Privacidad en el Día de la Internet segura; Entrevista a Lorenzo Cotino Hueso; Pseudonimización v. anonimización: el futuro de la investigación científica en la Unión Europea; Nuevas competencias de control y sancionadores de la AEPD en relación con el Reglamento europeo de servicios digitales y la protección de los menores; Comentarios a la Guía sobre protección de datos personales para centros educativos de Andalucía; Hacia una protección efectiva de las personas menores de edad en los entornos digitales; Resolución de la CNMC contra empresa titular de webs pornográficas. Verificación de edad de menores en acceso a web; Los desafíos jurídicos en relación con la protección de datos de Worldcoin en la UE; Informes Jurídicos de la AEPD; La creación de la Comisión de Supervisión y Control de Protección de Datos en el seno del CGPJ con arreglo a la Ley Orgánica 1/2025…

El número 23 da comienzo al año 2025 y en el Editorial de este número nuestro Director pone en valor la importancia de la seguridad de la información, especialmente cuando sus titulares son los menores de edad y cuando la mercantilización de su privacidad sigue presente en nuestra sociedad, haciendo ineludible el diseño de políticas públicas más intensas.

A pesar de los esfuerzos regulatorios, de la proactividad de la Agencia Española de Protección de Datos en el último quinquenio, la realidad es tozuda. El Dia de la Internet segura se despliega en un contexto en el que el consentimiento en el tratamiento y compartición de información sobre menores por centros escolares, federaciones deportivas, asociaciones de todo tipo, opera como una lacra y su validez es más que dudosa. La exigencia de responsabilidad parental y el empoderamiento de la familia es una necesidad urgente. La explotación de la privacidad de los menores y su mercantilización siguen presentes y los procedimientos de protección de datos desde el diseño y por defecto y verificación edad dejan mucho que desear. Y, la reivindicación del diseño de políticas públicas más intensas es una exigencia ineludible.

Entre las modalidades de los premios a la protección de datos de carácter personal de la AVPD, se encuentra el "Premio a la Trayectoria Profesional en Protección de Datos", "Premio Investigación o Emprendimiento en Protección de Datos", "Premio Comunicación, difusión y creatividad en Protección de Datos" y "Premio a la proactividad y buenas prácticas en Protección de Datos"

Debemos agradecer encarecidamente al nuevo Presidente de la AEPD, al Catedrático de Derecho Constitucional, D. Lorenzo Cotino Hueso, el haber accedido a responder a nuestro extenso formulario. Nos disculpamos por haberle quitado horas de sueño en su primer mes al frente de la Agencia, pero nos felicitamos por haber podido compartir con él -y poder traer a nuestros/as lectores/as-, los objetivos de su mandato y su opinión sobre cuestiones de gran actualidad.

Los objetivos de anonimización pueden alcanzarse mediante diversas técnicas. Una de ellas la anonimización de facto consiste en un despliegue técnico que incluye un sólido proceso de anonimización complementado por un entorno de procesamiento seguro. Este último impide tanto la descarga o manipulación indebidas de los datos como cualquier acceso por parte de terceros. De este modo, se excluye el riesgo de reidentificación por parte de terceros y el riesgo asociado al uso de software malintencionado, ya que no se admiten más herramientas de tratamiento que las previamente autorizadas por la plataforma. Este método técnico debe complementarse con una adecuada gobernanza jurídica. Sin embargo, el enfoque de esta metodología se encuentra en riesgo ante una aproximación de las autoridades de protección de datos que tiende a objetivar el concepto de seudonimización.

El Reglamento europeo de servicios digitales de 2022 pone especial énfasis en el deber de los servicios intermediarios de la sociedad de la información de proteger a los menores frente al ofrecimiento de publicidad basada en su perfilado especialmente por parte de las plataformas y motores de búsqueda en línea de muy gran tamaño. Para la verificación del cumplimiento de esta obligación, el Reglamento atribuye a los estados miembros determinadas competencias en materia de control y sanción que, en el caso español, han sido desarrolladas por el Real Decreto-ley 9/2024, cuyo contenido se explica en este artículo.

