Ricard Castellet

EE. UU. endurece el control digital a turistas: redes sociales y privacidad en el centro del debate

por

Viajar a Estados Unidos podría dejar de ser un trámite relativamente sencillo para millones de personas. La Administración Trump ha anunciado una propuesta que obligaría a los viajeros que utilicen el Visa Waiver Program (VWP) a declarar los identificadores de redes sociales usados en los últimos cinco años como parte del proceso de autorización de viaje.


La medida, publicada por la U.S. Customs and Border Protection (CBP), forma parte de una estrategia más amplia destinada a reforzar el control migratorio y «examinar a los visitantes al máximo nivel posible». Si se aprueba, entraría en vigor el 8 de febrero y afectaría a ciudadanos de 42 países, principalmente europeos, además de Australia y otros socios tradicionales de EE. UU.


Más datos personales, más preguntas


El cambio no se limita a las redes sociales. El formulario ESTA pasaría a exigir también:


  • Todas las direcciones de correo electrónico utilizadas en los últimos diez años.
  • Información detallada sobre familiares directos (padres, hermanos, hijos y cónyuges), incluyendo nombres, fechas y lugares de nacimiento y domicilios.

Aunque el aviso se encuentra en fase de consulta pública durante 60 días, el alcance de la información solicitada ha generado inquietud inmediata, tanto dentro como fuera del país.


El impacto en el turismo y los negocios


Desde el sector turístico estadounidense, las reacciones han sido cautelosas pero preocupadas. La U.S. Travel Association ha advertido de que un proceso de entrada demasiado intrusivo puede provocar que los viajeros internacionales opten por otros destinos.


Esta preocupación no es menor si se tiene en cuenta el contexto: Estados Unidos será uno de los anfitriones del Mundial de Fútbol de 2026, un evento que se espera atraiga a millones de visitantes y contribuya a revitalizar el turismo internacional, que ha sufrido un descenso en los últimos años.


Las críticas no se han hecho esperar. La senadora demócrata Patty Murray ha ironizado e indicado que «sería más fácil prohibir directamente el turismo». Desde el ámbito académico, algunos analistas han señalado que el nivel de control propuesto resulta incluso más restrictivo que el aplicado por países con políticas fronterizas tradicionalmente duras.


Estas comparaciones han alimentado el debate sobre si la medida es realmente eficaz desde el punto de vista de la seguridad o si, por el contrario, supone un coste reputacional para EE. UU.


Privacidad digital: el gran debate de fondo


Desde una perspectiva de derecho digital, la propuesta plantea cuestiones clave sobre privacidad y tratamiento de datos personales. La recopilación masiva de información online y familiar contrasta con principios como la minimización y la proporcionalidad, ampliamente consolidados en normativas como el Reglamento General de Protección de Datos (RGPD) en Europa.


Aunque estas normas no sean directamente aplicables en EE. UU., sí influyen en la percepción que ciudadanos y empresas extranjeras tienen sobre la seguridad y el uso de sus datos.


Seguridad, dinero y contradicciones


De forma paralela, la Administración ha lanzado programas como la denominada «gold card», que permitiría obtener la residencia permanente a quienes inviertan un millón de dólares, o una futura «platinum card» de cinco millones. Una dualidad que refuerza la sensación de que el control no se aplica de igual forma a todos los perfiles.


En un mundo cada vez más digital, las fronteras ya no solo se controlan con pasaportes, sino también con datos. Y la pregunta clave sigue abierta: ¿hasta dónde estamos dispuestos a llegar en nombre de la seguridad?


Como siempre, cuidad los datos y ¡cuidaos!

Nano Banana Pro: el nuevo desafío para la identidad digital y la seguridad del futuro

por

La irrupción del modelo Nano Banana Pro de Google, capaz de generar imágenes sintéticas de documentos de identidad y rostros con una precisión sin precedentes, ha reabierto un debate crítico: ¿cómo proteger la identidad digital en un entorno donde la vista humana—e incluso ciertos sistemas automatizados—pueden ser engañados con una facilidad creciente?


