Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

martes, 23 de diciembre de 2025

RECURSO DE CASACION DE LA COMISION EUROPEA SOBRE DERECHO DE ACCESO.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La Comisión Europea interpuso el 22 de septiembre de 2025 un recurso de casación (asunto C‑627/25 P) contra la sentencia del Tribunal General de 16 de julio de 2025 en el asunto T‑183/23, Ballmann/Comité Europeo de Protección de Datos, que anuló una decisión del Comité Europeo de Proteccion de Datos, CEPD, relativa al derecho de acceso de la interesada.

La demandante, Lisa Ballmann, impugnó ante el Tribunal General (Sala Décima ampliada) una decisión del Comité Europeo de Protección de Datos (CEPD) sobre su derecho de acceso a datos personales, adoptada en el marco del RGPD.

El Tribunal emitió sentencia el 16 de julio de 2025 (ECLI:EU:T:2025:830) aprobando el recurso y anulando la decisión del CEPD, al considerar que la demandante disponía de un derecho de acceso más amplio del que había reconocido el Comité.

La Comisión Europea ha recurrido en casación ante el Tribunal de Justicia (C‑627/25 P) solicitando la anulación de la sentencia del Tribunal General y la desestimación del recurso de Ballmann.

El recurso se dirige a cuestiones de interpretación del RGPD y de la Carta de Derechos Fundamentales, en particular el alcance del derecho de acceso a los datos y la forma en que deben ponderarse ese derecho con intereses contrapuestos como la confidencialidad, la propiedad intelectual o el secreto comercial.

La Comisión afirma que el Tribunal General habría aplicado mediante el primer motivo de casación, interpretó y aplicó erróneamente el artículo 41, apartado 2, letra b), de la Carta de los Derechos Fundamentales de la Unión Europea al considerar que la demandante tenía derecho a acceder a la totalidad del expediente del Comité Europeo de Protección de Datos (CEPD), con independencia de que pudiera verse afectada desfavorablemente por la decisión vinculante del CEPD.

Mediante el segundo motivo de casación, la Comisión alega que el Tribunal General interpretó y aplicó erróneamente el requisito de admisibilidad de los «actos impugnables» al considerar que la demandante podía impugnar por separado la denegación del CEPD de concederle acceso al expediente.

El resultado de la casación será relevante para fijar el estándar de acceso a la información en procedimientos ante autoridades de protección de datos y la intensidad del control judicial sobre la ponderación entre derecho de acceso y protección de otros intereses legítimos.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

_____________________________________________

Serie C

C/2026/85

5.1.2026

Recurso de casación interpuesto el 22 de septiembre de 2025 por la Comisión Europea contra la sentencia del Tribunal General (Sala Décima ampliada) dictada el 16 de julio de 2025 en el asunto T-183/23, Ballmann/Comité Europeo de Protección de Datos

(Asunto C-627/25 P)

(C/2026/85)

Lengua de procedimiento: inglés

Partes

Recurrente: Comisión Europea (representantes: É. Gippini Fournier y A. Bouchagiar, agentes)

Otras partes en el procedimiento: Lisa Ballmann, Comité Europeo de Protección de Datos y Meta Platforms Ireland Ltd

Pretensiones

La parte recurrente en casación solicita al Tribunal de Justicia que:

—	Anule la sentencia del Tribunal General (Sala Décima) de 16 de julio de 2025 en el asunto T-183/23, Ballmann/Comité Europeo de Protección de Datos.

—

Se pronuncie sobre la demanda presentada en primera instancia y la declare inadmisible en su totalidad o, con carácter subsidiario, desestime por infundadas las tres primeras partes del único motivo invocado por la demandante en su demanda y devuelva el asunto al Tribunal General en lo que respecta a la cuarta parte de dicho motivo.

—	Condene a la recurrida y demandante en primera instancia al pago de las costas del procedimiento.

