Derecho digital

Italia aprueba la primera ley integral de IA en la UE: ¿qué implica realmente?

por

Italia se ha convertido en el primer país de la Unión Europea en promulgar una ley integral que regula la inteligencia artificial (IA). Esta normativa, alineada con el Reglamento de Inteligencia Artificial de la UE (RIA) , pretende asegurar que el uso de la IA sea humano, transparente y seguro, al tiempo que promueve la innovación, la ciberseguridad y la protección de la privacidad.

¿Qué introduce la nueva ley italiana?

  • Se establecen penas de prisión de 1 a 5 años para aquellos que utilicen IA para causar perjuicio, como la difusión de deepfakes o la manipulación de contenido perjudicial.
  • Obliga a un control humano y una estricta supervisión en el uso de la IA en ámbitos como el sanitario, educativo, la justicia, los puestos de trabajo, etc.
  • Para menores de 14 años , se exige el consentimiento parental para acceder a servicios basados ​​en IA.
  • En materia de derechos de autor , la ley establece que sólo las obras asistidas por IA que provengan de un esfuerzo intelectual humano genuino estarán protegidas. Asimismo, la minería de datos con IA sólo se permitirá sobre contenido no sujeto a derechos de autor o para fines científicos autorizados.

Beneficios clave de esta regulación

  • Da seguridad jurídica a empresas y usuarios al definir claramente qué usos de la IA son aceptables y cuáles no.
  • Refuerza la privacidad de los ciudadanos , limitando abusos tecnológicos como los deepfakes o el uso indebido de los datos.
  • Promueve la innovación responsable , ya que obliga a las empresas a adoptar estándares más altos de transparencia, supervisión y ética.
  • Fomenta la confianza : los usuarios pueden tener más certeza de que sus derechos están protegidos al interactuar con IA.

Retos prácticos para su implementación

  • Es necesario adaptar tecnologías existentes para cumplir con los requisitos de supervisión humana, trazabilidad y transparencia.
  • Las empresas tendrán que revisar sus modelos de negocio , los procedimientos de protección de datos y su responsabilidad legal.
  • Probablemente habrá costes elevados para cumplir con las nuevas obligaciones, tanto en desarrollo como en auditoría interna.
  • Vigilarán agencias como la Agencia por la Italia digital y la Agencia Nacional por la Seguridad Informática , lo que implica más controles y posibles sanciones en caso de incumplimientos.

¿En qué cambia la IA después de esta ley

  • La IA deja de ser un campo regulado únicamente a nivel europeo; Italia ya lo implementa con fuerza jurídica local .
  • Aumenta el peso del derecho de los usuarios frente a los fabricantes o proveedores de servicios de IA.
  • Se refuerzan los límites legales sobre contenidos generados por IA, especialmente cuando tienen impacto social, educativo o menores.
  • Se establece un estándar que podría influir en cómo otros países de la UE regulen la IA localmente.

Conclusión

Italia da un paso pionero en la regulación de la IA, marcando un precedente en Europa. Será fundamental cómo las empresas adopten esta ley para convertir la obligación en valor añadido , no sólo para evitar sanciones, sino para construir confianza en el uso ético de la IA .

Como siempre, ¡cuidad los datos y cuídese!

EU Data Act: ¿Estamos preparados para la nueva era de los datos?

por

12 de septiembre de 2025


 Desde hoy se aplica la EU Data Act, una normativa que cambia las reglas del juego en el acceso y uso de los datos generados por dispositivos conectados. Pero ¿qué implica exactamente y cómo afectará a empresas y usuarios?


¿Qué es el EU Data Act?


Es una ley de la Unión Europea que otorga a los usuarios —ya sean consumidores o empresas— el derecho de acceder y compartir los datos generados por sus dispositivos conectados (IoT – termostatos inteligentes o coches conectados –) de manera estructurada, en tiempo real y en formatos legibles por máquina.


¿Por qué es tan importante esta fecha?


