Cumplimiento Normativo
Santiago de Compostela

El anteproyecto de ley de ciberseguridad elevará de 200 a más de 10.000 las entidades obligadas a cumplir con medidas de protección digital. La norma nace para transponer la Directiva europea 2022/2555 y consolidar una arquitectura nacional de ciberseguridad. Se prevé la creación del Centro Nacional de Ciberseguridad como autoridad coordinadora de crisis digitales. La norma responde a un contexto crítico: más de 200.000 ciberincidentes en 2024 en España, con ataques críticos cada tres días. Un marco legal reforzado frente al aumento de los ciberataques La Fundación Empresa y Seguridad Digital (ESYS) reunió en Madrid a representantes del sector público y privado para debatir el contenido del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Durante las jornadas, el subdirector general de Seguridad Digital, Andrés Ruiz, destacó que la futura norma busca responder a un escenario cada vez más complejo y amenazante en el plano digital. Según datos del Ministerio para la Transformación Digital y Función Pública, en 2024 se produjeron más de 200.000 ciberincidentes en España, incluidos ataques considerados críticos cada 72 horas. En este contexto, la futura ley busca mejorar la capacidad de protección del país frente a amenazas crecientes y cada vez más sofisticadas. Objetivos y medidas clave del anteproyecto El anteproyecto de ley aprobado en enero por el Consejo de Ministros tiene como eje central la transposición de la Directiva (UE) 2022/2555. Esta nueva norma europea refuerza los estándares de ciberseguridad aplicables a redes y sistemas de información que sustentan actividades sociales y económicas esenciales. Una de las medidas más destacadas del texto es la ampliación del número de entidades sujetas a obligaciones en materia de ciberseguridad: de unas 200 actualmente a más de 10.000, incluyendo sectores críticos como energía, sanidad, transporte o servicios financieros. Estas organizaciones deberán realizar evaluaciones individualizadas de riesgo y desplegar medidas específicas de protección. CONSIGUE LA GUÍA ESENCIAL PARA DIRECTIVOS PREVENCIÓN DE RIESGOS LEGALES Y PENALES Descargar gratis Coordinación como piedra angular Uno de los principales retos identificados durante la tramitación del texto ha sido el de la coordinación entre organismos y agencias nacionales. Para abordarlo, el anteproyecto incluye la creación del Centro Nacional de Ciberseguridad, que será responsable de dirigir la respuesta ante crisis digitales, impulsar políticas en la materia y actuar como nodo de referencia técnica y operativa. Asimismo, se incorpora la figura del responsable de la seguridad de la información, encargado de coordinar los aspectos técnicos de cumplimiento dentro de cada entidad afectada. Incorporación de tecnologías emergentes Además de reforzar la gobernanza, la norma se complementa con medidas tecnológicas recientes, como el desarrollo de capacidades de criptografía postcuántica, soluciones basadas en inteligencia artificial y sistemas de auditoría automatizada. Estas herramientas se alinean con el Plan Nacional de Ciberseguridad y las actuaciones adoptadas por el Gobierno para mejorar las capacidades de defensa digital, tanto en grandes infraestructuras como en pequeños municipios. Próximos pasos legislativos El anteproyecto, tramitado con carácter de urgencia, está pendiente de recibir los informes preceptivos de los ministerios de Defensa, Hacienda, Transformación Digital y del Departamento de Seguridad Nacional. Una vez superado este trámite, podrá ser aprobado en segunda vuelta por el Consejo de Ministros y continuar su camino hacia el debate parlamentario. El subdirector Andrés Ruiz concluyó que “la norma no solo busca proteger nuestro territorio digital, sino consolidar a España como un actor estratégico en el ámbito europeo de la ciberseguridad”, destacando el papel esencial de la colaboración público-privada para alcanzar ese objetivo.

