Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

lunes, 30 de junio de 2025

TRANSFERENCIA DE DATOS PERSONALES DE JUECES Y FISCALES Y FAMILIAS PARA COMPROBACION DE DECLARACIONES DE BIENES - TRIBUNAL DE JUSTICIA EUROPEO. BULGARIA

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

Sobre las peticiones de decisión prejudicial planteadas por el Sofiyski rayonen sad – Bulgaria) – en los procedimientos incoados por Inspektorat kam Visshia sadeben savet (Asuntos acumulados C-313/23, C-316/23 y C-332/23, la Primera Sala del Tribunal de Justicia Europeo falla, debiendo interpretarse, particularmente, la segunda, referida al

El artículo 2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para la comprobación de las declaraciones de bienes de esos jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye un tratamiento de datos personales comprendido en el ámbito de aplicación material de dicho Reglamento.

Se adjuntan a la sentencia cuatro otras interpretaciones del Fallo vinculadas a la independencia judicial y a la protección de los datos personales, como las tres peticiones acumuladas de las decisiones prejudiciales presentadas.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_______________________________________

Diario Oficial
de la Unión Europea

Serie C

C/2025/3239

24.6.2025

Sentencia del Tribunal de Justicia (Sala Primera) de 30 de abril de 2025 (peticiones de decisión prejudicial planteadas por el Sofiyski rayonen sad – Bulgaria) – en los procedimientos incoados por Inspektorat kam Visshia sadeben savet

(Asuntos acumulados C-313/23, C-316/23 y C-332/23, (1) Inspektorat kam Visshia sadeben savet)

(Procedimiento prejudicial - Estado de Derecho - Independencia judicial - Artículo 19 TUE, apartado 1, párrafo segundo - Tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión - Órgano judicial competente para proponer la apertura de procedimientos disciplinarios sancionadores contra los jueces y fiscales - Mantenimiento de los miembros del órgano judicial en el cargo tras la finalización de sus mandatos - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Seguridad de los datos - Acceso de un órgano judicial a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias - Autorización judicial para la comunicación de datos protegidos por el secreto bancario - Órgano jurisdiccional que autoriza la comunicación de los datos protegidos por el secreto bancario - Artículo 4, punto 7 - Concepto de «responsable del tratamiento» - Artículo 51 - Concepto de «autoridad de control»)

(C/2025/3239)

Lengua de procedimiento: búlgaro

Órgano jurisdiccional remitente

Sofiyski rayonen sad

Partes en los procedimientos principales

Demandante: Inspektorat kam Visshia sadeben savet

Fallo

El artículo 19 TUE, apartado 1, párrafo segundo, a la luz del artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea,

debe interpretarse en el sentido de que

el principio de independencia judicial se opone a la práctica de un Estado miembro conforme a la cual los miembros de un órgano judicial de ese Estado miembro, que son elegidos por el Parlamento para mandatos de duración determinada y que son competentes para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador, siguen ejerciendo sus funciones tras concluir la duración legal de sus mandatos, fijada por la Constitución de dicho Estado miembro, hasta que el Parlamento elija nuevos miembros, sin que la prórroga de los mandatos caducados tenga, en el Derecho nacional, una base legal expresa con normas claras y precisas que regulen el ejercicio de esas funciones y sin que se garantice que tal prórroga esté, en la práctica, limitada en el tiempo.

debe interpretarse en el sentido de que

El artículo 4, punto 7, del Reglamento 2016/679

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último órgano de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias no puede calificarse de responsable del tratamiento en el sentido de esta disposición.

El artículo 51 del Reglamento 2016/679

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no constituye una autoridad de control, en el sentido de dicho artículo, en caso de que el Estado miembro al que pertenece no haya encomendado a dicho órgano jurisdiccional la supervisión de la aplicación de este Reglamento a fin de proteger, en particular, las libertades y los derechos fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales.

El artículo 79, apartado 1, del Reglamento 2016/679, a la luz del artículo 47 de la Carta de los Derechos Fundamentales,

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no está obligado, en el caso de que no se haya interpuesto ante él recurso al amparo de esa disposición, a garantizar de oficio la protección de las personas de cuyos datos se trate en lo referente a la observancia de las disposiciones de ese Reglamento relativas a la seguridad de los datos personales, aun cuando sea notorio que tal órgano judicial ha infringido estas últimas disposiciones en el pasado.

(1) DO C 304 de 28.8.2023.

