Newsletter de Economía del Dato, Privacidad y Ciberseguridad - Noviembre de 2025

¿El dato personal seudonimizado es un dato personal? Claves tras la sentencia del Tribunal de Justicia de la UE en el asunto EDPS v SRB

Ignacio Suárez

La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del pasado 4 de septiembre de 2025 en el caso EDPS v SRB (asunto C 413/23 P) supone un hito importante en el campo de la protección de datos personales, al tratar un tema tan esencial para la práctica como el mismo concepto de “dato personal”.

SEGUIR LEYENDO

Comparativa de la transposición de la NIS II por parte de Portugal con la prevista en España

Manuel Liberal y Luisa Cyrne

En julio de 2025, el Gobierno portugués reanudó el proceso de transposición de la Directiva (UE) 2022/2555 (NIS II) mediante la presentación del Proyecto de Ley n.º 7/XVII/1. En este análisis, comparamos dicha transposición con el proyecto de ley español, examinando los ámbitos de aplicación sujetos y exentos en cada caso, así como el régimen sancionador previsto.

SEGUIR LEYENDO

Resoluciones de las autoridades de protección de datos

• Sancionado un Ayuntamiento por el envío del justificante de pago de una multa a un domicilio desactualizado
• Se desestima el recurso de una compañía de telecomunicaciones contra una sanción por el duplicado fraudulento de tarjetas SIM
• Una cadena de centros comerciales ha sido sancionada por varias brechas de datos personales y medidas de seguridad
• Multada una compañía de electricidad y gas por la contratación fraudulenta de servicios
• Sanción de 200.000 euros a una comercializadora energética por la inscripción de un cliente en un fichero de morosidad antes de que la notificación de requerimiento fuese devuelta
• Una empresa de telecomunicaciones en Alemania es sancionada por fallos en supervisión y seguridad
• La AEPD concluye que no procede el derecho de portabilidad de datos en el ámbito educativo público, pero estima una reclamación por respuesta extemporánea
• Multado con 300 euros un empleado como responsable de una infracción consistente en el tratamiento de datos personales sin base legal alguna
• La AEPD archiva una reclamación por la instalación de una mirilla digital al no apreciarse infracción en materia de protección de datos
• Multa de 1,1 millones de euros a una empresa farmacéutica finlandesa por deficiencias en la protección de los datos de su tienda ‘online’
• Un particular es multado por instalar cámaras orientadas hacia la vivienda de un vecino
• Multa de 100.000 euros a una empresa logística por exigir antecedentes penales y datos personales excesivos en procesos de selección
• Sancionada una entidad con 32.000 euros por divulgar datos médicos de un trabajador a un tercero
• Una entidad es multada con 180.000 euros por incumplir una resolución firme de la AEPD
• La AEPD respalda la conservación de datos personales por parte de un encargado del tratamiento una vez finalizado el encargo
• La AEPD estima que, para cumplir con el artículo 28 del RGPD, no es suficiente con indicar en el DPA que los datos se borrarán o devolverán al finalizar el tratamiento
• La autoridad de control francesa sanciona a Google y Shein por instalación de ‘cookies’ y tecnologías similares sin consentimiento
• La AEPD no avala el uso de la fotografía de empleados para el control horario
• Sancionado un club de fútbol por una brecha de seguridad causada por un ataque de ‘ransomware’
• La AEPD sanciona a una empresa tecnológica por la cesión de datos personales a terceros sin contar con una base legitimadora suficiente
• Multada una empresa de viajes por vulneración del principio de minimización de datos
• La Autoridad polaca de protección de datos impone sendas multas a responsable y encargado por negligencia en el análisis de riesgos y en la adopción de medidas de seguridad 

VER MÁS

Sentencias

• La Audiencia Nacional avala una sanción de la AEPD por tratamiento sin base legitimadora al publicar listados con nombres y apellidos de opositores
• El TSJ de Galicia analiza el uso de algoritmos en procesos de selección y confirma la discriminación sindical en una autoridad portuaria
• La Corte Suprema de Chile ordena a una empresa de telecomunicaciones indemnizar a un cliente por vulneración de datos personales
• Caso Latombe: El TGUE valida el esquema de transferencias internacionales UE – EE.UU.
• La Audiencia Nacional entiende que las solicitudes de acceso a los datos personales deben remitirse a los canales habilitados al efecto y no a direcciones genéricas
• El TJUE analiza la posibilidad de comunicar datos de trabajadores desde una empresa a su matriz para probar un ‘software’ y declara ilícito el uso de datos reales sin base legal
• Los tribunales admiten el uso de imágenes de videovigilancia como medio de prueba en procesos penales
• Una sentencia aclara que el consentimiento del interesado no reemplaza a la autorización judicial cuando se trata de aportar pruebas en el marco de un proceso judicial
• Dictamen de la CNPD sobre la transmisión por internet de las reuniones de los órganos locales

VER MÁS

Actualidad

• El Reglamento de Datos de la Unión Europea (‘Data Act’) es aplicable desde el 12 de septiembre de 2025
• La Comisión Europea publica una resolución en la que se considera que Apple y Meta infringen el Reglamento de Mercados Digitales y se les imponen sanciones de 500 y 200 millones de euros, respectivamente
• El CEPD publica la Declaración de Helsinki y anuncia nuevas medidas para simplificar y reforzar la aplicación del RGPD
• Chile: La Comisión de Implementación para la nueva Ley de Protección de Datos publica tres informes
• El EDPB adopta las directrices 3/2025 sobre la interacción entre la DSA y el RGPD
• Memoria anual 2024 de la AEPD: principales resultados y tendencias
• La Comisión Europea ha publicado un informe sobre la aplicación de la Estrategia de Salud Mundial de la UE
• Publicado un informe conjunto entre la AEPD y el Supervisor Europeo de Protección de Datos (EDPS) sobre las implicaciones en materia de privacidad del uso de aprendizaje federado en inteligencia artificial
• El Comité Europeo de Protección de Datos (CEPD) publica la versión definitiva de las Directrices 2/2024 sobre el articulo 48 RGPD
• El Consejo y el Parlamento Europeo llegan a un acuerdo para mejorar el cumplimiento transfronterizo del RGPD en beneficio de la ciudadanía
• La AEPD analiza si es obligatorio que un sistema de inteligencia artificial que se utiliza en comunicaciones comerciales automatizadas entienda y ejecute políticas de privacidad
• La AEPD responde a la consulta previa relativa al uso de biometría para control de accesos en instalaciones de la Guardia Civil
• Publicada una guía de la Comisión Europea sobre las obligaciones de los modelos de IA de propósito general
• El EDPB emite una declaración sobre los términos contractuales tipo no vinculantes del ‘Data Act’
• El CEPD contribuye a la consulta pública de la Autoridad Bancaria Europea (EBA) sobre los proyectos de normas técnicas de regulación (RTS) en materia de prevención de blanqueo de capitales y financiación del terrorismo (AML/CFT)
• La AEPD y la Autoridad de protección de datos de Brasil amplían su colaboración institucional
• Investigadores del ‘Joint Research Centre’ de la Comisión Europea publican un artículo sobre ‘AI Benchmarks’
• La ‘Information Commissioner’s Office’ (ICO) del Reino Unido publica un artículo sobre cómo garantizar la anonimización efectiva de datos personales 

VER MÁS