Mientras algunos expertos advierten de que esta tecnología permite fabricar pasaportes, carnés de conducir o identificaciones universitarias falsas con un realismo alarmante, otros recuerdan que los sistemas modernos de verificación no se basan exclusivamente en análisis visuales. Ambas perspectivas son válidas y, de hecho, subrayan la conclusión más importante: el modelo tradicional de identificación está bajo una tensión sin precedentes.


Identidades sintéticas: un riesgo que ya no es teórico


El gran salto cualitativo del Nano Banana Pro es su capacidad para replicar patrones visuales con un nivel de fidelidad que supera lo que hace apenas unos meses parecía plausible. Esto supone un riesgo real para procesos que siguen apoyándose, parcial o totalmente, en pruebas fotográficas o en la correspondencia entre «persona en cámara» y «foto en documento».


Algunos casos especialmente sensibles son:


  • Verificación de edad mediante documentos físicos o imágenes.
  • Monitorización de exámenes con validación puntual de identidad.
  • Alta de usuarios en plataformas bancarias o fintech mediante una foto del documento.
  • Procesos de on-boarding en empresas, telemedicina o voluntariado.

El fenómeno del face swapping aplicado sobre una identidad verificable amplifica aún más el problema: el atacante ya no necesita manipular un documento, sino superponer un rostro falso sobre un usuario real durante la verificación.


No todo es apocalipsis: los sistemas serios ya no dependen solo de imágenes


Es cierto que los documentos actuales—especialmente en Europa—incorporan múltiples capas de seguridad físicas y electrónicas: hologramas dinámicos, microimpresiones, filigranas, MRZ, chips NFC y firmas criptográficas. Ninguna IA puede replicar estos elementos a través de una simple imagen generada, y los procesos robustos de on-boarding exigen lectura de chip, validación criptográfica y pruebas de vida avanzadas.


Dicho de otro modo: las organizaciones que ya usan métodos modernos no están desprotegidas, pero el ecosistema global sí enfrenta un reto importante, porque aún hay multitud de servicios que se basan en capturas de pantalla, fotos o verificaciones visuales básicas.


¿Qué deben hacer las organizaciones ahora?


  1. Abandonar la foto como única prueba de identidad. La imagen es un factor, pero ya no puede ser el factor decisivo.
  2. Adoptar modelos de confianza en capas. Verificación continua, señales de comportamiento, lectura de chip, biometría dinámica y metadatos de procedencia.
  3. Tratar la gobernanza de la IA como un área operativa. La supervisión pasiva no sirve frente a amenazas que evolucionan a gran velocidad.
  4. Preparar un plan de respuesta para fraude sintético. Cualquier institución que gestione identidades debe anticipar escenarios de suplantación avanzada.

Conclusión: un aviso y una hoja de ruta


El Nano Banana Pro no destruye de un día para otro la identificación digital, pero sí marca un antes y un después. La autenticidad ya no puede apoyarse únicamente en lo visual. La seguridad—en privacidad, identidad y ciberseguridad—dependerá de nuestra capacidad para evolucionar hacia modelos donde la verificación no sea un instante, sino un proceso continuo y resiliente.


Como siempre, cuidad los datos y ¡cuidaos!

Llega el canal europeo de denuncias sobre IA: qué supone para las empresas y cómo prepararse

por

La gobernanza de la inteligencia artificial en Europa da un paso decisivo con el lanzamiento de la AI Act Whistleblower Tool, el nuevo canal europeo para denunciar infracciones relacionadas con el uso y desarrollo de sistemas de IA. La herramienta, impulsada por la Oficina Europea de Inteligencia Artificial, introduce una capa adicional de vigilancia en un momento clave: el Reglamento de Inteligencia Artificial (RIA o AI Act) avanza hacia su plena aplicación, y las empresas tecnológicas deberán reforzar su cultura de cumplimiento normativo.


Aunque muchas obligaciones del RIA aún no son exigibles, Bruselas quiere anticiparse a posibles incumplimientos y convierte a empleados, colaboradores y socios comerciales en aliados estratégicos para detectar riesgos. Este enfoque se suma al marco ya existente en España, compuesto por la Autoridad Independiente de Protección del Informante (AIPI), la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y los sistemas internos de información obligatorios bajo la Ley 2/2023.