Porque a partir del 12 de septiembre de 2025, los fabricantes deben garantizar que esos datos no quedan bajo su control exclusivo. Los usuarios tendrán libertad para reutilizarlos o compartirlos con terceros, fomentando la innovación y la competencia leal en el mercado digital europeo.


¿Qué beneficios aporta para los usuarios?


  • Transparencia total: acceso inmediato a la información generada por sus dispositivos.
  • Innovación abierta: posibilidad de que nuevas empresas desarrollen servicios basados en esos datos.
  • Mayor control: los usuarios ya no dependerán del fabricante para explotar su información.

¿Y qué implica para las empresas?


Aquí llegan los retos:


  • Adaptación tecnológica: sistemas preparados para exportar datos de manera segura y estandarizada.
  • Desarrollo de cláusulas contractuales justas
  • Cumplimiento legal: alineación con el RGPD y con la ciberseguridad.
  • Costes y procesos: inversión en infraestructura y formación para adecuarse a la norma.
  • Penalizaciones por incumplimiento

¿Estamos ante un cambio cultural?


Sí. La propiedad y el control de los datos ya no reside solo en los fabricantes. Europa apuesta por una economía digital más abierta, transparente y centrada en el usuario, donde compartir datos no sea una excepción, sino una práctica habitual y segura.


Conclusión


El EU Data Act es mucho más que una norma técnica: es un paso firme hacia un mercado digital europeo más competitivo y equilibrado. La pregunta ahora es: ¿convertirán las empresas esta obligación en una oportunidad real?


Evalúa tu cumplimiento hoy para convertir los retos en ventajas competitivas.


Como siempre, cuidad los datos y ¡cuidaos!

El derecho a desconectar: ¿una obligación ignorada?

por

El reciente foco mediático sobre el incumplimiento empresarial en materia de desconexión digital pone el acento en la necesidad urgente de que las compañías pasen de las buenas intenciones a la acción rigurosa. Al igual que con la protección de datos biométricos, el principio de “cumplir y poder demostrarlo” marca la diferencia entre un riesgo reputacional y una empresa alineada con el nuevo estándar de bienestar digital.


Hechos


Tras la entrada en vigor de la Ley Orgánica 3/2018 y la Ley 10/2021, todas las empresas tienen la obligación de contar con un protocolo de desconexión digital negociado y eficaz, no solo formal. Sin embargo, la Inspección de Trabajo ha detectado que en muchos casos este protocolo es simbólico, carece de medidas reales y no contempla la debida información y formación a los empleados.


El incremento de controles en 2025 ha hecho aflorar prácticas como el envío frecuente de comunicaciones fuera de jornada, especialmente en el teletrabajo, y la ausencia de vías claras para ejercer este derecho sin sufrir represalias. El 27% de los empleados españoles declara trabajar extras digitales sin contraprestación ni justificación.


Protocolos efectivos: del papel a la práctica


Tener un protocolo no es suficiente: debe adaptarse a la realidad interna, abarcar la flexibilidad horaria, prever situaciones urgentes, y formar a managers y equipos sobre el derecho a desconectar. La experiencia europea lo confirma: la desconexión se integra en la cultura corporativa y en la toma de decisiones del liderazgo, no como una mera cláusula legal.


El correcto cumplimiento requiere puntos como:


  • Políticas claras y negociadas sobre el uso de dispositivos y canales fuera de horario.
  • Mecanismos para informar y canalizar incidentes.
  • Formación y comunicación continua, revisando y actualizando los protocolos periódicamente.
  • Implantación efectiva, no meramente formal.

Sanciones y riesgo reputacional


Las sanciones por incumplimiento han aumentado: de 751 a 7.500 € para infracciones graves, y hasta 225.018 € si existe riesgo psicosocial probado o acoso laboral. Incluso aquellas empresas con protocolos solo “de cara a la galería” han sido sancionadas si no aplicaron, formaron ni comunicaron correctamente sus políticas. La jurisprudencia reciente avala indemnizaciones por daños derivados del estrés digital, y pronuncia nulas las sanciones o despidos a empleados que ejercieron su derecho a la desconexión.


