Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

domingo, 15 de febrero de 2026

VIOLACION DE DATOS : MULTA DE 5 MILLONES DE EUROS A FRANCE TRAVAIL - CNIL

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La CNIL (Autoridad Nacional de Protección de Datos de Francia) multó a France Travail con una cifra récord de 5 millones de euros por una filtración de datos personales tras un ciberataque ocurrido en el primer trimestre de 2024.

Los atacantes utilizaron técnicas de ingeniería social para comprometer las cuentas de los asesores de Cap Emploi, obteniendo así acceso a los datos de todas las personas registradas en el servicio durante un período de 20 años y a los perfiles de los candidatos en francetravail.fr. La información comprometida incluía números de la seguridad social, direcciones de correo electrónico y números de teléfono, pero no archivos completos (excluyendo datos de salud).

La CNIL identificó debilidades técnicas y organizativas: autenticación deficiente para los asesores de Cap Emploi, registro insuficiente de comportamientos anormales y privilegios de acceso excesivamente amplios que permitían abordar excesivamente a los datos. Estas vulnerabilidades eran conocidas, pero no se habían implementado adecuadamente.

La multa de 5 millones de euros tiene en cuenta el volumen (entre 36 y 43 millones de personas afectadas), la sensibilidad de los datos y la condición pública de France Travail (con un límite de 10 millones de euros). Se fija una sanción de 5.000 euros diarios por incumplimiento de las medidas correctivas requeridas.

La institución pública ha reconocido la decisión sin apelar, reconoce la gravedad de los hechos, lamenta su gravedad y prioriza la ciberseguridad.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

__________________________________________________________

Violación de datos: multa de 5 millones de euros a FRANCE TRAVAIL

29 de enero de 2026

El 22 de enero de 2026, la CNIL multó a FRANCE TRAVAIL (antes Pôle Emploi) con 5 millones de euros por no garantizar la seguridad de los datos de las personas que buscan empleo.

El contexto

En el primer trimestre de 2024, uno o más atacantes lograron infiltrarse en el sistema de información de FRANCE TRAVAIL. Utilizaron técnicas de ingeniería social que explotan la confianza, la ignorancia o la credulidad de las personas. Este método les permitió comprometer las cuentas de los asesores de CAP EMPLOI, organizaciones responsables de apoyar, supervisar y retener a las personas con discapacidad en el mercado laboral.

La investigación reveló que los atacantes accedieron a los datos de todas las personas registradas o que se habían registrado en los últimos 20 años, así como a los de quienes tenían un perfil de candidato en francetravail.fr (incluidos números de la seguridad social, direcciones de correo electrónico y postal, y números de teléfono). Sin embargo, no accedieron a los expedientes completos de los solicitantes de empleo, que podrían incluir datos de salud.

La auditoría de la CNIL reveló la insuficiencia de las medidas técnicas y organizativas implementadas para garantizar la seguridad de los datos personales tratados.

En consecuencia, el grupo restringido – órgano de la CNIL encargado de imponer sanciones – impuso una multa de 5 millones de euros a FRANCE TRAVAIL, teniendo en cuenta el incumplimiento de los principios esenciales de seguridad, el número de personas afectadas, el volumen y la sensibilidad de los datos tratados.

Además, el grupo restringido ordenó a FRANCE TRAVAIL justificar las medidas correctivas adoptadas, según un calendario de aplicación preciso.

En caso contrario, la organización deberá abonar una penalización de 5.000 euros por día de retraso.

Nota:

France Travail es un organismo público nacional cuyo presupuesto se determina por ley y se basa principalmente en las cotizaciones a la seguridad social (empleadores/empleados). En este sentido, el importe de la multa no se determina en función de la facturación, sino en un rango con un máximo de 10 millones de euros por una violación de la seguridad de los datos (artículo 32 del RGPD).

Todas las multas impuestas por la CNIL, ya se trate de agentes privados o públicos, son recaudadas por el Tesoro Público y abonadas en el presupuesto del Estado.

