Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Ni anonimato ni IA: el RGPD se aplica incluso a las imágenes manipuladas digitalmente

por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.


Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.


Lo que dice el RGPD (y por qué importa aquí)


El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.


La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.


Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.


La IA no borra la responsabilidad


La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.


Lecciones que deja el caso


  • La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
  • Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
  • Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
  • El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones


La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.


Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.


El caso invita a un debate necesario:


  • ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
  • ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

La nueva fiebre digital: ¿cuánto cuesta tu voz en el mercado de la IA?

por

En apenas unos días, Neon se ha convertido en una de las aplicaciones más descargadas del momento. Su propuesta parece irresistible: pagar a los usuarios por grabar y vender sus llamadas telefónicas. Hasta 30 dólares al día por dejar que su voz—y las conversaciones que mantiene—se utilicen para entrenar modelos de inteligencia artificial.


La idea es sencilla: Neon registra las llamadas del usuario y, si ambos interlocutores tienen instalada la app, ambas voces se utilizan para alimentar sistemas de IA que aprenden a reconocer, imitar o analizar el lenguaje humano. A cambio, el usuario recibe una pequeña compensación económica por minuto grabado.


Pero detrás del atractivo modelo «tecnología a cambio de dinero», surgen enormes interrogantes legales y éticos. ¿Sabemos realmente qué estamos cediendo cuando aceptamos grabar nuestra voz?


Datos biométricos: la voz como identidad digital


A diferencia de un simple dato personal, la voz es un identificador biométrico único, pues permite reconocer, imitar y suplantar identidades. Por ello, el Reglamento General de Protección de Datos (RGPD) europeo la considera dato sensible y su tratamiento requiere un consentimiento explícito e informado.


El problema es que, según los términos de uso de Neon, el usuario otorga a la empresa una licencia amplia y prácticamente ilimitada para «reproducir, almacenar, modificar y distribuir» sus grabaciones. En la práctica, esto implica ceder el control total sobre un dato que no solo revela la voz, sino también información contextual, emocional y de terceros.


De hecho, si la llamada es con alguien que no utiliza Neon, la app igualmente graba la parte del usuario… pero inevitablemente se captan fragmentos de la otra persona. Esto plantea dudas serias en materia de consentimiento de los interlocutores y vulnera principios básicos de minimización y finalidad del RGPD.


Entre la curiosidad y el riesgo


La empresa asegura que las grabaciones se anonimizan antes de ser vendidas a terceros. Sin embargo, expertos en seguridad digital alertan: la voz es extraordinariamente difícil de anonimizar. Puede utilizarse para crear imitaciones perfectas mediante IA, abrir cuentas bancarias, o incluso suplantar a familiares en estafas telefónicas.


Además, las incongruencias detectadas entre las tarifas anunciadas en la App Store y las publicadas en la web de Neon generan dudas sobre la transparencia real del modelo.


Conclusión: el verdadero precio de la voz


El éxito viral de Neon demuestra una tendencia preocupante: cada vez más usuarios están dispuestos a monetizar su privacidad a cambio de beneficios inmediatos. La «economía del dato» evoluciona hacia un escenario donde la identidad se convierte en un activo comercializable, sin que muchos comprendan las consecuencias a largo plazo.


Ceder la voz no es inocuo, es ceder una parte irrepetible de nuestra identidad digital. Por eso, antes de aceptar los «términos y condiciones», conviene preguntarse: ¿cuánto vale realmente mi voz? ¿Y quién la escuchará cuando ya no sea mía?


Como siempre, cuidad los datos y ¡cuidaos!

Albania apuesta por una ministra artificial: entre la innovación y el riesgo

por

Albania ha dado un paso histórico —y polémico—: se ha convertido en el primer país del mundo en nombrar a una inteligencia artificial como ministra. Su nombre es Diella, inspirado en la palabra «diell» (sol, en albanés), como símbolo de transparencia.


La nueva «ministra» se encargará de evaluar licitaciones públicas, detectar irregularidades y asistir en trámites electrónicos. Su creación responde a un objetivo político muy concreto: convencer a Bruselas de la voluntad de Albania de luchar contra la corrupción de cara a su adhesión a la Unión Europea en 2030.


La puesta en escena no ha podido ser más simbólica: en las presentaciones oficiales, Diella aparece como una joven sonriente, con traje típico albanés, saludando desde la pantalla. Sin embargo, tras el gesto de modernidad, surgen muchas incógnitas.


