PROPUESTA DE LEY DE REDES DIGITALES EN SUSTITUCION DEL CÓDIGO DE COMUNICACIONES ELECTRÓNICAS DE LA UE.

 

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La Ley de Redes Digitales (LDD o ADN, por sus siglas en inglés Digital Networks Act) es una propuesta de la Comisión Europea adoptada el 21 de enero de 2026 para modernizar el marco regulatorio de las telecomunicaciones en la UE. Sustituye al Código Europeo de las Comunicaciones Electrónicas (CEEC) de 2018 y fusionar cuatro actos jurídicos en un Reglamento directamente aplicable, con el fin de impulsar la innovación, las inversiones y la resiliencia en infraestructuras digitales avanzadas.

Objetivos Principales

• Modernizar el marco regulatorio de las telecomunicaciones en la UE para fortalecer la competitividad, consolidar el mercado único eliminando barreras transfronterizas y mejorar la resiliencia ante crisis como desastres naturales o interferencias externas.
• Facilitar la adopción de tecnologías como IA, nube y espacio, respondiendo a  informes al Parlamento Europeo y al Consejo sobre fragmentación y dependencias.

Medidas Clave

• Mercado único de conectividad: Introduce un "pasaporte único" para autorizaciones (notificación en un solo Estado miembro) y autorización de espectro satelital a nivel UE.
• Simplificación regulatoria: Reduce cargas administrativas, especialmente en relaciones B2B, con licencias de espectro más largas y renovables por defecto.
• Resiliencia y preparación: Crea un Plan de Preparación UE y mecanismos para limitar dependencias en satélites y redes.
• Transición a fibra: Planes nacionales obligatorios para la eliminacion gradual de redes de cobre hacia fibra completa para 2030-2035, con régimen de acceso ágil.

Los impactos esperados son de atraer inversiones mediante mejores prácticas en el espectro (compartido y predecible); aclarar reglas relativas a Internet abierta para servicios innovadores, beneficiando a grandes operadores, Pymes y nuevos actores. A la vez, que promover la cooperación voluntaria en interconexión IP y eficiencia de tráfico, manteniendo la protección al consumidor. 

El enlace al texto de la Propuesta de Ley, en inglés, (343 p.) se encuentra en: https://digital-strategy.ec.europa.eu/en/policies/digital-networks-act

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

__________________________________________________________

 

Propuesta de Ley de Redes Digitales en sustitución del Código de Comunicaciones Electrónicas de la UE.

 

El Código de Comunicaciones Electrónicas de la UE (EECC) codificó las normas que rigen el despliegue y el funcionamiento de las redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas en la UE, bajo un marco regulatorio único diseñado para impulsar la conectividad y proteger mejor a los usuarios dentro del Mercado Único Europeo.

 

Adoptado en 2018 el EECC se aplicó a todas las redes y servicios de comunicaciones electrónicas de la UE. Solo tres Estados miembros cumplieron el plazo de diciembre de 2020 para su transposición a la legislación nacional. La transposición en los 27 Estados miembros se completó en agosto de 2024, con el apoyo de la Comisión en el proceso de implementación. Además, el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) ha elaborado y adoptado un número considerable de directrices destinadas a promover una aplicación coherente del EECC y contribuir a su correcta implementación.

 

La Comisión completó la revisión del funcionamiento del EECC el 21 de enero de 2026 con la adopción y publicación de un Informe al Parlamento Europeo y al Consejo. Tras destacar varios desafíos, la propuesta de la Ley de Redes Digitales (LDD) pretende sustituir el Código. A su vez, la LDD creará un marco jurídico moderno, simplificado y más armonizado que impulse la innovación y la inversión en infraestructuras digitales resilientes y avanzadas, cruciales para la adopción de la IA, la nube, el espacio y otras tecnologías innovadoras.  

Antecedentes

La EECC introdujo un nuevo objetivo general para promover la conectividad, el acceso y la adopción de redes de muy alta capacidad, incluidas las redes fijas, móviles e inalámbricas, por parte de todos los ciudadanos y empresas de la Unión. También se hizo mayor hincapié en la necesidad de tener en cuenta la variedad de condiciones relacionadas con la infraestructura y la competencia en diferentes zonas geográficas, así como en la necesidad de promover la inversión eficiente y la innovación en infraestructuras nuevas y mejoradas.

 

Servicio universal

 

El acceso a los servicios básicos de comunicación es crucial para participar en la economía y la sociedad actuales.

