Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Reglamento Ómnibus Digital: ¿simplificación o giro de rumbo en la regulación europea?

por

La Comisión Europea ha presentado la esperada Propuesta de Reglamento Ómnibus Digital, un paquete ambicioso que pretende armonizar, actualizar y «desburocratizar» varios pilares del ecosistema normativo europeo: protección de datos, inteligencia artificial, ciberseguridad, cookies y acceso a datos. Su objetivo declarado es claro: facilitar la innovación, reducir cargas a las empresas y garantizar coherencia entre normas. Pero… ¿estamos ante una modernización necesaria o una revisión que puede alterar equilibrios fundamentales?


Un RGPD más flexible, pero también más permeable


Uno de los puntos más llamativos es la reapertura del RGPD, algo que hace apenas unos años parecía impensable. La propuesta introduce cambios que, si bien buscan claridad jurídica, pueden tener efectos profundos:


  • Nueva definición de datos personales, que incorpora doctrina del TJUE: si la reidentificación no es razonablemente posible para quien trata los datos, deja de considerarse dato personal.
  • Nuevas excepciones del artículo 9.2, que permiten tratar datos biométricos para verificación cuando estén bajo control del interesado, o para el desarrollo y funcionamiento de modelos de IA.
  • Interés legítimo para IA, salvo que el derecho nacional exija consentimiento.
  • Deber de información más laxo, que permite omitir información «si ya se presume conocida por el interesado».
  • Brechas de seguridad: notificación solo cuando exista «alto riesgo» y ampliación a 96 horas.

La lectura optimista habla de reducción de cargas y mayor claridad. La lectura crítica, sin embargo, alerta de un riesgo de erosión progresiva de la protección: datos inferidos menos protegidos, mayor margen para entrenar sistemas de IA, y opacidad reforzada por nuevas excepciones informativas.


Ciberseguridad y notificaciones: un único punto de acceso


En el ámbito de la ciberseguridad, la propuesta crea un punto único de notificación de incidentes, simplificando uno de los procesos más fragmentados del marco NIS2. Esta medida puede aportar eficiencia real para empresas multinacionales y sectores con múltiples obligaciones regulatorias.


Cookies y ePrivacy: hacia menos banners (y más cambios estructurales)


El Ómnibus introduce modificaciones relevantes sobre cookies y ePrivacy:


  • Reducción de banners mediante preferencias centralizadas en navegador o sistema operativo.
  • Nuevo artículo 88 a) sobre consentimiento para acceso/almacenamiento en terminales.
  • Un 88 b) que fija el respeto obligatorio de señales automatizadas de preferencias.

Aunque el discurso oficial habla de «mejorar la experiencia del usuario», algunos expertos alertan de que el efecto combinado podría debilitar el marco ePrivacy al integrarlo parcialmente en el RGPD modificado.


IA y acceso a datos: alineación con la Ley de IA


El paquete vincula la aplicación de normas de IA de alto riesgo a la disponibilidad de herramientas de apoyo (estándares, guías, metodologías). También impulsa el acceso a datos como motor de innovación, buscando coherencia con la Data Act y la Estrategia Europea de Datos.


¿Qué viene ahora?


La Comisión ha abierto la segunda fase del proceso, con una Evaluación de Aptitud Digital (Fitness Check) hasta marzo de 2026. Será un momento clave: las empresas, administraciones y sociedad civil deberán posicionarse sobre si el Ómnibus representa una simplificación necesaria o una reforma que modifica la esencia del RGPD y ePrivacy.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la Propuesta, haga clic aquí.

Seguridad o privacidad: el pulso judicial por el fichaje con huella digital

por

La reciente Sentencia nº 370/2025 del Juzgado de lo Social nº 3 de A Coruña ha reabierto el debate sobre la legalidad del registro de jornada mediante sistemas biométricos en el entorno laboral. En un contexto marcado por la cautela de la Agencia Española de Protección de Datos (AEPD) y la tendencia empresarial a abandonar estos sistemas, el fallo avala la utilización de la huella digital como mecanismo de control horario en un hospital público, calificándola de «poco invasiva» y «proporcionada».