Luces y sombras de la iniciativa


El gobierno albanés pretende mostrar un compromiso con la transparencia en un país marcado por sospechas de corrupción, favoritismo y blanqueo de capitales en las adjudicaciones públicas. Pero el movimiento despierta más dudas que certezas.


Delegar un cargo ministerial en una IA podría ser problemático por varios motivos:


  • No se ha aclarado si habrá algún tipo de supervisión humana sobre las decisiones de Diella.
  • No han informado sobre cuál ha sido el algoritmo utilizado, los datos de entrenamiento y los mecanismos de validación de sus resultados.
  • Como cualquier IA, existe un riesgo elevado de sesgos en las adjudicaciones y de falta de trazabilidad en los procesos.
  • Se abren vulnerabilidades de ciberseguridad en un contexto geopolítico delicado.

A estas críticas se suma otro factor: la viabilidad. Según estudios del MIT, el 95 % de los proyectos de IA a gran escala fracasan por falta de retorno o por costes excesivos. ¿Está Albania preparada para gestionar un sistema tan complejo y delicado?


El riesgo de sustituir en vez de complementar


La IA puede ser un aliado poderoso para reforzar la transparencia administrativa, pero su función debería ser acompañar y mejorar el trabajo humano, no reemplazarlo. La sustitución completa de un rol político de alto nivel plantea un escenario inédito y con implicaciones democráticas profundas: ¿quién asume la responsabilidad última de las decisiones?


Otros países ya experimentan con IA en la administración: Ucrania tiene un avatar portavoz, México una asistente virtual judicial, y Brasil avanza en esa línea. Pero el caso albanés va más allá: no es un asistente, sino una «ministra».


Conclusión


Albania busca con Diella enviar un mensaje claro a la Unión Europea: compromiso con la transparencia y voluntad de modernización. Pero el experimento plantea serias dudas de legitimidad, control y seguridad.


La innovación tecnológica es bienvenida, siempre que no sustituya el juicio crítico humano ni ponga en riesgo la confianza en las instituciones. La pregunta sigue abierta: ¿es Diella un rayo de luz contra la corrupción o un salto demasiado arriesgado en la política digital?


Como siempre, cuidad los datos y ¡cuidaos!

Cuando el control de accesos sobrepasa la huella de la legalidad

por

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?


Hechos


Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.


La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.


Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.


La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.


Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.


Conclusión


Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:


  • Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
  • La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
  • El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.

Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

La IA en selección de personal, bajo la lupa legal

por

En la búsqueda de eficiencia y objetividad, muchas empresas están incorporando herramientas de inteligencia artificial (IA) en sus procesos de selección de personal. Desde la criba automatizada de currículums hasta entrevistas por vídeo analizadas por algoritmos, la tecnología ya es parte habitual del área de recursos humanos.


Sin embargo, debemos recordar que este avance debe ir acompañado de un cumplimiento normativo riguroso. El Reglamento de Inteligencia Artificial de la Unión Europea, aprobado el año pasado (2024), clasifica los sistemas de IA utilizados para tomar decisiones sobre contratación como sistemas de «alto riesgo» (art. 6.2). Esto implica una serie de obligaciones legales estrictas para empresas que los utilicen.


Entre las principales exigencias, destacan:


  • Evaluaciones de riesgo y conformidad previas al despliegue.
  • Supervisión humana significativa en todo el proceso.
  • Mecanismos de transparencia: el candidato debe ser informado si es evaluado por una IA.
  • Prevención de sesgos y discriminaciones algorítmicas.
  • Registro de decisiones y trazabilidad del sistema.

El incumplimiento puede conllevar multas de hasta 35 millones de euros o el 7% del volumen de negocio global, lo que coloca a la contratación automatizada en el foco de los reguladores (art. 99.3).


Además, cuando la IA trata datos personales de candidatos, también se debe tener en cuenta el Reglamento General de Protección de Datos (RGPD), en especial, el derecho del interesado a no ser objeto de decisiones automatizadas sin intervención humana (art. 22 RGPD).


En este nuevo marco, las empresas deben revisar sus procesos y herramientas de selección para garantizar que no solo son eficaces, sino también éticos, transparentes y legales. La transformación digital de la selección del talento debe ir de la mano de la confianza y el cumplimiento normativo.


Conclusión


Incorporar inteligencia artificial en los procesos de selección puede aportar eficiencia, agilidad y reducción de sesgos humanos, pero no elimina las obligaciones legales. Muy al contrario: al tratarse de sistemas de alto impacto sobre los derechos de las personas, el nuevo marco normativo europeo exige a las organizaciones mayor control, transparencia y diligencia.


