Autor: Pablo F Burgueño
-
Cómo implementar inteligencia artificial en la empresa (guía práctica de gobernanza y cumplimiento)
La Inteligencia Artificial se ha integrado en la estrategia corporativa y el cumplimiento normativo. La Guía de buenas prácticas en el uso de la IA Ética, presentada por OdiseIA y SEDIA, establece un marco para su adopción responsable. Incluye ocho pilares esenciales, desde la privacidad y seguridad hasta la sostenibilidad y el respeto por los…
-
Normativa y ética aplicables a mundos y gemelos virtuales para empresas
El Libro Blanco del Metaverso, editado por DigitalES, analiza el diseño de entornos virtuales responsables, abordando aspectos jurídicos, éticos y técnicos. Establece cuatro pilares fundamentales: identidad y propiedad, seguridad y protección, cumplimiento normativo, y ética. Este marco busca orientar a empresas y reguladores en un ecosistema digital seguro y accesible.
-
Cómo hacer llamadas comerciales de forma legal en España en 2026 (guía completa)
En 2026, España establece un sistema de «tolerancia cero» ante el spam telefónico, requiriendo consentimiento expreso y renovado cada dos años. Se enfatiza la responsabilidad proactiva en comunicaciones comerciales, con penalizaciones por acoso y violaciones de privacidad. La normativa refuerza la protección de datos y el derecho del consumidor.
-
Por qué no debe firmarse un contrato de encargo del tratamiento (CET) con los auditores de cuentas
La relación entre el auditor y la entidad auditada no requiere la firma de un contrato de encargo del tratamiento, según el RGPD y las normativas relacionadas. El auditor actúa como responsable del tratamiento, decidiendo sobre el manejo de datos de forma independiente, lo cual es incompatible con el rol de encargado.
-
IDOR como incumplimiento de protección de datos, incluso sin ataque demostrado
La vulnerabilidad IDOR (Insecure Direct Object Reference) es un grave incumplimiento de la seguridad de datos, que permite el acceso no autorizado a información sensible al modificar identificadores en URLs. Su existencia implica una violación del RGPD, incluso sin ataques demostrables, evidenciando falta de responsabilidad proactiva y de controles de acceso adecuados en las organizaciones.
-
El encargado asume las funciones de responsable del tratamiento cuando este desaparece y los derechos deben ser atendidos
Una resolución de Datatilsynet advierte sobre el vacío jurídico en el tratamiento de datos debido a la falta de interlocución válida. El artículo 28.10 del RGPD implica responsabilidad para quienes actúan de forma autónoma ante la insolvencia del responsable. Los encargados deben supervisar y atender derechos, evitando que los ciudadanos queden desprotegidos.
-
Gobernanza y NewLaw: Claves de mi última entrevista con Fundación Mutualidad
Recientemente, participé en la serie de entrevistas «En primera persona» de la Fundación Mutualidad, donde tengo el honor de ser parte de su Consejo Joven. En la conversación, se abordó cómo el cumplimiento normativo se transforma en un motor de confianza, destacando la importancia de la gobernanza, ciberseguridad y cultura de cumplimiento en la regulación…
-
Una nueva puerta para la filtración de datos: inteligencia artificial
En el ESET Security Day 2025 en Alicante, se abordó la creciente amenaza de la inteligencia artificial en la ciberseguridad. Historias ilustran cómo la falta de protocolos y confianza pueden llevar a serios fraudes. La formación continua y la gobernanza sólida son esenciales para proteger datos y prevenir riesgos en las empresas.
-
Las casillas premarcadas están prohibidas: multa de más de 2 millones de euros
Las casillas premarcadas para obtener consentimientos están prohibidas por la normativa española y europea. La AEPD ha multado a empresas que utilizan esta práctica, que vulnera el derecho de los usuarios a decidir sobre sus datos. Se requiere un consentimiento libre y activo, con acciones individuales para cada finalidad.
-
Casos en los que es obligatorio el doble opt-in (verificar el consentimiento) en marketing online
El doble opt-in es un sistema esencial para verificar la intención de los suscriptores a newsletters y comunicaciones comerciales, exigido en varios países de Europa. Su implementación evita multas significativas por falta de verificación y asegura el consentimiento legal. Empresas deben adoptar este método al gestionar datos de suscriptores.
Pablo Fdez. Burgueño 