Motivos y principales alegaciones

Mediante el primer motivo de casación, la Comisión alega que el Tribunal General interpretó y aplicó erróneamente el artículo 41, apartado 2, letra b), de la Carta de los Derechos Fundamentales de la Unión Europea al considerar que la demandante tenía derecho a acceder a la totalidad del expediente del Comité Europeo de Protección de Datos (CEPD), con independencia de que pudiera verse afectada desfavorablemente por la decisión vinculante del CEPD.

ELI: http://data.europa.eu/eli/C/2026/85/oj

ISSN 1977-0928 (electronic edition)

REGLAMENTO EUROPEO SOBRE LOS DATOS (LEY DE DATOS) - CNIL

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La Ley de Datos establece un marco horizontal para organizar el acceso, el intercambio y el uso de los datos generados por productos y servicios conectados, con el fin de fortalecer los derechos de los usuarios y apoyar la economía europea de datos. Esta Ley complementa el RGPD centrándose en los usos económicos (quién puede usar qué datos y bajo qué condiciones), al mismo tiempo que establece el rol de la autoridad del RGPD en caso de conflicto sobre los datos personales,

La Ley apunta a dos objetivos principales:

Fomentar una economía de datos más abierta y competitiva mediante la imposición de condiciones justas, razonables y no discriminatorias para el acceso a los datos, en particular a los datos industriales y del IoT (Internet de las cosas).
Otorgar a las personas y empresas un mayor control sobre los datos generados por los objetos digitales, las máquinas (industriales, vehiculos, relojes inteligentes...) y los servicios que poseen, alquilan o utilizan, ya sean personales o no personales.

Contempla igualmente los Derechos de los usuarios en los dispositivos conectados o de los servicios asociados; y las Obligaciones de los fabricantes, proveedores de servicios y titulares o detentores de datos en la concepción y servicios asociados de forma que los datos que generan sean directamente accesibles para el usuario o a través de una interfaz. Incluyendo, facilitar la portabilidad de datos y el intercambio entre proveedores de servicios de procesamiento de datos o en la nube, en particular limitando las tasas de salida y exigiendo una mayor interoperabilidad técnica.

Finalmente, la Ley establece un calendario de implementación y las funciones de las Autoridades de Protección de Datos Personales Europeas, y en particular el de la CNIL, como garantes de la armonización de la Ley de Protección de Datos con el RGPD, particularmente, respecto al tratamiento de datos personales, y la asistencia a las partes interesadas en el cumplimiento contractual, técnico y organizativo.

_____________________________________________

El Reglamento sobre los Datos (Ley de Datos): un nuevo marco europeo para el intercambio y uso de datos

22 de diciembre de 2025

El Reglamento sobre los Datos establece un marco europeo para organizar el intercambio y el uso de datos de los dispositivos conectados. Refuerza los derechos de los usuarios y crea nuevas obligaciones para las partes interesadas. La CNIL (Comisión Nacional de Informática y Libertades) presenta su rol y las nuevas reglas aplicables.

Facilitar el intercambio de datos desde objetos conectados

Un nuevo marco para un mejor acceso a los datos generados por objetos conectados

El reglamento europeo sobre los datos (Data Act) debe permitir el desarrollo de una economía de datos más abierta y competitiva. Para ello, establece normas justas para el acceso y el uso de los datos personales y no personales generados por dispositivos conectados. El reglamento detalla quién puede usar qué datos y cómo.

Concretamente, el reglamento de datos permite a cualquier persona que posea o utilice un dispositivo conectado acceder a los datos generados por dicho dispositivo. También facilita compartir estos datos con terceros, en particular al prohibir las cláusulas contractuales abusivas.

La aplicación de este reglamento debe coordinarse con el RGPD. En particular, estipula que, en caso de conflicto entre ambos textos, prevalecerá el RGPD cuando se trate de datos personales.

De manera similar, se debe considerar el reglamento sobre la gobernanza de datos (DGA), que ha establecido nuevos intermediarios de confianza para fomentar el intercambio voluntario de datos.