 

Las normas europeas de comunicaciones electrónicas buscan que el acceso a internet de banda ancha y las comunicaciones de voz sean asequibles y estén disponibles en toda Europa mediante una competencia y una elección efectivas. Cuando el mercado no satisface las necesidades de los consumidores, las obligaciones de servicio universal garantizan la disponibilidad de acceso a internet y servicios de comunicaciones de voz accesibles y adecuados, independientemente de las circunstancias personales, como la ubicación, los ingresos o la discapacidad. Un internet de banda ancha adecuado debe tener suficiente ancho de banda para el uso de servicios importantes como la administración electrónica, la banca por internet y las video llamadas de calidad estándar.

 

Mayor calidad de servicios

 

El EECC se propuso mejorar las velocidades de conexión y la cobertura mediante:

·   Hacer que sea más atractivo para todas las empresas invertir en nuevas infraestructuras de alta calidad, en toda la UE, tanto a nivel local como transfronterizo.

·   Hacer que las reglas de coinversión sean más predecibles y promover la distribución de riesgos en el despliegue de redes de muy alta capacidad, incluidas las redes 5G

·   Promover una competencia sostenible en beneficio de los consumidores

 

Mejor protección del consumidor

 

El Código tenía como objetivo proteger a los consumidores independientemente de si se comunicaban a través de servicios tradicionales (llamadas, SMS) u otros servicios de mensajería o correo electrónico basados ​​en la web mediante:

·   Garantizar un acceso equivalente a los servicios de comunicaciones electrónicas para los usuarios finales con discapacidad

·  Promover la transparencia tarifaria y la comparación de ofertas contractuales, por ejemplo mediante  resúmenes de contratos

·    Proteger los consumidores suscritos a paquetes de servicios combinados

·   Facilitar el cambio de proveedor de servicios y conservar el mismo número de teléfono, incluidas reglas de compensación si el proceso sale mal o tarda demasiado

·  Aumentar la protección de los ciudadanos en situaciones de emergencia, incluyendo garantizar una ubicación más precisa de la persona que llama, ampliar las comunicaciones de emergencia de solo voz a texto y vídeo, garantizar la accesibilidad de acuerdo con la Ley Europea de Accesibilidad y establecer un sistema para transmitir advertencias públicas en teléfonos móviles.

Análisis de mercados relevantes

El Código también promovió el desarrollo del mercado interior y la competencia en el suministro de redes de comunicaciones electrónicas e instalaciones asociadas. Para alcanzar estos objetivos, las autoridades nacionales analizaron periódicamente los mercados pertinentes. El objetivo era apoyar el desarrollo de mercados favorables a la competencia mediante la aplicación del marco consolidado de poder significativo de mercado (PSM). Los análisis de mercado se llevaron a cabo de forma transparente para garantizar la coherencia de la regulación ex ante en la UE (mediante el proceso de consulta a nivel nacional y de la UE). El objetivo era aplicar la regulación específica del mercado únicamente cuando fuera estrictamente necesario, manteniendo un entorno regulatorio competitivo y favorable a la inversión en beneficio del consumidor. Consulte la  información general del mercado más reciente.

VIOLACION DE DATOS : MULTA DE 5 MILLONES DE EUROS A FRANCE TRAVAIL - CNIL

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 cferreyros@ferreyros-ferreyros.com

RESUMEN

La CNIL (Autoridad Nacional de Protección de Datos de Francia) multó a France Travail con una cifra récord de 5 millones de euros por una filtración de datos personales tras un ciberataque ocurrido en el primer trimestre de 2024.

Los atacantes utilizaron técnicas de ingeniería social para comprometer las cuentas de los asesores de Cap Emploi, obteniendo así acceso a los datos de todas las personas registradas en el servicio durante un período de 20 años y a los perfiles de los candidatos en francetravail.fr. La información comprometida incluía números de la seguridad social, direcciones de correo electrónico y números de teléfono, pero no archivos completos (excluyendo datos de salud).

La CNIL identificó debilidades técnicas y organizativas: autenticación deficiente para los asesores de Cap Emploi, registro insuficiente de comportamientos anormales y privilegios de acceso excesivamente amplios que permitían abordar excesivamente a los datos. Estas vulnerabilidades eran conocidas, pero no se habían implementado adecuadamente.