¿En qué consiste la AI Act Whistleblower Tool?


Se trata de un canal de denuncia externo, seguro, confidencial y totalmente independiente de los sistemas internos de las compañías. Permite comunicar presuntas infracciones del RIA, tanto en obligaciones ya activas como en ámbitos conexos afectados por el despliegue de IA:


  • Seguridad de productos.
  • Protección del consumidor.
  • Privacidad y seguridad de los datos.
  • Prácticas internas que puedan poner en riesgo derechos fundamentales o la confianza pública.

No obstante, los expertos advierten que su alcance todavía es limitado: algunas obligaciones—como la transparencia sobre los datos de entrenamiento—no serán exigibles hasta fases posteriores, y la protección plena de los denunciantes no será aplicable hasta el 2 de agosto de 2026.


Un ecosistema de canales que convivirá y se solapará


El nuevo canal europeo no sustituye a los mecanismos nacionales. Las denuncias podrán presentarse tanto por vía interna como externa, sin necesidad de agotar ninguna vía previamente. Esto abre la puerta a investigaciones paralelas y, potencialmente, a un solapamiento de sanciones si concurren distintos supervisores.


Ante esta falta de claridad práctica, los especialistas en compliance recomiendan reforzar los sistemas internos para mejorar su eficacia y capacidad de respuesta. La Ley 2/2023 exige que el sistema interno sea accesible, garantice el anonimato y la confidencialidad, proteja frente a represalias y cuente con una gestión independiente, aunque la operación pueda externalizarse.


Además, las empresas deben informar no solo de su canal interno, sino también de los canales externos disponibles, incluidos los europeos.


¿Qué deben hacer ahora las tecnológicas?


Con la puesta en marcha del canal europeo, las organizaciones que desarrollan o integran IA deberían:


  1. Revisar y actualizar sus programas de compliance, incorporando obligaciones del RIA y protocolos específicos de IA.
  2. Auditar sus sistemas internos de información para garantizar su eficiencia, accesibilidad y alineación con la Ley 2/2023.
  3. Capacitar a los equipos sobre obligaciones del AI Act, riesgos legales y funcionamiento de los distintos canales.
  4. Evaluar el impacto de posibles investigaciones simultáneas y preparar planes de respuesta coordinados.

En un entorno regulatorio cada vez más complejo, la prevención y la transparencia serán claves para evitar riesgos sancionadores y reputacionales. El mensaje es claro: la era de la supervisión reforzada de la IA ya ha comenzado, y las empresas deben estar preparadas.


Como siempre, cuidad los datos y ¡cuidaos!

Biometría en turbulencias: qué revela la sanción millonaria de la AEPD a AENA

por

La Agencia Española de Protección de Datos ha impuesto a AENA la multa más elevada de su historia: 10.043.002 € por la utilización de sistemas de reconocimiento facial en varios aeropuertos sin haber llevado a cabo una Evaluación de Impacto en Protección de Datos (EIPD) completa y válida, conforme a lo exigido por el artículo 35 del RGPD. La resolución, extensa y detallada, ofrece un análisis exhaustivo de las deficiencias detectadas en el diseño y la documentación del tratamiento de datos biométricos por parte de la entidad.


El expediente deja claro que el problema no fue la adopción de tecnología biométrica como concepto, sino cómo se diseñó y se justificó su implantación. La Agencia concluye que AENA no acreditó adecuadamente la necesidad, proporcionalidad ni los riesgos del sistema, aspectos que constituyen el núcleo de una EIPD robusta y previa.


