Inteligencia artificial, AI washing, sanciones en EEUU

Las sociedades mercantiles y sus administradores  operan en un entorno de responsabilidad cada vez más exigente. .A los riesgos financieros tradicionales se han sumado los derivados de la sostenibilidad, las cuestiones ESG, la ciberseguridad, la protección de datos, los riesgos reputacionales, por mencionar algunos. Y, la inteligencia artificial incorpora un nuevo factor de complejidad y riesgo.

Guess who

La adopción acelerada de sistemas de inteligencia artificial está transformando los modelos de negocio de empresas de todos los sectores. Junto a las oportunidades que ofrecen las tecnologías inteligentes, aparecen también nuevos riesgos jurídicos y de gobierno corporativo. Hoy nos centramos en uno de ellos: el  denominado AI washing.  La expresión es utilizada para describir aquellas situaciones en las que una empresa exagera, atribuye o publicita capacidades de inteligencia artificial que, en realidad, no posee o no puede acreditar suficientemente.

Esta práctica puede afectar tanto a productos y servicios como a procesos internos o estrategias empresariales. En un mercado especialmente sensible a la innovación tecnológica, las afirmaciones sobre el desarrollo o utilización de inteligencia artificial influyen en las decisiones de inversión, en la confianza de clientes y socios comerciales, en los consumidores  y, en definitiva, en la valoración de las compañías. Cuando esas declaraciones resultan engañosas o insuficientemente fundamentadas, se derivan consecuencias. Por ejemplo, los inversores pueden interponer reclamaciones por información inexacta, los supervisores podrían iniciar investigaciones y las empresas enfrentarse a procedimientos sancionadores o judiciales.

La tendencia ya es evidente en Estados Unidos. Desde 2023 se ha producido un notable incremento de las demandas relacionadas con el AI washing, acompañado de una creciente actividad supervisora. Un hito especialmente significativo fue la actuación de la U.S. Securities and Exchange Commission (SEC), autoridad federal encargada de la supervisión de los mercados de valores estadounidenses, que el 18 de marzo de 2024 sancionó a las sociedades de asesoramiento financiero Delphia (USA) Inc. y Global Predictions Inc. por realizar declaraciones falsas o engañosas acerca del supuesto uso de inteligencia artificial en sus procesos de inversión y en su actividad empresarial. La SEC consideró que ambas entidades habían utilizado el atractivo comercial de la IA para inducir a error a inversores y clientes potenciales, popularizando, además, el término AI washing.

.Los comportamientos sancionados, por falsos y por incitar a error , consistían en que, por una parte,  Delphia afirmaba utilizar modelos de IA y machine learning basados en datos de sus clientes (pero tales capacidades no existían en los términos anunciados). Por otra parte,  Global Predictions se presentaba como el «primer asesor financiero regulado por IA» y publicitaba previsiones «impulsadas por IA» sin un fundamento de realidad suficiente.

Ambas entidades aceptaron pagar las sanciones  (225.000 y 175.000 dólares, respectivamente), además de  obedecer a las órdenes de cese de las prácticas cuestionadas. La SEC subrayó que las empresas no pueden aprovechar el atractivo comercial de la inteligencia artificial para realizar afirmaciones inexactas o engañosas, acuñando expresamente el término AI washing para referirse a este tipo de conductas.

Estos asuntos constituyen una advertencia temprana de gran relevancia: las afirmaciones públicas sobre el empleo de inteligencia artificial pueden generar responsabilidad regulatoria cuando no sean objetivamente verificables, lo que incrementa la exposición de administradores y directivos y, potencialmente, de las pólizas D&O.

La supervisión regulatoria frente a las declaraciones falsas sobre  inteligencia artificial no se limita a la transparencia frente al mercado. También alcanza a los sistemas internos de cumplimiento normativo. Un buen ejemplo lo ofrece la Office of Foreign Assets Control (OFAC), oficina del Departamento del Tesoro de los Estados Unidos responsable de administrar y hacer cumplir los programas de sanciones económicas y comerciales internacionales. OFAC mantiene, entre otras funciones, la conocida Specially Designated Nationals and Blocked Persons List (SDN List) y supervisa el cumplimiento de los regímenes de sanciones estadounidenses. En el ámbito financiero, se admite el empleo de inteligencia artificial y de técnicas de machine learning en funciones críticas como los sistemas de sanctions screening, pero se insiste en que estas tecnologías no sustituyen la responsabilidad de las organizaciones ni eliminan la necesidad de mantener controles internos eficaces, supervisión humana, validación continua de los modelos y adecuados mecanismos de auditoría. La utilización de inteligencia artificial no exime del cumplimiento de las obligaciones legales: únicamente constituye una herramienta cuyo funcionamiento debe poder explicarse, verificarse y supervisarse.

La OFAC no exige aplicar una tecnología específica. Si demanda, en cambio , la puesta en marcha de programas de cumplimiento eficaces, basados en una evaluación adecuada del riesgo, controles internos, auditorías y el compromiso de la dirección. También insiste en que la inteligencia artificial puede mejorar la eficacia del screening, pero nunca sustituye la responsabilidad de la empresa ni la obligación de demostrar la efectividad de su sistema de cumplimiento.

La actuación de los reguladores estadounidenses frente al AI washing se ha intensificado también en el ámbito de la protección de los consumidores. El 25 de agosto de 2025, la Federal Trade Commission (FTC) presentó una demanda contra Air AI, empresa dedicada a la comercialización de herramientas de inteligencia artificial y servicios de formación empresarial.

Según la FTC, la compañía habría realizado afirmaciones engañosas al asegurar que su sistema de IA, denominado Odin, podía mantener conversaciones telefónicas autónomas con una calidad equiparable a la de un ser humano, sustituir a los comerciales y ejecutar de forma independiente tareas empresariales complejas. Sin embargo, la autoridad consideró que el sistema  Odin no funcionaba conforme a lo anunciado, presentando graves limitaciones incluso para realizar funciones básicas como concertar citas, registrar direcciones de correo electrónico o responder correctamente a preguntas de los usuarios.

La FTC alegó que estas declaraciones permitieron a la empresa obtener millones de dólares de emprendedores y pequeñas empresas, algunas de las cuales habrían sufrido pérdidas económicas relevantes. En su demanda, la FTC solicitó medidas cautelares inmediatas. Este asunto, a modo de ejemplo, constituye el cuarto procedimiento por AI washing iniciado por la FTC en 2025 y el duodécimo desde 2024, lo que pone de manifiesto una tendencia en auge, frente a las prácticas comerciales engañosas relacionadas con la inteligencia artificial.

El asunto resulta especialmente relevante porque constituye uno de los primeros casos en los que un regulador cuestiona expresamente las afirmaciones relativas a la denominada IA agéntica (agentic AI), así como las promesas de sustitución de trabajadores humanos por sistemas de inteligencia artificial. Y, el mensaje es que , para poder afirmar, es necesario acreditar técnicamente las capacidades reales de los productos y servicios, y evitar afirmaciones publicitarias que puedan inducir a error a consumidores, clientes o inversores.

Los enfoques de los supervisores estadounidenses responden a ámbitos regulatorios distintos entre sí, pero transmiten un mismo mensaje. La inteligencia artificial deja de ser únicamente una cuestión tecnológica para convertirse en un verdadero problema de gobierno corporativo y de competencia desleal. Ya no basta con incorporar soluciones de IA; es necesario, además , demostrar que su utilización está sometida a mecanismos eficaces de supervisión, control y rendición de cuentas.

Expo na Cidade da Cultura (Santiago, 2021)

En Europa, el panorama presenta características propias.

 

El Reglamento (UE) 2024/1689, conocido como AI Act, no establece una responsabilidad personal específica para los administradores por el mero uso de sistemas de inteligencia artificial. Sin embargo, sí refuerza indirectamente sus deberes de diligencia, supervisión y organización mediante la exigencia de estructuras capaces de garantizar un uso responsable de estas tecnologías y de gestionar adecuadamente los riesgos asociados.

En consecuencia, la gobernanza de la inteligencia artificial deja de ser una cuestión exclusivamente tecnológica para convertirse en un asunto propio del gobierno corporativo. Los riesgos asociados a la IA deben identificarse, evaluarse y comunicarse periódicamente al consejo de administración, integrándose en los sistemas de control interno junto a los riesgos financieros, de cumplimiento normativo, ciberseguridad o sostenibilidad.

La supervisión humana efectiva, la existencia de políticas internas, la formación de los empleados, la trazabilidad de las decisiones automatizadas, la documentación de los modelos utilizados y la verificación de las afirmaciones públicas realizadas sobre el empleo de inteligencia artificial constituyen ya elementos esenciales de una adecuada gestión empresarial. La ausencia de información suficiente al consejo o la falta de mecanismos de supervisión podrían llegar a interpretarse como deficiencias en el cumplimiento del deber de diligencia y vigilancia de los administradores.

Mongolfiera

Todo ello tiene una consecuencia especialmente relevante desde la perspectiva aseguradora. El AI washing comienza a perfilarse como una nueva fuente de exposición para las pólizas D&O, al incrementar el riesgo de reclamaciones por parte de accionistas, inversores, autoridades supervisoras, consumidores o terceros afectados. La gestión adecuada de la inteligencia artificial deja así de ser únicamente una cuestión de innovación para convertirse también en un elemento esencial de prevención del riesgo jurídico y de protección de los órganos de administración.

En los próximos años, probablemente la gobernanza de la inteligencia artificial ocupará una posición semejante a la que hoy tienen la ciberseguridad o el cumplimiento normativo. Los consejos de administración no solo deberán decidir sobre la adopción de sistemas de IA, sino también acreditar que su utilización responde a criterios de diligencia, transparencia, control interno y supervisión efectiva. La inteligencia artificial ya no constituye únicamente una oportunidad tecnológica: es, cada vez con mayor intensidad, un asunto de gobierno corporativo, responsabilidad de administradores y gestión integral del riesgo empresarial.

Más en las fuentes:

Regulación, acceso y poder económico en la nueva gobernanza de la IA

Cuando hablamos de inteligencia artificial, la mayor parte del debate jurídico gira en torno a cuestiones funcionales como la protección de los derechos fundamentales, la responsabilidad por los daños causados por sistemas automatizados, la transparencia algorítmica, la privacidad o la ciberseguridad. Son aspectos  esenciales de la nueva realidad y, con razón, ocupan un lugar central en la reflexión. Sin embargo, mientras el debate continúa centrado en cómo debe regularse la inteligencia artificial, comienza a emerger otra cuestión que podría resultar aún más decisiva durante la próxima década: ¿quién podrá acceder a las capacidades más avanzadas de inteligencia artificial y bajo qué condiciones?

Garexo no verán

Garexo no verán

La pregunta plantea un problema clásico del Derecho económico, pues no es lo mismo regular una actividad que controlar el acceso a ella.

  • Regular significa establecer reglas generales de funcionamiento para todos los operadores que participan en un determinado mercado. Es la lógica tradicional del Derecho económico: las empresas pueden desarrollar libremente una actividad siempre que respeten determinadas obligaciones legales, de competencia, de protección de consumidores, de seguridad o de protección ambiental.
  • Otro concepto muy distinto consiste en controlar quién puede acceder a una determinada actividad o a determinados recursos indispensables para desarrollarla. En ese caso, el Derecho deja de limitarse a disciplinar el funcionamiento del mercado para intervenir sobre su propia estructura, condicionando quién puede participar y quién queda excluido.