Un caso con implicaciones más allá del hospital


El conflicto enfrentaba al comité de empresa y a la Confederación Intersindical Galega frente al Instituto Policlínico Santa Teresa S.A. Los representantes sindicales alegaban vulneración de los derechos fundamentales a la intimidad, la salud y la libertad sindical por el uso obligatorio de un sistema de fichaje mediante huella dactilar.


El tribunal, sin embargo, desestimó íntegramente la demanda y consideró que el sistema biométrico empleado—basado en plantillas no identificativas y con medidas de seguridad avanzadas—respetaba los principios del RGPD y la LOPDGDD, resultando idóneo para garantizar el registro horario exigido por el artículo 34.9 del Estatuto de los Trabajadores.


Un argumento jurídico polémico


El punto más controvertido radica en la base jurídica elegida por el juzgado para legitimar el tratamiento de datos biométricos: la excepción del artículo 9.2.i) del RGPD, relativa al tratamiento necesario por razones de interés público en el ámbito de la salud pública.
Aplicar esta excepción—concebida para amenazas sanitarias o seguridad asistencial—al simple registro de jornada laboral resulta, cuanto menos, discutible. El tribunal justifica su decisión al considerar el hospital una infraestructura crítica (Ley 8/2011), donde la verificación biométrica contribuiría a la seguridad de pacientes, medicamentos y personal. No obstante, este razonamiento confunde dos tratamientos distintos: el control de acceso (más defendible desde la perspectiva de la seguridad) y el registro horario, cuya finalidad es puramente laboral.


Falta de doctrina unificada


El caso refleja la ausencia de una doctrina consolidada en torno al fichaje biométrico.
Mientras que la AEPD, en su Guía sobre uso de datos biométricos (noviembre de 2023), insiste en que estos sistemas son altamente intrusivos y de uso excepcional, algunos tribunales y organismos técnicos—como el CNPIC o el Consejo Español para el Registro de Jornada—mantienen posiciones más permisivas, especialmente en contextos de seguridad reforzada.


El resultado es un panorama fragmentado en el que la misma práctica puede considerarse ilícita o proporcional según el órgano que la valore.


Una sentencia que invita a la reflexión


El Juzgado de A Coruña ha ido más allá de la postura mayoritaria al calificar la huella digital como menos intrusiva que alternativas como las apps con geolocalización o los lectores de tarjetas NFC.
Esta valoración, sin embargo, parece minimizar la naturaleza sensible de los datos biométricos y el riesgo inherente a su tratamiento. Más que un paso hacia la modernización tecnológica, el fallo puede interpretarse como un retroceso en la cultura de protección de datos laborales.


En definitiva, esta sentencia nos invita a una reflexión urgente: ¿Estamos ante un cambio de tendencia judicial o ante un exceso de interpretación que desdibuja los límites del RGPD? Lo cierto es que, a día de hoy, la seguridad jurídica en materia de fichaje biométrico sigue tan difusa como las huellas que pretende registrar.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Ni anonimato ni IA: el RGPD se aplica incluso a las imágenes manipuladas digitalmente

por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.


Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.


Lo que dice el RGPD (y por qué importa aquí)


El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.


La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.


Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.


La IA no borra la responsabilidad


La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.


Lecciones que deja el caso


  • La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
  • Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
  • Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
  • El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones


La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.


Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.


El caso invita a un debate necesario:


  • ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
  • ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

La nueva fiebre digital: ¿cuánto cuesta tu voz en el mercado de la IA?

por

En apenas unos días, Neon se ha convertido en una de las aplicaciones más descargadas del momento. Su propuesta parece irresistible: pagar a los usuarios por grabar y vender sus llamadas telefónicas. Hasta 30 dólares al día por dejar que su voz—y las conversaciones que mantiene—se utilicen para entrenar modelos de inteligencia artificial.