Un reglamento aplicable progresivamente

La mayoría de las disposiciones del reglamento sobre los datos son aplicables desde el 12 de septiembre de 2025. Otras obligaciones entrarán en vigor en una fecha posterior.

Septiembre de 2026: Los fabricantes y proveedores deberán concebir los objetos conectados y sus servicios de forma que los datos que generan sean directamente accesibles.
Enero de 2027: los beneficiarios de servicios de computación en la nube deberán poder cambiar de proveedor de forma gratuita.
Septiembre de 2027: La prohibición de cláusulas abusivas se aplicará a los contratos celebrados antes del 12 de septiembre de 2025.

Nota: El 19 de noviembre de 2025, la Comisión Europea presentó una propuesta de reglamento que podría modificar el reglamento de datos con el fin de mejorar la coordinación entre las legislaciones europeas (en particular con la DGA).

Cubrir todos los datos generados por el uso de objetos conectados

El reglamento de datos se aplica a todos los datos producidos por el uso de objetos conectados y de los servicios asociados a ellos, sean personales o no .

Los objetos en cuestión son todos aquellos que comunican datos a través de Internet u otra red pública como, por ejemplo, un vehículo conectado, un reloj o una pulsera de salud conectados, un termostato inteligente o una máquina industrial equipada con sensores.
Los servicios asociados son aquellos necesarios para el funcionamiento de estos objetos. Entre ellos se incluyen, por ejemplo, los siguientes: la aplicación movil que permite ajustar un termostato conectado, la plataforma online donde se muestran los datos de un sensor, un servicio de gestión de flotas comerciales vinculado a la caja telemática instalada en los vehículos, o incluso un asistente inteligente integrado al producto.

Cuando estén en juego los datos personales, su tratamiento deberá ser conforme con el RGPD.

Identificar los actores afectados por el reglamento sobre los datos

La regulación de datos se aplica a muchos actores, ya sean públicos o privados.

Fabricantes y titulares de datos

Los fabricantes son aquellos que conciben o fabrican un objeto conectado o el servicio asociado.

Los detentores de los datos son quienes generan o conservan los datos. Para ser considerados detentor de datos, es necesario ejercer un control genuino sobre ellos. En la práctica, los fabricantes suelen ser detentores de datos, pero no siempre es así.

Ejemplo
Un fabricante de relojes inteligentes recopila datos generados durante el uso para proveer funcionalidades de seguimiento deportivo en la aplicación asociada. En este caso, el fabricante también es propietario de los datos.
Si el fabricante confía el diseño y la gestión de la aplicación móvil a una empresa externa, y dicha empresa recopila datos para prestar el servicio, entonces se convierte en detentor de los datos.

Usuarios de dispositivos conectados o servicios asociados

Los usuarios son todas las personas (individuos, empresas, etc.) que poseen o utilizan, incluso temporalmente, un objeto conectado o un servicio asociado.

Estas personas podrán ejercer los derechos previstos en el reglamento de datos, incluido el derecho a solicitar acceso a los datos generados por el uso del objeto conectado o de los servicios relacionados.

Ejemplos
Para un mismo dispositivo conectado, pueden coexistir varios usuarios, dependiendo de los usos y situaciones:
El propietario de un vehículo conectado (un individuo, una empresa de alquiler o una empresa que posee vehículos de empresa para sus empleados) es un usuario.
También es usuario la persona que alquila este vehículo a una empresa de alquiler o lo utiliza con fines laborales (coche de empresa).
Una persona que utiliza un servicio conectado ofrecido en el vehículo, incluso si no es el propietario, es un usuario.

Los destinatarios

Los destinatarios son personas u organizaciones, distintas de los usuarios, que reciben datos del responsable o detentor del tratamiento para llevar a cabo una actividad económica. Esta transferencia puede producirse, en particular, tras la solicitud del usuario de transmitir sus datos a un tercero. Esta solicitud debe dirigirse al responsable del tratamiento.

