La UE endurece las normas sobre IA

Por /
La UE endurece las normas sobre IA

Newsletter ARL Abogados · 8 de mayo de 2026

Noticias y resoluciones sobre protección de datos

Recopilación de novedades europeas y españolas en materia de inteligencia artificial, protección de datos, cookies, comunicaciones comerciales y brechas de seguridad.

01

IA y regulación europea

02

Informe anual del DPO

03

Resoluciones AEPD

04

Sanciones y medidas correctivas

Novedades Europa

Inteligencia artificial

La UE acuerda simplificar las normas de IA y prohibir las aplicaciones de “nudificación”

La Comisión Europea celebra el acuerdo político alcanzado entre el Parlamento Europeo y el Consejo de la UE sobre normas más simples y favorables a la innovación para la inteligencia artificial.

El acuerdo establece un calendario claro para la aplicación de las normas que regulan los sistemas de IA de alto riesgo:

  • Las normas para sistemas utilizados en biometría, infraestructuras críticas, educación, empleo, migración, asilo y control fronterizo se aplicarán desde el 2 de diciembre de 2027.
  • Para sistemas integrados en productos como ascensores o juguetes, las normas se aplicarán desde el 2 de agosto de 2028.

El acuerdo también refuerza la protección de la ciudadanía, prohibiendo sistemas de IA que generen contenido sexual explícito o íntimo sin consentimiento, así como material de abuso sexual infantil.

Clave para empresas: se introducen normas más simples, una gobernanza más clara y acceso a sandboxes regulatorios para probar soluciones de IA en condiciones reales.

Delegado de protección de datos

La CNIL publica un modelo de informe de actividades del DPO

La autoridad francesa de protección de datos ha publicado un modelo de informe de actividades del responsable de protección de datos. Aunque no exista obligación general de redactarlo, la CNIL lo considera una buena práctica recomendable.

  • Permite informar a la alta dirección sobre la actividad del DPO.
  • Ayuda a evaluar el nivel de madurez de la organización en protección de datos.
  • Puede utilizarse para comunicar interna y externamente el grado de cumplimiento normativo.

Para organizaciones que cuentan con un DPO interno o externo, este tipo de informe puede convertirse en una herramienta útil de seguimiento, control y evidencia documental.

Novedades España

Incumplimientos del INSS en la gestión del Ingreso Mínimo Vital

La AEPD ha puesto de manifiesto incumplimientos del Instituto Nacional de la Seguridad Social relacionados con la gestión del Ingreso Mínimo Vital.

Artículo 28.3 RGPD

Falta de contrato formal con la entidad encargada del tratamiento.

Artículo 13 RGPD

Información incompleta sobre el tratamiento de datos.

Artículo 32 RGPD

Ausencia de medidas técnicas y organizativas adecuadas.

La AEPD requiere acreditar medidas correctivas, entre ellas la formalización del contrato u acto jurídico conforme al RGPD y la implantación de medidas de seguridad adecuadas al riesgo.

Sanción a una cadena hotelera por la gestión de cookies

La AEPD ha sancionado a NH Hotel Group por la utilización de cookies propias y de terceros no técnicas o necesarias sin consentimiento previo del usuario, así como por impedir una gestión granular o la retirada posterior del consentimiento.

La resolución recuerda que las cookies no necesarias requieren consentimiento previo, salvo supuestos estrictamente vinculados a la prestación del servicio solicitado por el usuario.

Importe de la sanción: 10.000 €. Tras pago voluntario, la entidad abonó 8.000 €.

Multa por comunicaciones comerciales sin consentimiento

La AEPD ha impuesto una multa a VERNE INFORMATION TECHNOLOGY, S.L. por el envío de comunicaciones comerciales sin consentimiento previo.

La resolución recuerda que la LSSI prohíbe el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio equivalente si no han sido solicitadas o expresamente autorizadas por los destinatarios.

La excepción exige una relación contractual previa y que las comunicaciones se refieran a productos o servicios similares a los inicialmente contratados.

Importe de la sanción: 2.000 €. Tras pago voluntario, la empresa abonó 1.600 €.

Sanción de 200.000 € por una brecha de seguridad

La AEPD ha impuesto una sanción a DÉCIMAS, S.L. por una brecha de seguridad producida en abril de 2024. La tipología del ataque fue una inyección SQL que permitió la exfiltración masiva de datos de clientes.

Los datos afectados incluyeron correo electrónico, fecha de nacimiento, DNI y género. Aunque la empresa contaba con medidas de seguridad, no disponía de sistemas efectivos de alerta temprana ni monitorización suficiente.

Riesgo detectado

Explotación de vulnerabilidades mediante inyección SQL.

Principio afectado

Integridad y confidencialidad de los datos personales.

Medidas correctivas

Acreditar en seis meses medidas técnicas y organizativas adecuadas.

Importe de la sanción: 200.000 €. Tras reconocimiento de responsabilidad y pago voluntario, la entidad abonó 120.000 €.

¿Necesita revisar el cumplimiento normativo de su empresa?

ARL Abogados asesora a empresas, despachos y organizaciones en protección de datos, Derecho Digital, cumplimiento RGPD, gestión de brechas de seguridad, cookies, IA y DPO externo.

También puede interesarte

La UE endurece las normas sobre IA

Contratar DPO externo en Madrid

Recíbenos en tu correo electrónico

¡SUSCRÍBETE PARA RECIBIR LOS ÚLTIMOS CONSEJOS EN PROTECCIÓN DE DATOS, DPO, IA, ETC.

RGPD 

He leído y acepto la Política de privacidad y consiento el envío de la newsletter de ARL Abogados. Responsable: ARL Abogados. Finalidad: envío de newsletter. Legitimación: consentimiento. Derechos: acceso, rectificación y supresión, y otros, como se explica en la Política de privacidad. Puedes retirar tu consentimiento en cualquier momento.

Contacta con nosotros
© 2025 ARL Abogados
Scroll al inicio
Ir al contenido