La idea es sencilla: Neon registra las llamadas del usuario y, si ambos interlocutores tienen instalada la app, ambas voces se utilizan para alimentar sistemas de IA que aprenden a reconocer, imitar o analizar el lenguaje humano. A cambio, el usuario recibe una pequeña compensación económica por minuto grabado.


Pero detrás del atractivo modelo «tecnología a cambio de dinero», surgen enormes interrogantes legales y éticos. ¿Sabemos realmente qué estamos cediendo cuando aceptamos grabar nuestra voz?


Datos biométricos: la voz como identidad digital


A diferencia de un simple dato personal, la voz es un identificador biométrico único, pues permite reconocer, imitar y suplantar identidades. Por ello, el Reglamento General de Protección de Datos (RGPD) europeo la considera dato sensible y su tratamiento requiere un consentimiento explícito e informado.


El problema es que, según los términos de uso de Neon, el usuario otorga a la empresa una licencia amplia y prácticamente ilimitada para «reproducir, almacenar, modificar y distribuir» sus grabaciones. En la práctica, esto implica ceder el control total sobre un dato que no solo revela la voz, sino también información contextual, emocional y de terceros.


De hecho, si la llamada es con alguien que no utiliza Neon, la app igualmente graba la parte del usuario… pero inevitablemente se captan fragmentos de la otra persona. Esto plantea dudas serias en materia de consentimiento de los interlocutores y vulnera principios básicos de minimización y finalidad del RGPD.


Entre la curiosidad y el riesgo


La empresa asegura que las grabaciones se anonimizan antes de ser vendidas a terceros. Sin embargo, expertos en seguridad digital alertan: la voz es extraordinariamente difícil de anonimizar. Puede utilizarse para crear imitaciones perfectas mediante IA, abrir cuentas bancarias, o incluso suplantar a familiares en estafas telefónicas.


Además, las incongruencias detectadas entre las tarifas anunciadas en la App Store y las publicadas en la web de Neon generan dudas sobre la transparencia real del modelo.


Conclusión: el verdadero precio de la voz


El éxito viral de Neon demuestra una tendencia preocupante: cada vez más usuarios están dispuestos a monetizar su privacidad a cambio de beneficios inmediatos. La «economía del dato» evoluciona hacia un escenario donde la identidad se convierte en un activo comercializable, sin que muchos comprendan las consecuencias a largo plazo.


Ceder la voz no es inocuo, es ceder una parte irrepetible de nuestra identidad digital. Por eso, antes de aceptar los «términos y condiciones», conviene preguntarse: ¿cuánto vale realmente mi voz? ¿Y quién la escuchará cuando ya no sea mía?


Como siempre, cuidad los datos y ¡cuidaos!

Albania apuesta por una ministra artificial: entre la innovación y el riesgo

por

Albania ha dado un paso histórico —y polémico—: se ha convertido en el primer país del mundo en nombrar a una inteligencia artificial como ministra. Su nombre es Diella, inspirado en la palabra «diell» (sol, en albanés), como símbolo de transparencia.


La nueva «ministra» se encargará de evaluar licitaciones públicas, detectar irregularidades y asistir en trámites electrónicos. Su creación responde a un objetivo político muy concreto: convencer a Bruselas de la voluntad de Albania de luchar contra la corrupción de cara a su adhesión a la Unión Europea en 2030.


La puesta en escena no ha podido ser más simbólica: en las presentaciones oficiales, Diella aparece como una joven sonriente, con traje típico albanés, saludando desde la pantalla. Sin embargo, tras el gesto de modernidad, surgen muchas incógnitas.


Luces y sombras de la iniciativa


El gobierno albanés pretende mostrar un compromiso con la transparencia en un país marcado por sospechas de corrupción, favoritismo y blanqueo de capitales en las adjudicaciones públicas. Pero el movimiento despierta más dudas que certezas.