Como es sabido, existen actividades sometidas a autorización administrativa, concesiones, licencias o reservas legales precisamente porque el legislador considera que están vinculadas a intereses públicos especialmente intensos. Hasta hace muy poco, la inteligencia artificial no parecía que fuera a pertenecer a esa categoría. Pero la situación está cambiando con enorme rapidez. Hoy la inteligencia artificial ya no constituye únicamente una herramienta para mejorar la productividad empresarial. Se ha convertido en un elemento decisivo para la defensa nacional, la ciberseguridad, la investigación científica, la medicina, la industria, las infraestructuras críticas y la competitividad económica. La IA ha dejado de ser únicamente una tecnología innovadora para convertirse también en un activo estratégico. Y cuando una tecnología adquiere esa condición, inevitablemente cambia la naturaleza de la regulación jurídica que la rodea. Por esa razón, tanto Estados Unidos como la Unión Europea han comenzado a incorporar la inteligencia artificial dentro de sus políticas de seguridad económica y de autonomía estratégica.

Quizá el verdadero objeto de regulación ya no tenga que ser la inteligencia artificial considerada de forma abstracta, sino el acceso a las capacidades necesarias para desarrollar los sistemas más avanzados:  la potencia de cálculo, los grandes centros de datos, los procesadores especializados, las infraestructuras cloud, los modelos fundacionales de última generación o determinados conjuntos masivos de datos de alta calidad. Sin acceso a esos recursos resulta prácticamente imposible desarrollar inteligencia artificial de frontera.

Así, el debate principal deja de centrarse en cómo debe utilizarse la inteligencia artificial y comienza a consistir en quien puede acceder a los factores esenciales que permiten producirla.

¿Daría esto lugar a una nueva forma de intervención pública?.  Conviene ser prudentes.  Hoy no existe, ni en la Unión Europea ni en Estados Unidos, una autorización administrativa general para desarrollar inteligencia artificial. El Reglamento europeo de Inteligencia Artificial (AI Act), con su reforma Omnibus incluida, no establece un sistema de licencias para crear modelos de IA. Su lógica continúa siendo la de clasificar los sistemas según su nivel de riesgo, prohibir determinados usos especialmente graves, imponer obligaciones reforzadas a los sistemas de alto riesgo y regular los modelos de propósito general, pero mantiene como principio general la libre circulación de los sistemas conformes dentro del mercado interior.

Sin embargo, junto a este modelo comienza a dibujarse otra realidad:

El acceso a determinadas capacidades tecnológicas depende cada vez más de decisiones públicas relacionadas con la seguridad nacional, los controles de exportación, la disponibilidad de semiconductores avanzados, la utilización de supercomputadores, la protección de infraestructuras críticas o la financiación pública de grandes proyectos tecnológicos.

No nos encontramos todavía ante un régimen de autorización administrativa en sentido estricto. Sin embargo, la evolución del marco regulatorio comienza a producir efectos económicos y competitivos que presentan una creciente analogía funcional con los sistemas de acceso condicionado al mercado.

En una economía de mercado, la obtención de ventajas competitivas debería descansar fundamentalmente sobre la capacidad de innovación, la eficiencia productiva, la inversión y la calidad de la organización empresarial. No obstante, este equilibrio puede verse alterado cuando el acceso a determinados recursos tecnológicos o infraestructuras estratégicas deja de depender exclusivamente de la capacidad empresarial y pasa a condicionarse al cumplimiento de requisitos regulatorios de elevada complejidad o, incluso, a decisiones institucionales relativas al acceso a capacidades consideradas críticas.

En estas circunstancias, la propia estructura competitiva del mercado puede experimentar transformaciones relevantes. Las empresas de menor dimensión, aun cuando dispongan de una elevada capacidad innovadora, encuentran mayores dificultades para acceder a los recursos esenciales para competir en igualdad de condiciones. Paralelamente, el incremento de los costes de cumplimiento normativo puede operar como una barrera de entrada, favoreciendo procesos de concentración económica y reforzando las ventajas estructurales de los operadores ya establecidos.

Los grandes operadores no solo disponen, por regla general, de mayores capacidades financieras y tecnológicas, sino también de recursos organizativos y jurídicos suficientes para gestionar con mayor eficacia la creciente complejidad regulatoria e integrarse en los ecosistemas tecnológicos y de gobernanza que se configuran en torno a las infraestructuras estratégicas de inteligencia artificial. Esta ventaja institucional se añade a las economías de escala y de red ya existentes, pudiendo consolidar posiciones de mercado particularmente difíciles de disputar.

Desde esta perspectiva, la cuestión trasciende el ámbito propio de la regulación tecnológica para proyectarse sobre el Derecho de la competencia y el Derecho del mercado interior. Ambos sectores del ordenamiento deberán afrontar el desafío de evitar que mecanismos regulatorios concebidos para proteger intereses públicos legítimos —como la seguridad, la resiliencia o la protección de los derechos fundamentales— produzcan, de forma indirecta, efectos restrictivos sobre la competencia o generen barreras de acceso incompatibles con los principios de apertura de los mercados y de libertad de empresa. El reto jurídico consistirá, por tanto, en preservar un equilibrio adecuado entre los objetivos regulatorios y el mantenimiento de unas condiciones de competencia efectivas, evitando que la gobernanza de la inteligencia artificial evolucione hacia modelos de acceso selectivo que, sin constituir formalmente regímenes autorizatorios, desplieguen consecuencias económicas sustancialmente equivalentes.

Europa y Estados Unidos siguen caminos parcialmente distintos

La respuesta de la Unión Europea presenta rasgos propios. El Reglamento (UE) 2024/1689 sobre inteligencia artificial (AI Act) no persigue determinar qué empresas pueden desarrollar sistemas de inteligencia artificial ni establecer un régimen de autorización para el acceso a esta tecnología. Su finalidad consiste en configurar un marco jurídico uniforme que garantice un elevado nivel de protección de los derechos fundamentales, la seguridad y otros intereses públicos, evitando al mismo tiempo la fragmentación regulatoria del mercado interior. El principio que inspira el modelo europeo continúa siendo, por tanto, el de la libre circulación de los sistemas de inteligencia artificial que cumplen los requisitos armonizados establecidos por el Reglamento.

Rio Arno, Luminaria, di San Rainieri, 2024

La aproximación estadounidense responde a una lógica diferente. Sin abandonar los mecanismos propios de una economía de mercado, la inteligencia artificial ha pasado a integrarse progresivamente en la estrategia nacional de liderazgo tecnológico, seguridad económica y competencia geopolítica. En este contexto, el acceso a determinados recursos estratégicos —como los semiconductores avanzados, la capacidad de computación o los modelos fundacionales de mayor potencia— se contempla cada vez más como un elemento de política industrial y de seguridad nacional, cuya disponibilidad puede quedar condicionada por decisiones públicas relativas a exportaciones, inversiones, suministro tecnológico o cooperación internacional.

La diferencia entre ambos modelos no reside tanto en el mayor o menor grado de intervención pública cuanto en la distinta finalidad que orienta dicha intervención. Mientras la Unión Europea continúa construyendo un régimen jurídico destinado principalmente a ordenar el funcionamiento del mercado interior y a garantizar un desarrollo confiable de la inteligencia artificial, Estados Unidos incorpora esta tecnología de manera creciente al ámbito de la competencia estratégica internacional, donde confluyen objetivos económicos, industriales, tecnológicos y de seguridad.

Esta divergencia anticipa una de las cuestiones que probablemente dominarán el debate jurídico durante los próximos años. Durante la última década, el interrogante central ha consistido en determinar cómo debía regularse la inteligencia artificial. Sin embargo, la evolución reciente permite plantear que la cuestión decisiva pueda dejar de ser la regulación de la actividad para trasladarse al régimen jurídico del acceso a las capacidades tecnológicas que hacen posible dicha actividad.

En este escenario, el problema ya no consiste únicamente en establecer obligaciones de transparencia, seguridad o diligencia para quienes desarrollan o utilizan sistemas de inteligencia artificial. También será necesario determinar en qué condiciones jurídicas podrán acceder los operadores económicos a infraestructuras esenciales, capacidad de computación, modelos fundacionales, grandes conjuntos de datos o componentes tecnológicos cuya relevancia estratégica resulta cada vez más evidente. La cuestión adquiere especial trascendencia desde la perspectiva de la libertad de empresa, la competencia efectiva y el correcto funcionamiento del mercado interior.

Naturalmente, los poderes públicos disponen de razones legítimas para proteger tecnologías críticas, infraestructuras esenciales y capacidades estratégicas cuya utilización puede afectar a la seguridad nacional, la resiliencia económica o la autonomía tecnológica. Sin embargo, esa protección deberá conciliarse con los principios que tradicionalmente han sustentado las economías abiertas: la libertad de acceso al mercado, la igualdad de oportunidades entre operadores, la innovación y la preservación de una competencia efectiva capaz de favorecer la aparición de nuevos actores.

La experiencia histórica demuestra que los grandes ciclos de innovación tecnológica han prosperado cuando el ordenamiento jurídico ha logrado mantener un equilibrio razonable entre regulación e iniciativa empresarial. Una intervención insuficiente puede comprometer intereses públicos esenciales; una intervención excesivamente restrictiva puede reducir la innovación, elevar las barreras de entrada y favorecer procesos de concentración económica. La inteligencia artificial no parece escapar a esta tensión estructural. Desde esta perspectiva, cabe sostener que el principal desafío jurídico de la próxima década no consistirá únicamente en determinar qué modelo de inteligencia artificial alcanza mayores niveles de rendimiento o qué empresas liderarán el desarrollo tecnológico. La cuestión verdaderamente decisiva será definir quién podrá acceder a las capacidades estratégicas que hacen posible esa inteligencia artificial y cuáles serán los límites jurídicos que condicionen dicho acceso.

En otras palabras, el centro de gravedad del Derecho económico de la inteligencia artificial puede desplazarse desde la regulación de la actividad hacia la gobernanza del acceso a los recursos tecnológicos estratégicos. Si esta evolución termina consolidándose, estaremos ante una transformación de gran alcance: el tránsito desde un mercado caracterizado, en esencia, por la libre disponibilidad de los recursos tecnológicos hacia otro en el que determinadas capacidades —especialmente la computación avanzada, los modelos fundacionales, los semiconductores de última generación o las infraestructuras críticas de datos— adquieran progresivamente la condición de activos estratégicos, cuyo acceso dejará de depender exclusivamente de las dinámicas del mercado para quedar crecientemente condicionado por decisiones regulatorias, institucionales y geopolíticas. Ello obligará al Derecho económico, al Derecho de la competencia y al Derecho público económico a redefinir categorías tradicionales concebidas para mercados abiertos, incorporando una nueva dimensión en la que la regulación del acceso a capacidades tecnológicas estratégicas puede convertirse en uno de los elementos centrales de la gobernanza de la economía digital.