Este artículo analiza la Guía publicada por el Consejo de Transparencia y Protección de Datos de Andalucía, relativa al cumplimiento de la normativa de protección de datos en el ámbito educativo. La guía se configura como un documento de referencia para el sector, y destacando las soluciones que aporta sobre asuntos prácticos que implican problemáticas en el tratamiento de datos personales por parte de los centros escolares.

Esta aportación pretende acercarse a cómo la posición jurídica de las personas menores de edad en relación con los entornos digitales precisa de un marco de protección efectivo de sus derechos fundamentales que tenga en consideración la variedad de bienes jurídicos afectados y la responsabilidad compartida en su garantía.

La Comisión Nacional del Mercado de la Competencia (CNMC), en el procedimiento sancionador SNC/DTSA/008/24, ha declarado responsable a la empresa TECHPUMP SOLUTIONS, SL por el incumplimiento del artículo 89.1.e) de la Ley 13/2022, que exige que los prestadores de servicios de intercambio de vídeos establezcan un sistema de verificación de edad efectivo para impedir el acceso de menores a contenido pornográfico. La CNMC rechazó los argumentos de la empresa, destacando que existen alternativas viables conforme al RGPD. La resolución ordena el cese inmediato de sus servicios hasta que cumpla con la normativa e impone una multa de 308.529 euros por la comisión de siete infracciones administrativas muy graves de carácter continuado. En 2022, la Agencia Española de Protección de Datos (AEPD), en el procedimiento PS/00555/2021, ya sancionó a esta empresa con varias multas, entre ellas una de 30.000 euros por no recoger adecuadamente el consentimiento de los menores ni aplicar medidas diligentes para el evitar el acceso de menores de edad a las webs (infracción del art. 8 del RGPD), dándole además el plazo de un mes para que corrigiera las deficiencias.

Worldcoin, una empresa pionera, creadora de un nuevo modelo empresarial basado en la creación de una identidad digital común para sus usuarios, ha sido investigada por la Agencia de Protección de datos de Baviera y española por la actividad llevada a cabo en el territorio de la Unión Europea, debido a sus cuestionables prácticas desde el punto de vista de la protección de datos. Resulta indispensable para el entendimiento del caso, referirnos a numerosas Directrices elaboradas por el Supervisor Europeo de Protección de Datos y la Agencia Española de Protección de Datos, textos legales que proporcionan una interpretación común de la aplicación del Reglamento General de Protección de Datos en lo que respecta al tratamiento de datos biométricos por parte de las empresas.

La Ley Orgánica 1/2025 introduce una reforma significativa en la Ley Orgánica del Poder Judicial, creando la Comisión de Supervisión y Control de Protección de Datos dentro del Consejo General del Poder Judicial. Este organismo tiene como finalidad garantizar un control riguroso sobre el tratamiento de datos personales con fines jurisdiccionales, conforme a los principios de legalidad, transparencia y seguridad jurídica. La Comisión, integrada por Vocales del Consejo, actúa como autoridad en la materia y sus decisiones agotan la vía administrativa, siendo recurribles únicamente ante la Sala de lo Contencioso-Administrativo del Tribunal Supremo. Asimismo, se establece la Dirección de Supervisión y Control de Protección de Datos como órgano técnico de apoyo, dotándola de competencias específicas para reforzar la eficacia de este sistema. Este artículo analiza en profundidad los aspectos normativos, organizativos y operativos derivados de esta reforma, resaltando su impacto en la gestión de la protección de datos en el ámbito judicial.

Destacamos en este artículo los puntos más relevantes de dos Informes jurídicos publicados por la AEPD en el presente año 2025 y que nos parecen de interés. Por un lado, el Informe n.^o 0066/2021, referente al Anteproyecto de Ley del mercado de valores y de los servicios de inversión, y por otro, el Informe 0099/2020, referente al Decreto sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos.