El incumplimiento a la obligación de garantizar la seguridad de los datos personales tratados (artículo 32 del RGPD)

El grupo restringido observó que FRANCE TRAVAIL no había implementado las medidas técnicas y organizativas que podrían haber dificultado el ataque. Cabe recordar que la implementación de medidas de seguridad adecuadas a los riesgos es una obligación legal según el artículo 32 del RGPD.

En particular, señaló que las modalidades de autenticación que permiten a los asesores de CAP EMPLOI acceder al sistema de información de FRANCE TRAVAIL no son suficientemente robustos.

Además, el grupo restringido destacó la insuficiencia de las medidas de registro diario para detectar comportamientos anormales en su sistema de información.

Por último, el grupo restringido señaló que los derechos de acceso a las cuentas de los asesores de CAP EMPLOI se habían definido de forma demasiado amplia, lo que permitía a los asesores de CAP EMPLOI acceder a los datos de personas a las que no apoyaban, lo que aumentaba el volumen de datos a los que podían acceder los atacantes.

Para determinar la El grupo restringido tuvo en cuenta que la mayoría de las medidas de seguridad apropiadas habían sido identificadas por FRANCE TRAVAIL, antes de la implementación del tratamiento, en los análisis de impacto, sin que realmente se hubieran implementado.

El rol de la CNIL en relación a los denunciantes

La CNIL es el organismo regulador de los datos personales. Responde a las solicitudes de particulares y profesionales.

Cualquier persona puede presentar una reclamación ante la CNIL si tiene dificultades para ejercer sus derechos o para denunciar una infracción de la normativa de protección de datos personales. La CNIL puede controlar a las organizaciones y, en caso de infracción, sancionarlas.

Sin embargo, la CNIL no está autorizada a indemnizar a las personas que hayan presentado una denuncia ante ella. Estas personas pueden presentar una denuncia ante la policía o la gendarmería.

Más información

Texto de referencia

La deliberación

Deliberación SAN–2026-003 del 22 de enero de 2026 - Legifrance

Texto de referencia

Textos de referencia

Artículo 32 del RGPD (seguridad de los datos personales)

Texto de referencia

Para profundizar

Texto de referencia

Recursos para ayudar a los profesionales a lograr el cumplimiento:

Texto de referencia

Recursos para individuos:

sábado, 14 de febrero de 2026

PORQUE DESIGNAR PROFESIONALES DE DERECHO COMO OFICIALES DE PROTECCION DE DATOS PERSONALES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

Discutible el requerimiento de la ANPDP, quien exige ahora en su Guía de Preguntas y Respuestas relacionadas con la Directiva que establece disposiciones para la designación, desempeño y funciones del Oficial de Datos Personales una combinación de formación especializada (mínimo 90 a 120 horas) y experiencia profesional alternativa e híbrida: General (7.3.3.1

.) Especifica (7.3.3.2

.). En el Perú hay pocos profesionales que puedan cumplir a cabalidad tales exigencias en experiencia y en prioridad, por profesionales de derecho.

El Reglamento General de Protección de Datos (RGPD, UE 2016/679, artículo 37.5), sobre las exigencias para ser Delegado (Oficial) de Protección de Datos (DPD o DPO), requiere designar a una persona con cualidades profesionales específicas, pero prioriza:

. Conocimientos especializados en derecho y protección de datos, adaptados al nivel de complejidad del tratamiento de datos en la organización (art. 37.5 y considerando 97).

. Experiencia práctica demostrable en la materia.

. Capacidad funcional: independencia, habilidades

analíticas, comunicativas y de gestión de riesgos.

Es altamente recomendable la designación de un profesional en derecho porque el RGPD exige explícitamente "conocimientos especializados del Derecho y la práctica en materia

de protección de datos" (artículo 37.5), y los abogados aportan esa base normativa esencial para interpretar y aplicar la regulación compleja".