FUENTES DE INTERÉS:

Estados Unidos

Unión Europea

 

La Unión Europea crea el CSC-EDIC: un nuevo consorcio para formar el talento europeo en ciberseguridad

La Comisión Europea ha aprobado la Decisión de Ejecución (UE) 2026/1416, de 30 de junio de 2026, mediante la que se constituye el European Digital Infrastructure Consortium for the Cybersecurity Skills Coalition (CSC-EDIC): un paso relevante en la consolidación de la política europea de ciberseguridad.

strolling along the shore

Los European Digital Infrastructure Consortia (EDIC) son una figura jurídica creada por la Decisión (UE) 2022/2481 sobre la Década Digital. Su finalidad, en general, consiste en permitir que varios Estados miembros desarrollen conjuntamente proyectos estratégicos de infraestructura digital, dotándolos de personalidad jurídica propia y de un marco estable de financiación y gobernanza.

En el caso del CSC-EDIC, el nuevo consorcio estará dedicado exclusivamente al desarrollo de capacidades en materia de ciberseguridad. La Comisión reconoce así, como base material de su decisión, que la falta de talento constituye una vulnerabilidad estructural para la competitividad y la resiliencia europea. Por ello, junto a la regulación material, comienza a construirse una verdadera infraestructura institucional destinada a generar capacidades.  Este CSC-EDIC en concreto ha sido impulsado inicialmente por Grecia, Austria, Croacia, Chipre y Eslovenia, siendo Grecia el Estado anfitrión. Su sede se ubicará en Atenas y el consorcio tendrá una duración inicial de diez años, prorrogable.Como ocurre con otros EDIC, podrán incorporarse posteriormente nuevos Estados miembros

La misión de este consorcio es reducir el déficit europeo de talento en ciberseguridad. La Comisión identifica como principal objetivo del CSC-EDIC afrontar la creciente escasez de profesionales especializados en ciberseguridad. Para ello, desarrollará actuaciones dirigidas a: impulsar la formación especializada; facilitar el reciclaje profesional (reskilling y upskilling); mejorar las competencias del sector público y privado; apoyar a las pequeñas y medianas empresas; – contribuir a la aplicación práctica de la normativa europea en materia de ciberseguridad. No se trata únicamente de formar expertos técnicos. La Comisión conecta expresamente este proyecto con la necesidad de garantizar el cumplimiento efectivo del creciente conjunto de normas europeas en materia digital.

La decisión prevé que el CSC-EDIC trabaje de forma coordinada con – la Agencia de la Unión Europea para la Ciberseguridad (ENISA); y con el Centro Europeo de Competencia en Ciberseguridad (ECCC). Asimismo, utilizará herramientas ya desarrolladas por ENISA, en particular el European Cybersecurity Skills Framework, evitando duplicidades y reforzando la coherencia del ecosistema europeo.

El CSC‑EDIC apoyará la consecución de los objetivos establecidos en la Comunicación de la Comisión de 18 de abril de 2023, titulada «Colmar la brecha de talento en materia de ciberseguridad para impulsar la competitividad, el crecimiento y la resiliencia de la UE» [COM(2023) 207 final], orientados a mejorar las capacidades de educación, formación y desarrollo de la mano de obra de la Unión en materia de ciberseguridad. Para el desempeño de esta tarea principal, el CSC‑EDIC abordará el creciente déficit de competencias en ciberseguridad y promoverá el desarrollo de capacidades entre las autoridades públicas, la industria y las pequeñas y medianas empresas de los Estados miembros, reforzando así la competitividad, el crecimiento y la resiliencia de la Unión.

Con el fin de alcanzar estos objetivos, el CSC-EDIC desarrollará una actuación dinámica orientada a reforzar la cualificación y el reciclaje profesional de los especialistas en ciberseguridad, adaptando la oferta de capacidades a las necesidades del mercado de trabajo, a los déficits de competencias identificados y a las exigencias de cumplimiento normativo de las industrias de la Unión y de las administraciones nacionales. Asimismo, apoyará la aplicación efectiva de los instrumentos jurídicos europeos en materia de ciberseguridad y favorecerá su implantación práctica, en coherencia con la iniciativa de la «Unión de las Competencias» (Union of Skills), presentada por la Comisión Europea en su Comunicación de 5 de marzo de 2025. Esta estrategia persigue dotar a los ciudadanos de la Unión de las capacidades necesarias para afrontar con éxito tanto su formación como su trayectoria profesional, promover el reconocimiento y aprovechamiento de dichas competencias en el conjunto de los Estados miembros, corregir los desequilibrios de género y facilitar a las empresas el acceso al capital humano especializado que requieren, reforzando así la competitividad y la inclusión en el mercado europeo.

Esta orientación refleja una evolución significativa de la política europea de ciberseguridad. Durante la última década, la actuación de la Unión se ha centrado principalmente en la adopción de un marco regulatorio cada vez más exigente, integrado, entre otros instrumentos, por la Directiva NIS2, el Reglamento de Ciberresiliencia (Cyber Resilience Act), el Reglamento DORA y el Reglamento de Inteligencia Artificial. Sin embargo, la efectividad de este conjunto normativo depende, en gran medida, de la existencia de profesionales suficientemente cualificados para aplicarlo e integrarlo en la gestión de las organizaciones. En consecuencia, la política europea evoluciona desde un modelo basado esencialmente en la imposición de obligaciones jurídicas hacia otro más amplio, en el que la regulación se complementa con mecanismos de coordinación institucional, financiación, desarrollo de capacidades e infraestructuras comunes destinadas a garantizar una aplicación efectiva y homogénea del marco normativo europeo.

 

 

Reformas en las infraestructuras europeas de pagos, TARGET

La Orientación (UE) 2026/1473 del Banco Central Europeo, que modifica la Orientación (UE) 2022/912 sobre el sistema TARGET, representa un nuevo paso en la transformación de las infraestructuras financieras europeas hacia un modelo caracterizado por la automatización, la interoperabilidad y la resiliencia operacional.

TARGET constituye la principal infraestructura del Eurosistema para la liquidación bruta en tiempo real y el funcionamiento de los pagos instantáneos mediante TIPS (TARGET Instant Payment Settlement), esencial para la estabilidad financiera europea. El objetivo principal de esta reforma es adaptar los servicios de liquidación, incluyendo la incorporación del esquema de transferencias inmediatas One-Leg Out del Consejo Europeo de Pagos y la habilitación de envío de flujos de liquidez para los bancos centrales.

La nueva Orientación persigue tres grandes objetivos que reflejan que estamos ante una evolución en el diseño institucional de una infraestructura crítica:

  • incorporar nuevas funcionalidades para los pagos instantáneos;
  • optimizar la gestión automática de la liquidez de las entidades participantes;
  • reforzar determinados mecanismos de gobernanza y gestión del riesgo dentro del sistema.

La automatización de la liquidez

Una de las novedades más relevantes consiste en la introducción de traspasos automáticos de liquidez basados en reglas («rule-based liquidity transfers«).

Las entidades podrán fijar umbrales mínimos y máximos en sus cuentas TIPS. Cuando el saldo supere o descienda de esos límites, el propio sistema ejecutará automáticamente movimientos de liquidez entre cuentas, evitando intervenciones manuales y mejorando la eficiencia operativa. Esta funcionalidad estará operativa en verano de 2026. Con este nuevo instrumento, determinadas decisiones tradicionalmente adoptadas por operadores humanos pasan a integrarse directamente en la arquitectura normativa del sistema.

Pagos instantáneos internacionales

Otra modificación importante prepara TARGET para operar con el Esquema SEPA One-Leg Out (OCT Inst), que permitirá procesar determinados pagos instantáneos cuando una de las entidades participantes se encuentre fuera del espacio SEPA tradicional.

La Orientación adapta las condiciones de participación, los requisitos de adhesión y los procedimientos técnicos para hacer posible esta interoperabilidad a partir del 14 de noviembre de 2026. Se trata de un paso relevante hacia la internacionalización de los pagos instantáneos europeos.

Nuevos criterios de gestión del riesgo

La reforma también introduce modificaciones menos visibles pero especialmente significativas desde el punto de vista jurídico. Entre ellas destacan  algunas, por su impacto en reducir la discrecionalidad, reforzar la seguridad jurídica y aumentar la resiliencia del sistema:

Pisa di notte

  • – la clarificación de las condiciones de acceso de entidades sujetas a medidas restrictivas o sanciones internacionales;
  • – una mayor precisión sobre los efectos de la suspensión o finalización de la participación en TARGET;
  • – la actualización de los activos de garantía aplicables a las operaciones de crédito intradía conforme al nuevo marco del Eurosistema;
  • – la revisión de determinadas estructuras tarifarias aplicables a las cuentas RTGS.

Infraestructuras críticas y gobernanza

Quizá el aspecto más interesante de esta reforma sea el cambio de paradigma que refleja. Las infraestructuras financieras dejan de ser simples plataformas de liquidación para convertirse en auténticos sistemas de gobernanza automatizada. Las reglas jurídicas ya no solo determinan quién puede participar o qué obligaciones existen, sino que se incorporan directamente al funcionamiento del software que ejecuta las operaciones. La liquidez, los límites operativos, las autorizaciones y las condiciones de acceso pasan a gestionarse mediante reglas predefinidas que el propio sistema aplica automáticamente.

Este fenómeno confirma una tendencia cada vez más visible en el Derecho financiero europeo: la regulación se proyecta sobre la arquitectura tecnológica de las infraestructuras críticas, convirtiendo el diseño del sistema en un auténtico instrumento de política regulatoria.

La modificación de TARGET ilustra perfectamente cómo las infraestructuras digitales críticas se están convirtiendo en espacios donde convergen el Derecho, la tecnología y la estabilidad financiera.

Este tipo de normas muestran que la resiliencia ya no depende únicamente de obligaciones jurídicas impuestas a los operadores, sino también del diseño de las propias arquitecturas técnicas que ejecutan automáticamente dichas obligaciones. Por tanto, la transformación digital del sistema financiero europeo no consiste únicamente en acelerar los pagos, sino en rediseñar las reglas de funcionamiento de una de las infraestructuras esenciales sobre las que descansa el mercado interior.

“Direito Comercial na Era Digital”, Universidade Lusófona, Porto 22 abril 2026

El 22 de abril, se celebra el coloquio “Direito Comercial na Era Digital”, una jornada académica dedicada al análisis de los principales desafíos que plantea la transformación digital en el ámbito del derecho comercial. El encuentro tiene lugar en la  Universidade Lusófona – Centro Universitário do Porto

Participan como ponentes y moderadores los profesores Marcos Cruz González (Universidad de Salamanca), Pedro Dias Venâncio (Universidade do Minho), César Pires (Instituto Politécnico de Bragança), Fernanda Rebelo (Universidade Portucalense), Carlos Filipe Costa (Dower Law Firm), Elena Pérez Carrillo (Universidad de León), Pedro Pablo Pérez Carbó (Universidad de los Andes), Ana Gonçalves, Mário Lourenço, Ana Isabel Guerra y João Tavares (Universidade Lusófona). La actividad cuenta, además, con la colaboración institucional de la Universidade Lusófona – Centro Universitário Porto, la Faculdade de Direito e de Ciência Política (FDCP), el CEAD – Centro de Estudos Avançados em Direito “Francisco Suárez”, la Fundação para a Ciência e a Tecnologia (FCT) y la firma Dower Law Firm.

