Derechos y libertades digitales de las personas

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.200.000 euros a IDCQ Hospitales y Sanidad, S.L.U. (Quirón Salud Madrid) por la eliminación indebida de pruebas médicas aportadas por un paciente. El caso pone el foco en un aspecto crítico—y a menudo mal entendido—de la protección de datos en el ámbito sanitario: la conservación de la documentación clínica, incluso cuando no ha sido generada por el propio centro.

Los hechos: un CD que nunca volvió

En noviembre de 2021, un paciente entregó al hospital un CD con resonancias magnéticas realizadas entre 2018 y 2020 en otros centros, con el objetivo de que fueran comparadas clínicamente con una nueva prueba antes de someterse a su tratamiento asistencial en el hospital. Meses después, al solicitar la devolución del soporte, el hospital le comunicó que las imágenes ya no estaban disponibles debido a su política interna de eliminación de archivos por falta de espacio.

La respuesta fue clara: el soporte había sido destruido tras no ser recogido en el plazo de un mes.

La defensa del hospital: minimización y criterio médico

El hospital alegó que el CD no formaba parte de la historia clínica oficial al ser una prueba proveniente de otros centros, que la información relevante ya había sido incorporada al informe médico y que conservar las imágenes originales sería contrario al principio de minimización de datos. Además, sostuvo que el paciente había sido informado del plazo de recogida, por lo que su falta de acción durante ese plazo legitimaba la destrucción del soporte.

Un planteamiento que, sobre el papel, parecía alinearse con ciertos principios del RGPD. Pero que no convenció a la AEPD.

El criterio de la AEPD: documentación clínica no es solo historia clínica

La Agencia rechaza de forma tajante estas alegaciones. Apoyándose en la Ley 41/2002, de autonomía del paciente, recuerda que existe una diferencia clave entre historia clínica y documentación clínica.

Esta última incluye cualquier soporte que contenga información asistencial, con independencia de su origen o de quién lo haya generado. Es decir, la ley no diferencia entre si la documentación clínica ha sido aportada por el paciente o generada por el centro.

Por lo tanto, aquí está el punto central: las pruebas aportadas por el paciente también son documentación clínica, y como tal, deben conservarse durante al menos cinco años (art. 17 de la Ley 41/2002), precisamente para garantizar la continuidad asistencial y la seguridad del paciente.

Las infracciones: un fallo que va más allá de un error puntual

La AEPD aprecia tres infracciones graves del RGPD:

• Artículo 9 RGPD (100.000 €): supresión de datos de salud—categoría especial—sin que concurriera ninguna de las excepciones del artículo 9.2.
• Artículo 6 RGPD (100.000 €): tratamiento (en este caso, eliminación) sin base jurídica válida.
• Artículo 25 RGPD (1.000.000 €): ausencia de privacidad desde el diseño y por defecto, al evidenciarse un problema estructural en la gestión de soportes con datos de salud.

La Agencia subraya que no se trata de un descuido aislado, sino de una deficiencia sistémica en los procedimientos internos.

Conclusiones

Entre los factores agravantes destacan el elevado volumen de negocio de la empresa, la extrema sensibilidad de los datos, la naturaleza sanitaria de su actividad y el daño irreversible causado al paciente, que podría afectar a estudios médicos futuros.

La resolución deja un mensaje claro para el sector sanitario: la minimización de datos no puede convertirse en una excusa para suprimir información que la ley obliga a conservar. Y menos aún cuando hablamos de datos de salud.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

La nueva estrella de los regalos navideños

Estas Navidades, los juguetes con inteligencia artificial integrada se han convertido en uno de los productos más llamativos del mercado. Robots interactivos, peluches «conversacionales» y figuras animadas prometen hablar con los niños, responder preguntas, contar historias e incluso «aprender» de cada interacción.

Aunque juguetes parlantes existen desde hace décadas—basta recordar a los Furbies—, la diferencia ahora es sustancial: muchos de estos productos están conectados a modelos avanzados de IA, similares a los chatbots que utilizan los adultos. Y ahí es donde empiezan los problemas.

Tecnología novedosa, efectos desconocidos

Una reciente investigación del U.S. Public Interest Research Group (PIRG) y pruebas independientes realizadas por NBC News han encendido las alarmas. Los expertos advierten de que se trata de una tecnología poco probada en menores, cuyos efectos a medio y largo plazo se desconocen.

La pregunta clave, según los investigadores, es inquietante: ¿estamos «experimentando» con niños utilizando tecnologías que ni siquiera los adultos comprendemos del todo?

Respuestas peligrosas e inapropiadas

Las pruebas realizadas por la NBC News a varios juguetes populares revelaron comportamientos preocupantes. Algunos peluches y robots fueron capaces de:

• Dar instrucciones detalladas para encender cerillas o afilar cuchillos.
• Responder de forma explícita a preguntas sobre sexo, drogas o prácticas sexuales.
• Ofrecer contenidos ideológicos o políticos sin ningún tipo de contexto.

