miércoles, 14 de mayo de 2025

ENTRADA EN VIGENCIA DEL SERVICIO DE CORRESPONDENCIA BIOMÉTRICA COMPARTIDO - UNION EUROPEA

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

 El Servicio de Correspondencia Biométrica Compartido (SCB) es un componente clave en el marco de interoperabilidad establecido por los Reglamentos (UE) 2019/817 y 2019/818, diseñado para optimizar la gestión de datos biométricos en los sistemas de información de la UE.

El marco normativo del SCB se crea como instrumento técnico para facilitar el cotejo biométrico entre seis sistemas: SES, VIS, SEIAV, Eurodac, SIS y ECRIS-TCN.

Su finalidad principal es la identificación de personas físicas registradas en múltiples bases de datos mediante un único componente tecnológico, eliminando la necesidad de sistemas paralelos en cada base.

El funcionamiento técnico se basa en el almacenamiento de plantillas biométricas, derivadas de huellas dactilares e imágenes faciales; excluyendo el tratamiento de datos sensibles no esenciales  como impresiones palmares y ADN por principios de proporcionalidad y minimización de datos.

El diseño busca equilibrar eficacia operativa para el control fronterizo y seguridad con salvaguardas para derechos fundamentales, aunque persisten debates sobre su interacción con regulaciones emergentes derivadas de las aplicaciones de inteligencia artificial.

El servicio de correspondencia biométrica compartido entrará en funcionamiento el 19 de mayo de 2025 con arreglo al Reglamento (UE) 2019/817 y al Reglamento (UE) 2019/818.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

                         _______________________________________

European flag

Diario Oficial
de la Unión Europea

ES

Serie L


2025/875

14.5.2025

DECISIÓN DE EJECUCIÓN (UE) 2025/875 DE LA COMISIÓN

de 13 de mayo de 2025

por la que se determina la fecha de entrada en funcionamiento del servicio de correspondencia biométrica compartido con arreglo a los Reglamentos (UE) 2019/817 y (UE) 2019/818 del Parlamento Europeo y del Consejo

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (1), y en particular su artículo 72, apartado 2,

Visto el Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (2), y en particular su artículo 68, apartado 2,

Considerando lo siguiente:

(1)

El Reglamento (UE) 2019/817, junto con el Reglamento (UE) 2019/818, establece un marco para garantizar la interoperabilidad entre los sistemas de información de la UE en el ámbito de las fronteras, los visados, la cooperación policial y judicial, el asilo y la migración.

(2)

Dicho marco comprende una serie de componentes de interoperabilidad, entre ellos el servicio de correspondencia biométrica compartido. En el servicio de correspondencia biométrica compartido se almacenan las plantillas biométricas obtenidas a partir de los datos biométricos almacenados en el registro común de datos de identidad y en el Sistema de Información de Schengen. Este componente permite realizar consultas en varios sistemas de información de la UE mediante la presentación de datos biométricos.

(3)

Desde la entrada en vigor de los Reglamentos (UE) 2019/817 y (UE) 2019/818, la Comisión y la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA) han completado las disposiciones legales y técnicas necesarias para dar efecto a las nuevas normas y permitir almacenar plantillas biométricas y realizar consultas en todos los sistemas de información de la UE que pertenecen al ámbito del marco de interoperabilidad.

(4)

De conformidad con los Reglamentos (UE) 2019/817 y (UE) 2019/818, la Comisión debe determinar la fecha de entrada en funcionamiento del servicio de correspondencia biométrica compartido, previa verificación de las condiciones establecidas en el artículo 72, apartado 2, del Reglamento (UE) 2019/817 y en el artículo 68, apartado 2, del Reglamento (UE) 2019/818. De conformidad con el artículo 72, apartado 2, párrafo segundo, del Reglamento (UE) 2019/817 y con el artículo 68, apartado 2, párrafo segundo, del Reglamento (UE) 2019/818, dicha fecha debe fijarse en un plazo de treinta días a partir de la adopción de la presente Decisión.