El programa aborda cuestiones como la competencia en mercados digitales, los contratos celebrados a distancia, la desmaterialización de títulos de transporte, la responsabilidad de los administradores en entornos digitales y la evolución del derecho industrial en la era tecnológica

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

En mi ponencia,  “O Direito Industrial na era Digital”, examino cómo la ciberseguridad y los sistemas de trazabilidad digital se han convertido en herramientas clave para proteger la propiedad industrial frente a la falsificación y la exfiltración de información estratégica.. Las infraestructuras seguras, los registros electrónicos robustos y los estándares de seguridad  son hoy fundamentales en la tutela efectiva de marcas, diseños, patentes y secretos empresariales en las cadenas de suministro físicas y digitales.

 

  1. En la economía digital, la lucha contra la falsificación ya no se limita al control físico de mercancías en fronteras o almacenes: es un problema de ciberseguridad y de gestión de datos. Las cadenas de suministro son cada vez más digitales, conectadas y distribuidas, y los falsificadores aprovechan esa complejidad para insertar productos ilícitos, manipular información de origen o explotar vulnerabilidades en los sistemas de trazabilidad. Las consecuencias son diversas: se ponen en riesgo la salud y seguridad de los consumidores, pero también el valor económico de las marcas, diseños y demás activos de propiedad industrial.
    • En este contexto, las soluciones tecnológicas de seguridad pasan a funcionar como instrumentos jurídicos indirectos de protección de la propiedad industrial: contribuyen a demostrar autenticidad, a documentar el recorrido de los bienes y a acreditar que la empresa ha actuado con la diligencia exigible frente a la falsificación
    • La trazabilidad digital basada en infraestructuras seguras permite rastrear el bien desde su origen hasta el consumidor final, detectar puntos de desviación en la cadena de suministro, o acreditar la autenticidad frente a falsificaciones que vulneran marcas, diseños o indicaciones geográficas. Esta trazabilidad deja de ser una mera herramienta logística para convertirse en un mecanismo de control jurídico del ciclo de vida del producto.

 

2. Las obligaciones regulatorias recientes en materia de ciberseguridad y servicios digitales refuerzan esta convergencia entre seguridad informática y protección de la propiedad industrial, incrementan el coste y la dificultad de introducir productos falsificados en los canales legítimos de distribución y reducen las asimetrías de información entre empresas, titulares de derechos y consumidores.

  • Así, la  Directiva (UE) 2022/2555 (NIS2) exige a operadores esenciales y entidades importantes una gestión del riesgo que cubra toda la cadena de suministro digital, incluidos proveedores críticos, integridad y disponibilidad de datos, y seguridad de sistemas industriales y logísticos. Ver esta entrada
  • O, el Reglamento (UE) 2022/2065 (Digital Services Act, DSA) impone a plataformas y otros intermediarios obligaciones de trazabilidad de comerciantes, verificación de identidad, retirada de contenidos ilícitos y cooperación con titulares de derechos, lo que se traduce en mejores herramientas para localizar vendedores de falsificados y retirar ofertas que infringen marcas y otros derechos de PI. Ver el tag DSA
    • El DSA introduce la figura de los denominados alertadores fiables (trusted flaggers), con una incidencia relevante en la tutela de los derechos de propiedad industrial en el entorno digital. Estos sujetos, designados por los Coordinadores de Servicios Digitales de los Estados miembros, deben reunir requisitos de especialización, independencia y fiabilidad, actuando en la identificación y notificación de contenidos ilícitos.Entre los actos ilícitos que identifican se incluyen, de manera destacada, aquellos que supongan infracciones de derechos de propiedad industrial, tales como el uso no autorizado de signos distintivos, la comercialización de productos falsificados o la vulneración de derechos de diseño o patente en plataformas en línea.
    • Las plataformas digitales están obligadas a otorgar prioridad al tratamiento de las notificaciones emitidas por estos alertadores cualificados, lo que refuerza la eficacia de los mecanismos de retirada o bloqueo de contenidos ilícitos, en línea con los sistemas de notice and action. 
    • Desde la perspectiva de la protección de la propiedad industrial, esta figura contribuye a una detección más ágil y cualificada de infracciones, especialmente en contextos de comercialización digital a gran escala, donde la difusión de productos que vulneran marcas, diseños o patentes puede producirse de forma rápida y masiva. En consecuencia, los trusted flaggers se integran en un modelo de diligencia debida reforzada y corregulación, que fortalece la tutela de los derechos de propiedad industrial y mejora la eficacia de los mecanismos de reacción frente a infracciones en el entorno digital.

3. Los estándares de ciberseguridad pasan a formar parte de los instrumentos de tutela de activos industriales

Rododendros y azaleas

  • Los estándares como la familia ISO/IEC 27000 y el NIST Cybersecurity Framework— se consolidan como el baseline técnico‑organizativa para proteger documentación de propiedad industrial y secretos empresariales. Concretamente, su la versión de 2022 del NISY Cybersecurity  incorpora el control 5.32 “Intellectual property rights”, que obliga a identificar y cumplir los requisitos legales, reglamentarios, contractuales y estatutarios aplicables a los derechos de propiedad intelectual e industrial.
    • La implantación de un SGSI alineado con ISO/IEC 27001, auditado y documentado, se convierteen prueba de diligencia organizativa en litigios por apropiación indebida de secretos empresariales. No solo muestra que existen controles formales, sino que la protección de activos de PI se integra en la gobernanza corporativa y en la gestión del riesgo.
    • ISO/IEC 27002 complementa este enfoque con un catálogo detallado de controles para clasificación de la información, gestión de identidades, cifrado, seguridad en el ciclo de vida de activos y protección frente a fugas de información; todo ello especialmente relevante para documentación de invenciones, diseños y procesos industriales
    • NIST Cybersecurity Framework 2.0 incorpora, en la función PROTECT, la subcategoría PR.DS‑10, relativa a la protección de la confidencialidad, integridad y disponibilidad de los datos en uso.  cuya aplicación práctica se vincula directamente a la protección de activos de PI, porque código fuente, diseños en desarrollo, expedientes de patente o documentación de I+D son precisamente datos que están en uso y, por tanto, en el momento de máxima exposición. Esta subcategoría se utiliza como ancla para justificar controles reforzados sobre repositorios de PI (código, diseños, know‑how), especialmente durante las fases de edición, revisión y transferencia interna o externa.
    • Lo anterior se completa con referencias a las aportaciones desde ENISA a la seguridad digital de activos de PI como elemento del Derecho Comercial en la Era Digital en la Unión Europea

4. El ordenamiento industrial merece una reinterpretación a la luz de los riesgos digitales

  • La articulación conjunta de la Directiva 2016/943 sobre secretos comerciales y de la Directiva 2004/48/CE sobre enforcement de los derechos de propiedad intelectual conduce, en la práctica, a una juridificación de la ciberseguridad en las empresas titulares.
  • La lógica es muy similar cuando se amplía la mirada a la Directiva y el Reglamento de marcas de la UE, así como a las leyes de patentes nacionales y el CPE.
    • Estos instrumentos reconocen derechos exclusivos sobre signos distintivos e invenciones, pero su eficacia real depende de que el titular sea capaz de identificar, gestionar y probar el uso legítimo de sus marcas y la explotación de sus patentes, así como de localizar y documentar las infracciones. Todo ello presupone sistemas de información seguros, trazables y organizados. Ver el tag marcas
    • Téngase en cuenta los regímenes de licencia obligatoria y de Licencias Justas y no discriminatoria en caso de patentes esenciales o para estándares (PEN)
  • En la práctica, la propiedad industrial digital se ve completada con deberes de los titulares. Es posible que ello lleve una relativización. Es decir, a limitar la preocupación  a supuestos concretos y . A la luz de los costes que la propia protección lleva

“Transformación Digital del Mercado Asegurador: Gobernanza y Protección del Cliente”. Congreso celebrado los días 9 y 10 de abril de 2026 en la Facultad de Derecho de la Universidade da Coruña

El Congreso Internacional de Jóvenes Investigadores “Transformación Digital del Mercado Asegurador: Gobernanza y Protección del Cliente”, celebrado los días 9 y 10 de abril de 2026 en la Facultad de Derecho de la Universidade da Coruña, constituye un espacio académico de especial relevancia para el análisis de las transformaciones que la inteligencia artificial está introduciendo en los mercados financieros y aseguradores.

Ao solpor

La dirección del Congreso ha correspondido a las profesoras e investigadoras Marta Cernadas Lázare y a Irene Filgueira Loureiro, bajo un esquema organizativo que combina rigor científico y apertura a la investigación emergente.

  1. Ejes temáticos del Congreso

El programa se articula en torno a tres grandes ejes materiales que reflejan los principales desafíos jurídicos de la digitalización del sector financiero y asegurador.

  • En primer lugar, la gobernanza de las decisiones algorítmicas en el mercado financiero, con especial atención a la inversión automatizada, los sistemas de inteligencia artificial aplicados a pagos y la interacción entre cumplimiento normativo y automatización de procesos decisorios. En este contexto, se puso de relieve la progresiva sustitución de modelos tradicionales de análisis de riesgo por sistemas algorítmicos cada vez más complejos, lo que plantea interrogantes relevantes en materia de responsabilidad, supervisión y transparencia.
  • En segundo lugar, el Congreso abordó la transformación del contrato de seguro en la era de la inteligencia artificial, con especial énfasis en la configuración del riesgo, la determinación de la prima y la aparición de nuevos productos aseguradores, incluidos los seguros telemáticos y los denominados seguros ciber. La cuestión de la imputación del riesgo tecnológico y la incidencia de los sistemas automatizados en la producción del siniestro ocupó un lugar central en el debate doctrinal.
  • En tercer lugar, se analizó la protección del cliente y la supervisión de la comercialización algorítmica, donde se examinaron fenómenos como el consumidor algorítmico, la opacidad de los sistemas de recomendación, la presencia de sesgos en la toma de decisiones automatizadas y el papel de los sistemas de inteligencia artificial en la intermediación aseguradora. Este eje permitió conectar el Derecho del seguro con problemáticas propias de la ética algorítmica y la gobernanza digital.
  1. Decisiones algorítmicas y mercado financiero

La primera sesión del Congreso se dedicó a las decisiones algorítmicas en el mercado financiero. Moderada por la profesora María del Carmen Boldó Roda, la sesión puso de relieve la creciente sofisticación de los modelos de inversión automatizada. El profesor Pedro Mario González Jiménez analizó la transición desde los modelos algorítmicos tradicionales hacia sistemas de inteligencia artificial capaces de adaptar estrategias de inversión en tiempo real. La profesora Andrea Castillo Olano abordó la transformación de los sistemas de pago en el contexto de la digitalización financiera, subrayando la necesidad de adaptar los marcos regulatorios a nuevos entornos tecnológicos. Por su parte, el profesor Pablo Sanz Bayón centró su intervención en el cumplimiento normativo en entornos automatizados, destacando la tensión entre eficiencia algorítmica y control regulatorio efectivo.