Si tu empresa utiliza—o está valorando utilizar—soluciones basadas en IA para cribar, evaluar o tomar decisiones sobre candidatos, es imprescindible que tenga en cuenta las previsiones establecidas en el Reglamento de IA.


Como siempre, cuidad los datos y ¡cuidaos!

Un beso, un vídeo y una sanción: los riesgos legales de grabar en público

por
By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0,

Hace unos días, durante un concierto de la banda Coldplay, una de las cámaras del evento—la denominada «Kiss Cam»—captó a dos personas abrazadas de forma afectuosa entre el público. Estas, en cuanto la cámara les enfocó y su imagen apareció en las pantallas del recinto, se separaron inmediatamente. Su comportamiento no pasó inadvertido por el vocalista de la banda, quien comentó: «Guau, ¡mirad a estos dos! O están teniendo una aventura o son muy tímidos».


En cuestión de horas, el vídeo se viralizó y se identificó públicamente a los protagonistas: el CEO y la directora de RRHH de la misma empresa. Ambos están casados, pero no entre sí. La repercusión no tardó en materializarse: diversos medios ya han confirmado que la empresa inició un expediente disciplinario y que el CEO ha sido suspendido temporalmente.


Más allá de la anécdota o el revuelo mediático, el caso suscita una reflexión jurídica relevante: ¿qué implicaciones tendría la captación y difusión de una imagen como esta si los hechos hubieran ocurrido en España?


En 2021, la Agencia Española de Protección de Datos (AEPD) resolvió un procedimiento sancionador contra un establecimiento de ocio nocturno que había publicado en Instagram un vídeo de un cliente besando a una persona que no era su pareja. La reclamación se fundamentó en la difusión no consentida de imágenes claramente identificables que comprometían la esfera personal del afectado.


El local alegó que en el acceso al recinto existía un cartel informativo advirtiendo de la posibilidad de ser grabado. Sin embargo, la AEPD consideró que dicho aviso no constituía un consentimiento válido conforme al RGPD, ya que este debe ser libre, específico, informado e inequívoco.


La resolución subraya que la presencia de carteles, condiciones generales de acceso o el simple hecho de encontrarse en un espacio público no suplen la necesidad de un consentimiento expreso, especialmente cuando las imágenes se destinan a su publicación en redes sociales u otros medios públicos.


Expectativa razonable de privacidad y protección de la imagen


La AEPD también introdujo una reflexión clave: incluso en espacios abiertos al público, las personas conservan una expectativa razonable de privacidad. En otras palabras, no puede asumirse que todo lo que ocurre en un evento público es susceptible de ser grabado y difundido libremente, especialmente si la persona afectada no es consciente de estar siendo grabada y la escena capta aspectos íntimos o comprometedores.


Implicaciones jurídicas y reputacionales


En el caso del concierto de Coldplay, si los hechos se hubieran producido en territorio español, podría haberse planteado una reclamación ante la AEPD por captación y difusión no autorizada de datos personales (la imagen lo es, conforme al artículo 4.1 del RGPD). Dependiendo de las circunstancias, incluso podría valorarse la necesidad de una base legítima para el tratamiento o la existencia de un interés legítimo debidamente ponderado (art. 6.1.f RGPD), algo que difícilmente sería aplicable ante la falta de consentimiento claro.


Además, no deben obviarse las posibles consecuencias laborales derivadas de este tipo de exposiciones públicas, como ha ocurrido en este caso. Las empresas, ante este tipo de situaciones, se ven en la necesidad de gestionar crisis internas que pueden afectar tanto a la reputación de los profesionales implicados como a la de la propia organización.


Conclusión


La captación y difusión de imágenes en eventos públicos no está exenta de responsabilidad jurídica. La AEPD deja claro que la protección de la imagen personal y el derecho a la intimidad no desaparecen en entornos abiertos ni quedan suspendidos por la mera presencia de cartelería informativa.


En un contexto en el que los dispositivos móviles y las redes sociales facilitan una difusión masiva e inmediata de contenidos, conviene recordar que la protección de datos personales es un derecho fundamental, y que la obtención de un consentimiento válido es mucho más que una formalidad: es un requisito legal imprescindible.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.


Copyright By Raph_PH – Coldplay_Glasto24_290624 (23), CC BY 2.0.