Delegar un cargo ministerial en una IA podría ser problemático por varios motivos:


  • No se ha aclarado si habrá algún tipo de supervisión humana sobre las decisiones de Diella.
  • No han informado sobre cuál ha sido el algoritmo utilizado, los datos de entrenamiento y los mecanismos de validación de sus resultados.
  • Como cualquier IA, existe un riesgo elevado de sesgos en las adjudicaciones y de falta de trazabilidad en los procesos.
  • Se abren vulnerabilidades de ciberseguridad en un contexto geopolítico delicado.

A estas críticas se suma otro factor: la viabilidad. Según estudios del MIT, el 95 % de los proyectos de IA a gran escala fracasan por falta de retorno o por costes excesivos. ¿Está Albania preparada para gestionar un sistema tan complejo y delicado?


El riesgo de sustituir en vez de complementar


La IA puede ser un aliado poderoso para reforzar la transparencia administrativa, pero su función debería ser acompañar y mejorar el trabajo humano, no reemplazarlo. La sustitución completa de un rol político de alto nivel plantea un escenario inédito y con implicaciones democráticas profundas: ¿quién asume la responsabilidad última de las decisiones?


Otros países ya experimentan con IA en la administración: Ucrania tiene un avatar portavoz, México una asistente virtual judicial, y Brasil avanza en esa línea. Pero el caso albanés va más allá: no es un asistente, sino una «ministra».


Conclusión


Albania busca con Diella enviar un mensaje claro a la Unión Europea: compromiso con la transparencia y voluntad de modernización. Pero el experimento plantea serias dudas de legitimidad, control y seguridad.


La innovación tecnológica es bienvenida, siempre que no sustituya el juicio crítico humano ni ponga en riesgo la confianza en las instituciones. La pregunta sigue abierta: ¿es Diella un rayo de luz contra la corrupción o un salto demasiado arriesgado en la política digital?


Como siempre, cuidad los datos y ¡cuidaos!

Cuando el control de accesos sobrepasa la huella de la legalidad

por

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?


Hechos


Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.


La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.


Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.


La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.


Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.


Conclusión


Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:


  • Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
  • La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
  • El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.

Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

La IA en selección de personal, bajo la lupa legal

por

En la búsqueda de eficiencia y objetividad, muchas empresas están incorporando herramientas de inteligencia artificial (IA) en sus procesos de selección de personal. Desde la criba automatizada de currículums hasta entrevistas por vídeo analizadas por algoritmos, la tecnología ya es parte habitual del área de recursos humanos.


Sin embargo, debemos recordar que este avance debe ir acompañado de un cumplimiento normativo riguroso. El Reglamento de Inteligencia Artificial de la Unión Europea, aprobado el año pasado (2024), clasifica los sistemas de IA utilizados para tomar decisiones sobre contratación como sistemas de «alto riesgo» (art. 6.2). Esto implica una serie de obligaciones legales estrictas para empresas que los utilicen.


Entre las principales exigencias, destacan:


  • Evaluaciones de riesgo y conformidad previas al despliegue.
  • Supervisión humana significativa en todo el proceso.
  • Mecanismos de transparencia: el candidato debe ser informado si es evaluado por una IA.
  • Prevención de sesgos y discriminaciones algorítmicas.
  • Registro de decisiones y trazabilidad del sistema.

El incumplimiento puede conllevar multas de hasta 35 millones de euros o el 7% del volumen de negocio global, lo que coloca a la contratación automatizada en el foco de los reguladores (art. 99.3).


Además, cuando la IA trata datos personales de candidatos, también se debe tener en cuenta el Reglamento General de Protección de Datos (RGPD), en especial, el derecho del interesado a no ser objeto de decisiones automatizadas sin intervención humana (art. 22 RGPD).


En este nuevo marco, las empresas deben revisar sus procesos y herramientas de selección para garantizar que no solo son eficaces, sino también éticos, transparentes y legales. La transformación digital de la selección del talento debe ir de la mano de la confianza y el cumplimiento normativo.