En conversaciones prolongadas, los llamados «guardarraíles» de seguridad—diseñados para evitar contenidos inapropiados—fallaban con frecuencia, dejando pasar respuestas claramente incompatibles con un público infantil.

Privacidad infantil: el gran olvidado

Más allá del contenido, la protección de datos es otro de los grandes riesgos. Algunos de estos juguetes recogen y almacenan:

• Grabaciones de voz.
• Conversaciones completas.
• Datos biométricos como rostro, tono emocional o patrones de uso.

En ciertos casos, estas informaciones pueden conservarse durante años y compartirse con terceros, pese a que el propio juguete asegure verbalmente al niño que «no contará nada a nadie». Una contradicción especialmente grave cuando hablamos de menores.

Dependencia emocional y vínculo artificial

Los expertos en desarrollo infantil alertan también del riesgo de apego emocional. Muchos de estos juguetes están diseñados para fomentar interacciones prolongadas, hacer preguntas constantes y «recompensar» al niño por seguir jugando.

El problema es que, a edades tempranas, este tipo de vínculo con una IA puede afectar al desarrollo del lenguaje, la socialización y la capacidad de relacionarse con personas reales. No es casualidad que pediatras y asociaciones infantiles recomienden limitar el tiempo de exposición a pantallas y dispositivos inteligentes.

¿Qué deberían tener en cuenta las familias esta Navidad?

La inteligencia artificial no es, en sí misma, el enemigo. Pero, aplicada sin suficiente regulación, transparencia ni estudios previos, puede convertirse en un riesgo real para los niños.

Estas Navidades, antes de colocar un juguete «inteligente» bajo el árbol, conviene hacerse algunas preguntas básicas: ¿qué datos recoge?, ¿quién los controla?, ¿qué tipo de respuestas puede dar?, ¿pueden los padres limitar su uso?

A veces, el mejor regalo no es el más tecnológico, sino aquel que fomenta el juego compartido, la creatividad y la conexión familiar. Porque no todo lo que habla… debería hacerlo.

Como siempre, cuidad los datos y ¡cuidaos!

Viajar a Estados Unidos podría dejar de ser un trámite relativamente sencillo para millones de personas. La Administración Trump ha anunciado una propuesta que obligaría a los viajeros que utilicen el Visa Waiver Program (VWP) a declarar los identificadores de redes sociales usados en los últimos cinco años como parte del proceso de autorización de viaje.

La medida, publicada por la U.S. Customs and Border Protection (CBP), forma parte de una estrategia más amplia destinada a reforzar el control migratorio y «examinar a los visitantes al máximo nivel posible». Si se aprueba, entraría en vigor el 8 de febrero y afectaría a ciudadanos de 42 países, principalmente europeos, además de Australia y otros socios tradicionales de EE. UU.

Más datos personales, más preguntas

El cambio no se limita a las redes sociales. El formulario ESTA pasaría a exigir también:

• Todas las direcciones de correo electrónico utilizadas en los últimos diez años.
• Información detallada sobre familiares directos (padres, hermanos, hijos y cónyuges), incluyendo nombres, fechas y lugares de nacimiento y domicilios.

Aunque el aviso se encuentra en fase de consulta pública durante 60 días, el alcance de la información solicitada ha generado inquietud inmediata, tanto dentro como fuera del país.

El impacto en el turismo y los negocios

Desde el sector turístico estadounidense, las reacciones han sido cautelosas pero preocupadas. La U.S. Travel Association ha advertido de que un proceso de entrada demasiado intrusivo puede provocar que los viajeros internacionales opten por otros destinos.

Esta preocupación no es menor si se tiene en cuenta el contexto: Estados Unidos será uno de los anfitriones del Mundial de Fútbol de 2026, un evento que se espera atraiga a millones de visitantes y contribuya a revitalizar el turismo internacional, que ha sufrido un descenso en los últimos años.

Las críticas no se han hecho esperar. La senadora demócrata Patty Murray ha ironizado e indicado que «sería más fácil prohibir directamente el turismo». Desde el ámbito académico, algunos analistas han señalado que el nivel de control propuesto resulta incluso más restrictivo que el aplicado por países con políticas fronterizas tradicionalmente duras.

Estas comparaciones han alimentado el debate sobre si la medida es realmente eficaz desde el punto de vista de la seguridad o si, por el contrario, supone un coste reputacional para EE. UU.

Privacidad digital: el gran debate de fondo

Desde una perspectiva de derecho digital, la propuesta plantea cuestiones clave sobre privacidad y tratamiento de datos personales. La recopilación masiva de información online y familiar contrasta con principios como la minimización y la proporcionalidad, ampliamente consolidados en normativas como el Reglamento General de Protección de Datos (RGPD) en Europa.