Dinamarca da un paso valiente contra los deepfakes: ¿la era del copyright personal ha comenzado?

por

En un contexto internacional marcado por el auge de las tecnologías de inteligencia artificial generativa y la proliferación de contenidos manipulados—especialmente los conocidos deepfakes—, Dinamarca ha sorprendido al mundo con una propuesta legislativa pionera: reconocer a cada persona derechos de autor sobre su imagen, voz y cuerpo. Este enfoque, profundamente innovador, busca dotar a los ciudadanos de herramientas legales más efectivas para frenar el uso no autorizado de sus características personales en entornos digitales, especialmente ante la amenaza que representa la IA generativa.


¿En qué consiste esta propuesta de ley?


Dinamarca está dispuesta a modificar su legislación en materia de derechos de autor para permitir que cualquier individuo pueda reclamar la titularidad sobre la explotación no autorizada de su imagen, voz o incluso movimientos corporales generados artificialmente.


La iniciativa surge como respuesta a la creciente difusión de videos falsos creados mediante IA, algunos de ellos extremadamente realistas, que suplantan rostros, voces y gestos de personas reales —famosas o no— sin su consentimiento. La normativa danesa, aún en fase de desarrollo, podría constituir una base legal sólida para exigir la retirada de contenidos deepfake, solicitar indemnizaciones por daños morales o patrimoniales y, en algunos casos, emprender acciones penales.


¿Por qué es revolucionaria?


Tradicionalmente, los sistemas jurídicos occidentales no han reconocido derechos de autor sobre la apariencia o la voz de una persona, dado que el copyright está reservado a «obras» con originalidad y autoría. Las personas físicas disponen de mecanismos como el derecho a la propia imagen o al honor, pero estos derechos no tienen la misma fuerza automática ni vocación preventiva que el copyright.


Dinamarca propone fusionar el enfoque de los derechos de la personalidad con la lógica del derecho de autor y, así, permitir que un individuo pueda actuar como si fuera titular de una obra cuando se explota su identidad digital. Esto abriría la puerta a mecanismos de takedown similares a los que ya existen en plataformas como YouTube para proteger obras musicales o audiovisuales.


¿Qué pasa en otros países?


  • En Estados Unidos, algunos estados como California o Illinois han aprobado leyes específicas para proteger la «voz» o el «aspecto» de las personas, pero desde la óptica del derecho civil y no del copyright.
  • En la Unión Europea, los derechos a la imagen y a la protección de datos (como el artículo 8 de la Carta de Derechos Fundamentales de la UE) ofrecen una cierta cobertura, pero no otorgan un control automático ni un derecho de explotación patrimonial.
  • En España, el derecho a la propia imagen (LO 1/1982, de 5 de mayo) y la protección de datos (RGPD y LOPDGDD) son las herramientas disponibles, pero no permiten reclamar una «autoría» sobre nuestra voz o cuerpo. Sería necesaria una reforma legal de calado para incorporar esta perspectiva.

¿Un camino hacia la soberanía digital individual?


La propuesta danesa abre un nuevo paradigma jurídico, que reconoce que en la era digital el individuo no solo necesita proteger su intimidad, sino también ejercer control económico y moral sobre su identidad digital. Si prospera, podría marcar el inicio de un nuevo enfoque europeo para enfrentar los retos que plantea la IA generativa, los deepfakes y la manipulación de contenidos.


El debate está servido: ¿deberíamos tener copyright sobre nosotros mismos?


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la noticia, haga clic aquí.

Multa por reincidencia: otra oportunidad perdida para cumplir el RGPD

por

Se revela una preocupante reincidencia en el incumplimiento de las obligaciones legales en materia de protección de datos establecidas en la LOPDGDD y el RGPD por parte de una empresa que ya fue sancionada con anterioridad por el mismo motivo.


Antecedentes


En una resolución previa, la AEPD ya sancionó a la empresa y le ordenó adoptar medidas correctoras—entre ellas, adecuar su política de privacidad en la web y los contratos a los requisitos del artículo 13 del RGPD. Sin embargo, la empresa no solo no ejecutó dichas medidas, sino que además ignoró múltiples requerimientos de la AEPD—algunos notificados electrónicamente y otros devueltos por Correos— demostrando una conducta claramente negligente e incluso evasiva.