  1. Protección del cliente en el mercado asegurador

La segunda sesión matinal se centró en la protección del cliente de seguros y la supervisión de la comercialización algorítmica, moderada por la profesora Josefina Boquera Matarredona. El profesor Marcos Cruz González introdujo la noción de “consumidor algorítmico”, caracterizado por una creciente dependencia de sistemas automatizados de recomendación. La profesora Anna María García Companys analizó la responsabilidad en el gobierno corporativo prudencial de sistemas de inteligencia artificial aplicados al seguro. Finalmente, la profesora Laura Morán Fernández abordó los sesgos y discriminaciones algorítmicas desde una perspectiva técnico-jurídica.

  1. Inteligencia artificial y contrato de seguro

En la sesión de la tarde se abordó la incidencia de la inteligencia artificial en la configuración del contrato de seguro. Moderada por el profesor Manuel Areán Lalín, la sesión profundizó en la transformación de los elementos estructurales del contrato.

El profesor Antonio Casado Navarro analizó los seguros telemáticos y su vinculación con dispositivos conectados. El profesor Javier Vercher Moll estudió la nueva configuración de la prima en función de datos dinámicos y algoritmos predictivos. Finalmente, el profesor Martín José González Orús Charro examinó las pólizas ciber y los riesgos derivados de la intervención de sistemas de inteligencia artificial en la producción del siniestro.

  1. Mesas de comunicaciones

El Congreso dedicó un espacio relevante a las mesas de comunicaciones, que permitieron la exposición de trabajos de investigadores en formación. Estas sesiones abordaron cuestiones como la intermediación deshumanizada, el uso de chatbots en la contratación de seguros, la detección automatizada de fraude, la protección de datos en la evaluación algorítmica de riesgos o la responsabilidad de administradores en contextos de automatización decisional.

En este bloque,  desde la Universidad de León, Elena F. Pérez Carrillo presentó la comunicación titulada “Gobernanza de la resiliencia digital en el sector asegurador y protección del cliente”.

La comunicación presentada se centra en la relación entre resiliencia digital, gobernanza corporativa y protección del cliente en el sector asegurador, en un contexto de profunda transformación tecnológica.

El punto de partida es la constatación de que la digitalización del seguro ha modificado estructuralmente todo su ciclo operativo —desde la suscripción hasta la gestión de siniestros— mediante el uso intensivo de TIC, nube e inteligencia artificial. Este proceso ha generado riesgos estratégicos (ciberataques, dependencia de proveedores, concentración de datos) que inciden directamente en la continuidad del negocio y en la confianza del cliente.

Sobre esta base, la intervención analiza la consolidación de un marco normativo europeo de resiliencia digital (Solvencia II, DORA, IDD, IRRD y Directrices de EIOPA), que converge en un objetivo común: garantizar la continuidad operativa de las entidades y la protección efectiva del asegurado.

Desde la perspectiva de la gobernanza, se destaca el papel central del órgano de administración en la gestión del riesgo TIC. Tanto Solvencia II como DORA refuerzan su responsabilidad última, incorporando exigencias como la definición del apetito de riesgo digital, la supervisión de la externalización tecnológica, la gestión de incidentes y las pruebas de resiliencia. DORA supone un cambio relevante al convertir estas exigencias en obligaciones jurídicas directamente aplicables.

En este contexto, la diligencia del órgano de administración se redefine, integrando el riesgo cibernético en la estrategia empresarial y en el sistema de control interno. La resiliencia digital exige supervisión efectiva de terceros tecnológicos, recursos adecuados y formación, incorporándose incluso instrumentos como el ciberseguro dentro de las prácticas de buena gobernanza.

La intervención subraya asimismo el papel de la Directiva (UE) 2022/2556, que vincula la gestión de proveedores tecnológicos con la protección del cliente, al garantizar la continuidad de servicios esenciales externalizados. La futura IRRD refuerza esta lógica desde la gestión de crisis, al situar la continuidad tecnológica como presupuesto de la estabilidad de la entidad y de la protección del asegurado.

En conjunto, la comunicación propone una visión integrada del Derecho del seguro europeo, en la que resiliencia digital, gobernanza corporativa y protección del cliente convergen en un modelo holístico. La capacidad de las entidades para gestionar riesgos tecnológicos y garantizar la continuidad del servicio se configura así como un elemento central de confianza y estabilidad del sistema asegurador.

  1. Consideración final

Camelia blanca

El Congreso pone de manifiesto una tendencia ya consolidada en la doctrina contemporánea: la progresiva integración entre inteligencia artificial, mercados financieros y Derecho del seguro. Esta convergencia no se limita a una transformación técnica de los procesos de contratación o supervisión, sino que incide directamente en los fundamentos tradicionales del Derecho mercantil, particularmente en la distribución del riesgo, la transparencia contractual y la protección del cliente.

La cuestión central que atraviesa todas las intervenciones puede sintetizarse en un interrogante de fondo: cómo preservar los principios estructurales del Derecho del seguro en un entorno en el que las decisiones relevantes dejan de ser exclusivamente humanas para pasar a ser, en gran medida, algorítmicas.

El Congreso SEGUIA se configura así como un espacio de observación privilegiado de esta transformación, en el que convergen investigación jurídica, innovación tecnológica y reflexión crítica sobre los límites del Derecho en la era de la inteligencia artificial.

 

Este encuentro se inserta en el marco del Proyecto de Investigación “Inteligencia artificial en la comercialización de seguros: desafíos en materia de transparencia, gobernanza y supervisión (SEGUIA)” (PID2023-152839OB-I00), financiado por la Agencia Estatal de Investigación, y se articula asimismo con el Grupo de investigación Empresa, Consumo e Dereito (G000708), así como con el Proyecto Prometeo “El moderno Derecho del seguro” (CIPROM/2024/75). Esta pluralidad de apoyos institucionales refleja la consolidación de una línea de investigación europea orientada a la regulación de la inteligencia artificial en sectores altamente sensibles desde la perspectiva de la protección del cliente y la estabilidad del mercado.

 

TJUE, sentencia de 19 de marzo de 2026, C‑526/24, Brillen Rottler: abuso del derecho de acceso a los propios datos personales (art. 15 RGPD)

Comentario a la Sentencia del Tribunal de Justicia en el asunto C-526/24 Brillen Rottler: Una solicitud de acceso a los propios datos personales puede considerarse abusiva y denegarse si se presenta con el único fin de solicitar posteriormente una indemnización por una supuesta infracción del RGPD

El conflicto se origina cuando TC, residente en Austria, se suscribe en marzo de 2023 al boletín informativo de Brillen Rottler GmbH & Co. KG, óptica familiar establecida en Alemania, facilitando sus datos personales a través del formulario web. Poco después, ejerce ante la empresa su derecho de acceso previsto en el artículo 15 RGPD.

Brillen Rottler deniega la solicitud dentro del plazo de un mes, calificándola de “excesiva” en el sentido del artículo 12.5 RGPD, y el interesado mantiene su petición y añade una reclamación indemnizatoria de 1.000 euros al amparo del artículo 82 RGPD por daño inmaterial. El Amtsgericht Arnsberg plantea varias cuestiones prejudiciales sobre:

  • si incluso una primera solicitud de acceso puede ser “excesiva/abusiva” y, por tanto, denegarse;

  • si cabe indemnización por vulneración del derecho de acceso aunque no exista un tratamiento ilícito de datos como tal;

  • y cómo se configura el daño inmaterial indemnizable.

Cuestiones jurídicas planteadas

Las cuestiones centrales se refieren a la interpretación de los artículos 12.5, 15.1 y 82.1 RGPD:

  • Alcance de la cláusula que permite al responsable negase a actuar cuando las solicitudes sean “manifiestamente infundadas o excesivas” (art. 12.5).

  • Posibilidad de considerar “excesiva” una primera solicitud, pese a que el precepto menciona la repetición como ejemplo típico.

  • Configuración del derecho a indemnización por vulneración del derecho de acceso, incluso si la infracción se concreta en una negativa a tramitar la solicitud.

  • Determinación de si la pérdida de control sobre los datos o la incertidumbre sobre su tratamiento puede constituir daño inmaterial indemnizable.

Estas cuestiones sitúan el caso en la intersección entre la amplitud del derecho de acceso y el principio de prohibición del abuso del derecho en el marco del Derecho de la Unión.

Razonamiento del TJUE sobre el carácter “excesivo/abusivo”

El Tribunal declara que el artículo 12.5 RGPD permite considerar “excesiva” incluso una primera solicitud de acceso, siempre que concurran criterios estrictos, habida cuenta de que se trata de una excepción al derecho de acceso que debe interpretarse de forma restrictiva.

El TJUE fija los siguientes elementos:

  • El carácter repetitivo de las solicitudes es un indicio, pero no un requisito necesario; la “primera” solicitud puede ser excesiva si se acredita abuso.

  • La carga de la prueba recae sobre el responsable del tratamiento, que debe demostrar, a la vista de todas las circunstancias, que la solicitud no se presentó para conocer el tratamiento ni verificar su licitud, sino con intención abusiva, en particular para crear artificialmente las condiciones necesarias para reclamar una indemnización.

  • El Tribunal admite que el patrón de conducta del interesado (suscripciones sucesivas, solicitudes de acceso y reclamaciones indemnizatorias frente a distintos responsables) puede constituir un indicador relevante de ese uso instrumental del derecho.

Con ello, el TJUE no convierte el carácter económico de la pretensión en ilegítimo per se, pero sí exige que el ejercicio del derecho de acceso mantenga un vínculo real con su finalidad propia: permitir al interesado conocer y controlar el tratamiento de sus datos personales.

Derecho a indemnización y daño inmaterial

En relación con el artículo 82.1 RGPD, el Tribunal declara que confiere al interesado un derecho a indemnización por los daños y perjuicios resultantes de una vulneración del derecho de acceso del artículo 15.1, aunque esa vulneración consista en la negativa a dar curso a una solicitud, y no en un tratamiento ilícito de datos en sentido estricto.

El TJUE subraya que:

  • El tenor del artículo 82.1 no limita el derecho a indemnización a daños derivados de un “tratamiento” como tal, de modo que excluir las infracciones de los derechos del capítulo III vaciaría de efecto útil la norma.

  • El daño inmaterial puede incluir la pérdida de control sobre los datos personales o la incertidumbre acerca de si estos han sido objeto de tratamiento.

  • No toda infracción del RGPD genera automáticamente derecho a indemnización: el interesado debe probar tres requisitos acumulativos: infracción del RGPD, existencia de un daño efectivo (material o inmaterial) y nexo de causalidad entre ambos.

  • No procede indemnización cuando la pérdida de control o la incertidumbre se deben precisamente a la conducta del propio interesado, que decide someter sus datos al responsable con el fin de crear artificialmente las condiciones para obtener una compensación.

Corresponde al órgano jurisdiccional nacional apreciar, sobre la base de estos criterios, si en el caso concreto concurren abuso y daño indemnizable.

Relevancia práctica

La sentencia ofrece claridad operativa a responsables del tratamiento y autoridades de control:

  • Legitima la posibilidad de denegar solicitudes de acceso abusivas, incluso si son las primeras, siempre que se motive la decisión y se pueda acreditar el uso instrumental del derecho.

  • Refuerza la idea de que el artículo 12.5 RGPD actúa como “válvula de seguridad” frente a estrategias de litigación sistemática basadas en el mero cumplimiento formal de los requisitos del derecho de acceso.

