos días. El debate ha girado en torno al impacto regulatorio de la inteligencia artificial y el papel esencial de los profesionales de la privacidad en un entorno digital cada vez más complejo.

El artículo analiza cómo la ciberseguridad se ha convertido en un pilar esencial de la defensa nacional y colectiva en España, Europa y la OTAN. Expone el nuevo paradigma de guerras híbridas y sin restricciones, que incluyen ciberataques, desinformación y guerra cognitiva. Se reclama una inversión estratégica, una cultura de seguridad integral y una cooperación público-privada sostenida para proteger nuestras democracias.

Es la fecha de presentación de la demanda, y no cuando el juzgado procede a su admisión, el momento temporal en que debe ser aplicada la entrada en vigor de la Ley pues, lo contrario, sería dejar al albur del momento temporal de admisión de la demanda -indeterminado-, la aplicación de una norma u otra, lo que el derecho no puede amparar por aplicación de los arts. 9.3 y 24 CE.

El Pleno de la Sala Primera del Tribunal Supremo ha dictado recientemente dos sentencias en las que aborda por vez primera el tema de la transparencia de las tarjetas revolving. En esas sentencias se exponen los criterios que el TS estima deben ser tenidos en cuenta para determinar la eventual falta de transparencia y la eventual abusividad de un crédito revolving. Estas sentencias en absoluto abocan a una suerte de automatismo en la consideración de los créditos revolving como no transparentes y abusivos. Antes bien, los criterios utilizados por el TS, que constituyen jurisprudencia, exigen la ponderación casuística y conducen a poder considerar transparentes y no abusivos muchos grupos de casos. Los tribunales de instancia deberán, por tanto, analizar caso por caso y aplicar detenidamente esos criterios.

Aprovechando la proximidad del 28 de junio, día internacional del Orgullo, este artículo explora la evolución del marco jurídico que protege a las familias LGBTIQ+ en la Unión Europea, especialmente en el contexto del derecho a la libre circulación. A partir de sentencias clave del Tribunal de Justicia de la Unión Europea (TJUE), acciones políticas de las instituciones europeas y los principios de igualdad y reconocimiento mutuo, se destaca el papel de la Unión como garante de los derechos fundamentales para todas las formas de familia.

Tras el Consejo de ministros de 26 de marzo de 2024 se anunció por el Gobierno de España la idea de reformar el proceso penal atribuyendo a los fiscales la función instructora que ahora asumen los jueces instructores, impulsando en mayo de este año un anteproyecto de modificación del Estatuto Orgánico del Ministerio Fiscal para adecuar el papel del fiscal a dicha reforma. Como sucedió con los proyectos legislativos anteriores, se reaviva el debate doctrinal sobre las ventajas e inconvenientes de una modificación de esta naturaleza en el contexto actual, y sobre todo, de la afectación que ello podría producir al principio de independencia del órgano investigador del delito, al estar en juego el principio de separación de poderes y de igualdad ante la ley propios de un Estado de Derecho.

El objetivo de este análisis de la disposición transitoria novena de la Ley Orgánica 1/2025 es promover una interpretación estricta y restrictiva de la misma, en defensa del acreedor ejecutante en la vía de apremio, en la fase de subasta judicial electrónica. Frente a ciertas interpretaciones doctrinales por procesalistas que abogan por la aplicación del nuevo régimen de subastas a ejecuciones iniciadas antes de la entrada en vigor de la ley, se defiende que dicha aplicación vulnera principios constitucionales como la seguridad jurídica, la legalidad y la confianza legítima. A tal fin, se examinan los antecedentes normativos, la finalidad de la reforma, y se argumenta que los procedimientos en curso deben regirse por la normativa vigente al momento de su incoación.

El abogado José María López Jiménez, especialista en regulación financiera y doctor en Derecho, presentó su último libro, editado por Aranzadi LA LEY, en la sede de Cremades & Calvo-Sotelo junto al socio director del bufete, Rafael Tripero; al socio Alberto Ruiz Ojeda; y al profesor Antonio Estella de Noriega.

Con la puesta en marcha de dos nuevos canales de venta (por Internet desde su web y a través de resguardos que se imprimen en el establecimiento expendedor, que puede serlo una administración de lotería tradicional o un establecimiento de otro tipo, como bares o quioscos), no abusó de la situación de dependencia económica que respecto de ella tienen las administraciones de lotería.

El Banco cumplió el sistema de autenticación reforzada. Ha acreditado que remitió 16 sms al actor para comunicar las operaciones que estaban siendo realizadas, y a los efectos de que las mismas pudieran ser confirmadas por medio de una contraseña de un solo uso. En los mensajes se informaba al usuario tanto de la operación que iba a realizar, en mensaje claro y comprensible, como de la clave para confirmar la operación, indicando algunos de ellos que no debía ser facilitada a terceros.

Aunque la señal horizontal cumplía la normativa en vigor, no satisfacía las exigencias de adherencia necesarias para evitar el deslizamiento de los neumáticos.

El TJUE lo admite como una medida adecuada para promover la mejora de la seguridad y de la salud en el trabajo y no resulta contraria al derecho a la integridad física y psíquica de la persona.

Este certamen tiene como objetivo fomentar el estudio, la reflexión y la divulgación del conocimiento en el ámbito del Derecho, ofreciendo una plataforma de reconocimiento al trabajo y talento de los profesionales de la comunidad jurídica.

En una sentencia, la Sección Cuarta mantiene igualmente la absolución del delito de coacciones para él y para los otros tres acusados en este procedimiento

Se considera necesario “elevar la respuesta punitiva al no estar ante casos aislados, sino ante una de las formas más graves de ataque y denigración del colectivo LGTBI. La norma modifica el Código Penal con la introducción de un artículo 173.bis, y modifica también el apartado 5 del artículo 510 CP.

El Ministerio de Consumo tiene previsto modificar de forma inmediata la Ley de Consumo Sostenible para evitar la reduflación en los productos, es decir que las empresas reduzcan la cantidad de un producto manteniendo el mismo precio. Las empresas tendrán que notificarlo de forma "clara y comprensible"-

La experta Cristina Aragón dice que va a "costar muchos años" acabar con la brecha en pensiones, pero ve "esperanza" por la subida del SMI.

La Audiencia de Barcelona ha admitido el recurso interpuesto por una empresa contra la sentencia del Juzgado Mercantil 9 de Barcelona y resuelve que la empresa Punto Fa, S. L (Mango) incurrió en una infracción de derechos de propiedad intelectual al utilizar, sin autorización, obras de Antoni Tàpies, Miquel Barceló y Joan Miró. La empresa alega que siempre actuó "de buena fe" y recurrirá el fallo ante el Supremo.

La compraventa de viviendas se incrementó un 1,3% en abril en comparación al mismo mes del año anterior, hasta las 63.983 unidades, y la concesión de préstamos hipotecarios para la adquisición de vivienda subió un 9,4% en tasa interanual, hasta las 33.984 operaciones, según datos del Consejo General del Notariado.