"José Alberto Rojas Marcelo

Digital Security Consultant| Internet Governance

¿El fin de los ODP "de papel"? La ANPD aclara la valla 🛡️⚖️

La ANPD acaba de publicar una guía de preguntas y respuestas sobre la nueva Directiva del Oficial de Datos Personales (ODP). Más que un documento informativo, es una hoja de ruta hacia la profesionalización obligatoria, dejando claro que la designación debe ser un acto formal y transparente ante el ciudadano.

Lo que más destaca es el giro hacia una idoneidad técnica real: ya no basta con el título. La autoridad exige ahora una combinación de experiencia práctica y formación especializada (mínimo 90 a 120 horas) como requisitos que deben cumplirse sí o sí. Si el perfil del ODP es insuficiente y eso afecta la seguridad de los datos, la empresa podría enfrentar sanciones.

En conclusión, la ANPD apuesta por una fiscalización operativa: el plazo de 180 días no es para llenar un formulario, sino para asegurar que el ODP sea un asesor técnico capaz de gestionar riesgos complejos.

¡Es momento de auditar perfiles y ponerse al día! 🚀

viernes, 13 de febrero de 2026

DICTAMEN PARA SIMPLIFICAR Y ARMONIZAR EL ACERVO DIGITAL Y REFORZAR LA COMPETITIVIDAD EUROPEA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Comité Europeo de Protección de Datos, CEPD y el Supervisor Europeo de Protección de Datos, SEPD apoyan el objetivo del Ómnibus digital de simplificar el marco normativo y reforzar la competitividad, pero advierten que varias enmiendas disminuyen la protección de datos, generan inseguridad jurídica y complican la aplicación práctica del RGPD y la normativa conexa.

La Propuesta de Reglamento de la Comisión (noviembre 2025) sobre Ómnibus digital comprende una serie de modificaciones técnicas que pueden ser aportadas para mejorar y armonizar gran parte del acervo digital de la UE (RGPD, RPDUE, Directiva ePrivacy, Ley de Datos, Ley de Gobernanza de Datos, Directiva datos abiertos, libre circulación de datos no personales, NIS 2, etc.).

El dictamen conjunto del CEPD–SEPD tiene carácter consultivo, limitándose a los aspectos de protección de datos: RGPD, RPDUE, ePrivacy y acervo de datos; sin modificar el texto de la Comisión, pero sí de orientación al Parlamento y al Consejo Europeo en la negociación.

Algunas Recomendaciones son las siguientes:

Eliminar las enmiendas a la definición de datos personales y a otros conceptos nucleares del RGPD para no rebajar el estándar de protección.
Aclarar la nueva excepción de transparencia para asegurar que la simplificación no vacíe de contenido el derecho a la información, garantizando que las personas obtengan datos relevantes sobre el tratamiento cuando sea pertinente.
Mantener y reforzar salvaguardias para servicios de intermediación de datos y organizaciones de altruismo de datos (transparencia, controles, supervisión por autoridades).
Racionalizar aún más las disposiciones de aplicación y ejecución (por ejemplo, intercambio de información entre autoridades, papel claro de las Autoridades de Protección de Datos en la aplicación de la Ley de Datos, posibilidad de directrices conjuntas CEPD y SEPD).

En resumen, el CEPD y el SEPD comparten el objetivo político de “reducir la burocracia, aumentar la competitividad”, pero subrayan que la simplificación no puede hacerse a costa de los derechos fundamentales, en particular del nivel de protección y del ámbito material del RGPD.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

__________________________________________________________

Ómnibus digital: el CEPD y el SEPD apoyan la simplificación y la competitividad al tiempo que plantean importantes preocupaciones

12 de febrero de 2026

El CEPD y el SEPD han adoptado un dictamen conjunto sobre la propuesta de reglamento ómnibus digital, cuyo objetivo es simplificar el marco regulatorio de la UE y mejorar la competitividad. Evaluaron su impacto en el RGPD y los derechos fundamentales, en particular en lo que respecta a la seguridad jurídica y la simplificación efectiva.