Mirada práctica y europea


A nivel europeo, la futura Directiva de desconexión digital y los informes de la Agencia Europea para la Seguridad y Salud en el Trabajo colocando el derecho a desconectar como eje central del bienestar y la prevención psicosocial. Las buenas prácticas recomiendan caminar hacia una implantación transversal, real y medible, con auditorías internas y visión de mejora constante.


Conclusión


Cumplir formalmente ya no basta: la desconexión digital exige cultura, implicación de todos los departamentos y liderazgo activo. El coste de ignorarla puede superar con mucho el de cualquier sanción administrativa y, por supuesto, una caída reputacional.


Como siempre, cuidad los datos y ¡cuidaos!

Dinamarca da un paso valiente contra los deepfakes: ¿la era del copyright personal ha comenzado?

por

En un contexto internacional marcado por el auge de las tecnologías de inteligencia artificial generativa y la proliferación de contenidos manipulados—especialmente los conocidos deepfakes—, Dinamarca ha sorprendido al mundo con una propuesta legislativa pionera: reconocer a cada persona derechos de autor sobre su imagen, voz y cuerpo. Este enfoque, profundamente innovador, busca dotar a los ciudadanos de herramientas legales más efectivas para frenar el uso no autorizado de sus características personales en entornos digitales, especialmente ante la amenaza que representa la IA generativa.


¿En qué consiste esta propuesta de ley?


Dinamarca está dispuesta a modificar su legislación en materia de derechos de autor para permitir que cualquier individuo pueda reclamar la titularidad sobre la explotación no autorizada de su imagen, voz o incluso movimientos corporales generados artificialmente.


La iniciativa surge como respuesta a la creciente difusión de videos falsos creados mediante IA, algunos de ellos extremadamente realistas, que suplantan rostros, voces y gestos de personas reales —famosas o no— sin su consentimiento. La normativa danesa, aún en fase de desarrollo, podría constituir una base legal sólida para exigir la retirada de contenidos deepfake, solicitar indemnizaciones por daños morales o patrimoniales y, en algunos casos, emprender acciones penales.


¿Por qué es revolucionaria?


Tradicionalmente, los sistemas jurídicos occidentales no han reconocido derechos de autor sobre la apariencia o la voz de una persona, dado que el copyright está reservado a «obras» con originalidad y autoría. Las personas físicas disponen de mecanismos como el derecho a la propia imagen o al honor, pero estos derechos no tienen la misma fuerza automática ni vocación preventiva que el copyright.


Dinamarca propone fusionar el enfoque de los derechos de la personalidad con la lógica del derecho de autor y, así, permitir que un individuo pueda actuar como si fuera titular de una obra cuando se explota su identidad digital. Esto abriría la puerta a mecanismos de takedown similares a los que ya existen en plataformas como YouTube para proteger obras musicales o audiovisuales.


¿Qué pasa en otros países?


  • En Estados Unidos, algunos estados como California o Illinois han aprobado leyes específicas para proteger la «voz» o el «aspecto» de las personas, pero desde la óptica del derecho civil y no del copyright.
  • En la Unión Europea, los derechos a la imagen y a la protección de datos (como el artículo 8 de la Carta de Derechos Fundamentales de la UE) ofrecen una cierta cobertura, pero no otorgan un control automático ni un derecho de explotación patrimonial.
  • En España, el derecho a la propia imagen (LO 1/1982, de 5 de mayo) y la protección de datos (RGPD y LOPDGDD) son las herramientas disponibles, pero no permiten reclamar una «autoría» sobre nuestra voz o cuerpo. Sería necesaria una reforma legal de calado para incorporar esta perspectiva.

¿Un camino hacia la soberanía digital individual?


