Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

lunes, 25 de mayo de 2026

PANAME: PROYECTO PARA AUDITAR LA PRIVACIDAD EN LOS MODELOS DE IA - CNIL, FRANCIA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

CURRÍCULUM

El proyecto PANAME tiene como objetivo desarrollar una herramienta para auditar la privacidad de los modelos de IA y así evaluar su cumplimiento con el RGPD. Consiste en una biblioteca de software , parcialmente de código abierto, diseñada para estandarizar las pruebas técnicas de extracción o reidentificación de datos.

El proyecto está liderado por la CNIL (Comisión Nacional de Informática y Libertades de Francia), la ANSSI (Agencia Nacional Francesa de Ciberseguridad), el PEReN (Programa Nacional Francés de Investigación para la Economía Digital) y el proyecto IPoP de Inria, y tendrá una duración de 18 meses. Actualmente, se está llevando a cabo una fase de pruebas con organismos gubernamentales y empresas para verificar que la herramienta cumpla con los requisitos de uso reales.

La convocatoria para la presentación de manifestaciones de interés estuvo abierta del 26 de febrero al 28 de marzo de 2026 para entidades públicas y privadas establecidas en la Unión Europea. Las respuestas debían enviarse electrónicamente a través del formulario proporcionado.

En resumen, PANAME busca simplificar, hacer más reproducibles y reducir los costes de las auditorías del RGPD de los modelos de IA.

No obstante, muchas de las propuestas de aplicaciones de IA en América Latina se debaten en sí éstas reemplazarán a los juristas o la usarán a su favor, o producirán cambios en el mercado jurídico/legal sin deterse a pensar antes sí la IA infringe las regulaciones sobre la privacidad/intimidad?

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas positivas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

________________________________________________________

Proyecto PANAME: Participa en las pruebas de una herramienta de auditoría del RGPD para los modelos de IA.

26 de febrero de 2026

La CNIL, la ANSSI, la PEReN e Inria han abierto una convocatoria para la presentación de manifestaciones de interés para probar una herramienta de auditoría llamada PANAME, que permite evaluar la confidencialidad de los modelos de IA y su cumplimiento con el RGPD.

La CNIL, la ANSSI, el PEReN y el proyecto IPoP del PEPR (programas y equipos de investigación prioritarios) de ciberseguridad, liderado por Inria, pusieron en marcha el proyecto PANAME ( Auditoría de privacidad de modelos de IA ) en junio de 2025.

Este proyecto tiene como objetivo desarrollar una herramienta para auditar la privacidad de los modelos de IA. Consistirá en una biblioteca que permitirá la extracción de datos y/o pruebas de reidentificación en modelos de IA.

En este contexto, se lanza una convocatoria para que las partes interesadas del ecosistema presenten manifestaciones de interés para participar en la fase de pruebas de esta biblioteca. La retroalimentación y la implementación de estas pruebas permitirán mejorar las funcionalidades y, en particular, garantizar que la herramienta posibilite una evaluación eficaz de conformidad al RGPD.

Modelos de IA y la protección de datos personales

Desde hace más de diez años, las investigaciones han demostrado que es posible extraer datos, incluidos datos personales, de un modelo de IA que figuraban el conjunto de datos de entrenamiento.

Esta extracción se puede realizar:

mediante técnicas estadísticas a nivel del modelo a través del acceso total o parcial al mismo (función de coste, , activaciones…) ;
o, en el caso de la IA generativa, consultando directamente al modelo mediante instrucciones ( prompt ).

Si bien estos métodos existen desde hace mucho tiempo, el auge de la IA generativa y su uso masivo han hecho que este riesgo sea más visible para el público en general.

Cuando los datos de entrenamiento están sujetos a regulaciones específicas, como datos personales, datos protegidos por derechos de autor o por secreto profesional, surge la pregunta de cómo aplicar dichas regulaciones al modelo de entrenamiento.