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han adoptado un dictamen conjunto sobre la propuesta de Reglamento Ómnibus Digital . Esta propuesta pretende simplificar el marco regulatorio digital de la UE, reducir la carga administrativa y reforzar la competitividad de las organizaciones europeas.

El SEPD y el SEPD se centran en aspectos relacionados con el RGPD, el RGPD de la UE, la Directiva «privacidad y comunicaciones electrónicas» y el acervo de datos.

Más específicamente, evalúan si la propuesta:

conduce a una simplificación real y facilita el cumplimiento de las disposiciones;
proporciona una mayor seguridad jurídica; y

viola los derechos fundamentales de las personas.

Cambios en el RGPD y el Tratado UE-UE

Cambios que suscitan importantes preocupaciones

Algunos de los cambios propuestos plantean importantes preocupaciones porque pueden afectar negativamente el nivel de protección de que gozan las personas, crear incertidumbre jurídica y dificultar la aplicación de la legislación de protección de datos.

El CEPD y el SEPD instan a los colegisladores a no adoptar las modificaciones propuestas a la definición de datos personales, ya que van mucho más allá de una modificación específica o técnica del RGPD. Además, no reflejan con precisión la jurisprudencia del TJUE y se apartan claramente de ella, lo que supondría una restricción significativa del concepto de datos personales. La Comisión Europea no debería tener la tarea de decidir, mediante un acto de ejecución, qué datos ya no constituyen datos personales tras la seudonimización, ya que esto tiene un impacto directo en el ámbito de aplicación de la legislación de la UE en materia de protección de datos.

Pasos en la dirección correcta

El SEPD y el SEPD apoyan el aumento del umbral de riesgo que desencadena la obligación de notificar una a la autoridad competente en materia de protección de datos y a la ampliación del plazo para la presentación de dicha notificación. Esto reduciría significativamente la carga administrativa de las organizaciones sin comprometer la protección de los datos personales. Además, las plantillas y listas de verificación comunes propuestas para las violaciones de datos y las evaluaciones de impacto sobre la protección de datos constituyen un avance positivo.

El CEPD y el SEPD también acogen favorablemente la propuesta de introducir una nueva excepción para el tratamiento de categorías especiales de datos a efectos de autenticación biométrica, cuando los medios de verificación estén bajo el control exclusivo de la persona.

Por último, apoyan la armonización del concepto de “investigación científica” y otros cambios conexos, ya que fortalecen la seguridad jurídica y contribuyen a una mayor armonización.

Cambios que requieren ajustes

Como se indica en el Dictamen 28/2024 del CEPD sobre modelos de IA, el interés legítimo puede utilizarse, en determinados casos, como base jurídica en el contexto del desarrollo e implementación de modelos o sistemas de IA. Por lo tanto, el CEPD y el SEPD no consideran necesario incluir una disposición específica sobre este tema en el RGPD.

El CEPD y el SEPD acogen favorablemente el objetivo de la propuesta de introducir una excepción específica a la prohibición del tratamiento de datos sensibles, sujeta a ciertas condiciones, que abarque el tratamiento accidental y residual de dichos datos en el contexto del desarrollo y la operación de sistemas o modelos de IA. No obstante, recomiendan varias mejoras, como aclarar el alcance de la excepción y mantener las salvaguardias a lo largo del ciclo de vida de los datos.

El SEPD y el SEPD coinciden con el objetivo de la Comisión de proporcionar claridad jurídica a los responsables del tratamiento de datos ante abusos de derechos por parte de los interesados. Sin embargo, consideran que el ejercicio del derecho de acceso para fines distintos a la protección de datos personales no debe ser un factor determinante de lo que constituye un abuso. En cuanto a la nueva excepción en materia de transparencia, el SEPD y el SEPD apoyan la simplificación de los requisitos de información y la reducción de la carga administrativa, en particular para las pymes, pero sugieren aclaraciones para garantizar la seguridad jurídica y que las personas puedan seguir recibiendo información relevante sobre sus datos cuando sea necesario.