Con los datos definitivos de 2024, analizamos la evolución de las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) y las comparamos con años anteriores. La tabla recoge los hechos infractores del año, clasificados por sectores, e incluye los preceptos vulnerados del RGPD, la LOPDGDD y la LSSI, junto con las sanciones impuestas y la indicación expresa de si se ha producido terminación por pago en período voluntario. Además, se presentan gráficos visuales que resumen la información por meses, tipo de infracción y cuantía de las sanciones en cada sector.

La no contestación del ejercicio de un derecho puede resultar muy caro, sobre todo cuando al interponer la reclamación por parte del particular que no ha recibido respuesta, la misma se tramita como transfronteriza. En estos casos, la AEPD, a diferencia de aquellos que se tramitan de manera local, sí está imponiendo multas. La resolución que analizamos al respecto constata la comisión de tres infracciones, siendo una de ellas porque el CIF que aparece en la página web del responsable correspondía a una empresa que ya no existía. Por otra parte, las empresas y administraciones cada vez ofrecen con mayor frecuencia, que cuando un trabajador deja de prestar sus servicios, puede adquirir el terminal móvil u portátil que ha estado utilizando. Pero ¿Qué ocurre si se adquiere un móvil y se borra toda la información? Tratamos de dar respuesta analizando una resolución sancionadora sobre estos hechos. Además, de estas dos resoluciones que como pueden observar nuestros lectores son bastantes llamativas, hemos seleccionado otras que versan sobre el tratamiento de datos de salud de menores por parte de un creador de contenidos, la publicación excesiva de datos de un municipio mediante de un bando a través de una app, y haber realizado transferencias internacionales de datos a Estados Unidos durante la época que no había cobertura jurídica para tal final al haberse anulado el «Privacy Shield».

El Delegado de Protección de Datos es una pieza fundamental para la aplicación, orientación, asesoramiento y el cumplimiento del RGPD y la LOPDGDD. Una figura creada con el fin de mantener una estrecha colaboración entre las autoridades de control y los responsables y encargados del tratamiento de datos personales, cooperando con las primeras y asesorando y velando por el cumplimiento del RGPD con los segundos. Por ello, no es muy común que el Delegado de Protección de Datos sea uno de los afectados por el tratamiento ilícito realizado por el responsable del tratamiento y se vea envuelto en un posible conflicto de intereses.

En esta ocasión damos noticia de la actividad reciente del SEPD, así como de la actividad del CEPD más destacable. Entre las actuaciones llevadas a cabo por el Supervisor Europeo de Protección de Datos debemos citar su participación en la cuarta edición de la Mesa redonda de Autoridades de Protección de Datos del G7 en Roma, su llamada de atención al Frontex al transmitir datos personales de sospechosos de delitos transfronterizos a Europol, la publicación de sus conclusiones sobre la ejecución del derecho de las personas a acceder a sus datos personales cuando los procesan las instituciones, órganos, oficinas y agencias de la UE, y su participación en la red de corresponsales para facilitar la gobernanza de la IA en las administraciones públicas. En cuanto al Comité Europeo de Protección de Datos (CEPD), ha estado especialmente volcado en las nuevas tecnologías y, más concretamente, en la inteligencia artificial.

Para facilitar a nuestros lectores el conocimiento de las directrices y recomendaciones del CEPD, imprescindible para la adecuada comprensión y correcta aplicación del Reglamento, en este documento recogemos, ordenados cronológicamente, la relación de directrices y otros documentos emitidos por el Comité desde el 25 de mayo de 2018, fecha en que comenzó a funcionar este organismo, agrupados por los artículos del Reglamento a los que se refieren.