Los otros actores

El reglamento sobre los datos también se aplica a las siguientes entidades:

Organismos, instituciones, agencias u órganos del sector público de la Unión Europea. En determinados casos, estos organismos podrían requerir el acceso a determinados datos para responder a situaciones urgentes o llevar a cabo misiones de interés público.
Proveedores de servicios de tratamiento de datos (por ejemplo, un servicio de computación en la nube) ofrecidos en la Unión Europea.
Participantes en espacios de datos y proveedores de aplicaciones que utilizan contratos inteligentes, es decir, actores que conciben o utilizan contratos automatizados en sus servicios.

Respetar las principales obligaciones para facilitar el intercambio de datos

El reglamento incluye varias obligaciones para facilitar el intercambio de datos.

Hacer accesibles los datos para los usuarios desde la etapa del diseño o concepción

Los fabricantes deben facilitar a los usuarios, tanto particulares como empresas, el acceso a los datos que generan. Estos datos deben ser directamente accesibles, siempre que sea técnicamente posible, de forma gratuita, segura y en un formato claro y reutilizable.

Concretamente:

Un usuario de un reloj inteligente debe poder recuperar los datos generados por el uso de su reloj.
Un conductor debe poder recuperar los datos generados por el uso de su vehículo conectado.

Poner los datos a disposición del usuario cuando lo solicite

Cuando el usuario, por razones técnicas, no pueda acceder directamente a los datos del objeto conectado o del servicio asociado, el titular de los datos deberá hacer que los datos sean fácilmente accesibles, sin demora, de forma gratuita, a simple solicitud del usuario.

Permitir compartir datos con terceros

El usuario puede solicitar al detentor de los datos que los comparta con un destinatario de su elección, con fines comerciales o no comerciales. Este intercambio deberá realizarse lo antes posible, de forma gratuita para el usuario, con la misma calidad que la del titular o detentor y, siempre que sea técnicamente posible, de forma continua y en tiempo real.

Este derecho refuerza el derecho a la portabilidad de datos previsto por el RGPD, en particular extendiéndolo a todos los datos (personales o no personales).

El reglamento sobre los datos proporciona un marco para este intercambio al prohibir, en particular, el uso de estos datos para desarrollar un producto que compita con el producto conectado del que provienen los datos, o el uso de estos datos para perfilar al usuario, a menos que esto sea necesario para proporcionar el servicio solicitado.

Garantizar la transparencia de los datos generados por los objetos conectados

Los usuarios deben ser informados, antes de concluir cualquier contrato relativo a un objeto conectado o un servicio asociado (en particular antes de la compra o el alquiler):

del tipo de datos generados al usar ese objeto y el servicio asociado;
del uso de los datos por parte del fabricante/proveedor de servicios;
de la identidad del titular o detentor de los datos;
de los procedimientos para ejercer sus derechos.

Cuando se trata de datos personales, también se aplican los requisitos de transparencia e información establecidos en el RGPD .

Facilitar el cambio entre proveedores de servicios de computación en la nube

Adoptada en 2024, la ley destinada a asegurar y a regular lo digital comenzó a establecer un marco para los servicios de computación en la nube que facilita el cambio de proveedor. La regulación de datos fortalece y amplía este marco, profundizando en la movilidad e interoperabilidad de los servicios.

Los usuarios de servicios de computación en la nube ahora deben poder cambiar de proveedor o utilizar varios servicios simultáneamente sin dificultad. De este modo, el reglamento elimina los obstáculos para cambiar de servicio (costes, trámites largos, falta de interoperabilidad entre proveedores, etc.).