Conclusión


Incorporar inteligencia artificial en los procesos de selección puede aportar eficiencia, agilidad y reducción de sesgos humanos, pero no elimina las obligaciones legales. Muy al contrario: al tratarse de sistemas de alto impacto sobre los derechos de las personas, el nuevo marco normativo europeo exige a las organizaciones mayor control, transparencia y diligencia.


Si tu empresa utiliza—o está valorando utilizar—soluciones basadas en IA para cribar, evaluar o tomar decisiones sobre candidatos, es imprescindible que tenga en cuenta las previsiones establecidas en el Reglamento de IA.


Como siempre, cuidad los datos y ¡cuidaos!

Un beso, un vídeo y una sanción: los riesgos legales de grabar en público

por
By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0,

Hace unos días, durante un concierto de la banda Coldplay, una de las cámaras del evento—la denominada «Kiss Cam»—captó a dos personas abrazadas de forma afectuosa entre el público. Estas, en cuanto la cámara les enfocó y su imagen apareció en las pantallas del recinto, se separaron inmediatamente. Su comportamiento no pasó inadvertido por el vocalista de la banda, quien comentó: «Guau, ¡mirad a estos dos! O están teniendo una aventura o son muy tímidos».


En cuestión de horas, el vídeo se viralizó y se identificó públicamente a los protagonistas: el CEO y la directora de RRHH de la misma empresa. Ambos están casados, pero no entre sí. La repercusión no tardó en materializarse: diversos medios ya han confirmado que la empresa inició un expediente disciplinario y que el CEO ha sido suspendido temporalmente.


Más allá de la anécdota o el revuelo mediático, el caso suscita una reflexión jurídica relevante: ¿qué implicaciones tendría la captación y difusión de una imagen como esta si los hechos hubieran ocurrido en España?


En 2021, la Agencia Española de Protección de Datos (AEPD) resolvió un procedimiento sancionador contra un establecimiento de ocio nocturno que había publicado en Instagram un vídeo de un cliente besando a una persona que no era su pareja. La reclamación se fundamentó en la difusión no consentida de imágenes claramente identificables que comprometían la esfera personal del afectado.


El local alegó que en el acceso al recinto existía un cartel informativo advirtiendo de la posibilidad de ser grabado. Sin embargo, la AEPD consideró que dicho aviso no constituía un consentimiento válido conforme al RGPD, ya que este debe ser libre, específico, informado e inequívoco.


La resolución subraya que la presencia de carteles, condiciones generales de acceso o el simple hecho de encontrarse en un espacio público no suplen la necesidad de un consentimiento expreso, especialmente cuando las imágenes se destinan a su publicación en redes sociales u otros medios públicos.


Expectativa razonable de privacidad y protección de la imagen


La AEPD también introdujo una reflexión clave: incluso en espacios abiertos al público, las personas conservan una expectativa razonable de privacidad. En otras palabras, no puede asumirse que todo lo que ocurre en un evento público es susceptible de ser grabado y difundido libremente, especialmente si la persona afectada no es consciente de estar siendo grabada y la escena capta aspectos íntimos o comprometedores.


Implicaciones jurídicas y reputacionales


En el caso del concierto de Coldplay, si los hechos se hubieran producido en territorio español, podría haberse planteado una reclamación ante la AEPD por captación y difusión no autorizada de datos personales (la imagen lo es, conforme al artículo 4.1 del RGPD). Dependiendo de las circunstancias, incluso podría valorarse la necesidad de una base legítima para el tratamiento o la existencia de un interés legítimo debidamente ponderado (art. 6.1.f RGPD), algo que difícilmente sería aplicable ante la falta de consentimiento claro.


Además, no deben obviarse las posibles consecuencias laborales derivadas de este tipo de exposiciones públicas, como ha ocurrido en este caso. Las empresas, ante este tipo de situaciones, se ven en la necesidad de gestionar crisis internas que pueden afectar tanto a la reputación de los profesionales implicados como a la de la propia organización.