La multa de 5 millones de euros tiene en cuenta el volumen (entre 36 y 43 millones de personas afectadas), la sensibilidad de los datos y la condición pública de France Travail (con un límite de 10 millones de euros). Se fija una sanción de 5.000 euros diarios por incumplimiento de las medidas correctivas requeridas.

La institución pública ha reconocido la decisión sin apelar, reconoce la gravedad de los hechos, lamenta su gravedad y prioriza la ciberseguridad.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

__________________________________________________________

Violación de datos: multa de 5 millones de euros a FRANCE TRAVAIL

29 de enero de 2026

---

El 22 de enero de 2026, la CNIL multó a FRANCE TRAVAIL (antes Pôle Emploi) con 5 millones de euros por no garantizar la seguridad de los datos de las personas que buscan empleo.

El contexto

En el primer trimestre de 2024, uno o más atacantes lograron infiltrarse en el sistema de información de FRANCE TRAVAIL. Utilizaron técnicas de ingeniería social que explotan la confianza, la ignorancia o la credulidad de las personas. Este método les permitió comprometer las cuentas de los asesores de CAP EMPLOI, organizaciones responsables de apoyar, supervisar y retener a las personas con discapacidad en el mercado laboral.

La investigación reveló que los atacantes accedieron a los datos de todas las personas registradas o que se habían registrado en los últimos 20 años, así como a los de quienes tenían un perfil de candidato en francetravail.fr (incluidos números de la seguridad social, direcciones de correo electrónico y postal, y números de teléfono). Sin embargo, no accedieron a los expedientes completos de los solicitantes de empleo, que podrían incluir datos de salud.

La auditoría de la CNIL reveló la insuficiencia de las medidas técnicas y organizativas implementadas para garantizar la seguridad de los datos personales tratados.

En consecuencia, el grupo restringido – órgano de la CNIL encargado de imponer sanciones – impuso una multa de 5 millones de euros a FRANCE TRAVAIL, teniendo en cuenta el incumplimiento de los principios esenciales de seguridad, el número de personas afectadas, el volumen y la sensibilidad de los datos tratados.

Además, el grupo restringido ordenó a FRANCE TRAVAIL justificar las medidas correctivas adoptadas, según un calendario de aplicación preciso.

En caso contrario, la organización deberá abonar una penalización de 5.000 euros por día de retraso.

Nota:

France Travail es un organismo público nacional cuyo presupuesto se determina por ley y se basa principalmente en las cotizaciones a la seguridad social (empleadores/empleados). En este sentido, el importe de la multa no se determina en función de la facturación, sino en un rango con un máximo de 10 millones de euros por una violación de la seguridad de los datos (artículo 32 del RGPD).

Todas las multas impuestas por la CNIL, ya se trate de agentes privados o públicos, son recaudadas por el Tesoro Público y abonadas en el presupuesto del Estado.

El incumplimiento a la obligación de garantizar la seguridad de los datos personales tratados (artículo 32 del RGPD)

El grupo restringido observó que FRANCE TRAVAIL no había implementado las medidas técnicas y organizativas que podrían haber dificultado el ataque. Cabe recordar que la implementación de medidas de seguridad adecuadas a los riesgos es una obligación legal según el artículo 32 del RGPD.

En particular, señaló que las modalidades de autenticación que permiten a los asesores de CAP EMPLOI acceder al sistema de información de FRANCE TRAVAIL no son suficientemente robustos.

Además, el grupo restringido destacó la insuficiencia de las medidas de registro diario para detectar comportamientos anormales en su sistema de información.

Por último, el grupo restringido señaló que los derechos de acceso a las cuentas de los asesores de CAP EMPLOI se habían definido de forma demasiado amplia, lo que permitía a los asesores de CAP EMPLOI acceder a los datos de personas a las que no apoyaban, lo que aumentaba el volumen de datos a los que podían acceder los atacantes.

Para determinar la El grupo restringido tuvo en cuenta que la mayoría de las medidas de seguridad apropiadas habían sido identificadas por FRANCE TRAVAIL, antes de la implementación del tratamiento, en los análisis de impacto, sin que realmente se hubieran implementado.

El rol de la CNIL en relación a los denunciantes

La CNIL es el organismo regulador de los datos personales. Responde a las solicitudes de particulares y profesionales.

Cualquier persona puede presentar una reclamación ante la CNIL si tiene dificultades para ejercer sus derechos o para denunciar una infracción de la normativa de protección de datos personales. La CNIL puede controlar a las organizaciones y, en caso de infracción, sancionarlas.