(5)

La Comisión ha verificado que se han adoptado los actos de ejecución necesarios para el funcionamiento del servicio de correspondencia biométrica compartido (3); que eu-LISA declaró la realización satisfactoria de un ensayo global del servicio de correspondencia biométrica compartido, que llevó a cabo en cooperación con las autoridades de los Estados miembros; que eu-LISA notificó que había validado las disposiciones legales y técnicas para recoger y transmitir los datos biométricos pertinentes; que eu-LISA declaró la realización satisfactoria de un ensayo global de los mecanismos y procedimientos automatizados de control de la calidad de los datos, los indicadores comunes de calidad de los datos y las normas mínimas de calidad de los datos pertinentes para el servicio de correspondencia biométrica compartido, que llevó a cabo en cooperación con las autoridades de los Estados miembros. eu-LISA ha presentado a la Comisión las declaraciones antes de la fecha de adopción de la presente Decisión.

(6)

Procede, por tanto, determinar la fecha de entrada en funcionamiento del servicio de correspondencia biométrica compartido.

(7)

Dado que la Comisión debe fijar una fecha futura en la que entre en funcionamiento el servicio de correspondencia biométrica compartido, no es necesario un período intermedio entre la fecha de publicación y la fecha de entrada en vigor de la presente Decisión. Por consiguiente, la presente Decisión debe entrar en vigor el día de su publicación.

(8)

Dado que los Reglamentos (UE) 2019/817 y (UE) 2019/818 desarrollan el acervo de Schengen, de conformidad con el artículo 4 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca notificó la incorporación de los Reglamentos (UE) 2019/817 y (UE) 2019/818 a su legislación nacional. Por lo tanto, está vinculada por la presente Decisión.

(9)

La presente Decisión no constituye un desarrollo de las disposiciones del acervo de Schengen en las que Irlanda participa de conformidad con la Decisión 2002/192/CE del Consejo (4); por lo tanto, Irlanda no participa en su adopción y no queda vinculada por ella ni sujeta a su aplicación.

(10)

Por lo que respecta a Islandia y Noruega, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea, la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (5), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo (6).

(11)

Por lo que respecta a Suiza, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen, en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (7), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, en relación con el artículo 3 de la Decisión 2008/146/CE del Consejo (8).

(12)

Por lo que respecta a Liechtenstein, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (9), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, en relación con el artículo 3 de la Decisión 2011/350/UE del Consejo (10).

(13)

Por lo que respecta a Chipre, la presente Decisión constituye un acto que desarrolla el acervo de Schengen o está de algún modo relacionado con él en el sentido del artículo 3, apartado 1, del Acta de adhesión de 2003.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

El servicio de correspondencia biométrica compartido entrará en funcionamiento el 19 de mayo de 2025 con arreglo al Reglamento (UE) 2019/817 y al Reglamento (UE) 2019/818.

Artículo 2

La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 13 de mayo de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN


(1)   DO L 135 de 22.5.2019, p. 27, ELI: http://data.europa.eu/eli/reg/2019/817/oj.

(2)   DO L 135 de 22.5.2019, p. 85, ELI: http://data.europa.eu/eli/reg/2019/818/oj.

(3)  Decisión de Ejecución de la Comisión, de 26 de agosto de 2021, por la que se establecen los requisitos de rendimiento y las disposiciones prácticas para supervisar el funcionamiento del servicio de correspondencia biométrica compartido con arreglo al artículo 13, apartado 5, del Reglamento (UE) 2019/817 [C(2021) 6159]; Decisión de Ejecución de la Comisión, de 26 de agosto de 2021, por la que se establecen los requisitos de rendimiento y las disposiciones prácticas para supervisar el funcionamiento del servicio de correspondencia biométrica compartido con arreglo al artículo 13, apartado 5, del Reglamento (UE) 2019/818 [C(2021) 6169]; Decisión de Ejecución de la Comisión, de 16 de septiembre de 2021, por la que se establecen las especificaciones del procedimiento de cooperación concerniente a los incidentes de seguridad que repercutan o puedan repercutir en el funcionamiento de los componentes de interoperabilidad o en la disponibilidad, integridad y confidencialidad de los datos, de conformidad con el artículo 43, apartado 5, del Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo [C(2021) 6663]; Decisión de Ejecución de la Comisión, de 16 de septiembre de 2021, por la que se establecen las especificaciones del procedimiento de cooperación concerniente a los incidentes de seguridad que repercutan o puedan repercutir en el funcionamiento de los componentes de interoperabilidad o en la disponibilidad, integridad y confidencialidad de los datos, de conformidad con el artículo 43, apartado 5, del Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo [C(2021) 6664].