Conclusión


La captación y difusión de imágenes en eventos públicos no está exenta de responsabilidad jurídica. La AEPD deja claro que la protección de la imagen personal y el derecho a la intimidad no desaparecen en entornos abiertos ni quedan suspendidos por la mera presencia de cartelería informativa.


En un contexto en el que los dispositivos móviles y las redes sociales facilitan una difusión masiva e inmediata de contenidos, conviene recordar que la protección de datos personales es un derecho fundamental, y que la obtención de un consentimiento válido es mucho más que una formalidad: es un requisito legal imprescindible.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.


Copyright By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0.

Dinamarca da un paso valiente contra los deepfakes: ¿la era del copyright personal ha comenzado?

por

En un contexto internacional marcado por el auge de las tecnologías de inteligencia artificial generativa y la proliferación de contenidos manipulados—especialmente los conocidos deepfakes—, Dinamarca ha sorprendido al mundo con una propuesta legislativa pionera: reconocer a cada persona derechos de autor sobre su imagen, voz y cuerpo. Este enfoque, profundamente innovador, busca dotar a los ciudadanos de herramientas legales más efectivas para frenar el uso no autorizado de sus características personales en entornos digitales, especialmente ante la amenaza que representa la IA generativa.


¿En qué consiste esta propuesta de ley?


Dinamarca está dispuesta a modificar su legislación en materia de derechos de autor para permitir que cualquier individuo pueda reclamar la titularidad sobre la explotación no autorizada de su imagen, voz o incluso movimientos corporales generados artificialmente.


La iniciativa surge como respuesta a la creciente difusión de videos falsos creados mediante IA, algunos de ellos extremadamente realistas, que suplantan rostros, voces y gestos de personas reales —famosas o no— sin su consentimiento. La normativa danesa, aún en fase de desarrollo, podría constituir una base legal sólida para exigir la retirada de contenidos deepfake, solicitar indemnizaciones por daños morales o patrimoniales y, en algunos casos, emprender acciones penales.


¿Por qué es revolucionaria?


Tradicionalmente, los sistemas jurídicos occidentales no han reconocido derechos de autor sobre la apariencia o la voz de una persona, dado que el copyright está reservado a «obras» con originalidad y autoría. Las personas físicas disponen de mecanismos como el derecho a la propia imagen o al honor, pero estos derechos no tienen la misma fuerza automática ni vocación preventiva que el copyright.


Dinamarca propone fusionar el enfoque de los derechos de la personalidad con la lógica del derecho de autor y, así, permitir que un individuo pueda actuar como si fuera titular de una obra cuando se explota su identidad digital. Esto abriría la puerta a mecanismos de takedown similares a los que ya existen en plataformas como YouTube para proteger obras musicales o audiovisuales.


¿Qué pasa en otros países?


  • En Estados Unidos, algunos estados como California o Illinois han aprobado leyes específicas para proteger la «voz» o el «aspecto» de las personas, pero desde la óptica del derecho civil y no del copyright.
  • En la Unión Europea, los derechos a la imagen y a la protección de datos (como el artículo 8 de la Carta de Derechos Fundamentales de la UE) ofrecen una cierta cobertura, pero no otorgan un control automático ni un derecho de explotación patrimonial.
  • En España, el derecho a la propia imagen (LO 1/1982, de 5 de mayo) y la protección de datos (RGPD y LOPDGDD) son las herramientas disponibles, pero no permiten reclamar una «autoría» sobre nuestra voz o cuerpo. Sería necesaria una reforma legal de calado para incorporar esta perspectiva.

¿Un camino hacia la soberanía digital individual?


La propuesta danesa abre un nuevo paradigma jurídico, que reconoce que en la era digital el individuo no solo necesita proteger su intimidad, sino también ejercer control económico y moral sobre su identidad digital. Si prospera, podría marcar el inicio de un nuevo enfoque europeo para enfrentar los retos que plantea la IA generativa, los deepfakes y la manipulación de contenidos.


El debate está servido: ¿deberíamos tener copyright sobre nosotros mismos?


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la noticia, haga clic aquí.

Revisión Textos Legales Web