Reiterar la aplicación continua de los requisitos del RGPD a los datos personales

Siempre que se trate de datos personales, el RGPD seguirá siendo aplicable. Esto significa, en particular, que:

Cada actor debe tener un rol definido según lo define el RGPD: responsable del tratamiento de datos, subcontratista ;
es necesaria una base legal para tratar o poner a disposición datos personales;
Los interesados conservan sus derechos : información, acceso, rectificación, oposición, supresión, portabilidad, etc.
Los actores deben garantizar un tratamiento seguro.

La CNIL confirma su papel central en la protección de datos personales

El proyecto de ley que contiene diversas disposiciones de adaptación al Derecho de la Unión Europea en materia económica, financiera, medioambiental, energética, de información, de transportes, sanitaria, agrícola y pesquera (DADDUE), que se debatirá en el Parlamento en 2026, designa a la ARCEP como autoridad competente para orientar la regulación de los datos.

Las autoridades de protección de datos, incluida la CNIL en Francia, supervisan la aplicación de la normativa de datos en materia de protección de datos personales.

La CNIL y la Arcep trabajarán conjuntamente para garantizar una regulación eficaz y complementaria de sus acciones en la aplicación de este reglamento.

Texto de referencia

Para profundizar más

jueves, 18 de diciembre de 2025

CNIL PUBLICA HERRAMIENTA PARA LA TRAZABILIDAD DE LOS MODELOS DE IA PUBLICADOS EN CÓDIGO ABIERTO.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La Autoridad Nacional de Protección de Datos, CNIL, ha anunciado varias iniciativas sobre IA, en particular sobre modelos de código abierto. Sin embargo, la descripción precisa de una "herramienta de trazabilidad", publicada el 18 de diciembre de 2025, aún no está disponible públicamente. Sin embargo, presenta un resumen basado en las directrices ya formalizadas por la CNIL en materia de IA, modelos de código abierto y trazabilidad, que describe los objetivos de dicha herramienta.

En julio de 2025, la CNIL finalizó las recomendaciones sobre el desarrollo de sistemas de IA, con especial énfasis en la documentación de modelos, la seguridad y la anotación de los datos de entrenamiento. Declaró explícitamente que se dedicaría un trabajo específico a los modelos distribuidos como código abierto, con el fin de aclarar su conformidad con el RGPD.

El objetivo declarado de la CNIL es proporcionar a los desarrolladores y proveedores de modelos un método práctico para determinar si un modelo procesa o almacena datos personales y, por lo tanto, si está dentro del ámbito de aplicación del RGPD. Esta herramienta también pretende transformar las recomendaciones legales en mecanismos técnicos concretos (biblioteca de software, pruebas, indicadores) para documentar y demostrar la conformidad de los modelos, incluidos los publicados como código abierto.

Según la hoja de ruta publicada por la CNIL, la herramienta debería adoptar la forma de una biblioteca de software que permita a los usuarios evaluar si un modelo permite la extracción de datos personales de su entrenamiento. Debería ayudar a caracterizar los medios que razonablemente se puedan implementar para la extracción de datos, un punto central en el análisis del estado del modelo según el RGPD.

En un resumen de la consulta pública, la CNIL anunció la preparación de contenido dedicado a los modelos distribuidos como código abierto. La herramienta de trazabilidad se enmarca en este enfoque: ofrecer un marco operativo para la publicación de un modelo de código abierto, respetando los requisitos de documentación, análisis de riesgos de reidentificación y legalidad de los conjuntos de datos de entrenamiento.

Para los proveedores de modelos, la herramienta está diseñada como una herramienta de autoevaluación y de apoyo a la evidencia: les permitirá registrar las pruebas de memorización, la probabilidad de reidentificación y los criterios técnicos utilizados, con el fin de generar esta documentación en caso de una auditoría por parte de una autoridad de protección de datos. Traducido por el suscrito de: https://www.cnil.fr/fr/la-cnil-publie-un-outil-pour-la-tracabilite-des-modeles-dia-publies-en-source-ouverte

_____________________________________________

La CNIL publica una herramienta para la trazabilidad de los modelos de IA publicados en código abierto

18 de diciembre de 2025

La CNIL pone a disposición un demostrador para navegar a través de la genealogía de los modelos de IA publicados en código abierto y estudiar la trazabilidad de este ecosistema, en particular para facilitar el ejercicio de los derechos de oposición, acceso o supresión.