(4)  Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (DO L 64 de 7.3.2002, p. 20, ELI: http://data.europa.eu/eli/dec/2002/192/oj).

(5)   DO L 176 de 10.7.1999, p. 36, ELI: http://data.europa.eu/eli/agree_internation/1999/439(1)/oj.

(6)  Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 176 de 10.7.1999, p. 31, ELI: http://data.europa.eu/eli/dec/1999/437/oj).

(7)   DO L 53 de 27.2.2008, p. 52, ELI: http://data.europa.eu/eli/agree_internation/2008/178(1)/oj.

(8)  Decisión 2008/146/CE del Consejo, de 28 de enero de 2008, relativa a la celebración, en nombre de la Comunidad Europea, del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 53 de 27.2.2008, p. 1, ELI: http://data.europa.eu/eli/dec/2008/146/oj).

(9)   DO L 160 de 18.6.2011, p. 21.

(10)  Decisión 2011/350/UE del Consejo, de 7 de marzo de 2011, relativa a la celebración, en nombre de la Unión Europea, del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas (DO L 160 de 18.6.2011, p. 19, ELI: http://data.europa.eu/eli/dec/2011/350/oj).


ELI: http://data.europa.eu/eli/dec_impl/2025/875/oj

ISSN 1977-0685 (electronic edition)

martes, 13 de mayo de 2025

LA SIMBIOSIS ENTRE LA PROTECCIÓN DE DATOS Y LOS DATOS ABIERTOS - UNION EUROPEA.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

El estudio sobre la simbiosis entre protección de datos y open data es una introducción sobre el cómo conciliar la legislación de protección de datos personales de la Unión Europea con las políticas de datos abiertos.

La relación entre la protección de datos y los datos abiertos (Open data) es fundamentalmente una asociación complementaria que requiere de un extremado equilibrio para maximizar beneficios sociales, económicos y de transparencia, sin poner en riesgo la privacidad de las personas.

Los datos abiertos se refieren a la publicación, principalmente de datos digitales, por organismos públicos de manera accesible, reutilizable y libre para cualquier persona, con el objetivo de fomentar la transparencia, la innovación y la participación ciudadana. Sin embargo, la apertura de datos plantea desafíos importantes en cuanto a la protección de la privacidad y la seguridad de los datos personales.

Por otro lado, la protección de datos - especialmente bajo normativas como el RGPD en Europa – regula el tratamiento de los datos personales solo bajo estrictas condiciones para proteger los derechos fundamentales de las personas. Esto implica que, la apertura de datos por las administraciones, deben garantizar la no exposición de información que permita la identificación directa o indirecta de las personas físicas, recurriendo a técnicas, entre otras, la anonimización y la evaluación de riesgos de privacidad.

Concluyendo: la apertura de datos y la protección de datos personales no son objetivos opuestos, sino asociaciones que pueden integrarse mediante buenas prácticas, soluciones técnicas y marcos legales adecuados, permitiendo así que la transparencia y la innovación avancen sin menoscabar la privacidad y los derechos fundamentales de las personas.

Este estudio fue elaborado en el marco de data.europa.eu, una iniciativa de la Comisión Europea. El autor del estudio es Hans Graux. El suscrito solo ha traducido del inglés al castellano la Introducción del mismo con la ayuda del aplicativo Google Translator. El enlace al texto íntegro del mismo (17 págs.) obra en: https://data.europa.eu/sites/default/files/report/The%20Symbiosis%20between%20Data%20Protection%20and%20Open%20Data.pdf

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

                         _______________________________________



Introducción

En la Unión Europea (UE), la protección de datos personales se reconoce como un derecho fundamental en virtud de la Carta de los Derechos Fundamentales de la Unión Europea[1]. En términos generales, esto implica que los datos personales —es decir, cualquier dato que pueda vincularse a una persona física específica, como se analizará con más detalle más adelante— deben tratarse con la debida diligencia. Como señala el artículo 8 de la carta, los datos personales «deberán ser tratados de forma leal, para fines específicos y sobre la base del consentimiento del interesado o de cualquier otra base legítima establecida por la ley».