Un tratamiento de alto riesgo sin una EIPD adecuada


A lo largo de la resolución, la AEPD identifica diversas carencias estructurales en la evaluación presentada por AENA:


  • Insuficiencia en el análisis de necesidad y proporcionalidad. Las EIPD no demostraban por qué era imprescindible recurrir a un sistema de identificación 1:N, basado en comparación contra bases de datos centralizadas, cuando existían métodos menos invasivos que podían cumplir la misma finalidad operativa.
  • Análisis de riesgos incompleto y desalineado con el proyecto inicial. La documentación aportada no incluía el análisis de riesgos original de 2021; en su lugar, se presentó uno elaborado en 2023, desconectado del diseño previo y, por tanto, incapaz de justificar el tratamiento desde su concepción.
  • Metodología inadecuada para un proyecto de alta complejidad. La Agencia subraya que se utilizaron herramientas orientadas a organizaciones más pequeñas, no adecuadas para un sistema implantado en varios aeropuertos y que trataba datos de categoría especial.
  • Falta de coherencia entre las advertencias recibidas y la continuidad del proyecto. AENA había planteado consultas previas en las que reconocía dificultades para reducir el riesgo a niveles aceptables, pero, aun así, avanzó hacia fases piloto y operativas sin disponer de una EIPD completa.

Un matiz importante: la AEPD no rechaza la biometría en aeropuertos


Aunque la sanción sea contundente, la Agencia no cuestiona que la biometría pueda utilizarse legítimamente en aeropuertos. De hecho, la propia resolución alude al Dictamen 11/2024 del Comité Europeo de Protección de Datos, que describe modelos de uso compatibles con el RGPD.


La clave está en el diseño. Existen escenarios en los que la tecnología biométrica se basa en:


  • Plantillas almacenadas únicamente en el dispositivo del pasajero.
  • Comparaciones 1:1 locales y efímeras.
  • Ausencia de almacenamiento centralizado por parte del operador.

Este tipo de soluciones, menos intrusivas y más contenidas, podrían superar el juicio de necesidad y proporcionalidad que exige el RGPD y que la AEPD ha echado en falta en el caso de AENA.


Conclusión: un aviso y una hoja de ruta


La sanción no cierra la puerta a la biometría, pero sí marca un estándar claro: cualquier tratamiento de este tipo exige justificación sólida, metodología adecuada y una EIPD exhaustiva, previa y bien fundamentada. La innovación y la eficiencia operativa son compatibles con la protección de datos, siempre que se integren desde el diseño las garantías necesarias.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Reglamento Ómnibus Digital: ¿simplificación o giro de rumbo en la regulación europea?

por

La Comisión Europea ha presentado la esperada Propuesta de Reglamento Ómnibus Digital, un paquete ambicioso que pretende armonizar, actualizar y «desburocratizar» varios pilares del ecosistema normativo europeo: protección de datos, inteligencia artificial, ciberseguridad, cookies y acceso a datos. Su objetivo declarado es claro: facilitar la innovación, reducir cargas a las empresas y garantizar coherencia entre normas. Pero… ¿estamos ante una modernización necesaria o una revisión que puede alterar equilibrios fundamentales?


Un RGPD más flexible, pero también más permeable


Uno de los puntos más llamativos es la reapertura del RGPD, algo que hace apenas unos años parecía impensable. La propuesta introduce cambios que, si bien buscan claridad jurídica, pueden tener efectos profundos:


  • Nueva definición de datos personales, que incorpora doctrina del TJUE: si la reidentificación no es razonablemente posible para quien trata los datos, deja de considerarse dato personal.
  • Nuevas excepciones del artículo 9.2, que permiten tratar datos biométricos para verificación cuando estén bajo control del interesado, o para el desarrollo y funcionamiento de modelos de IA.
  • Interés legítimo para IA, salvo que el derecho nacional exija consentimiento.
  • Deber de información más laxo, que permite omitir información «si ya se presume conocida por el interesado».
  • Brechas de seguridad: notificación solo cuando exista «alto riesgo» y ampliación a 96 horas.

La lectura optimista habla de reducción de cargas y mayor claridad. La lectura crítica, sin embargo, alerta de un riesgo de erosión progresiva de la protección: datos inferidos menos protegidos, mayor margen para entrenar sistemas de IA, y opacidad reforzada por nuevas excepciones informativas.