ELI: http://data.europa.eu/eli/C/2025/3239/oj

ISSN 1977-0928 (electronic edition)

___________________________________________________

28.8.2023

Diario Oficial de la Unión Europea

C 304/6

Petición de decisión prejudicial planteada por el Sofiyski rayonen sad (Bulgaria) el 22 de mayo de 2023 — Inspektorat kam Visshia sadeben savet

(Asunto C-313/23, Inspektorat kam Visshia sadeben savet)

(2023/C 304/09)

Lengua de procedimiento: búlgaro

Órgano jurisdiccional remitente

Sofiyski rayonen sad

Parte en el procedimiento principal

Demandante: Inspektorat kam Visshia sadeben savet

Cuestiones prejudiciales

¿Debe interpretarse el artículo 19 [TUE], apartado 1, párrafo segundo, en relación con el artículo 47, párrafo segundo, de la Carta de los Derechos Fundamentales de la Unión Europea, en el sentido de que constituye, de por sí o en determinadas condiciones, un incumplimiento de la obligación que incumbe a los Estados miembros de garantizar la tutela judicial efectiva en cuanto a un control judicial independiente el hecho de que puedan ser prorrogadas indefinidamente las funciones de una autoridad facultada para imponer sanciones disciplinarias a los jueces y para obtener datos relativos al patrimonio de estos, una vez concluido el mandato de dicho organismo, cuya duración está establecida en la Constitución? En caso de que sea admisible tal prórroga de esas funciones, ¿en qué condiciones lo es?

¿Debe interpretarse el artículo 2, apartado 2, letra a), del Reglamento (UE) 2016/679 (1) […] (en lo sucesivo, «RGPD»), en el sentido de que la comunicación de datos protegidos por el secreto bancario con fines de comprobación del patrimonio de jueces y fiscales, datos que posteriormente son publicados, constituye una actividad que no está comprendida en el ámbito de aplicación del Derecho de la Unión? ¿Es distinta la respuesta si esta actividad incluye también la comunicación de datos de los miembros de la familia de jueces y fiscales, que no sean ellos mismos jueces ni fiscales?

En caso de respuesta a la segunda cuestión en el sentido de que es aplicable el Derecho de la Unión, ¿debe interpretarse el artículo 4, punto 7, del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias determina los fines o los medios del tratamiento de datos personales, por lo que se considera «responsable» del tratamiento de los datos personales?

En caso de respuesta a la segunda cuestión en el sentido de que es de aplicación el Derecho de la Unión y de respuesta negativa a la tercera cuestión, ¿debe interpretarse el artículo 51 del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias es responsable de supervisar [la aplicación del] RGPD, por lo que debe considerarse «autoridad de control» respecto a tales datos?

En caso de respuesta a la segunda cuestión en el sentido de que es aplicable el Derecho de la Unión y de respuesta afirmativa a la tercera o a la cuarta cuestión, ¿deben interpretarse los artículos 32, apartado 1, letra b), o 57, apartado 1, letra a), del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias está obligada, si se conoce que existió una vulneración de la protección de datos personales cometida en el pasado por la autoridad a la que se pretende conceder dicho acceso, a recabar información sobre las medidas adoptadas para la protección de los datos y, al decidir sobre la concesión del acceso, debe tener en cuenta la idoneidad de estas medidas?

En caso de respuesta a la segunda cuestión en el sentido de que es aplicable el Derecho de la Unión, y con independencia de la respuesta a la tercera y a la cuarta cuestión, ¿debe interpretarse el artículo 79, apartado 1, del RGPD, en relación con el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea, en el sentido de que, cuando el Derecho nacional de un Estado miembro dispone que determinadas categorías de datos solo pueden comunicarse previa autorización judicial, el órgano jurisdiccional competente al respecto debe conceder de oficio tutela judicial a las personas cuyos datos se comunican, obligando a la autoridad que ha solicitado el acceso a los datos y de la que consta que en el pasado vulneró la protección de datos personales a facilitar información sobre las medidas adoptadas con arreglo al artículo 33, apartado 3, letra d), del RGPD y su aplicación efectiva?

(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).

_____________________________________________________________

28.8.2023

Diario Oficial de la Unión Europea

C 304/7

Petición de decisión prejudicial planteada por el Sofiyski rayonen sad (Bulgaria) el 23 de mayo de 2023 — Inspektorat kam Visshia sadeben savet

(Asunto C-316/23, Inspektorat kam Visshia sadeben savet)

(2023/C 304/10)

Lengua de procedimiento: búlgaro

Órgano jurisdiccional remitente

Sofiyski rayonen sad

Parte en el procedimiento principal

Demandante: Inspektorat kam Visshia sadeben savet

Cuestiones prejudiciales

________________________________________________

28.8.2023

Diario Oficial de la Unión Europea

C 304/9

Petición de decisión prejudicial planteada por el Sofiyski rayonen sad (Bulgaria) el 25 de mayo de 2023 — Inspektorat kam Visshia sadeben savet

(Asunto C-332/23, Inspektorat kam Visshia sadeben savet)

(2023/C 304/12)

Lengua de procedimiento: búlgaro

Órgano jurisdiccional remitente

Sofiyski rayonen sad

Parte en el procedimiento principal

Demandante: Inspektorat kam Visshia sadeben savet

Cuestiones prejudiciales

jueves, 26 de junio de 2025

ALIANZA PARA AUDITAR CONFIDENCIALIDAD DE LOS MODELOS DE IA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

PANAME es un proyecto colaborativo que reúne laboratorios de investigación, empresas especializadas en ciberseguridad e IA, así como instituciones públicas comprometidas con la protección de datos, entre ellas, la CNIL, la ANSI, el PEReN; y el (PEPR) Ciberseguridad.