La propuesta danesa abre un nuevo paradigma jurídico, que reconoce que en la era digital el individuo no solo necesita proteger su intimidad, sino también ejercer control económico y moral sobre su identidad digital. Si prospera, podría marcar el inicio de un nuevo enfoque europeo para enfrentar los retos que plantea la IA generativa, los deepfakes y la manipulación de contenidos.


El debate está servido: ¿deberíamos tener copyright sobre nosotros mismos?


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la noticia, haga clic aquí.

IA y Privacidad: el futuro ya está aquí

por

La semana pasada, el equipo de Tecnolawyer tuvo el privilegio de asistir al XI Congreso Internacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP) en A Coruña. Este evento, considerado el más relevante del sector en España, reunió a más de 250 profesionales para debatir sobre los desafíos emergentes en privacidad, con un foco especial en el impacto de la inteligencia artificial (IA) en la protección de datos y la gobernanza digital.


IA y privacidad: un debate entre innovación y derechos fundamentales


Uno de los ejes centrales del Congreso fue la tensión entre la necesidad de innovación tecnológica y la protección de los derechos fundamentales. Miguel Valle del Olmo, representante de España en la Unión Europea, abogó por un equilibrio entre ambos aspectos, destacando que la regulación no debe ser vista como un obstáculo, sino como un marco que garantice la competitividad sin sacrificar la privacidad ciudadana .


Por otro lado, Leonardo Cervera, secretario general del Supervisor Europeo de Protección de Datos, defendió firmemente el enfoque normativo europeo frente a desafíos tecnológicos que amenazan la dignidad humana, subrayando que la innovación debe mejorar los derechos fundamentales .


El papel esencial de los profesionales de la privacidad


Marcos Judel, presidente de APEP, enfatizó la importancia de los expertos en privacidad en la implementación responsable de la IA, señalando que «en el viaje hacia la implantación responsable de la inteligencia artificial es fundamental reconocer el papel de los expertos en privacidad».


Durante el Congreso, se abordaron temas como la necesidad de un marco jurídico claro y uniforme, evitando solapamientos entre organismos reguladores como la AEPD y la AESIA, y se discutió sobre la importancia de evitar posibles «dobles sanciones» o «dobles inspecciones en el tratamiento de datos con inteligencia artificial.


Relevancia para las pymes españolas


Para las pequeñas y medianas empresas (pymes) en España, estos debates son especialmente pertinentes. La implementación de sistemas de IA debe ir acompañada de una comprensión profunda de las normativas de privacidad para evitar sanciones y proteger la reputación empresarial. La figura del Delegado de Protección de Datos (DPO) se vuelve fundamental en este contexto, actuando como puente entre la innovación tecnológica y el cumplimiento normativo.


Compromiso Tecnolawyer


Desde Tecnolawyer, reafirmamos nuestro compromiso con la privacidad, la seguridad de la información y el derecho laboral digital. Nuestra participación en el Congreso APEP 2025 nos ha proporcionado valiosas perspectivas que aplicaremos en nuestro asesoramiento a pymes, ayudándolas a navegar por el complejo panorama de la IA y la protección de datos.

¿Sigues enviando Excels con datos personales por email? Esto es lo que deberías saber (y evitar)

por

Dos resoluciones recientes de la Agencia Española de Protección de Datos (AEPD) han puesto en evidencia algo que muchas empresas —incluidas farmacias— aún no han entendido del todo: los datos personales no pueden circular por correo electrónico sin protección.


Los casos sancionados afectan a farmacias que, en su operativa diaria, intercambiaban correos electrónicos con listados de residentes de centros geriátricos, incluyendo nombre, apellidos, tipo de absorbente (pañales) y otra información sensible, sin ninguna clase de cifrado. Los archivos iban en Excel, abiertos y sin contraseña. En algunos casos, incluso se compartían usuarios y contraseñas para acceder a plataformas que contienen información sanitaria.


¿Por qué esto es grave?