El Modelo Estándar de Protección de Datos (SDM) ha sido desarrollado en varias etapas desde 2009 en Alemania por la «Conferencia de Comisionados de Protección de Datos de la Federación y los Estados (DSK)». Hoy en día, el SDM es el método estándar para auditar y asesorar a las 17 autoridades públicas de supervisión de Protección de Datos en Alemania. Las dos grandes iglesias cristianas, que tienen sus propias leyes de protección de datos, también han adoptado el SDM como base para el «Modelo de Protección de Datos de la Iglesia (KDM)». Además, la Oficina Federal Alemana de Seguridad de la Información (BSI) recomienda el uso del SDM para todas las cuestiones prácticas de protección de datos, en particular para las administraciones públicas en Alemania, en el «Módulo CON.2» de IT-Grundschutz. BSI 2023: CON.2 Protección de datos (edición 2023). El SDM también se utiliza en muchas empresas privadas, así como en bufetes de abogados y en las oficinas de los oficiales de protección de datos que actúan como consultores externos. Una introducción al SDM está disponible, así como una traducción al inglés. El objetivo del presente artículo es ayudar seguir dando a conocer el SDM en los países de habla hispana, así como actualizar la información ya disponible.

A raíz de la pandemia, el Reino Unido ha experimentado un aumento dramático en el uso de los modelos de trabajo híbrido y remoto, lo que otorga flexibilidad a los empleados para trabajar total o parcialmente desde casa u otras ubicaciones de su preferencia. Sin embargo, a medida que las organizaciones adoptan estos acuerdos de naturaleza laboral, deben ser muy conscientes de sus responsabilidades en materia de protección de datos para garantizar la existencia de medidas de seguridad adecuadas. Esto requiere no solo políticas internas y formación rigurosas, sino también una implementación, supervisión y actualización diligente de los recursos utilizados en el trabajo. Sin embargo, en la práctica, muchas organizaciones, confiando en sus trabajadores en remoto, y los empleados, relajándose en la conveniencia de esta forma de trabajar, descuidan sus obligaciones de protección de datos. Este descuido es el origen de numerosas brechas de seguridad. Por lo tanto, para mitigar estos riesgos y lograr el cumplimiento del principio de la seguridad, es esencial comprender las expectativas del ICO y la costumbre establecida en el sector.

El Tribunal de la Haya resuelve sobre la demanda de un interesado que pide un derecho de acceso a la información relacionado con el sistema transaccional de las entidades financieras y, si es necesario dar explicación sobre la lógica aplicada ante un tratamiento realizado en cumplimiento de la normativa de blanqueo de capitales para conocer el propósito e índole de la relación de negocio que tiene con sus clientes.

Este artículo analiza el marco normativo de la protección de los datos personales de menores en Argentina, abordando las recientes iniciativas de la Agencia de Acceso a la Información Pública (Agencia). En particular, se examinan las guías «Nuestro Mundo Digital», destinadas a adolescentes y educadores, que buscan proporcionar herramientas para garantizar la privacidad en entornos digitales. Asimismo, se revisa la declaración conjunta emitida por la Agencia junto con otras autoridades internacionales sobre las técnicas de verificación de edad en línea. A pesar de la ausencia de una disposición específica en la Ley de Protección de Datos Personales, se destacan los esfuerzos regulatorios para establecer directrices en esta materia. Finalmente, se subraya la necesidad de una regulación clara y específica que brinde seguridad jurídica a los operadores y garantice una protección efectiva de los derechos de los menores en el entorno digital.

La figura de la evaluación de impacto en protección de datos personales no está explícitamente reconocida en la legislación colombiana, aunque el Gobierno Nacional ha incorporado esta figura de manera fragmentada a través de mecanismos regulatorios. Estos mecanismos presentan variaciones en sus detalles, términos y casos de aplicación. La Superintendencia de Industria y Comercio, SIC, como Autoridad de Protección de Datos Personales ha incluido esta figura en sus guías y órdenes administrativas, donde recomienda realizar evaluaciones de impacto. Durante el 2024, la SIC publicó dos circulares externas que tienen alcance normativo, estableciendo que las evaluaciones de impacto deben realizarse cuando así lo determine el responsable y en casos de proyectos de inteligencia artificial, lo que genera nuevos planteamientos sobre esta figura.