Sus objetivos principales son: Auditar la confidencialidad de los modelos de IA para identificar posibles vulnerabilidades; Proponer soluciones innovadoras para proteger los datos personales y sensibles utilizados en el entrenamiento de modelos; Formar conciencia y capacitar a los actores sobre la confidencialidad en IA.

Su metodología se basa en el: Análisis de riesgos (Evaluación de técnicas de ataque para extraer información confidencial de los modelos de IA); Desarrollo de herramientas de auditoría (Creación de métodos y software para evaluar la robustez de los modelos frente a estos ataques); y Evaluación comparativa y recomendaciones (Comparación del rendimiento de los modelos y formulación de recomendaciones para mejorar su confidencialidad).

El presente artículo fue traducido del francés al castellano por el suscrito con la ayuda del aplicativo Google Translator, el texto original se encuentra en el siguiente enlace: https://www.cnil.fr/fr/paname-un-partenariat-pour-laudit-de-la-confidentialite-des-modeles-dia

____________________________________

PANAME: una alianza para auditar la confidencialidad de los modelos de IA

26 de junio de 2025

La Comisión Nacional de Informática y Libertades, CNIL; la Agencia Nacional de Seguridad de los Sistemas de Información, ANSSI; el Centro de Expertos en Regulación Digital, PEReN; y el proyecto de Programa y equipos prioritarios de investigación (PEPR) Ciberseguridad, Protección de datos Personales, IPoP; lanzan PANAME, un proyecto destinado a desarrollar una herramienta para auditar la confidencialidad de los modelos de IA.

Auditar los modelos para evaluar su conformidad

El dictamen adoptado por el Comité Europeo de Protección de Datos (CEPD) en diciembre de 2024 recuerda que el RGPD se aplica, en muchos casos, a los modelos de IA entrenados con datos personales, debido a sus capacidades de memorización (véase el artículo de LINC Pequeña taxonomía de ataques a sistemas de IA ).

También precisa que muy a menudo es necesario demostrar en un análisis que un modelo resiste a los ataques sobre la confidencialidad de los datos para concluir que tiene carácter anónimo, condición que permite retirarlo del ámbito de aplicación del RGPD.

La CNIL publicará próximamente recomendaciones para ayudar a las partes interesadas a realizar y documentar este análisis.

Recursos aún escasos

Desde los últimos diez años, los investigadores han realizado numerosos estudios sobre ataques a la confidencialidad. Sin embargo, su implementación suele ser experimental, en publicaciones científicas. Se han identificado varios obstáculos para su adopción por parte de la industria:

· Una literatura académica dispersa y abundante : orientarse entre los recursos sobre el tema puede requerir tiempo y grandes habilidades técnicas, en particular para los actores más pequeños;

· Casos de uso que no siempre se adaptan a un contexto industrial : incluso cuando están disponibles en código abierto.

· Falta de estandarización: actualmente no ex, estas técnicas requieren un importante trabajo de desarrollo para ser utilizadas en producción;

iste ningún marco unificado para formalizar la codificación de las pruebas de privacidad.

Un consorcio con habilidades complementarias para crear una nueva herramienta

Para responder a los problemas de cumplimiento y eliminar los obstáculos identificados, la CNIL y sus socios están lanzando el proyecto PANAME (Auditoría de Privacidad de Modelos de IA).

Durante 18 meses, PEReN, ANSSI, el proyecto IPoP de Ciberseguridad de los PEPR (programas y equipos de investigación prioritarios) y la CNIL trabajarán juntos para desarrollar una biblioteca de programas informáticos disponible total o parcialmente en código abierto, destinada a unificar la forma en que se prueba la confidencialidad de los modelos.

Cada asociado contribuirá según su área de especialización:

· El PEReN será el principal responsable del desarrollo de la biblioteca;

· La ANSSI aportará su experiencia en materia cibernética, en particular en el contexto de ataques a los sistemas informáticos;

· El Proyecto IPoP asegurará el liderazgo científico para el proyecto;

· La CNIL supervisará el proyecto y proporcionará el marco jurídico.

El objetivo de la herramienta es facilitar la implementación eficiente y rentable de ciertas pruebas técnicas de evaluación de la privacidad que los actores del ecosistema de IA pueden realizar para evaluar el cumplimiento del RGPD de un modelo de IA. Se prevén fases de prueba con organismos gubernamentales y fabricantes para garantizar que el desarrollo de la herramienta sea coherente con su contexto de uso.

Texto de referencia

Texto de referencia

· El Reglamento General de Protección de Datos (RGPD)

· #Inteligencia Artificial (IA)