En particular, la opinión adoptada por el Comité Europeo de Protección de Datos (CEPD) en diciembre de 2024 recuerda que el RGPD se aplica, en muchos casos, a los modelos de IA entrenados con datos personales, debido a sus capacidades para También especifica que, con mucha frecuencia, es necesario demostrar en un análisis que un modelo entrenado con datos personales resiste las pruebas de extracción de información sobre los datos de entrenamiento para poder concluir que es anónimo, condición que permite excluir su uso del ámbito de aplicación del RGPD.

Recursos aún poco disponibles

Los investigadores llevan varios años trabajando en métodos de extracción. Sin embargo, su implementación suele limitarse a fases experimentales, para publicaciones científicas. Se han identificado, por tanto, varios obstáculos para su adopción por parte de la industria:

una bibliografía académica dispersa y abundante: orientarse entre los recursos sobre el tema puede requerir tiempo y altas habilidades técnicas, especialmente para los actores más pequeños;
Implementaciones que no siempre son adecuadas para un contexto industrial: incluso cuando están disponibles en código abierto , estas técnicas requieren un trabajo significativo de desarrollo e integración para poder utilizarse en producción;
Falta de estandarización: actualmente no existe un marco unificado para formalizar la codificación de las pruebas de confidencialidad.

El proyecto PANAME

Para responder a estos desafíos y facilitar la evaluación del cumplimiento del RGPD, el proyecto PANAME (Privacy Auditing of AI Models) se puso en marcha en junio de 2025 .

Con una duración de 18 meses, prevé el desarrollo de una biblioteca de software disponible total o parcialmente como código abierto, con el fin de unificar la forma en que se evalúa la confidencialidad de los modelos.

El objetivo de la herramienta es permitir la implementación eficiente y rentable de ciertas pruebas técnicas para extraer información de los datos de entrenamiento que los agentes del ecosistema de IA puedan necesitar realizar para evaluar el estado de un modelo de IA con respecto al RGPD.

Tras una fase inicial de especificaciones técnicas y desarrollo en la librería, la CNIL, PEReN, ANSSI e Inria desean iniciar una fase de pruebas con administraciones e industrias para garantizar que el desarrollo de la herramienta sea coherente con su contexto de uso.

Esta convocatoria para la presentación de manifestaciones de interés tiene como objetivo identificar a los colaboradores para esta fase de pruebas.

Responder a la convocatoria de manifestaciones de interés (AMI)

Esta convocatoria para la presentación de manifestaciones de interés debería permitir identificar a los agentes (institucionales e industriales) que deseen probar la librería PANAME.

Está dirigida a todas las entidades públicas y privadas establecidas en los Estados miembros de la Unión Europea. Los socios se reservan el derecho de rechazar determinadas solicitudes que superen un umbral determinado (en este caso, también se publicará un aviso en redes sociales indicando el fin del plazo de solicitud) o si se consideran incompletas o irrelevantes.

La convocatoria para la presentación de manifestaciones de interés (AMI) estará abierta del 26 de febrero al 28 de marzo de 2026. Las respuestas podrán presentarse a partir de la fecha de publicación. Las solicitudes deberán enviarse exclusivamente por vía electrónica a la dirección de correo electrónico: paname-test@inria.fr y deberán ajustarse al formato del formulario de respuesta AMI disponible a continuación.

Referencia del documento

Descargue el AMI y el formulario de respuesta.

El formulario se encuentra en el Apéndice 1.

PANAME - Convocatoria para la presentación de manifestaciones de interés para realizar pruebas - Formato editable

[ODT-132,17 KB]

Convocatoria para la presentación de manifestaciones de interés (AMI): Prueba de la librería PANAME

[PDF-514,31 KB]

Texto de referencia

Para profundizar

jueves, 21 de mayo de 2026

INFORME ANUAL: LOGROS Y ACCIONES DE LA CNIL EN 2025.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El informe anual de la CNIL de 2025 confirma que las sanciones casi se han duplicado, alcanzando un total de casi 487 millones de euros, lo que refleja una estrategia de aplicación proactiva y selectiva.