El auge del teletrabajo ha incrementado los ciberataques, exigiendo mayor preparación en las empresas. INCIBE registró 97.000 incidentes en 2024, con un notable impacto en pymes y autónomos. La formación, el uso de VPNs y la autenticación en dos pasos destacan entre las medidas esenciales. Adoptar una cultura de ciberseguridad es clave para garantizar un entorno laboral remoto seguro. Teletrabajo y ciberseguridad: un reto estratégico El trabajo remoto se ha consolidado como una forma flexible y eficiente de operar, pero también ha multiplicado los riesgos para la seguridad de la información. La dispersión de dispositivos y el uso de redes no corporativas han hecho que los entornos remotos se conviertan en objetivos preferentes para los ciberataques. Para las organizaciones, reforzar sus defensas no es solo una obligación técnica, sino un imperativo estratégico. La ciberseguridad ya no puede considerarse un asunto exclusivo del departamento de IT. Su impacto atraviesa a toda la organización y su efectividad depende en gran medida del comportamiento de los empleados. En este contexto, resulta esencial adoptar buenas prácticas que protejan los datos y fortalezcan la resiliencia digital. 1. Formación continua: el primer escudo La mayoría de las brechas de seguridad se originan por errores humanos. Abrir archivos maliciosos, utilizar contraseñas débiles o caer en ataques de phishing son prácticas comunes que pueden prevenirse con una formación adecuada. Esta debe ser práctica, continua y adaptada a cada perfil profesional. Simulaciones de ciberataques y talleres personalizados por departamentos ayudan a que los empleados interioricen los riesgos y desarrollen respuestas efectivas. Capacitar desde el conocimiento evita incidentes que ningún antivirus puede detener por sí solo. 2. Normas claras y comprensibles En entornos remotos, las políticas de seguridad deben estar bien definidas y al alcance de todos. Establecer reglas claras para el uso de redes, dispositivos, correos electrónicos y almacenamiento en la nube evita errores críticos. La simplicidad y la aplicabilidad son esenciales: una política compleja será ignorada. Proporcionar guías accesibles y sin tecnicismos permite que todos los empleados, independientemente de su perfil, comprendan la importancia de las medidas y las apliquen con rigor. 3. VPN corporativa: acceso remoto seguro Una red privada virtual (VPN) garantiza que los datos transmitidos estén cifrados, impidiendo que terceros accedan a información sensible. Su uso debería ser obligatorio en cualquier conexión fuera del entorno corporativo. No basta con implementar la VPN; también es crucial actualizarla, supervisar su uso y formar a los empleados para que no la desactiven por comodidad. 4. Equipos configurados desde el inicio Antes de entregar un dispositivo, debe ser preparado con herramientas de protección: antivirus, cortafuegos, cifrado de discos y desactivación de funciones innecesarias. Además, es recomendable que los equipos sean gestionados de forma centralizada, permitiendo aplicar políticas de seguridad y detectar amenazas con rapidez. Una configuración adecuada desde el primer día reduce el riesgo de vulnerabilidades en el entorno remoto. 5. Verificación en dos pasos: barrera eficaz La autenticación en dos factores (2FA) añade una capa adicional de seguridad. Incluso si una contraseña es comprometida, el atacante no podrá acceder sin el segundo factor, normalmente un código temporal. Este sistema debería aplicarse de forma generalizada en herramientas corporativas, plataformas críticas y accesos a datos sensibles. 6. Control de accesos por roles Limitar el acceso según funciones minimiza el impacto de posibles ataques. No todos los empleados necesitan ver o gestionar toda la información. Definir roles y permisos específicos permite contener daños en caso de incidentes. Además, facilita el cumplimiento normativo, como el exigido por el RGPD, y mejora la trazabilidad de accesos y acciones internas. 7. Plan de respuesta ante incidentes Estar preparados para actuar ante un incidente es tan importante como prevenirlo. Contar con un protocolo claro, con responsables asignados y una cadena de comunicación definida, es imprescindible. El plan debe contemplar notificaciones internas, comunicación con terceros y criterios para evaluar el impacto de cada incidente. 8. Auditorías de seguridad y revisiones La ciberseguridad no es estática. Requiere revisiones periódicas para detectar debilidades y corregirlas a tiempo. Auditorías programadas y herramientas de monitorización ayudan a identificar accesos sospechosos o configuraciones incorrectas. Este enfoque proactivo permite anticiparse a amenazas antes de que causen daños. 9. Dispositivos personales, bajo control El uso de dispositivos personales debe evitarse o regularse estrictamente mediante políticas BYOD (Bring Your Own Device). Si no se puede evitar, es fundamental aplicar medidas como el cifrado, la gestión remota o la restricción de funcionalidades. El mejor escenario sigue siendo proporcionar equipos corporativos preparados para cumplir con los estándares de seguridad. 10. Cultura de la ciberseguridad Más allá de las herramientas, lo que garantiza la protección es una mentalidad compartida. Toda la organización, desde directivos hasta nuevos empleados, debe asumir la ciberseguridad como una responsabilidad colectiva. Fomentar una cultura de seguridad reduce errores, mejora la capacidad de respuesta y crea un entorno de trabajo digitalmente resiliente. CONSIGUE LA GUÍA ESENCIAL PARA DIRECTIVOS PREVENCIÓN DE RIESGOS LEGALES Y PENALES Descargar gratis Un reto y una oportunidad para las empresas La ciberseguridad en el teletrabajo no es una carga, sino una oportunidad para mejorar procesos y reforzar la confianza de clientes y colaboradores. Las organizaciones que actúen con anticipación y compromiso estarán mejor preparadas para afrontar los desafíos del entorno digital.