Esta falta de respuesta dio pie a la apertura de un nuevo procedimiento por incumplimiento de la resolución dictada por la AEPD (artículo 58.2.d) del RGPD), que faculta a las autoridades de control a ordenar el cumplimiento de la normativa en un plazo determinado. La reiterada omisión de estas órdenes constituye una infracción muy grave según el artículo 72.1.m) de la LOPDGDD, sancionable con multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio global.


A pesar de que la sanción impuesta finalmente ascendió a 900 euros—reducida a 540 euros tras el reconocimiento de responsabilidad y el pago voluntario conforme al artículo 85 de la LPACAP—, el hecho más significativo no es el importe económico, sino la reiteración del incumplimiento y la actitud obstruccionista de la empresa.


El historial refleja una falta de diligencia en sus obligaciones como responsable del tratamiento de datos, lo cual incrementa su nivel de responsabilidad según los criterios del artículo 83.2 del RGPD, especialmente en cuanto a la intencionalidad, reincidencia y falta de cooperación con la autoridad.


Además, la AEPD ha reiterado que el reconocimiento de la infracción no exime a Cubillo Gallego, S.L. de cumplir efectivamente las medidas correctoras, lo que refleja el carácter persistente y estructural de la obligación de cumplimiento normativo en esta materia.


Conclusión


Este caso es un claro recordatorio de que la falta de cumplimiento continuado puede implicar sanciones sucesivas, y que la AEPD no cesará en su labor supervisora hasta que las entidades infractoras se alineen con el marco normativo europeo. Ignorar las resoluciones de la autoridad supervisora no solo genera consecuencias legales inmediatas, sino que además debilita la confianza de los ciudadanos en la protección de sus datos personales.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Desconexión digital y salud mental: El TSJ de Galicia se pronuncia

por

El Tribunal Superior de Justicia de Galicia (TSJG), en su reciente Sentencia nº2292/2025, de 25 de abril, declara que la empresa Greenalia S.A. vulneró el derecho a la desconexión digital y a la integridad moral de una trabajadora que se encontraba de baja médica por trastorno de ansiedad.


El Tribunal confirma que enviarle correos laborales durante ese periodo atentó contra su dignidad y le impone el pago de una indemnización de 1.500 € por daños y perjuicios.


Antecedentes


La empleada, que presentó su baja voluntaria en abril de 2024, denunció haber recibido comunicaciones laborales mientras estaba en situación de incapacidad temporal, pues tenía diagnosticado un trastorno de ansiedad.


Durante este tiempo, si bien no le exigieron respuesta inmediata, diversos compañeros le remitieron correos electrónicos sobre cuestiones de trabajo. Sin embargo, la empresa no adoptó medidas para evitarlo.


El TSJ de Galicia subraya la importancia del derecho a la desconexión digital, recogido en el artículo 88 de la Ley Orgánica 3/2018. Este derecho no solo protege al trabajador de tener que responder a mensajes fuera de su jornada, sino que también impone a la empresa una obligación activa de abstenerse de enviar comunicaciones laborales durante el tiempo de descanso, vacaciones o situaciones como una baja médica.


En este caso, la Sala argumenta que la falta de respeto a ese derecho, en un contexto de vulnerabilidad emocional acreditada por informes médicos, agrava el estado de los empleados y supone una intromisión en el derecho fundamental a la integridad moral (art. 15 CE).


Aunque la empresa alegó que no exigía respuesta inmediata y que los correos formaban parte de hilos ya iniciados, el Tribunal entiende que el simple hecho de recibir esas comunicaciones, estando de baja, representa una forma de presión y una falta de respeto al espacio personal y al proceso de recuperación de la trabajadora. Por lo tanto, el Tribunal rechaza que la falta de exigencia de respuesta obligatoria por parte de la trabajadora exima a la empresa de su responsabilidad


La sentencia aclara que el derecho a la desconexión no es una mera cortesía empresarial, sino un componente clave del bienestar laboral y la salud mental. Obliga a la empresa a prevenir intrusiones que comprometan la recuperación del trabajador o afecten su vida personal.


Aunque se revocan parcialmente otras afirmaciones de la sentencia anterior—no se aprecian vulneraciones del derecho a la integridad física ni al honor—, el TSJ de Galicia mantiene la condena por vulneración de la integridad moral y la obligación de indemnizar a la trabajadora.


Conclusión


Esta resolución reafirma que el incumplimiento del derecho a la desconexión digital puede suponer una violación de derechos fundamentales, y marca un precedente importante para empresas y trabajadores.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

Revisión Textos Legales Web