Este hecho vulnera el art. 32 del Reglamento General de Protección de Datos (RGPD), el cual obliga a aplicar medidas técnicas adecuadas para garantizar la seguridad de los datos personales. No hablamos de un capricho burocrático: los datos de salud se protegen especialmente debido a su sensibilidad y su uso indebido puede tener consecuencias personales y sociales muy graves.


¿Y qué dijo la AEPD?


En ambas resoluciones (EXP202414366 y EXP202414356), la AEPD dejó claro que el uso de medios electrónicos no seguros para transmitir datos personales constituye una infracción. Si bien las farmacias intentaron escudarse en que no eran responsables del tratamiento, los hechos demostraron lo contrario, dado que accedían a los datos, los consultaban, los usaban y los almacenaban.


La AEPD indicó que ambas farmacias realizaban esta actividad en su condición de responsables del tratamiento, dado que eran las que determinaban los fines y medios de dicha actividad. Todo ello sin los contratos adecuados, sin una Evaluación de Impacto de Protección de Datos (EIPD) válida y, lo más llamativo, sin cifrado en los correos.


¿Qué implica cifrar un correo electrónico?


Significa que el contenido del mensaje (y los archivos adjuntos) solo pueden ser leídos por el destinatario previsto. Si alguien intercepta el email, verá un galimatías. Esto se puede hacer fácilmente con herramientas como archivos comprimidos con contraseña (ej. ZIP con contraseña fuerte) o servicios de correo seguro.


Conclusión


  • Si manejas datos personales —más aún si son de salud— el cifrado ya no es opcional, es obligatorio.
  • Enviar un Excel con nombres y datos médicos sin cifrar es lo mismo que enviar la ficha clínica de una persona por una postal abierta. No es aceptable, ni legal.
  • Si crees que «esto no me aplica porque yo solo sigo instrucciones», recuerda: si accedes y usas los datos, eres corresponsable.

Proteger la privacidad no es solo cumplir una norma, es respetar la dignidad de las personas. Y eso empieza por tomar en serio la seguridad, incluso (y sobre todo) en algo tan cotidiano como un email.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer las resoluciones, haga clic aquí y aquí.

El rompecabezas del tiempo efectivo: ¿qué cuenta como jornada laboral?

por

La Sentencia del Tribunal Superior de Justicia de Madrid nº962/2020 resuelve un conflicto laboral emblemático sobre el derecho a la desconexión digital y los límites de la formación obligatoria fuera de la jornada laboral. El caso enfrentó a un controlador aéreo de ENAIRE, quien fue sancionado por no completar cursos de formación online en sus días de descanso, y realizó algunas precisiones respecto al derecho a la desconexión digital.

Hechos

La empresa exigió a sus empleados realizar un curso formativo online—preceptivo, según la normativa europea y el convenio colectivo—de dos horas en sus periodos de descanso, sin alterar su horario laboral presencial, y destacó su obligación de realizar el curso «en los ciclos de descanso de tres días que de conformidad con el artículo 33 del convenio colectivo le son programados». Sin embargo, uno de los controladores aéreos rechazó realizar el curso fuera de su jornada laboral y exigió que se incluyera en su cuadrante de servicios (391 empleados realizaron el curso en plazo). Finalmente, lo completó fuera del plazo establecido, junto con otros 41 compañeros.

Debido a la falta de obediencia por parte de este empleado, la empresa le sancionó con 3 días de suspensión de empleo y sueldo, fundamentando su decisión en el artículo 95.2.i) EBEP, el cual tipifica como falta muy grave la «desobediencia abierta a órdenes de un superior».

En este sentido, el Tribunal razona que, si bien la orden de realizar formación en días de descanso aparentemente contravendría el derecho del trabajador a la intimidad personal y familiar del artículo 18 de la Constitución en su vertiente de desconexión digital, regulado en el artículo 88 de la LOPDGDD, las dos horas dedicadas a la realización del curso online por el trabajador son reconocidas por la empresa como tiempo de trabajo y, por tanto, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

De esta manera, el Tribunal razona que la empresa puede ordenar la realización de trabajo retribuido fuera de horario laboral y, por ello, el período para realizar la formación a distancia computaría como horas extraordinarias de tiempo efectivo de trabajo, evidentemente, con las consecuencias legales derivadas.