El presente realiza un somero análisis del sistema de protección de datos de la República de Perú para, a continuación, ilustrar sobre un caso reciente, que es de estado público, en el cual el órgano de control peruano aplica sanciones a una entidad financiera por una inadecuada utilización de datos biométricos.

El presente artículo analiza el razonamiento jurídico de la Ilustrísima Corte de Apelaciones de Valparaíso y de la Excelentísima Corte Suprema, ambas Tribunales Superiores de Justicia del Estado de Chile, en tres casos paradigmáticos que se han dado en el país en contra del Grupo Optimistic SpA, antes Worldcoin SpA. Una empresa cuyo proyecto de criptomonedas busca proporcionar a todas las personas en el mundo una identidad digital única y verificable.

Las expectativas tan anheladas de contar con una nueva ley de protección de datos personales, puede hacer que, una vez dispuesta y aprobada la misma, de la falsa sensación de bienestar y de logro. De ahí que se haga necesario hacer una revisión de la misma, tanto desde el plano contextual como desde el plano interno del texto finalmente aprobado y publicado. Es por ello, que este artículo pretende aclarar qué es lo que se ha logrado, en realidad, qué deberíamos tener y con qué materiales, de verdad, vamos a trabajar para poder dar lustre a este derecho fundamental.

ISMS Forum, líder en ciberseguridad en España, se reunió con Francina Armengol, presidenta del Congreso, para abordar la necesidad de un Parlamento ciberseguro. Dirigidos por Roberto Baratta, presentaron propuestas de colaboración, como una jornada formativa sobre ciberseguridad en la Cámara Baja. El objetivo es aumentar la concienciación entre los parlamentarios sobre ciberseguridad, enfocándose en la IA, la Directiva NIS2 y el anteproyecto de Ley de ciberseguridad de 2025. También se destacó el compromiso de ISMS Forum con la visibilidad del talento femenino en el sector y la colaboración público-privada para combatir los ciberataques.

El procedimiento abreviado en el proceso penal se ha revelado como un procedimiento necesitado de una clara actualización, al no abordar un problema, fundamental a juicio del autor, el que se producía al comienzo del acto del juicio cuando el acusado se conformaba con las penas solicitadas por el Ministerio Fiscal y la acusación particular, al no informarse, hasta ese momento, a los testigos citados, lo que provocaba desplazamientos innecesarios y molestias. En este artículo se analiza el contenido y aplicación práctica de los preceptos de la LECrim. modificados a tal fin por la LO 1/2025, de medidas en materia de eficiencia del Servicio Público de Justicia.

En la denominada fase intermedia de la LORPM, una vez presentado el escrito de alegaciones de la defensa, el Juez de Menores deberá resolver sobre la apertura o no de la audiencia. Entre las decisiones que éste puede adoptar se encuentra la del sobreseimiento motivado de las actuaciones. En el presente trabajo queremos aclarar que los únicos motivos en los que el Juez de Menores podrá dictar auto de sobreseimiento en esta fase intermedia son los establecidos específicamente en la LORPM y el establecido en el art. 637.2 LECrim., para el caso de que, en este último caso, se formulen alegaciones por parte de las acusaciones.

La crisis de vivienda por la que transcurre España es cada vez más evidente. Una problemática abordada por el gobierno mediante distintos instrumentos legales con el fin de posibilitar el acceso a una vivienda digna a la población que más lo necesita. Sin embargo, desde la óptica jurídica, no son pocas las polémicas que causan la entrada en vigor de distintas normativas, tanto estatales como autonómicas, y, todavía son más frecuentes las discusiones acerca del redactado y técnica legislativa empleada. En este contexto, las administraciones autonómicas han sido cada vez más atrevidas en la regulación del mercado de la vivienda, ocasionando la intervención del Tribunal Constitucional. Ejemplo de ello es la resolución del recurso de inconstitucionalidad núm. 3955/22, relativo a la Ley del Parlamento de Cataluña 1/2022, de 3 de marzo, de modificación de la Ley 18/2007, la Ley 24/2015 y la Ley 4/2016, para afrontar la emergencia en el ámbito de la vivienda.