  • Al mismo tiempo, subraya que el derecho a indemnización del artículo 82 no se vacía: se extiende a la vulneración del derecho de acceso, pero exige una prueba rigurosa del daño y de su causalidad, evitando una automatización de la compensación.

Para la práctica de cumplimiento, la sentencia impone a los responsables la necesidad de documentar los indicios de abuso, revisar patrones de conducta del interesado y articular políticas internas sobre tratamiento de solicitudes sospechosas, sin trivializar el estándar probatorio exigido por el TJUE.

Encaje en la doctrina general del abuso del derecho en la UE

Brillen Rottler se inserta en la jurisprudencia que reconoce el abuso del derecho como principio general del Derecho de la Unión, aplicable transversalmente cuando un derecho conferido por una norma de la UE se ejerce de forma contraria a su objeto y finalidad.

De esa doctrina general, el TJUE retoma la construcción clásica en torno a dos elementos:

  • Elemento objetivo: pese al respeto formal de los requisitos legales, el ejercicio del derecho persigue obtener una ventaja contraria al propósito de la norma, aquí, convertir el derecho de acceso en un mero instrumento para generar litigios indemnizatorios.

  • Elemento subjetivo: existencia de una intención de obtener de modo artificioso esa ventaja, que en este caso puede inferirse de un patrón de suscripciones, solicitudes y reclamaciones repetidas frente a distintos responsables.

La aportación específica de Brillen Rottler consiste en trasladar esta lógica al régimen de los derechos del interesado del RGPD, reafirmando que dichos derechos no son absolutos ni están al margen del principio de buena fe en su ejercicio. La sentencia no recorta el contenido esencial del derecho de acceso, pero sí excluye de su ámbito de protección las conductas estratégicas destinadas a construir artificialmente un escenario indemnizatorio.

En conclusión, el TJUE: admite que una primera solicitud de acceso pueda ser considerada “excesiva” y, por tanto, denegada, cuando se pruebe su carácter abusivo (art. 12.5 y 15 RGPD); reconoce que la vulneración del derecho de acceso puede generar derecho a indemnización (art. 82), incluso sin tratamiento ilícito, pero supedita ese derecho a la acreditación de un daño real y de la ausencia de una auto-creación artificiosa de ese daño; y consolida la integración del principio de abuso del derecho en el ámbito de la protección de datos, configurando el RGPD como un sistema de garantías robustas, pero no disponible para usos meramente instrumentales.

Panorama comparado de los sellos de «confianza regulada» – a modo de esquemas de certificación de ciberseguridad.

Hay tres referencias útiles para comparar con los esquemas europeos de certificación de ciberseguridad: Estados Unidos, China e India. No son idénticas al modelo del Reglamento de Ciberseguridad pero cumplen funciones parecidas de “sello de confianza regulado”.

Estados Unidos: FedRAMP para servicios en la nube

Rododendro

En Estados Unidos, el referente más claro es el Programa Federal de Gestión de Riesgos y Autorizaciones (Federal Risk and Authorization Management Program, FedRAMP). FedRAMP es un programa federal que proporciona un enfoque estandarizado para la evaluación y autorización de seguridad de servicios y productos de computación en la nube utilizados por agencias federales.

  • FedRAMP define un marco único para que los proveedores de servicios en la nube (cloud service providers, CSP) puedan ser evaluados frente a un conjunto de controles de seguridad basados en las publicaciones del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST), en particular NIST SP 800‑53

  • El objetivo es evitar que cada agencia federal repita evaluaciones desde cero: se crea un modelo de riesgo y una autorización “común” reutilizable por múltiples agencias.

  • Existen distintos niveles (por ejemplo, impacto bajo, moderado o alto), que determinan la intensidad de los controles y el tipo de datos que pueden alojarse en ese servicio.

  • FedRAMP exige supervisión continua y revisiones periódicas, y mantiene un listado de servicios autorizados que las agencias

En la práctica, para muchos proveedores cloud, disponer de autorización FedRAMP se ha convertido en un requisito de acceso al mercado federal. Es un esquema sectorial (Administración federal, servicios en la nube) y no un marco horizontal tan amplio como el de la Unión Europea, pero ilustra bien cómo una combinación de estándares NIST y un programa federal de certificación crea un “sello” obligatorio de facto.

 

China: Esquema de Protección Multi‑nivel (MLPS 2.0) y certificaciones asociadas

En la República Popular China, el núcleo no es un único esquema de certificación, sino el Esquema de Protección Multi‑nivel (Multi‑Level Protection Scheme, MLPS 2.0), desarrollado bajo la Ley de Ciberseguridad china (Cybersecurity Law).

  • Todos los “operadores de redes” deben clasificar sus sistemas de información en niveles del 1 al 5 según su importancia para la seguridad nacional, el orden social y los derechos de los ciudadanos.

  • A partir de cierto nivel (por ejemplo, nivel 2 o superior) se exige registro ante las autoridades; a partir de nivel 3 se requiere evaluación y certificación por instituciones de ciberseguridad cualificadas, con auditorías periódicas.

  • El esquema fija requisitos crecientes de seguridad técnica, gestión interna, monitorización y respuesta a incidentes, alineados con el nivel asignado.

Además, China exige y promueve distintos certificados específicos para productos y servicios:

Camelia blanca

  • Certificación de equipos y productos de red considerados “críticos” o de uso masivo.

  • Requisitos particulares para proveedores de servicios en la nube, como uso de centros de datos ubicados en China, medidas reforzadas de control de perímetro, autenticación, copias de seguridad, etc.

  • Interacción con otras normas, como la Ley de Seguridad de Datos (Data Security Law) y la Ley de Protección de Información Personal (Personal Information Protection Law), que añaden capas de obligaciones.

A diferencia del modelo europeo, el Esquema de Protección Multi‑nivel (MLPS 2.0) está íntimamente ligado al control estatal de infraestructuras y datos: la clasificación y certificación tienen una fuerte dimensión de seguridad nacional y control regulatorio, no solo de “sello de confianza” para el mercado.

India: empanelamiento MeitY para servicios en la nube

En la India, un referente importante es el sistema de empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (Ministry of Electronics and Information Technology, MeitY) para proveedores de servicios en la nube utilizados por organismos públicos.

  • El Ministerio de Electrónica y Tecnologías de la Información (MeitY) define criterios de seguridad, interoperabilidad, portabilidad de datos, acuerdos de nivel de servicio y condiciones contractuales que deben cumplir los proveedores de servicios en la nube que quieran prestar servicios a la Administración y al sector público.

  • Los proveedores son auditados por la Dirección de Certificación de Pruebas y Calidad (Standardisation Testing and Quality Certification, STQC) y, si superan la evaluación, se “empanelan”, es decir, se incluyen en una lista de servicios autorizados para uso gubernamental.

  • Entre los requisitos figuran el alojamiento de datos dentro del territorio de la India, el cumplimiento de estándares internacionales (como ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 20000) y el ajuste a guías de seguridad específicas del Gobierno indio.l

Llegan las camelias

 

De nuevo, se trata de un esquema focalizado en servicios en la nube para el sector público, que funciona como filtro: sin empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (MeitY), un proveedor no puede competir en ciertos contratos o proyectos gubernamentales. No es tan amplio ni formalizado como el marco europeo de Certificación, pero refleja una lógica similar

Esquemas Europeos de Certificación de Ciberseguridad- ENISA_

Los esquemas europeos de certificación de ciberseguridad que impulsa la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son una pieza central del nuevo Derecho de la economía digital en la Unión Europea (UE). No son solo “sellos técnicos”: son instrumentos híbridos, a medio camino entre la normalización técnica y la regulación, que condicionan de forma creciente la contratación, la supervisión sectorial y la responsabilidad de empresas y administraciones públicas.

1. Del mosaico nacional al marco europeo: el Reglamento de Ciberseguridad (Cybersecurity Act)

Mongolfiera

El punto de partida es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad (Cybersecurity Act), que hizo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) una auténtica agencia permanente de ciberseguridad y estableció un marco europeo de certificación de ciberseguridad. Hasta su aprobación, el paisaje europeo era un mosaico de esquemas nacionales, acuerdos como el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA) y sellos privados difícilmente comparables entre sí. Cada Estado miembro podía exigir o promover sus propios certificados,

El Reglamento de Ciberseguridad (Cybersecurity Act) pretende resolver este problema mediante nuevos procedimientos que permiten que la Comisión Europea, con apoyo técnico de la  ENISA adopte esquemas europeos de certificación de ciberseguridad aplicables a productos, servicios o procesos de tecnologías de la información y la comunicación (TIC). Una vez adoptado un esquema, los certificados emitidos conforme al mismo deben ser reconocidos en todos los Estados miembros, lo que crea un mercado único de certificación y evita duplicidades de pruebas y acreditaciones.

Cada esquema define su ámbito (por ejemplo, productos de tecnologías de la información y la comunicación, servicios de computación en la nube, redes de comunicaciones móviles de quinta generación) y los niveles de aseguramiento (básico, sustancial, alto) con un conjunto de requisitos de seguridad asociados a cada nivel. También determina qué organismos pueden evaluar y certificar (organismos de certificación acreditados, laboratorios) y qué normas de acreditación se aplican (por ejemplo, la norma ISO/IEC  que se designe. El resultado es una arquitectura en la que el legislador europeo fija el marco y los objetivos, y el detalle técnico se construye sobre la base de estándares internacionales y prácticas de evaluación consolidadas.

En principio, la certificación bajo estos esquemas es voluntaria. Sin embargo, el Reglamento prevé que un producto o servicio certificado goce de una presunción de conformidad con los requisitos del esquema, lo que tiene consecuencias muy concretas: puede servir de referencia en licitaciones, ser exigido por reguladores sectoriales o convertirse en estándar de diligencia debida en determinados mercados. De facto, lo que empieza como “voluntario” tiende a convertirse en requisito de mercado o en criterio de supervisión

2. Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC)

Catedral León. Roset
on

El primer esquema adoptado formalmente bajo el Reglamento de Ciberseguridad es el Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC). Su objetivo es unificar a escala europea la certificación de productos de tecnologías de la información y la comunicación que se evaluaban tradicionalmente conforme al estándar internacional Common Criteria (CC), como tarjetas inteligentes, módulos criptográficos, sistemas operativos embebidos o ciertos elementos de infraestructuras de confianza (identidad electrónica, servicios de confianza de firma electrónica).

Antes de este EUCC, estos productos se certificaban en el marco de esquemas nacionales coordinados parcialmente por el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA), que ahora se ve progresivamente sustituido por un esquema europeo único. El Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC) recoge ese legado, actualiza los requisitos y establece un marco común de evaluación que

  • Define qué categorías de productos pueden certificarse y bajo qué perfiles de protección u objetivos de seguridad.

  • Establece niveles de aseguramiento y requisitos de evaluación asociados a Common Criteria (CC), adaptados al entorno europeo

  • Requiere que los organismos de certificación y los laboratorios estén acreditados conforme a normas armonizadas, garantizando un nivel comparable de calidad en las evaluaciones.