Por último, es necesario aclarar los cambios en las disposiciones relativas a la toma de decisiones individuales automatizadas para que estos cambios sean significativos y jurídicamente sólidos.

Modificaciones a la Directiva sobre privacidad y comunicaciones electrónicas

El CEPD y el SEPD apoyan firmemente el objetivo de proporcionar una solución regulatoria para abordar la fatiga del consentimiento y la proliferación de banners de cookies. Esto incluye, por ejemplo, los requisitos propuestos para el uso de indicaciones automatizadas y legibles por máquina sobre las decisiones de las personas respecto al tratamiento de sus datos. El uso de medios técnicos puede simplificar el cumplimiento normativo para los responsables del tratamiento de datos y ayudar a las personas a tomar decisiones efectivas en línea.

El SEPD y el SEPD también acogen con satisfacción las excepciones limitadas adicionales a la prohibición general de almacenar o acceder a datos personales en equipos terminales, e invitan además a los colegisladores a alentar la en lugar de publicidad conductual, añadiendo una excepción específica con ciertas garantías.

El SEPD y el SEPD acogen con satisfacción el hecho de que el control de estas cuestiones se confiará a las autoridades de protección de datos.

Al mismo tiempo, el CEPD y el SEPD destacan las dificultades jurídicas y técnicas que plantea la coexistencia de dos regímenes diferentes para datos personales y no personales. Asimismo, formulan recomendaciones adicionales para reforzar la seguridad jurídica, minimizar los riesgos y promover la innovación responsable.

Cambios en la adquisición de datos

El SEPD y el SEPD apoyan la simplificación del acervo de datos integrando, en el reglamento de datos, la Ley de gobernanza de datos y las normas de la Directiva de datos abiertos relativas a la reutilización de datos y documentos en poder de los organismos del sector público.

Respecto del acceso concedido por los organismos públicos para la reutilización, recomiendan mantener la claridad que ofrece el marco jurídico actual, es decir, que no obliga a los organismos del sector público a autorizar la reutilización y no proporciona una base jurídica para conceder el acceso.

En lo que respecta a las emergencias públicas, el SEPD y el SEPD recomiendan que se indique que los datos personales solo pueden compartirse de forma seudonimizada con organismos del sector público, en los casos en que los datos anónimos sean insuficientes para responder a la emergencia pública.

En cuanto a los servicios de intermediación de datos y las organizaciones de gestión altruista de datos, el SEPD y el SEPD destacan la importancia de un intercambio de datos fiable y responsable. Recomiendan mantener salvaguardias específicas, promover la transparencia y la supervisión.

El SEPD y el SEPD recomiendan simplificar aún más las disposiciones de aplicación (por ejemplo, permitiendo el intercambio de información de aplicación entre autoridades reguladoras, incluidas las autoridades de protección de datos, y aclarando el papel de las autoridades de protección de datos en la aplicación de la legislación sobre datos).

El SEPD y el SEPD acogen con satisfacción la confirmación en la propuesta del papel del Comité Europeo de Innovación en Datos (EDIB) en el apoyo a la aplicación coherente de la legislación en materia de datos. En cuanto al desarrollo de directrices, recomiendan que se faculte a la Comisión para publicar directrices sobre cualquier tema relacionado con la normativa de datos y que se aclare la función del EDIB en la asistencia a la Comisión en este proceso. Esto permitiría a la Comisión desarrollar directrices conjuntas con el SEPD y al EDIB asesorar y asistir a la Comisión en su elaboración.

Texto de referencia

Documentos de referencia

Texto de referencia

Textos de referencia

#RGPD

#CEPD

#ÓmnibusDigital