Además, añade que el convenio colectivo, en su artículo 29.1.1.3, indica claramente que «la jornada programable no incluye el tiempo necesario para la formación que no tenga la consideración de actividad aeronáutica». Teniendo en cuenta que la formación era relativa a Recursos Humanos, la exigencia de que la formación online del artículo 227 del convenio se incluyera en la jornada programable carecería de fundamento jurídico.

El Tribunal argumenta que la falta de criterios establecidos por la empresa para garantizar el cumplimiento del número de horas de jornada exigido no implica la ilegalidad de la orden ni justifica la desobediencia de esta, pues hay que tener en cuenta el escaso número de horas de formación requerido y el largo período para realizarlo (hecho que permitía perfectamente el respeto de los descansos legales). Si bien podría cuestionarse la legalidad de la orden en relación con la ordenación del tiempo de trabajo y descansos, no implica la vulneración de un derecho fundamental, tal y como alega el trabajador.

Asimismo, el motivo por el que el trabajador se negó a cumplir la orden no fue su ignorancia sobre las normas aplicables a jornada y descansos para elegir correctamente el momento de su actividad formativa online, sino la exigencia de que se incluyese en la jornada programable de actividad aeronáutica, lo cual el Tribunal indica que carece de fundamentación jurídica.

Conclusión

Esta sentencia ofrece un razonamiento profundo sobre los límites entre trabajo y descanso. Si bien el derecho a la desconexión digital es esencial, hay matices que valorar, pues, como hemos indicado, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Día de la Protección de Datos 2025: Protegiendo Nuestra Privacidad en la Era Digital

por

El 26 de abril de 2006, el Consejo de Europa decidió fijar el 28 de enero como el Día de la Protección de Datos, dado que fue el 28 de enero de 1981 cuando se firmó el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), primer instrumento jurídico internacional vinculante para proteger la privacidad en la era digital.

Esta fecha nos debería recordar la importancia de salvaguardar nuestra información personal en un mundo cada vez más conectado. Este año, la conmemoración adquiere especial relevancia ante los desafíos y avances en materia de privacidad digital, en especial, en áreas como la Inteligencia Artificial y neurociencia.

Desafíos que afrontar en 2025

El 2024 ha sido un año definitivamente lleno de decisiones regulatorias y judiciales que han transformado el ámbito de la privacidad de los datos. Hemos visto sanciones a Meta, LinkedIn, Uniqlo, OpenAI, Netflix y otras empresas conocidas que muestran las consecuencias de la falta de alineación con el RGPD.

Asimismo, también hemos vivido la entrada en vigor del Reglamento de Inteligencia Artificial, la cual es la primera ley en introducir ciertas directrices en relación con el uso de estas tecnologías avanzadas.

Estos sucesos evidencian la transformación digital que estamos viviendo y la necesidad de imponer la privacidad de nuestros datos como una prioridad legal.

Este nuevo año plantea nuevos retos para las empresas, las cuales van a tener que ajustarse a normativas más estrictas en esta materia, así como establecer medidas de seguridad para protegerse de las amenazas cibernéticas.