La ciberseguridad se está convirtiendo en la piedra angular de la regulación: 6.167 infracciones notificadas, un tercio de las auditorías y el 30 % de las sanciones están relacionadas con fallos de seguridad, de conformidad con el artículo 32 del RGPD.

La CNIL sigue reforzando el principio de responsabilidad exigiendo más pruebas del cumplimiento de las medidas técnicas y organizativas, especialmente entre los subcontratistas.

Las principales sanciones se refieren a las cookies, la trazabilidad de empleados, la videovigilancia y la seguridad, y se utiliza cada vez más un procedimiento simplificado para agilizar la tramitación.

En cuanto a la IA, la CNIL se está preparando para la implementación del Reglamento Europeo de IA, publicando recursos para desarrolladores y desarrollando herramientas de trazabilidad (PANAME Privacy Auditing of AI Models con ANSSI, Inria y PEReN). El informe marca un claro replanteamiento estratégico: la seguridad y la regulación de los usos digitales sensibles se convierten en prioridades para 2026 (el 50 % de las auditorías y sanciones se dedicarán a la seguridad).

Desde el punto de vista legal, esto implica una mayor carga de la prueba para los responsables del tratamiento de datos y una mayor responsabilidad a lo largo de toda la cadena de subcontratación.

Finalmente, los profesionales deben revisar sus Evaluaciones de Impacto en la Protección de Datos (EIPD), registros y cláusulas contractuales para anticiparse a los controles y evitar sanciones.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

________________________________________________________

Informe anual: Logros y acciones clave de la CNIL en 2025

18 de mayo de 2026

Apoyar a los profesionales, controlar sus prácticas, sensibilizar a la ciudadanía, pero también regular la IA, la ciberseguridad y la cooperación europea… la CNIL hace el balance de un intenso 2025, dedicado a la protección de los datos personales y la privacidad de todos.

Cada año, la CNIL publica su informe de actividades para hacer el balance de sus acciones en torno a sus cuatro misiones principales: informar y proteger público en general, apoyar y asesorar a profesionales y autoridades públicas, anticipar e innovar para construir el mundo digital del mañana y, por último, controlar y sancionar las infracciones a las exigencias de protección de datos, que se derivan en particular del Reglamento General de Protección de Datos (RGPD).

2025 estuvo marcado notablemente por un alza muy importante de las quejas recibidas , un monto total de multas inéditas, pero también un número récord de notificaciones de violación de datos . A pesar de los recursos limitados debido a su mayor carga de trabajo, la CNIL se está organizando y transformando, particularmente para apoyar la implementación gradual del reglamento sobre la(RIA) .

También innova en las herramientas queella propone , como las dirigidas a jóvenes y familias, incluida la aplicación FantomApp, dedicada a los adolescentes y financiada por la Comisión Europea.

Portada y páginas del informe anual de 2025

Descargue el informe anual de la CNIL de 2025.

Acompañamiento: una gama de herramientas para todos los profesionales

Para elaborar recomendaciones que reflejen fielmente las prácticas y expectativas de los profesionales, en 2025 se pusieron en marcha 7 consultas públicas sobre diversos temas: vehículos conectados, historiales médicos, otorgamiento de créditos, dispositivos de trazabilidad en Internet y vivienda social.

Apoyo proactivo: 90 revisiones de borradores de textos; 539 solicitudes de autorización procesadas en el sector sanitario; 1.351 solicitudes de asesoramiento procesadas; 6 proyectos innovadores de la economía plateada apoyados

Además, la CNIL ha publicado guías prácticas que describen las normas y las mejores prácticas para diversas situaciones, como la publicación de listas escolares o el uso de cámaras de realidad umentada, la reutilización de bases de datos y para candidatos y partidos políticos durante las elecciones. Asimismo, ha apoyado seis proyectos innovadores en la economía plateada (la economía de las personas mayores) como parte de su programa de "sandbox".

Además, la CNIL tramitó 539 solicitudes de autorización sanitaria (para investigaciones, estudios o evaluaciones que no entran dentro del ámbito de aplicación de ninguno de sus marcos de referencia), incluidos 406 expedientes de investigación sanitaria.