Esta descripción general del derecho a la protección de datos personales («el derecho a la protección de datos») ha sido desarrollada en la carta en diversos textos legales, entre los que destaca el Reglamento General de Protección de Datos (RGPD[2]) de 2016, que sustituyó a la Directiva de Protección de Datos de 1995[3]. El RGPD describe las principales normas y requisitos aplicables a la mayoría de las actividades de tratamiento de datos personales en la UE, incluyendo la recopilación, el intercambio o la reutilización de datos personales. Por ejemplo, el RGPD contiene obligaciones en materia de transparencia (las personas deben ser informadas sobre las actividades de tratamiento relacionadas con sus datos personales), limitación de la finalidad (las actividades de tratamiento deben limitarse a lo comunicado a las personas afectadas) y minimización de datos (el tratamiento de datos personales debe limitarse a lo estrictamente necesario para lograr los fines comunicados a dichas personas).

Dentro de la UE, la legislación sobre datos abiertos surgió prácticamente en paralelo con el marco de protección de datos de la UE. La primera directiva sobre información del sector público (Directiva ISP[4]) se adoptó en 2003. Si bien aún no utilizaba el concepto de «datos abiertos», sí proporcionaba un marco que animaba (pero no exigía) a los organismos del sector público a poner sus datos a disposición para su reutilización, con fines comerciales o no comerciales, en condiciones justas y no discriminatorias.

La Directiva ISP se modificó en 2013[5], en una revisión que hizo obligatoria la reutilización como norma general, con algunas excepciones. Esta enmienda también proporcionó la primera referencia a las políticas de datos abiertos en sus considerandos, describiéndolas como políticas que «fomentan la amplia disponibilidad y reutilización de la información del sector público con fines privados o comerciales, con mínimas o nulas restricciones legales, técnicas o financieras, y que promueven la circulación de información no solo para los operadores económicos, sino también para el público».

La Directiva sobre la ISP fue sustituida en 2019 por la Directiva sobre datos abiertos[6], que describe los datos abiertos como «datos en un formato abierto que pueden ser libremente utilizados, reutilizados y compartidos por cualquier persona para cualquier fin». La Directiva sobre datos abiertos reforzó aún más la obligación de los organismos del sector público de poner sus documentos a disposición como datos abiertos, siempre que sea posible.

Los marcos jurídicos relativos a los datos abiertos y la protección de datos pueden aplicarse de forma acumulativa, es decir, cuando un documento o conjunto de datos debe estar disponible como datos abiertos, pero al mismo tiempo contiene datos personales. En esos casos, puede resultar difícil para los organismos del sector público encontrar la manera adecuada de conciliar ambos conjuntos de obligaciones. Los datos abiertos consisten fundamentalmente en poner los datos a disposición libremente para su reutilización, mientras que la protección de datos se centra en la implementación de controles adecuados.

Por lo tanto, si un conjunto de datos contiene datos personales —lo cual puede ocurrir, como explicaremos más adelante, pero ciertamente no es la tendencia general—, un proveedor de datos podría mostrarse reacio a publicarlos como datos abiertos. Al fin y al cabo, si efectivamente existen datos personales en el conjunto de datos, normalmente se aplicaría el RGPD, y tanto el proveedor de datos como quien reutiliza los datos deberían tomar medidas para garantizar su cumplimiento. Deberían ofrecer transparencia sobre el uso de los datos personales, definir claramente la finalidad del uso permitido y garantizar que la cantidad de datos compartidos se minimice al máximo.

En la práctica, esto puede ser un desafío. La transparencia hacia las personas que pueden vincularse a los datos personales (los «interesados» en el RGPD) sobre la reutilización de sus datos personales puede ser difícil de garantizar, ya que normalmente no se dispone de datos de contacto que permitan la comunicación con ellos. Implementar los principios de limitación de la finalidad y minimización de datos es igualmente complejo para los proveedores de datos, ya que compartir datos personales con quien reutiliza también constituye una forma de tratamiento de datos personales que debe cumplir con el RGPD. Como resultado, el proveedor de datos y el reutilizador de datos tendrían que llegar a acuerdos sobre el tipo de uso permitido de los datos personales y qué datos personales son estrictamente necesarios para lograr dicho objetivo. Este enfoque no es especialmente escalable y contradice en cierta medida las políticas de datos abiertos.