  • Reglamento de Cibersolidaridad: aprobado el 19 de diciembre de 2024 y con efectos en febrero de 2025, prevé los mecanismos que debe disponer la UE para aumentar su resiliencia y su capacidad de reacción en caso de recibir ciberamenazas.
    Sus objetivos se centran en: apoyar la detección y la conciencia de amenazas e incidentes de ciberseguridad significativos; reforzar la solidaridad a escala de la UE, gestionar de forma concertada las crisis y la capacidad de respuesta en todos los Estados miembros; y contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.
  • Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés): aprobada el 12 de marzo de 2024 y aplicable por completo a partir del 11 de diciembre de 2027, es la primera legislación que establece requisitos de ciberseguridad a los productos digitales a lo largo de su ciclo de vida. Las empresas deben prepararse ya para cumplir con los nuevos requisitos. Entre sus especificaciones, se encuentran: requisitos de ciberseguridad obligatorios, actualizaciones continuas para corregir las vulnerabilidades, notificación obligatoria de vulnerabilidades, supervisión de mercado y transparencia para los consumidores.
    Esta normativa (que complementa la NIS-2) se aplica a todos los fabricantes de productos digitales, independientemente de si tienen base en la UE o fuera de ella, siempre que ofrezcan productos en el mercado europeo; afecta a fabricantes de hardware, desarrolladores de software, distribuidores e importadores.
  • Directiva NIS-2: Entró en vigor el 16 de enero de 2023 y aplicable desde finales de 2024, se espera establecer la lista de entidades esenciales e importantes como máximo hasta el 17 de abril de 2025. Esta norma revisa y amplía la Directiva NIS-1 de 2016, dado que esta ha quedado obsoleta en el contexto actual en el que los incidentes de ciberseguridad han ido in crescendo.
    Establece obligaciones en materia de ciberseguridad para impulsar un nivel de ciberseguridad adecuado y común y busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Sus ámbitos de intervención son los siguientes: exigencia de altos niveles de seguridad a los Estados miembros, creación de un Grupo de Cooperación entre Estados miembros, obligaciones de ciberseguridad a empresas públicas y privadas en sectores «esenciales» e «importantes».
    En España, se ha aprobado recientemente el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la cual traspone al ordenamiento jurídico español la Directiva NIS-2. Este anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, que se encargará de la gestión de las crisis de ciberseguridad.
  • Reglamento DORA (Digital Operational Resilience Act): entró en vigor el 16 de enero de 2023 pero se estableció un periodo de dos años para desplegar sus efectos por completo. Se aplica a todas las entidades financieras de la UE y busca crear un marco jurídico común para la gestión de los riesgos digitales en el sector financiero.
    Debido al aumento global de ataques cibernéticos, quiere lograrse la ciberresiliencia en las entidades financieras para garantizar la estabilidad financiera en el continente, por lo que sus objetivos se centran en: gestión de riesgos en los sistemas, clasificación y notificación de incidentes en ciberseguridad, pruebas de resiliencia operativa digital, normativa para el intercambio de información segura, entre otros.  
  • Reglamento de Datos de la UE: entró en vigor el 11 de enero de 2024 pero será aplicable a partir del 12 de septiembre de 2025. Deriva de la necesidad que despierta el auge del Internet de las Cosas (IoT) y complementa el Reglamento de Gobernanza de Datos. Con esta ley, los precios de los servicios posventa y la reparación de los dispositivos inteligentes serán más bajos; habrá nuevas oportunidades para utilizar servicios basados en el acceso a los datos; y se establecerá un mejor acceso a los datos recogidos o producidos por un dispositivo.

  • Reglamento de Inteligencia Artificial: entró en vigor el 1 de agosto de 2024 y es la primera norma del mundo que regula la Inteligencia Artificial. Despliega efectos por completo el 2 de agosto de 2026; no obstante, algunas disposiciones serán aplicables a partir de 2025. Por ello, las empresas deben prepararse para ajustarse a la normativa cuanto antes.
    Esta norma prohíbe ciertas aplicaciones de IA que afectan los derechos fundamentales como los sistemas de categorización biométrica, reconocimiento facial, de emociones
    Además, establece obligaciones para promover la alfabetización en IA, requisitos de gestión de riesgos y transparencia y estructuras de gobernanza.