Finalmente, la CNIL tramitó 1.351 solicitudes de asesoramiento de profesionales y emitió 90 dictámenes sobre proyectos de ley o textos reglamentarios, principalmente a petición del gobierno.

Quejas: un aumento récord de las solicitudes

En 2025, la CNIL (Autoridad Nacional de Informática y Libertades de Francia) registró un nuevo récord de quejas, alcanzando las 20.150, lo que supone un aumento del 10 % con respecto a 2024. Los principales problemas detectados fueron las infracciones de la normativa de protección de datos y privacidad en el ámbito laboral, comercial, inmobiliario y en las redes sociales. Aproximadamente 1.900 quejas se referían directamente a violaciones de datos.

La CNIL colabora diariamente con otras autoridades europeas de protección de datos. Ella ha transmitido así más de 230 quejas transfronterizas y ha respondido a 600 solicitudes de sus homólogas .

Quejas, controles, sanciones: 20.150 quejas recibidas; 323 controles; 83 sanciones; 487 millones de euros en multas.

Controles y sanciones: una cantidad de multas sin precedentes

Como cada año, la CNIL realizó controles antes organizaciones públicas y privadas a raíz de quejas, de señalamientos, en función de la actualidad o en el marco de sus temas de control prioritarios. Los temas tratados fueron variados: respeto a los derechos fundamentales, ciberseguridad, sistemas de videovigilancia y uso de rastreadores en línea.

En total, la CNIL realizó 323 controles y emitió 259 resoluciones, incluidas 83 sanciones , por un monto total de casi 487 millones de euros (recaudados por el Tesoro francés). Si bien dos sanciones significativas explican este total sin precedentes para la institución, la CNIL también impuso numerosas multas a empresas de todos los tamaños y sectores, en particular gracias a su procedimiento simplificado implementado en 2022, que le permite actuar con mayor rapidez en ciertos casos menos complejos.

Además, la CNIL participa activamente en la regulación a nivel europeo mediante un diálogo constante con sus homólogos en el marco de la ventanilla única de contacto. Así, en 2025, se presentaron cerca de 80 decisiones de la CNIL a otras autoridades europeas, se adoptaron 4 sanciones en cooperación y, paralelamente, la CNIL examinó 9 proyectos de decisión de sus homólogos.

Sensibilización: una estrategia multicanal para conectar con todos los públicos.

Para interactuar con el público, en particular con los menores, que son más vulnerables, la CNIL se apoya en numerosas colaboraciones con: Radio France (el segmento "Vida digital, vida privada" en Radio ICI), France Télévisions (el vídeo "Piensa antes de publicar") y la revista Geek Junior.

Información y sensibilización: 35.403 llamadas atendidas; 14.654 respuestas a solicitudes de información por escrito; más de 20.000 personas contactadas sobre el terreno; 266 acciones realizadas, incluidas 73 dirigidas a menores.

Paralelamente, la CNIL está presente en numerosos eventos: la Feria de la Tercera Edad en marzo, el Festival de Juegos Digitales de Hauts-de-Seine en abril y Paris Plage durante el verano… Además, realiza numerosas presentaciones en escuelas. En total, las l266 acciones llevadas a cabo en este ámbito han sensibilizado a más de 20 000 personas sobre la protección de datos .

El año 2025 también estuvo marcado por el lanzamiento de la aplicación FantomApp , diseñada para ayudar a los adolescentes a protegerse en las redes sociales.

Finalmente, a lo largo del año, la CNIL respondió a 35.403 llamadas y 14.654 solicitudes de información por escrito .

La ciberseguridad es una de las principales preocupaciones de la CNIL.

Todas las organizaciones, tanto públicas como privadas, están preocupadas por los problemas de ciberseguridad: asociaciones y empresas, pymes y multinacionales, autoridades locales y ministerios gubernamentales.