En esta última resolución, el Tribunal Constitucional se pronuncia sobre la constitucionalidad, por extensión, del articulado de la Ley 24/2015, de 29 de julio, de medidas urgentes para afrontar la emergencia en el ámbito de la vivienda y la pobreza energética. En particular, destaca la declaración de inconstitucionalidad parcial de la Disposición Adicional 1ª, así como, del art. 10 del texto legal mencionado, pronunciándose la sentencia, además, sobre los efectos y alcance de la nulidad como consecuencia natural de la declaración de inconstitucionalidad. Ahora bien, ¿Cómo debe interpretarse la nulidad?, ¿En que situaciones persiste la obligación de ofrecimiento de alquiler social?

Este artículo busca analizar críticamente la necesidad de incorporar en el ordenamiento jurídico español un sistema de intervención profesional obligatoria para menores expuestos a entornos de violencia de género, fundamentado en el interés superior del niño, los estándares internacionales de protección infantil y las teorías garantistas de justicia social. Partiendo del reconocimiento de la violencia de género como fenómeno estructural que trasciende a las víctimas directas, el estudio argumenta que la exposición temprana a dinámicas relacionales tóxicas constituye una forma de victimización secundaria con efectos psicosociales devastadores, documentados por la OMS y múltiples estudios neuroconductuales. Desde un enfoque interdisciplinar que integra filosofía del derecho, psicología del desarrollo y análisis normativo comparado, se propone la creación de protocolos legales vinculantes que obliguen a evaluaciones periódicas por equipos técnicos judiciales, seguimiento terapéutico especializado y mecanismos sancionatorios progresivos para progenitores renuentes, todo ello articulado a través de reformas a la Ley Orgánica 1/2004, de 28 de diciembre, de Medidas de Protección Integral contra la Violencia de Género y la Ley de Enjuiciamiento Civil. El marco teórico se sustenta en el principio rawlsiano de equidad compensatoria, la noción nussbaumiana de capacidades básicas y la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) sobre deberes estatales positivos en protección infantil, desmontando críticas libertarias mediante el test de proporcionalidad de Alexy. Finalmente, se demuestra cómo esta medida no solo cumple con las obligaciones internacionales de España bajo la Convención de los Derechos del Niño y el Convenio de Estambul, sino que opera como herramienta preventiva clave para erradicar la reproducción intergeneracional de roles de género patológicos.

Tendrá lugar, en formato presencial y virtual, el próximo 10 de abril en la sede del Colegio de Registradores de España.

La notoriedad de las marcas de las sociedades demandantes, que explotan sendos centros outlet en las áreas de Madrid y Barcelona, que por su estructura y uso conforman una familia de marcas, y el hecho de que el signo denominativo empleado por la sociedad demandada, aplicado a los mismos servicios (grandes centros comerciales de outlet), reproduzca la misma estructura, con la coincidencia del elemento “Village”, que ha adquirido gran distintividad aplicado a ese tipo de servicios, permiten apreciar el riesgo de confusión para un consumidor medio respecto del origen empresarial de estos centros comerciales, al dar a entender que si no es común, al menos existe una relación empresarial entre ellos.

Al valor de mercado hay que sumarle el valor de afección en atención a las concretas circunstancias que concurran en el caso concreto para compensar al propietario del vehículo.

Penalidad impuesta por falta de formalización imputable a adjudicatario.

No se produjo vulneración de las reglas observantes de la cadena de custodia de lo intervenido en el registro domiciliario.