Cómo proteger tus datos

En honor al día de hoy, te recomendamos lo siguiente para poder proteger tus datos:

  1. Utiliza contraseñas robustas y autenticación de dos factores.
  2. Mantén tus dispositivos y software actualizados.
  3. Evita compartir información sensible en redes públicas.
  4. Sé cauteloso con los permisos que otorgas a las aplicaciones.
  5. Realiza copias de seguridad de forma regular.

Para las empresas

Las organizaciones deben:

  • Implementar políticas de protección de datos sólidas.
  • Formar a sus empleados en materia de privacidad y seguridad. Invertir en formación en este ámbito puede prevenir de brechas de seguridad o errores humanos.
  • Designar un Delegado de Protección de Datos cuando sea necesario.
  • Realizar auditorías periódicas de cumplimiento.

Recordemos que la protección de datos no es solo una obligación legal, sino una responsabilidad compartida que nos beneficia a todos. Este Día de la Protección de Datos tomemos conciencia y actuemos para salvaguardar nuestra privacidad en el mundo digital.

Como siempre, cuidad los datos y ¡cuidaos!

E-mails en baja: ¿intrusión digital o comunicación inocua?

por

¿Qué es el derecho a la desconexión digital?

Este derecho está reconocido en el art. 88 de nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) y se dispone como un requisito indispensable en una relación laboral para respetar el tiempo de descanso, permisos y vacaciones, así como de la intimidad personal y familiar de los empleados.

Con la incorporación del teletrabajo y las nuevas tecnologías, que no son más que herramientas que facilitan la comunicación a distancia, los límites de la comunicación en el ámbito laboral se vuelven más difusos. Sin embargo, es importante respetar el horario laboral de los empleados y velar por el derecho a la desconexión digital.

Comentario de la STSJ de Madrid 534/2024, del 26 de junio de 2024

El pasado 26 de junio, el Tribunal Superior de Justicia de Madrid dictaminó que el envío de correos electrónicos corporativos a una persona en situación de incapacidad temporal no vulnera el derecho a la desconexión digital.

En este supuesto, el centro educativo en el que la empleada estaba de baja le envió correos electrónicos durante su periodo de incapacidad temporal. Este hecho plantea cuestiones sobre el derecho a la desconexión digital de los trabajadores, especialmente durante periodos de baja médica.

Cabe destacar que la demandante comunicó en reiteradas ocasiones que no contactaran con ella y que, a raíz de este hecho, se dejaron de enviar comunicaciones. Por lo tanto, el centro educativo respetó la solicitud de la trabajadora de no ser contactada, en alineación con el derecho a la desconexión digital.

En su recurso, la demandante alegó la vulneración de varios artículos relacionados con la protección de datos y el derecho al descanso, incluyendo el artículo 88 de la LOPDGDD y el artículo 18 de la Constitución Española. Argumentó que el envío de emails durante su incapacidad temporal entorpecía su recuperación y constituía una intromisión en sus derechos.

La parte demandada alegó que los correos electrónicos fueron enviados a la cuenta corporativa de la demandante como miembro del equipo docente y que, además, fueron enviados de manera automática al formar parte del listado de trabajadores del centro, por lo que la trabajadora no tenía obligación de abrir o leer estos correos durante su periodo de incapacidad temporal.

Además, se menciona que, tras la solicitud de la demandante en junio de 2023, su cuenta fue retirada de los grupos de trabajo. Esto indica una respuesta positiva a la petición de desconexión por parte del centro educativo.

Conclusión

La sentencia distingue entre los correos enviados desde la cuenta del centro y los enviados por un individuo desde su cuenta personal. Esto plantea cuestiones sobre la responsabilidad institucional frente a las acciones individuales en materia de desconexión digital.

Este caso ilustra la complejidad de equilibrar la comunicación laboral con el derecho al descanso y la desconexión, especialmente durante periodos de incapacidad temporal. La sentencia sugiere que, si bien inicialmente hubo comunicaciones no deseadas, el centro educativo finalmente respetó la solicitud de desconexión de la trabajadora, por lo que no hubo vulneración alguna.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Revisión Textos Legales Web