Para juristas y reguladores, EUCC es relevante porque permite a la norma sectorial (por ejemplo, en identidad electrónica, servicios de confianza, sistemas de pago o infraestructuras críticas) remitir a un referente técnico común, en lugar de citar múltiples esquemas nacionales. Además, puede servir de criterio de diligencia: un operador que elige componentes certificados al amparo del EUCC con un nivel de aseguramiento alto podría alegar haber tomado medidas razonables de seguridad; a la inversa, la ausencia de certificación podría ser un indicio de falta de diligencia en determinados contextos. Finalmente, la existencia de un registro europeo de certificados facilita la transparencia y el control para supervisores y contrapartes contractuales.

3. Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS)

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es el gran proyecto en materia de certificación de servicios de computación en la nube, todavía en fase de candidatura y consulta pública, pero ya bien definido en sus líneas maestras. Su razón de ser es evidente: hoy los servicios de computación en la nube son infraestructura básica para entidades financieras, aseguradoras, plataformas de negociación, administraciones públicas, sistemas sanitarios, etc., pero los requisitos de seguridad que se les exigen están fragmentados entre normas nacionales, guías de supervisores y esquemas privados.

Museo San Matteo. Pisa

El EUCS aspira a convertirse en el lenguaje común europeo para estos servicios. Define categorías de servicios (infraestructura como servicio, plataforma como servicio, software como servicio) y niveles de aseguramiento (básico, sustancial, alto), con un conjunto de requisitos asociados a cada nivel. Entre esos requisitos se incluyen controles sobre: Gestión de identidades y accesos, autenticación robusta y segregación de funciones; cifrado en tránsito y en reposo, gestión de claves, registros de actividad y monitorización;continuidad de negocio, recuperación ante desastres y gestión de incidentes; seguridad de la cadena de suministro y de la subcontratación (subencargados de tratamiento y otros proveedores).

Desde la óptica jurídica, resulta especialmente relevante cómo el EUCS integra cuestiones que trascienden la técnica pura. Uno de los debates centrales gira en torno a la localización de datos y las transferencias internacionales: lugar de almacenamiento y procesamiento, jurisdicciones aplicables y condiciones de acceso por autoridades de terceros países. Todo ello conecta directamente con el Reglamento general de protección de datos (RGPD), con la Directiva (UE) 2022/2555 sobre medidas para un nivel elevado común de ciberseguridad en la Unión (NIS2) y con normativas sectoriales que condicionan el uso de la nube en sectores críticos.

Si el EUCS se adopta en los términos previstos, es previsible que se convierta en referencia para los requisitos de contratación pública de servicios en la nube (por ejemplo, exigir un nivel “alto” para determinados datos o procesos críticos); expectativas de supervisores financieros, sanitarios o de otros sectores críticos respecto del uso de la nube por sus entidades supervisadas; cláusulas contractuales entre proveedores de servicios en la nube y clientes corporativos en toda la Unión Europea.

4. Esquema Europeo de Certificación de Ciberseguridad para redes 5G

El tercer gran eje es el futuro Esquema Europeo de Certificación de Ciberseguridad para reds 5G, que la Comisión Europea ha encargado a la  ENISA en el marco de la estrategia de seguridad de redes 5G y de la denominada “caja de herramientas 5G” (5G Toolbox). Las redes de comunicaciones móviles de quinta generación (5G) constituyen la base tecnológica de servicios industriales, vehículos conectados, ciudades inteligentes y numerosas aplicaciones de misión crítica.

Este Esquema Europeo de Certificación de Ciberseguridad para redes 5G tiene como finalidad evaluar de forma sistemática la seguridad de equipos, software y arquitecturas de red 5G, incluidas funciones virtualizadas y segmentación de red (network slicing); abordar riesgos derivados de la cadena de suministro, donde intervienen múltiples fabricantes y desarrolladores, algunos potencialmente calificados como proveedores de “alto riesgo”; proporcionar a los Estados miembros y a los operadores de redes públicas un instrumento común para comparar la robustez de diferentes soluciones y proveedores

Este esquema se sitúa en el corazón del debate sobre infraestructuras críticas, soberanía tecnológica y dependencia de terceros países. La certificación al amparo del Esquema Europeo de Certificación de Ciberseguridad para redes 5G no sustituye a decisiones políticas (por ejemplo, restricciones a ciertos proveedores), pero aporta una base técnica más uniforme para justificarlas y para diseñar obligaciones de seguridad reforzadas.

5. Implicaciones jurídicas

Estos esquemas son normas regulatorias “de segundo nivel”. El Reglamento de Ciberseguridad crea un marco general y habilita la adopción de esquemas técnicos que, sin ser leyes formales, tienen efectos normativos muy intensos: introducen presunciones de conformidad, son citados por otras normas y condicionan la práctica contractual.

La existencia o ausencia de certificación bajo esquemas como los mencionados puede influir en la apreciación de la diligencia exigible a fabricantes, proveedores de servicios y usuarios industriales. Un nivel “alto” de aseguramiento no es solo un argumento comercial, sino un elemento que puede entrar en la valoración jurídica ex ante (deber de cuidado) y ex post (juicios de culpa).

Estos esquemas de certificación se entrecruzan con la protección de datos (Reglamento general de protección de datos), con la seguridad de redes y sistemas (Directiva NIS2), con la regulación financiera, sanitaria o de infraestructuras críticas y, cada vez más, con la contratación pública, donde los pliegos comienzan a remitir a niveles concretos de certificación.

Finalmente, estos esquemas ilustran cómo, en el entorno digital, la confianza no se construye solo con normas generales, sino con arquitecturas jurídico‑técnicas complejas, en las que el Derecho, los estándares y la evaluación independiente caminan juntos.

Ciber contaminación. Navegación y espacios de datos. Actualización, unos años después

Sobre este tema escribimos hace 8 años.Aquella entrada (aquí) sigue encajando en la realidad actual. Pero, corresponde actualizarla:

Centros de datos, inteligencia artificial y sostenibilidad: una actualización necesaria

La infraestructura física que sostiene la economía digital —centros de datos, redes de transmisión y sistemas de almacenamiento— se ha convertido en un elemento estructural del desarrollo económico contemporáneo. Sin embargo, buena parte de los análisis divulgativos que circularon entre 2015 y 2018 han quedado obsoletos, tanto en cifras como en el enfoque, a raíz de dos factores convergentes: la expansión acelerada de la computación en la nube y, especialmente, el despliegue masivo de inteligencia artificial intensiva en cálculo.

Nuevas cifras y nuevo contexto energético

Los estudios recientes permiten ofrecer hoy una imagen más precisa.

  • En 2024, el consumo eléctrico global de los centros de datos se situó en torno a 415 TWh, aproximadamente un 1,5 % del consumo mundial de electricidad, con previsiones de crecimiento que apuntan a una cifra cercana a 945 TWh en 2030 si se mantiene el actual ritmo de despliegue, impulsado principalmente por centros optimizados para entrenamiento y operación de modelos de IA (International Energy Agency (IEA), Data Centre Energy Use: Critical Review of Models and Results, 2025). Este aumento no implica necesariamente un crecimiento lineal de las emisiones, pero sí introduce un riesgo sistémico.
  • En ausencia de mejoras sustanciales de eficiencia energética y de una descarbonización efectiva del mix eléctrico, los centros de datos y las redes asociadas podrían representar entre el 1 % y el 3 % de las emisiones energéticas globales a mediados de la próxima década, en escenarios que los acercan, por volumen agregado, a sectores tradicionalmente intensivos como la aviación (Carbon Brief, AI: five charts that put data centre energy use and emissions into context, 2024).
Localización, redes eléctricas y consumo de agua
  • El debate actual ya no se limita a cuánto consumen los centros de datos, sino dónde se localizan y cómo se integran en los sistemas energéticos. Muchos centros de nueva generación superan los 100 MW de potencia instalada, y algunos proyectos de “campus de IA” se diseñan a escalas que obligan a reforzar infraestructuras de transporte y distribución eléctrica, generando tensiones en redes locales y regionales (Data Center Dynamics, IEA: data center energy consumption set to double by 2030, 2024).
  • A ello se añade el consumo de agua asociado a los sistemas de refrigeración de alta densidad de cálculo. La disponibilidad hídrica, junto con el acceso a energía renovable y la menor congestión de red, se ha convertido en un criterio central de localización, con efectos relevantes en la planificación territorial y en las políticas industriales, particularmente en la Unión Europea (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
De la “huella digital” individual al consumo agregado
  • La literatura divulgativa de hace unos años (como la referenciada en la mencionada  antigua entrada DerMerUle)  tendía a sobredimensionar el impacto climático de gestos individuales —como enviar correos electrónicos o realizar búsquedas— mediante comparaciones llamativas pero técnicamente imprecisas. Los análisis más recientes recomiendan desplazar el foco hacia el consumo agregado de servicios digitales, en particular el streaming de vídeo, el almacenamiento masivo en la nube y, cada vez más, el uso intensivo de IA (European Climate Pact, Going digital: good or bad for the climate?, 2025,).
  • Ello no vacía de contenido la dimensión pedagógica del debate. El almacenamiento ilimitado de datos y la ausencia de políticas de depuración contribuyen a mantener infraestructuras permanentemente activas. Su impacto es marginal a nivel individual, pero no neutro en términos agregados, lo que enlaza las decisiones de uso digital con las estrategias de reducción de la huella de carbono tanto personales como corporativas.
Gobernanza, sostenibilidad y reporting
  • La huella ambiental de los centros de datos se ha incorporado de forma estable a la agenda de la doble transición verde y digital. La Comisión Europea los identifica como infraestructuras intensivas en energía que deben alinearse con los objetivos del Pacto Verde, mediante eficiencia energética, uso creciente de renovables y obligaciones reforzadas de información sobre consumo de energía, agua y emisiones (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
  • Para las empresas usuarias de servicios en la nube, estas exigencias tienen consecuencias directas: la selección de proveedores, la localización de los centros de datos y la contratación de servicios de computación “verde” forman ya parte de la gestión ESG y de la responsabilidad ambiental corporativa (World Economic Forum, Data centres and energy demand, 2025)
Implicaciones de Derecho Societario  y de Derecho de la competencia
  • Desde una perspectiva de Derecho mercantil, el impacto ambiental de los centros de datos y de la IA deja de ser una cuestión reputacional para integrarse en el núcleo de los deberes de diligencia de los administradores. La planificación tecnológica, la externalización de servicios en la nube y la elección de infraestructuras digitales forman parte hoy de las decisiones estratégicas de la empresa y deben evaluarse a la luz de los riesgos regulatorios, energéticos y de sostenibilidad, especialmente en contextos de reporting no financiero y de diligencia debida en materia ESG.
  • Al mismo tiempo, el fenómeno plantea retos relevantes desde el Derecho de la competencia. La concentración territorial de grandes centros de datos, el acceso preferente a energía barata o renovable y las economías de escala asociadas a la IA pueden reforzar posiciones dominantes, elevar barreras de entrada y condicionar la competencia efectiva en mercados digitales y de servicios en la nube. La sostenibilidad, en este contexto, no es solo un objetivo ambiental, sino también un factor estructural de competencia que exige atención por parte de autoridades regulatorias y de la defensa de la competencia.

 

 

Industria de Defensa. Reglamento Europeo del rearme y de la financiación de tecnologías de doble uso

El Reglamento (UE) 2025/2653 del Parlamento Europeo y del Consejo, de 17 de octubre de 2025 introduce modificaciones en  en varios reglamentos sectoriales de la UE para integrar la política industrial de defensa en el núcleo de los programas de financiación existentes. Se trata de un importante paso para implementar el Plan “ReArmar Europa”.