Ciberseguridad y notificaciones: un único punto de acceso


En el ámbito de la ciberseguridad, la propuesta crea un punto único de notificación de incidentes, simplificando uno de los procesos más fragmentados del marco NIS2. Esta medida puede aportar eficiencia real para empresas multinacionales y sectores con múltiples obligaciones regulatorias.


Cookies y ePrivacy: hacia menos banners (y más cambios estructurales)


El Ómnibus introduce modificaciones relevantes sobre cookies y ePrivacy:


  • Reducción de banners mediante preferencias centralizadas en navegador o sistema operativo.
  • Nuevo artículo 88 a) sobre consentimiento para acceso/almacenamiento en terminales.
  • Un 88 b) que fija el respeto obligatorio de señales automatizadas de preferencias.

Aunque el discurso oficial habla de «mejorar la experiencia del usuario», algunos expertos alertan de que el efecto combinado podría debilitar el marco ePrivacy al integrarlo parcialmente en el RGPD modificado.


IA y acceso a datos: alineación con la Ley de IA


El paquete vincula la aplicación de normas de IA de alto riesgo a la disponibilidad de herramientas de apoyo (estándares, guías, metodologías). También impulsa el acceso a datos como motor de innovación, buscando coherencia con la Data Act y la Estrategia Europea de Datos.


¿Qué viene ahora?


La Comisión ha abierto la segunda fase del proceso, con una Evaluación de Aptitud Digital (Fitness Check) hasta marzo de 2026. Será un momento clave: las empresas, administraciones y sociedad civil deberán posicionarse sobre si el Ómnibus representa una simplificación necesaria o una reforma que modifica la esencia del RGPD y ePrivacy.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la Propuesta, haga clic aquí.

Shadow AI: cuando la innovación se convierte en vulnerabilidad legal

por

La inteligencia artificial llegó para quedarse, pero su adopción descontrolada puede convertirse en el mayor riesgo legal y reputacional de tu organización. La conocida como Shadow AI —el uso no autorizado de herramientas de inteligencia artificial por parte de empleados sin supervisión del departamento de TI o compliance— está exponiendo a miles de empresas a sanciones millonarias, filtraciones de datos confidenciales y graves incumplimientos normativos.


Los datos son alarmantes: una reciente investigación de Microsoft revela que el 71% de los empleados en Reino Unido han utilizado herramientas de IA no aprobadas en el trabajo, y el 51% continúa haciéndolo semanalmente. En España, el 67% de las organizaciones se sienten incapaces de detectar implementaciones de IA no controladas, y más del 80% de las compañías españolas han sufrido incidentes de seguridad relacionados con la IA. El problema no es menor: uno de cada cinco incidentes de Shadow AI implica datos sensibles, y solo el 32% de los trabajadores expresan preocupación por la privacidad de los datos corporativos o de clientes introducidos en herramientas de IA de consumo.


El verdadero riesgo: vulnerabilidades legales y operativas


Cuando un empleado introduce datos corporativos, información de clientes o estrategias empresariales en herramientas públicas como ChatGPT, Claude o Gemini sin autorización, genera múltiples vulnerabilidades simultáneas. Los trabajadores recurren a estas herramientas para redactar comunicaciones laborales (49%), elaborar informes y presentaciones (40%) e incluso realizar tareas financieras (22%), pero con una preocupante falta de conciencia sobre los riesgos: solo el 29% se preocupa por la seguridad de los sistemas de TI de su organización.


La fuga de información confidencial es inmediata: herramientas de IA generativa almacenan y reutilizan la información introducida en sus prompts. Nombres de clientes, información de proyectos estratégicos y código fuente propietario son filtrados sin control. Simultáneamente, se incumplen obligaciones del Reglamento General de Protección de Datos (RGPD), que exige consentimiento explícito, minimización de datos y transparencia en el tratamiento de información personal. Las multas pueden alcanzar 20 millones de euros o el 4% de la facturación global.


El Reglamento de Inteligencia Artificial (AI Act), cuyas primeras obligaciones entraron en vigor el 2 de agosto de 2025, establece sanciones aún más severas: hasta 35 millones de euros o el 7% del volumen de negocio global. Las organizaciones deben garantizar trazabilidad, transparencia y supervisión humana en los sistemas de IA, algo imposible cuando se utilizan herramientas no autorizadas.