· I

Trazabilidad de modelos de IA de código abierto

La disponibilidad de modelos de IA como código abierto permite ofrecer esta tecnología a un público más amplio. Investigadores, empresas, incluso, particulares pueden acceder a numerosos modelos para diversos usos, como la generación de texto o imágenes, la traducción o la transcripción de audio.

Muchos usuarios también descargan estos modelos para modificarlos o especializarlos en una tarea específica utilizando nuevos datos. A menudo, estos nuevos modelos vuelven a estar disponibles como código abierto.

Así, cada modelo disponible en código abierto forma parte de una genealogía, constituída por el conjunto de todos los modelos:

del cual se origina directamente o después de varias modificaciones (sus ascendientes);
a los cuales contribuyó a la constitución (sus descendientes).

Poder describir e investigar en una genealogía de un modelo de IA de código abierto es un paso esencial para comprender cómo se construyó un modelo.

La memorización* de los Modelos de IA y el RGPD

La comunidad académica ha establecido desde hace tiempo que a menudo es posible extraer informaciones sobre la base del conjunto de datos de entrenamiento de un modelo de IA simplemente a través del acceso a éste. Este fenómeno se manifiesta mediante la regurgitación de modelos generativos, cuando generan datos muy similares a elementos del conjunto de datos de entrenamiento, pero no se limitan a él (véase, por ejemplo, el artículo « Una breve taxonomía de ataques a sistemas de IA »).

Cuando un modelo ha sido entrenado parcialmente con datos personales (lo que generalmente es el caso de la IA generativa), el Comité Europeo de Protección de Datos afirmó en su opinión que en la mayoría de los casos este debería considerarse sujeto al RGPD. El responsable del tratamiento de datos**, podrá demostrar, no obstante, en particular mediante pruebas, que no es posible extraer o deducir datos personales del modelo y que el RGPD no sería aplicable.

Un experimento para estudiar la IA de código abierto

En este contexto, la CNIL (Autoridad Nacional de Protección de Datos) realizó un experimento para explorar posibles escenarios de ejercicio de los derechos de oposición, acceso y supresión de las personas cuyos datos se almacenan en un modelo de IA de código abierto. La primera etapa consiste en identificar, partiendo del conocimiento que un modelo ha memorizado los datos de una persona, los otros modelos de su genealogía que serian susceptibles de haber sido igualmente memorizado esos datos.

Para ello, el servicio de IA de la CNIL ha desarrollado, en colaboración con el Laboratorio de Innovación Digital (LINC) de la CNIL, una herramienta de demostración que permite explorar la genealogía de un modelo de IA presente en la plataforma HuggingFace.

Texto de referencia

La herramienta

· Experimente con la herramienta en la plataforma HuggingFace

· Lea el artículo que presenta el experimento.

· #Inteligencia Artificial (IA) · #Fuentes abiertas · #Derechos humano · #LINC

* La memorización de datos de entrenamiento por parte de un modelo de IA tiene lugar cuando el modelo aprende informaciones específicas de todos o una parte de los datos de entrenamiento, de manera accidental (sobreaprendizaje) o no. Esta memorización se caracteriza por la capacidad de reconstruir, al menos parcialmente, los datos de entrenamiento por un ataque (como un ataque de inferencia de pertenencia) o por su uso normal (como en el caso de la regurgitación para las IA generativas).

** El responsable del tratamiento de datos es la persona jurídica (empresa, municipio, etc.) o la persona física que determina los fines y medios del tratamiento, es decir, el objetivo y la forma de realizarlo. En la práctica, y por lo general, es la persona jurídica representada por su representante legal.