Sin embargo, la CNIL no está autorizada a indemnizar a las personas que hayan presentado una denuncia ante ella. Estas personas pueden presentar una denuncia ante la policía o la gendarmería.

Más información 

Texto de referencia

La deliberación

• Deliberación SAN–2026-003 del 22 de enero de 2026 - Legifrance

Texto de referencia

Textos de referencia

• Artículo 32 del RGPD (seguridad de los datos personales)

Texto de referencia

Para profundizar

• El procedimiento sancionador
• Violaciones de datos personales
• Violaciones masivas de datos en 2024: ¿cuáles son las principales lecciones aprendidas y las medidas a tomar?

Texto de referencia

Recursos para ayudar a los profesionales a lograr el cumplimiento:

• Todo el contenido de la CNIL sobre ciberseguridad
• La guía para la seguridad de los datos personales
• Contraseñas: recomendaciones para dominar tu seguridad
• La CNIL publica una recomendación sobre las medidas de tala
• Autenticación multifactor: recomendaciones de la CNIL para una mejor protección de datos

Texto de referencia

Recursos para individuos:

• Todos los recursos para tu seguridad digital
• Seguridad: Utilice la autenticación multifactor para sus cuentas en línea

• #Sanción
• #Seguridad
• #Ciberseguridad
• #Violación de datos

PORQUE DESIGNAR PROFESIONALES DE DERECHO COMO OFICIALES DE PROTECCION DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 cferreyros@ferreyros-ferreyros.com

RESUMEN

Discutible el requerimiento de la ANPDP, quien exige ahora en su Guía de Preguntas y Respuestas relacionadas con la Directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales una combinación de formación especializada (mínimo 90 a 120 horas) y experiencia profesional alternativa e híbrida: General (7.3.3.1

.) Especifica (7.3.3.2

.). En el Perú hay pocos profesionales que puedan cumplir a cabalidad tales exigencias en experiencia y en prioridad, por profesionales de derecho.

El Reglamento General de Protección de Datos (RGPD, UE 2016/679, artículo 37.5), sobre las exigencias para ser Delegado (Oficial) de Protección de Datos (DPD o DPO), requiere designar a una persona con cualidades profesionales específicas, pero prioriza:

. Conocimientos especializados en derecho y protección de datos, adaptados al nivel de complejidad del tratamiento de datos en la organización (art. 37.5 y considerando 97).

. Experiencia práctica demostrable en la materia.

. Capacidad funcional: independencia, habilidades

analíticas, comunicativas y de gestión de riesgos.

Es altamente recomendable la designación de un profesional en derecho porque el RGPD exige explícitamente "conocimientos especializados del Derecho y la práctica en materia

de protección de datos" (artículo 37.5), y los abogados aportan esa base normativa esencial para interpretar y aplicar la regulación compleja".

_______________________________

ANEXO

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Considerando (97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

 Artículo 37 Designación del delegado de protección de datos

(…):

5.   El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

 Artículo 38

Posición del delegado de protección de datos

(…):

2.   El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

Artículo 39

Funciones del delegado de protección de datos

1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a)	informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 

b)

supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

 

c)	ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

 

d)	cooperar con la autoridad de control;

 

e)	actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

________________________

"José Alberto Rojas Marcelo

Digital Security Consultant| Internet Governance

¿El fin de los ODP "de papel"? La ANPD aclara la valla 🛡️⚖️

La ANPD acaba de publicar una guía de preguntas y respuestas sobre la nueva Directiva del Oficial de Datos Personales (ODP). Más que un documento informativo, es una hoja de ruta hacia la profesionalización obligatoria, dejando claro que la designación debe ser un acto formal y transparente ante el ciudadano.

Lo que más destaca es el giro hacia una idoneidad técnica real: ya no basta con el título. La autoridad exige ahora una combinación de experiencia práctica y formación especializada (mínimo 90 a 120 horas) como requisitos que deben cumplirse sí o sí. Si el perfil del ODP es insuficiente y eso afecta la seguridad de los datos, la empresa podría enfrentar sanciones.

En conclusión, la ANPD apuesta por una fiscalización operativa: el plazo de 180 días no es para llenar un formulario, sino para asegurar que el ODP sea un asesor técnico capaz de gestionar riesgos complejos.

¡Es momento de auditar perfiles y ponerse al día! 🚀