Medidas esenciales para empresas


Prohibir el uso de IA no es viable: el 41% de los empleados utiliza estas herramientas porque están acostumbrados a ellas en su vida personal, y el 28% porque su empresa no proporciona una alternativa aprobada. La estrategia correcta pasa por gestionar la Shadow AI mediante un marco de gobernanza claro, transparente y auditable.


Realizar una auditoría interna de IA: Identificar todas las herramientas de IA utilizadas en la organización, tanto autorizadas como no controladas.


Implementar una Política de Uso Responsable de IA: Documento que establezca reglas, principios y procedimientos sobre usos permitidos, procedimientos de aprobación, obligaciones de confidencialidad y medidas de seguridad.


Establecer controles técnicos de prevención: Soluciones de Prevención de Pérdida de Datos (DLP) para examinar información sensible enviada a plataformas de IA.


Formar y concienciar a la plantilla: El 87% de los empleados no comprende los riesgos reales del uso inadecuado de IA. La formación debe ser específica por perfil profesional.


Designar responsables de gobernanza: Crear un Comité de IA con representación de áreas clave que supervise implementación, evalúe nuevas herramientas y gestione incidentes.


Conclusión


En un contexto normativo cada vez más exigente, con el RGPD plenamente consolidado, el AI Act en fase de implementación y la AEPD ejerciendo competencias sancionadoras, las organizaciones no pueden permitirse ignorar la Shadow AI.
Como advierte Darren Hardman, CEO de Microsoft UK & Ireland: «Solo la IA de nivel empresarial ofrece la funcionalidad que los empleados desean, envuelta en la privacidad y seguridad que toda organización exige».
La clave está en gobernar: establecer marcos claros, formar equipos e implementar controles técnicos. Solo así la innovación se convierte en ventaja competitiva sostenible y responsable.


Como siempre, ¡cuidad los datos y cuidaos!

Videovigilancia laboral: el Supremo aclara cuándo las imágenes son prueba válida en un despido

por

La Sentencia del Tribunal Supremo 149/2025, de 14 de enero, ha vuelto a poner en primer plano uno de los temas más complejos del Derecho digital laboral: el uso de sistemas de videovigilancia en el trabajo. En esta resolución, el Alto Tribunal confirma que las imágenes captadas por las cámaras pueden utilizarse como prueba válida en un despido disciplinario, siempre que se respeten los principios de información, proporcionalidad y finalidad previstos en la LOPDGDD y el RGPD.


El caso se origina en el despido de una dependienta de una tienda de moda (Stradivarius) que había realizado una devolución ficticia para quedarse con 39’98 €. La empresa acreditó los hechos mediante las grabaciones de las cámaras de seguridad situadas en la zona de cajas. El Juzgado de lo Social declaró el despido procedente, pero el Tribunal Superior de Justicia del País Vasco lo anuló, considerando que la trabajadora no fue informada expresamente de que las imágenes podían usarse con fines disciplinarios. Finalmente, el Supremo revocó esa decisión y validó la medida.


La decisión del Supremo


El Tribunal Supremo considera que el uso de las grabaciones fue lícito y proporcionado, apoyándose en tres elementos esenciales:


  1. Las cámaras eran visibles y los trabajadores conocían su existencia.
  2. Los representantes de los empleados habían sido informados de su instalación.
  3. El sistema se utilizó para comprobar un hecho concreto y flagrante, constitutivo de una falta muy grave ( 54.2 d) ET).

El Supremo se apoya en el artículo 89 de la LOPDGDD, que permite el tratamiento de imágenes para el control laboral cuando las cámaras son visibles e informadas, y establece una excepción al deber de información previa en casos de flagrancia de una conducta ilícita.


Asimismo, cita la jurisprudencia del Tribunal Constitucional (STC 119/2022) y del Tribunal Europeo de Derechos Humanos (López Ribalda II), recordando que la videovigilancia puede considerarse válida si la medida es justificada, idónea, necesaria y proporcionada al fin perseguido.