Por consiguiente, la principal estrategia de cumplimiento del RGPD consiste en evitar la inclusión de datos personales en conjuntos de datos que se ponen a disposición como datos abiertos. Esto puede lograrse no poniendo a disposición conjuntos de datos que contengan datos personales o anonimizándolos, de modo que el conjunto de datos deje de contener datos personales y el RGPD deje de ser aplicable. Por supuesto, cualquiera de estas estrategias requiere la posibilidad de determinar con exactitud qué se considera un dato personal, con un grado razonable de precisión, es decir, determinar si un conjunto de datos puede vincularse a una persona física. Además, debe ser posible determinar quién es responsable en caso de errores.



[1] Parlamento Europeo, Consejo de la Unión Europea y Comisión Europea, Carta de los Derechos Fundamentales de la Unión Europea, Oficina de Publicaciones de la Unión Europea, Luxemburgo, 2012 (DO C 326 de 26.10.2012, pp. 391-407, ELI: http://data.europa.eu/eli/treaty/char_2012/oj)

[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88, ELI: http://data.europa.eu/eli/reg/2016/679/oj)

[3] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, pp. 31-50, http://data.europa.eu/eli/dir/1995/46/oj)

[4] Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO L 345 de 31.12.2003, pp. 90-96, http://data.europa.eu/eli/dir/2003/98/oj)

[5] Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DO L 175 de 27.6.2013, p. 1-8, http://data.europa.eu/eli/dir/2013/37/oj)

[6] Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.06.2019, p. 56-83, http://data.europa.eu/eli/dir/2019/1024/oj)

 


lunes, 12 de mayo de 2025

DATOS PERSONALES: REGISTRO Y PRUEBA DE CAMBIO DE SEXO - TRIBUNAL DE JUSTICIA EUROPEO. HUNGRIA.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen


Sobre la Cuestiones Prejudiciales presentadas por VP contra Országos Idegenrendészeti Főigazgatóság: sí debe interpretarse:

1)  el artículo 16 del RGPD en el sentido de que la autoridad encargada de los registros con arreglo al Derecho nacional está obligada, en relación con el ejercicio de los derechos de la persona interesada, a rectificar el dato personal relativo al sexo de esa persona registrado por la autoridad en el supuesto de que ese dato haya variado después de su inscripción en el registro y, por ese motivo, no se ajuste al principio de exactitud establecido en el artículo 5, apartado 1, letra d), del RGPD? 

 

2) En caso afirmativo, debe interpretarse el artículo 16 del RGPD en el sentido de exigir a la persona que solicita rectifique el dato correspondiente a su sexo aporte pruebas que justifiquen su pretensión de rectificación?

 

3) En caso de respuesta afirmativa a la segunda cuestión prejudicial, ¿debe interpretarse el artículo 16 del RGPD en el sentido de que la persona solicitante está obligada a acreditar que se ha sometido a una cirugía de reasignación de sexo?

La Primera Sala del Tribunal de Justicia Europea, FALLÓ:

1) Indicando que el artículo 16 del RGPD debe interpretarse en el sentido de que

impone a una autoridad nacional encargada de la llevanza de un registro público el deber de rectificar datos personales relativos al sexo de una persona física cuando esos datos no sean exactos.

2) Para ejercitar el derecho de rectificación de los datos personales relativos al sexo de una persona física contenidos en un registro público, esta persona puede estar obligada a aportar las pruebas pertinentes y suficientes que le puedan ser razonablemente exigidas para demostrar la inexactitud de dichos datos. No obstante, un Estado miembro no puede en ningún caso supeditar, mediante una práctica administrativa, el ejercicio de ese derecho a la aportación de la prueba de haberse sometido a una cirugía de cambio de sexo.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

                         _______________________________________


European flag

Diario Oficial
de la Unión Europea

ES

Serie C


C/2025/2495

12.5.2025

Sentencia del Tribunal de Justicia (Sala Primera) de 13 de marzo de 2025 (petición de decisión prejudicial planteada por el Fővárosi Törvényszék – Hungría) – VP / Országos Idegenrendészeti Főigazgatóság

(Asunto C-247/23,  (1) Deldits  (2) )

(Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículo 5, apartado 1, letra d) - Principio de exactitud - Artículo 16 - Derecho de rectificación - Artículo 23 - Limitaciones - Datos relativos al sexo - Datos inexactos desde su inscripción en un registro público - Medios de prueba - Práctica administrativa consistente en solicitar la prueba de haberse sometido a una cirugía de cambio de sexo)

(C/2025/2495)

Lengua de procedimiento: húngaro

Órgano jurisdiccional remitente

Fővárosi Törvényszék

Partes en el procedimiento principal

Demandante: VP

Demandada: Országos Idegenrendészeti Főigazgatóság

Fallo

1)

El artículo 16 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

impone a una autoridad nacional encargada de la llevanza de un registro público el deber de rectificar datos personales relativos al sexo de una persona física cuando esos datos no sean exactos, en el sentido del artículo 5, apartado 1, letra d), de ese Reglamento.

2)

El artículo 16 del Reglamento 2016/679

debe interpretarse en el sentido de que,

para ejercitar el derecho de rectificación de los datos personales relativos al sexo de una persona física contenidos en un registro público, esta persona puede estar obligada a aportar las pruebas pertinentes y suficientes que le puedan ser razonablemente exigidas para demostrar la inexactitud de dichos datos. No obstante, un Estado miembro no puede en ningún caso supeditar, mediante una práctica administrativa, el ejercicio de ese derecho a la aportación de la prueba de haberse sometido a una cirugía de cambio de sexo.


(1)   DO C 235 de 3.7.2023

(2)  La denominación del presente asunto es ficticia. No se corresponde con el nombre de ninguna parte en el procedimiento.


ELI: http://data.europa.eu/eli/C/2025/2495/oj

ISSN 1977-0928 (electronic edition)

                         _______________________________________

3.7.2023   

ES

Diario Oficial de la Unión Europea

C 235/19


Petición de decisión prejudicial planteada por el Fővárosi Törvényszék (Hungría) el 18 de abril de 2023 — VP / Országos Idegenrendészeti Főigazgatóság

(Asunto C-247/23, Deldits (1))

(2023/C 235/23)

Lengua de procedimiento: húngaro

Órgano jurisdiccional remitente

Fővárosi Törvényszék

Partes en el procedimiento principal

Demandante: VP

Demandada: Országos Idegenrendészeti Főigazgatóság

Cuestiones prejudiciales

1)

¿Debe interpretarse el artículo 16 del RGPD (2) en el sentido de que la autoridad encargada de los registros con arreglo al Derecho nacional está obligada, en relación con el ejercicio de los derechos de la persona interesada, a rectificar el dato personal relativo al sexo de esa persona registrado por la autoridad en el supuesto de que ese dato haya variado después de su inscripción en el registro y, por ese motivo, no se ajuste al principio de exactitud establecido en el artículo 5, apartado 1, letra d), del RGPD?

2)

En caso de respuesta afirmativa a la primera cuestión prejudicial, ¿debe interpretarse el artículo 16 del RGPD en el sentido de que exige que la persona que solicita que se rectifique el dato correspondiente a su sexo aporte pruebas que justifiquen su pretensión de rectificación?

3)

En caso de respuesta afirmativa a la segunda cuestión prejudicial, ¿debe interpretarse el artículo 16 del RGPD en el sentido de que la persona solicitante está obligada a acreditar que se ha sometido a una cirugía de reasignación de sexo?


(1)  La denominación del presente asunto es ficticia. No se corresponde con el nombre de ninguna parte en el procedimiento.

(2)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).



viernes, 9 de mayo de 2025

CERTIFICACION DE BLOCKCHAIN E INTELIGENCIA ARTIFICIAL- CNIL Y COMITÉ EUROPEO DE PROTECCIÓN DE DATOS.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

El Comité Europeo de Protección de Datos (CEPD) adoptó en su sesión plenaria del 8 de abril de 2025 varios documentos claves relacionados con la certificación, la tecnología blockchain y la inteligencia artificial (IA), con el objetivo de reformar la protección de datos personales en la Unión Europea.

El CEPD emitió un dictamen en virtud de una certificación nacional presentada por la CNIL (Comité Nacional de Protección de Datos de Francia), dirigida a los responsables del tratamiento de datos personales.

Sobre la cadena de bloque (Blockchain) el CEPD adoptó sus primeras directrices para el uso de la tecnología blockchain en relación con la protección de datos personales. Las directrices abordan los desafíos de blockchain, especialmente respecto a las necesidades de rectificación y eliminación de datos, debido a la naturaleza inmutable y la descentralización de esta tecnología.