  • Entre las normas afectadas por esta reforma se encuentran el Reglamento (UE) 2021/694, que establece el programa Europa Digital; el Reglamento (UE) 2021/695, que crea Horizonte Europa; el Reglamento (UE) 2021/697, relativo al Fondo Europeo de Defensa; el Reglamento (UE) 2021/1153, que establece el Mecanismo «Conectar Europa»; y el Reglamento (UE) 2024/795, que pone en marcha la Plataforma de Tecnologías Estratégicas para Europa (STEP).

En el actual contexto caracterizado por el deterioro geopolítico, el incremento del gasto en defensa y las dificultades de acceso a financiación para la industria del sector, la finalidad transversal de estas modificaciones es movilizar tanto inversión pública como privada hacia capacidades militares y tecnologías de doble uso.  Es decir, que la política de defensa europea no dependa exclusivamente de esfuerzos nacionales aislados, sino que se articule de manera coordinada y estratégica en el conjunto de los grandes programas comunitarios.

El núcleo del Reglamento reside en la ampliación de la Plataforma de Tecnologías Estratégicas para Europa, que hasta ahora cubría tres ámbitos estratégicos —transición digital y deep tech, tecnologías limpias y biotecnologías—.  Ahora se se incorpora un cuarto sector específico de “tecnologías de defensa”.

  • Este sector se define por referencia a los productos relacionados con la defensa y a las tecnologías necesarias para su desarrollo, según los criterios establecidos por la Directiva 2009/43/CE sobre transferencias intracomunitarias de productos de defensa.
  • Asi, se permite ahora que los proyectos de defensa puedan beneficiarse del “sello STEP”, de la priorización en la evaluación y de ventajas de cofinanciación, abarcando iniciativas que impliquen capacidades intensivas en datos, infraestructuras avanzadas de computación o “gigafactorías de inteligencia artificial” susceptibles de aplicación militar. Esta ampliación refleja un cambio sustancial en la orientación de la política industrial europea, al vincular la innovación tecnológica avanzada con necesidades estratégicas de defensa en el marco de los programas comunitarios existentes.

Zamora, vista allén del río

De manera complementaria, el Reglamento introduce una excepción significativa en el programa Horizonte Europa. Mientras que el artículo 7, apartado 1, del , todavía vigente, Reglamento (UE) 2021/695 consagra el carácter civil de las actividades financiadas, el nuevo texto permite, con carácter excepcional y estrictamente acotado, que el Acelerador del Consejo Europeo de Innovación apoye innovaciones con posibles aplicaciones de doble uso. Esta medida habilita la financiación mediante instrumentos de capital a pymes, start‑ups y small mid‑caps del sector de la defensa que desarrollen tecnologías consideradas fundamentales para este ámbito, asegurando al mismo tiempo la complementariedad con el Fondo Europeo de Defensa y otros instrumentos financieros de la Unión, como InvestEU.

El Reglamento refuerza asimismo las salvaguardas de seguridad y el control de acceso para los proyectos de doble uso. En determinadas convocatorias, las normas de admisibilidad y selección pueden limitar la participación a entidades establecidas en Estados miembros y, de forma limitada, en algunos países asociados, excluyendo empresas controladas por terceros países no asociados cuando ello sea necesario para proteger los intereses estratégicos y de seguridad de la Unión. La Comisión queda obligada a supervisar el uso de esta “excepción de defensa” dentro de Horizonte Europa, recopilando y comunicando información sobre los proyectos afectados sin generar nuevas cargas administrativas para los beneficiarios, lo que garantiza una gestión controlada y transparente de los recursos públicos destinados a la innovación estratégica.

Además, las modificaciones introducidas en Europa Digital, el Fondo Europeo de Defensa y el Mecanismo «Conectar Europa» completan esta lógica de integración, facilitando que programas originalmente concebidos para la digitalización, la investigación y desarrollo civil o las infraestructuras de transporte y energía puedan apoyar de manera efectiva capacidades críticas con relevancia militar o de doble uso. Entre estas capacidades destacan infraestructuras esenciales para la movilidad de fuerzas, la resiliencia energética y la seguridad de las comunicaciones, que se vuelven estratégicas en el marco del Plan ReArmar Europa.

Este Reglamento (UE) 2025/2653 constituye una pieza central de coordinación y planificación presupuestaria, trasladando la política de defensa desde un enfoque estrictamente nacional hacia una estrategia industrial europea integrada, que articula los grandes instrumentos de financiación de la Unión para responder a desafíos geopolíticos y tecnológicos contemporáneos.

DSA: El TGUE desestima el recurso de Amazon contra la decisión de la Comisión por la que se designó a la plataforma Amazon Store como «plataforma en línea de muy gran tamaño»

El Tribunal General ha dictado sentencia en el asunto T-367/23, Amazon EU contra la Comisión Europea, relativo al Reglamento de Servicios Digitales (DSA). El texto completo de la sentencia de 19.11.2025 se puede consultar aquí.

Como es sabido, el DSA  establece obligaciones específicas para los prestadores de servicios designados como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, cuando superan el umbral de 45 millones de usuarios en la Unión Europea, equivalente aproximadamente al 10 % de la población.

Mediante su recurso basado en el artículo 263 del Tratado de Funcionamiento de la Unión Europea (TFUE), la demandante, Amazon EU Sàrl, sucesora de Amazon Services Europe Sàrl, solicitó la anulación de la Decisión C(2023) 2746 final de la Comisión Europea, de 25 de abril de 2023, por la que se designa a la plataforma Amazon Store como plataforma en línea de muy gran tamaño de conformidad con el artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo («Decisión impugnada»). Véase el recurso aqui

Como es sabido, el recurso de anulación permite impugnar actos de las instituciones de la Unión que sean contrarios al Derecho de la Unión. Si se declara fundado, el acto se anula y la institución debe corregir el vacío jurídico resultante.

La decisión impugnada había sido adoptada por la Comisión en el marco del DSA.

I. Antecedentes.

Amazon Store es una tienda en línea de productos de consumo, operada directamente por la demandante o por terceros vendedores, accesible a través de diversos dominios en la Unión Europea, incluidos www.amazon.fr; www.amazon.de; www.amazon.es; www.amazon.it; www.amazon.nl; www.amazon.pl; www.amazon.se; www.amazon.se.

El 17 de febrero de 2023, conforme al DSA, Amazon EU Sàrl comunicó en sus sitios web que el promedio mensual de destinatarios activos en la Unión Europea superaba los 45 millones de usuarios, equivalente aproximadamente al 10 % de la población europea, cumpliendo así los criterios cuantitativos para ser considerada una plataforma de muy gran tamaño.

  • El 22 de febrero de 2023, la Comisión Europea notificó a Amazon.com, Inc. y a la demandante sus conclusiones preliminares, indicando que la plataforma cumplía los requisitos para su designación como plataforma en línea de muy gran tamaño a efectos del artículo 33, apartado 1, del DSA.
  • Simultáneamente, la Comisión informó al Gran Ducado de Luxemburgo, en aplicación del artículo 33, apartado 4, de su intención de designar a Amazon Store como plataforma de muy gran tamaño, y el 27 de febrero de 2023, Luxemburgo manifestó que no tenía observaciones que formular.
  • Posteriormente, el 15 de marzo de 2023, Amazon presentó observaciones sobre las conclusiones preliminares de la Comisión. Y, por fin, mediante la Decisión impugnada, la Comisión designó formalmente a Amazon Store como plataforma en línea de muy gran tamaño.

II. Pretensiones de las partes

La demandante, junto con la Bundesverband E-Commerce und Versandhandel Deutschland eV (bevh), solicitó al Tribunal General, como medida principal, la anulación total de la Decisión impugnada.

Subsidiariamente, planteó la anulación parcial en la medida en que la decisión impone obligaciones específicas, en particular la obligación de ofrecer al menos una opción de cada sistema de recomendación que no se base en la elaboración de perfiles, conforme al artículo 38 del Reglamento 2022/2065, así como la obligación de recopilar y publicar un repositorio de anuncios de acuerdo con el artículo 39 del mismo Reglamento. Ambas partes solicitaron, además, la condena en costas a la Comisión.

Por su parte, la Comisión Europea, el Parlamento Europeo y el Bureau européen des unions de consommateurs (BEUC) pidieron la desestimación del recurso y la condena de la demandante en costas, incluidas las del procedimiento sobre medidas provisionales. El Consejo de la Unión Europea respaldó la desestimación del recurso.

III. Análisis de la sentencia del Tribunal General

La Comisión Europea había designado a Amazon Store como una de estas plataformas de muy gran tamaño, y Amazon solicitó la anulación de dicha decisión alegando que la disposición del DSA que determina estas plataformas vulnera derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, tales como la libertad de empresa, el derecho de propiedad, el principio de igualdad ante la ley, la libertad de expresión e información, y el derecho a la vida privada y a la protección de datos confidenciales.

El Tribunal General desestimó el recurso.

  • En relación con la libertad de empresa, reconoció que las obligaciones derivadas del DSA constituyen una injerencia, al implicar costes significativos, afectar la organización de las actividades y requerir soluciones técnicas complejas. No obstante, esta injerencia está prevista por la ley, no afecta al núcleo esencial de la libertad de empresa y se considera justificada conforme a la Carta, dado que el legislador de la Unión razonablemente concluyó que las plataformas de muy gran tamaño presentan riesgos sistémicos para la sociedad, incluyendo la difusión de contenidos ilícitos y la vulneración de derechos fundamentales, como la protección de los consumidores.
  • En cuanto al derecho de propiedad, el Tribunal señaló que las obligaciones del DSA son principalmente cargas administrativas que no privan a los prestadores de la titularidad de sus plataformas. Incluso si se considerara una injerencia, estaría justificada por los objetivos de prevención de riesgos sistémicos perseguidos por el legislador.
  • Respecto al principio de igualdad, el Tribunal indicó que el legislador disponía de un amplio margen para tratar de manera homogénea a las plataformas de muy gran tamaño, incluidas las de comercio, dado que también pueden generar riesgos sistémicos.
  • Por lo que respecta a la distinción basada en el número de usuarios no resulta arbitraria ni desproporcionada, considerando, según señala el TGUE, las plataformas con más de 45 millones de usuarios pueden exponer a un gran número de personas a contenidos ilícitos.
  • En lo que respecta a la libertad de expresión e información, el TGUE observó que la obligación de ofrecer una opción de recomendación sin elaboración de perfiles puede limitar la forma de presentación de productos; no obstante, esta restricción es justificada, no afecta al contenido esencial de la libertad y persigue un objetivo legítimo de protección de los consumidores.
  • Finalmente, en relación con el derecho a la vida privada y la protección de la información confidencial, el Tribunal reconoció que las obligaciones de transparencia publicitaria y el acceso de investigadores constituyen una injerencia, pero que esta es proporcional, establecida en la ley y justificada por el interés general de prevenir riesgos sistémicos y garantizar un alto nivel de protección de los consumidores. Además, la publicidad del repositorio está delimitada y el acceso de los investigadores se sujeta a estrictas garantías de seguridad y confidencialidad.