Un punto de inflexión respecto a otros tribunales


La resolución contrasta con otras decisiones judiciales—como las del TSJ del País Vasco o del TSJ de Cataluña—que han declarado improcedentes o nulos los despidos fundamentados en imágenes de videovigilancia cuando no se informaba expresamente al trabajador sobre su posible uso disciplinario.


El Supremo, sin embargo, adopta una postura más pragmática: no toda deficiencia informativa convierte la medida en ilícita, siempre que exista un equilibrio entre el derecho a la intimidad del trabajador (art. 18 CE) y la facultad empresarial de control (art. 20.3 ET).


Conclusión


Esta sentencia marca un nuevo hito en la interpretación del uso de cámaras en el entorno laboral.
El Supremo no flexibiliza la normativa, pero sí pondera su aplicación con criterios de proporcionalidad. Reconoce que la videovigilancia no puede convertirse en una herramienta de vigilancia masiva, pero sí puede ser legítima cuando se emplea con fines concretos, transparentes y necesarios para proteger los intereses de la empresa.


Para las organizaciones, el mensaje es claro:


  • La videovigilancia es válida, pero debe integrarse en una política de privacidad clara, con cartelería visible, información a la plantilla y revisión del Delegado de Protección de Datos (DPD).
  • El cumplimiento formal no es suficiente; lo esencial es garantizar que la medida sea proporcionada y respetuosa con la dignidad del trabajador.

En definitiva, el Supremo confirma que seguridad y privacidad pueden convivir… siempre que se mantenga el delicado equilibrio entre control y confianza.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Categorías Sin categoría

Seguridad o privacidad: el pulso judicial por el fichaje con huella digital

por

La reciente Sentencia nº 370/2025 del Juzgado de lo Social nº 3 de A Coruña ha reabierto el debate sobre la legalidad del registro de jornada mediante sistemas biométricos en el entorno laboral. En un contexto marcado por la cautela de la Agencia Española de Protección de Datos (AEPD) y la tendencia empresarial a abandonar estos sistemas, el fallo avala la utilización de la huella digital como mecanismo de control horario en un hospital público, calificándola de «poco invasiva» y «proporcionada».


Un caso con implicaciones más allá del hospital


El conflicto enfrentaba al comité de empresa y a la Confederación Intersindical Galega frente al Instituto Policlínico Santa Teresa S.A. Los representantes sindicales alegaban vulneración de los derechos fundamentales a la intimidad, la salud y la libertad sindical por el uso obligatorio de un sistema de fichaje mediante huella dactilar.


El tribunal, sin embargo, desestimó íntegramente la demanda y consideró que el sistema biométrico empleado—basado en plantillas no identificativas y con medidas de seguridad avanzadas—respetaba los principios del RGPD y la LOPDGDD, resultando idóneo para garantizar el registro horario exigido por el artículo 34.9 del Estatuto de los Trabajadores.


Un argumento jurídico polémico


El punto más controvertido radica en la base jurídica elegida por el juzgado para legitimar el tratamiento de datos biométricos: la excepción del artículo 9.2.i) del RGPD, relativa al tratamiento necesario por razones de interés público en el ámbito de la salud pública.
Aplicar esta excepción—concebida para amenazas sanitarias o seguridad asistencial—al simple registro de jornada laboral resulta, cuanto menos, discutible. El tribunal justifica su decisión al considerar el hospital una infraestructura crítica (Ley 8/2011), donde la verificación biométrica contribuiría a la seguridad de pacientes, medicamentos y personal. No obstante, este razonamiento confunde dos tratamientos distintos: el control de acceso (más defendible desde la perspectiva de la seguridad) y el registro horario, cuya finalidad es puramente laboral.


Falta de doctrina unificada


El caso refleja la ausencia de una doctrina consolidada en torno al fichaje biométrico.
Mientras que la AEPD, en su Guía sobre uso de datos biométricos (noviembre de 2023), insiste en que estos sistemas son altamente intrusivos y de uso excepcional, algunos tribunales y organismos técnicos—como el CNPIC o el Consejo Español para el Registro de Jornada—mantienen posiciones más permisivas, especialmente en contextos de seguridad reforzada.