De las 6.167 violaciones de datos notificadas a la CNIL, uno de cada dos incidentes registrados en 2025 fueron ataques informáticos, que siguen siendo el tipo de incidente más frecuente. Las violaciones de datos también pueden provenir del envío de datos personales a un destinatario no autorizado o la pérdida de material.

Ante estas amenazas, la CNIL actúa: las brechas de ciberseguridad, responsables en parte del aumento del número de quejas, representan un tercio de sus controles y casi el 30 % de sus sanciones. Asimismo, la CNIL colabora con la Agencia Nacional de Ciberseguridad de Francia (ANSSI) y la fiscalía de delitos cibernéticos de París en los procesos penales, especialmente en los casos más graves.

Ciberseguridad: 6.167 filtraciones de datos notificadas a la CNIL; +9,5% respecto a 2024; el 50% implican piratería informática.

Tres enseñanzas pueden ser exgtraidas de la violaciones de datos hechas a la CNIL en 2025 : nadie esta libre; las violacciones son cada vez más masivas; y ellas involucran a menudo a proveedores de servicios.

Marie-Laure Denis, presidenta de la CNIL

Para 2026, la CNIL dedicará el 50% de sus controles y acciones represivas a las violaciones en materia de ciberseguridad.

Los dos últimos años se han caracterizado por numerosas violaciones de datos a gran escala, que han afectado a un número considerable de personas. La CNIL (Autoridad Nacional de Informática y Libertades de Francia) abordó este problema desde las primeras alertas, extrayendo lecciones de las violaciones y formulando recomendaciones para proteger las grandes bases de datos antes de la primavera de 2025. Además, convirtió la ciberseguridad de las administraciones locales en una de sus áreas prioritarias de supervisión.

Además, cuando ello se justificaba, sancionaba a actores públicos y privados, tanto procesadores de datos como subcontratistas, cuyas prácticas de seguridad eran insuficientes.

A pesar de la fuerte implicación, la situación sigue siendo muy preocupante y exige que la CNIL refuerce sus medidas.

Por eso, en 2026, dedicará la mitad de sus controles y medidas represivas a la seguridad de los datos.

De este modo, la CNIL verificará el estricto cumplimiento de los requisitos de seguridad, al mismo tiempo que seguirá difundiendo mensajes de sensibilización y consejos a particulares y profesionales, porque la seguridad de nuestros datos es responsabilidad de todos.

Los controles pueden comprender a organizaciones involucradas en una violación de seguridad, sujetas a quejas o pertenecientes a sectores que propician el procesamiento masivo de datos, incluidos datos sensibles o altamente personales (datos de ubicación, datos bancarios, archivos estatales, etc.).

Estos controles se articularán con los demás temas prioritarios definidos para 2026 .

Recordatorio: La seguridad de los datos personales es una obligación estipulada, en particular, por el artículo 32 del RGPD (además de otros textos, como la Directiva NIS2 para determinados sectores críticos). Deben adoptarse todas las medidas adecuadas para limitar los riesgos: la CNIL ofrece una guía específica, recomendaciones oficiales y asesoramiento sobre el tema.

Numerosas acciones para una IA innovadora y responsable.

Según las regulaciones sobre la la CNIL ha sido ya designada como la autoridad de control de usos prohibidos y pronto debería ser designada como la autoridad de vigilancia del mercado para ciertos sistemas de IA de alto riesgo (por ejemplo, en lo que respecta a la, migración, usos represivos, el empleo o la educación.

Mientras se preparaba para estas nuevas responsabilidades, la CNIL ha estado apoyando el uso de la inteligencia artificial en cumplimiento del RGPD. Por ejemplo, en 2025, tras consultas públicas, publicó una serie de recursos para diseñadores y desarrolladores, que ahora han sido traducidos al inglés. También participó en la Cumbre de Acción sobre IA del 6 al 11 de febrero .

Con una visión más orientada al futuro, ha publicado una herramienta de trazabilidad de los modelos de IA de código abierto y participa, en cooperación con ANSSI, Inria y PEReN, en el proyecto PANAME: una biblioteca de software que permite verificar si un modelo de IA procesa datos personales.