Aunque estas normas no sean directamente aplicables en EE. UU., sí influyen en la percepción que ciudadanos y empresas extranjeras tienen sobre la seguridad y el uso de sus datos.

Seguridad, dinero y contradicciones

De forma paralela, la Administración ha lanzado programas como la denominada «gold card», que permitiría obtener la residencia permanente a quienes inviertan un millón de dólares, o una futura «platinum card» de cinco millones. Una dualidad que refuerza la sensación de que el control no se aplica de igual forma a todos los perfiles.

En un mundo cada vez más digital, las fronteras ya no solo se controlan con pasaportes, sino también con datos. Y la pregunta clave sigue abierta: ¿hasta dónde estamos dispuestos a llegar en nombre de la seguridad?

Como siempre, cuidad los datos y ¡cuidaos!

La Agencia Española de Protección de Datos ha impuesto a AENA la multa más elevada de su historia: 10.043.002 € por la utilización de sistemas de reconocimiento facial en varios aeropuertos sin haber llevado a cabo una Evaluación de Impacto en Protección de Datos (EIPD) completa y válida, conforme a lo exigido por el artículo 35 del RGPD. La resolución, extensa y detallada, ofrece un análisis exhaustivo de las deficiencias detectadas en el diseño y la documentación del tratamiento de datos biométricos por parte de la entidad.

El expediente deja claro que el problema no fue la adopción de tecnología biométrica como concepto, sino cómo se diseñó y se justificó su implantación. La Agencia concluye que AENA no acreditó adecuadamente la necesidad, proporcionalidad ni los riesgos del sistema, aspectos que constituyen el núcleo de una EIPD robusta y previa.

Un tratamiento de alto riesgo sin una EIPD adecuada

A lo largo de la resolución, la AEPD identifica diversas carencias estructurales en la evaluación presentada por AENA:

• Insuficiencia en el análisis de necesidad y proporcionalidad. Las EIPD no demostraban por qué era imprescindible recurrir a un sistema de identificación 1:N, basado en comparación contra bases de datos centralizadas, cuando existían métodos menos invasivos que podían cumplir la misma finalidad operativa.
• Análisis de riesgos incompleto y desalineado con el proyecto inicial. La documentación aportada no incluía el análisis de riesgos original de 2021; en su lugar, se presentó uno elaborado en 2023, desconectado del diseño previo y, por tanto, incapaz de justificar el tratamiento desde su concepción.
• Metodología inadecuada para un proyecto de alta complejidad. La Agencia subraya que se utilizaron herramientas orientadas a organizaciones más pequeñas, no adecuadas para un sistema implantado en varios aeropuertos y que trataba datos de categoría especial.
• Falta de coherencia entre las advertencias recibidas y la continuidad del proyecto. AENA había planteado consultas previas en las que reconocía dificultades para reducir el riesgo a niveles aceptables, pero, aun así, avanzó hacia fases piloto y operativas sin disponer de una EIPD completa.

Un matiz importante: la AEPD no rechaza la biometría en aeropuertos

Aunque la sanción sea contundente, la Agencia no cuestiona que la biometría pueda utilizarse legítimamente en aeropuertos. De hecho, la propia resolución alude al Dictamen 11/2024 del Comité Europeo de Protección de Datos, que describe modelos de uso compatibles con el RGPD.

La clave está en el diseño. Existen escenarios en los que la tecnología biométrica se basa en:

• Plantillas almacenadas únicamente en el dispositivo del pasajero.
• Comparaciones 1:1 locales y efímeras.
• Ausencia de almacenamiento centralizado por parte del operador.

Este tipo de soluciones, menos intrusivas y más contenidas, podrían superar el juicio de necesidad y proporcionalidad que exige el RGPD y que la AEPD ha echado en falta en el caso de AENA.

Conclusión: un aviso y una hoja de ruta

La sanción no cierra la puerta a la biometría, pero sí marca un estándar claro: cualquier tratamiento de este tipo exige justificación sólida, metodología adecuada y una EIPD exhaustiva, previa y bien fundamentada. La innovación y la eficiencia operativa son compatibles con la protección de datos, siempre que se integren desde el diseño las garantías necesarias.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.

Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.

Lo que dice el RGPD (y por qué importa aquí)

El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.

La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.

Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.

La IA no borra la responsabilidad

La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.

Lecciones que deja el caso

• La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
• Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
• Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
• El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones

La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.

Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.

El caso invita a un debate necesario:

• ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
• ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?

Hechos

Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.

La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.

Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.

La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.

Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.

Conclusión

Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:

• Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
• La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
• El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.

Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.

Como siempre, cuidad los datos y ¡cuidaos!

Para consultar la resolución, haga clic aquí.