El resultado es un panorama fragmentado en el que la misma práctica puede considerarse ilícita o proporcional según el órgano que la valore.


Una sentencia que invita a la reflexión


El Juzgado de A Coruña ha ido más allá de la postura mayoritaria al calificar la huella digital como menos intrusiva que alternativas como las apps con geolocalización o los lectores de tarjetas NFC.
Esta valoración, sin embargo, parece minimizar la naturaleza sensible de los datos biométricos y el riesgo inherente a su tratamiento. Más que un paso hacia la modernización tecnológica, el fallo puede interpretarse como un retroceso en la cultura de protección de datos laborales.


En definitiva, esta sentencia nos invita a una reflexión urgente: ¿Estamos ante un cambio de tendencia judicial o ante un exceso de interpretación que desdibuja los límites del RGPD? Lo cierto es que, a día de hoy, la seguridad jurídica en materia de fichaje biométrico sigue tan difusa como las huellas que pretende registrar.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

XXV Congreso ASNALA en Sevilla: pasión laboralista y compromiso digital

por

El XXV Congreso de ASNALA, celebrado en Sevilla bajo el lema Laborium 2025, ha sido mucho más que un punto de encuentro: una demostración del vigor y la comunidad que definen al Derecho Laboral en España. Durante tres días, la capital andaluza reunió a cientos de profesionales del ámbito jurídico-laboral, convertidos en protagonistas de un evento que combinó conocimiento, innovación y buenas relaciones.


Tecnolawyer tuvo el privilegio de participar como patrocinador de esta edición especial, reafirmando nuestro compromiso con el impulso del Derecho Digital Laboral. En nuestro stand presentamos dos herramientas especialmente pensadas para los laboralistas que desean anticiparse a los retos tecnológicos que ya están transformando su práctica: el Índice Digital Laboral, que permite conocer el nivel de madurez digital de cada profesional y compararlo de forma anónima con el de sus colegas, y la Guía rápida “IA: qué ha de saber un abogado laboralista hoy”, un material de consulta ágil que resume los aspectos clave del uso responsable y ético de la inteligencia artificial en el ámbito laboral.


El congreso fue también una oportunidad única para escuchar y comprender las inquietudes del sector. Muchos asistentes compartieron sus experiencias en torno a dos cuestiones que centraron buena parte del debate: la irrupción de la IA en los recursos humanos —con su potencial, pero también con sus dilemas jurídicos— y la implantación efectiva y demostrable de la Desconexión Digital en las empresas, un derecho que sigue evolucionando en paralelo a la digitalización del trabajo. Estas conversaciones confirmaron la necesidad de acompañar a las pymes y a los despachos en la adopción de buenas prácticas digitales, un objetivo central en nuestra labor diaria.


El equipo de ASNALA, encabezado por Ana Gómez, presidenta, y Paloma Ausín, gerente, ofreció una organización impecable que combinó el rigor profesional con una hospitalidad ejemplar. La agenda de Laborium 2025 no solo brilló por la calidad de sus ponencias y mesas redondas, sino también por su cuidada vertiente social: la visita guiada a los Reales Alcázares y la Cena de Gala fueron momentos memorables que sellaron la complicidad entre colegas de toda España.


Desde Tecnolawyer, regresamos de Sevilla con la satisfacción de haber compartido conocimiento, generado conversaciones valiosas y reforzado vínculos con una comunidad profesional apasionada y en plena transformación digital. Este Congreso ha dejado claro que el futuro del Derecho Laboral será, necesariamente, también digital. Y ahí estaremos, acompañando a los laboralistas con soluciones jurídico-tecnológicas que les ayuden a liderar ese cambio.

El equipo de Tecnolawyer en el photocall de la Cena de Gala del Congreso ASNALA 2025.
El equipo de Tecnolawyer, desplazado al Congreso, en el photocall de la Cena de Gala del Congreso de ASNALA 2025.

Revisión Textos Legales Web