Acerca de la Inteligencia artificial (IA), el CEPD expresa su voluntad de cooperar ampliamente con la Oficina Europea de IA y publica una declaración sobre el uso de datos personales en el desarrollo y la aplicación de los modelos de IA. El dictamen analiza cuándo un modelo de IA puede considerarse anónimo, el recurso de intereses legítimos como base legal y el tratamiento de datos personales legal.

Los documentos recogen una posición estricta y detallada de la CEPD que exige la protección de datos en áreas emergentes como la certificación de cumplimiento a través  de blockchain e inteligencia artificial, y establecen recomendaciones y límites legales para empresas y autoridades en la UE.

Los documentos incluyen enlaces al Dictamen del CEPD, Directrices sobre blockchain y  Riesgos de los modelos de IA sobre Grandes Modelos de Lenguaje, LLM.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

                         _________________________________________________________________

Certificación, blockchain e IA: el CEPD adopta nuevos documentos en su última sesión plenaria

17 de abril de 2025


En abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen sobre una certificación aprobada por la CNIL y adoptó directrices sobre las tecnologías blockchain. El SEPD también expresó su disposición a cooperar estrechamente con la Oficina Europea de IA.

 

Certificación

Durante su sesión plenaria del 8 de abril, el CEPD emitió un dictamen sobre una certificación nacional por la cual la CNIL es la autoridad competente. Se trata de una certificación general dirigida a los responsables del tratamiento de datos, avalada por la empresa Lexing.

Esta certificación deberá ser aprobada por la CNIL según el artículo 42 del RGPD. Se pretende demostrar que el tratamiento de datos personales realizado por un candidato se realiza conforme al RGPD.

El dictamen del SEPD incluye 13 recomendaciones que la CNIL tendrá en cuenta con vistas a aprobar los criterios de esta certificación.

Cadena de bloques (Blockchain)

Teniendo en cuenta los desafíos que las tecnologías blockchain pueden plantear para la protección de datos personales, en particular con respecto al derecho de rectificación y supresión, el CEPD consideró importante ayudar a las organizaciones que utilizan estas tecnologías a cumplir con el RGPD. Para tal fin se han adoptado algunas directrices .

Blockchain es un sistema de base de datos distribuido y consistente que puede operar sin una gestión centralizada y cuyo funcionamiento puede depender de un conjunto abierto o predefinido de participantes, de acuerdo con reglas acordadas. Una cadena de bloques puede, por ejemplo, permitir transacciones financieras sin intermediarios financieros como los bancos, haciendo posible demostrar la propiedad de un activo.

En estas directrices, el CEPD explica cómo funcionan las cadenas de bloques, evaluando las diferentes arquitecturas posibles y sus implicaciones para el procesamiento de datos personales.

Estas directrices están sujetas a consulta pública hasta el 9 de junio de 2025.

Inteligencia artificial

La CNIL y sus homólogos europeos en el CEPD han decidido cooperar estrechamente con la Oficina Europea de IA en lo que respecta a la elaboración de directrices sobre la interacción entre el Reglamento Europeo sobre la IA y la legislación europea en materia de protección de datos (RGPD, Directiva sobre policía y justicia y Reglamento de protección de datos para instituciones, órganos, oficinas y agencias de la UE). 

En relación con la IA, el CEPD también publicó un informe elaborado por expertos externos para el Comité sobre los riesgos de los modelos de IA conocidos como "Grandes Modelos de Lenguaje" (LLM ) en términos de protección de datos. Este informe proporciona información y herramientas para ayudar a las organizaciones a realizar evaluaciones de riesgos efectivas en el contexto de los LLM.

 

Texto de referencia

Para profundizar

·     Coordinación en materia de IA y protección de menores: una mirada retrospectiva a la última sesión plenaria del SEPD

Texto de referencia

Textos de referencia

·     Directrices 2/2025 sobre el tratamiento de datos personales en el contexto de las tecnologías blockchain (PDF) - CEPD

·     Nota de prensa del SEPD [en inglés]

·        #CEPD         #Inteligencia Artificial (IA)          #Tecnologías            #Blockchain 

·        # Certificación