El modelo publicitario de grandes tecnológicas vulnera la normativa europea de protección de datos El modelo publicitario de grandes tecnológicas vulnera la normativa europea de protección de datos El modelo publicitario de grandes tecnológicas vulnera la normativa europea de protección de datos El Tribunal de Apelación de Bruselas ha declarado ilegal el modelo de consentimiento utilizado por Google, Microsoft, Amazon y X para la publicidad basada en seguimiento. El fallo considera que este sistema incumple el Reglamento General de Protección de Datos (RGPD) al no garantizar un consentimiento válido. Amnistía Internacional celebra la decisión como una victoria clave para el derecho a la privacidad en Europa. El modelo actual permite la difusión masiva de datos personales sin un control efectivo sobre su tratamiento. Bruselas tumba el modelo de consentimiento en la publicidad online El pasado 14 de mayo, el Tribunal de Apelación de Bruselas emitió una resolución clave para la privacidad digital en Europa. El fallo concluye que el sistema de consentimiento en el que se basa la publicidad personalizada de gigantes tecnológicos como Google, Microsoft, Amazon y X vulnera la legislación de protección de datos de la Unión Europea. La decisión se refiere directamente al modelo basado en el denominado Marco de Transparencia y Consentimiento (TCF), que emplea ventanas emergentes para obtener el consentimiento de los usuarios. Según el tribunal, este enfoque no garantiza un consentimiento informado, libre y específico, como exige el Reglamento General de Protección de Datos (RGPD). CONSIGUE LA GUÍA ESENCIAL PARA DIRECTIVOS PREVENCIÓN DE RIESGOS LEGALES Y PENALES Descargar gratis Amnistía Internacional: “Una victoria para la privacidad” Hannah Storey, asesora de política sobre Tecnología y Derechos Humanos en Amnistía Internacional, calificó el fallo como “una gran victoria para el derecho a la privacidad”. Storey subrayó que la resolución lanza un mensaje claro: “Las empresas tecnológicas deben abandonar la publicidad basada en la vigilancia y sustituirla por modelos más respetuosos con los derechos humanos”. La experta denunció que el actual sistema de pujas en tiempo real para la publicidad online recopila datos personales sensibles como hábitos de lectura, ubicación, gustos e incluso estado de salud, sin que el usuario tenga un control efectivo sobre su información. Intercambio masivo de datos sin control efectivo Storey explicó que cada vez que una persona accede a una página web, se activa un sistema que comparte su información personal con miles de empresas en cuestión de segundos. Estas compañías compiten entre sí para mostrar un anuncio al usuario, sin que exista una supervisión adecuada sobre el uso de esos datos. Este modelo, en opinión de Amnistía Internacional, constituye una violación sistemática y masiva del derecho a la privacidad, ya que no hay garantías reales de que los datos se utilicen de forma transparente, proporcional y lícita. El RGPD, en el centro del debate Las grandes plataformas han defendido en repetidas ocasiones que su sistema se ajusta al RGPD, una norma europea adoptada en 2016 para reforzar la protección de los datos personales. Sin embargo, la resolución del Tribunal belga pone en entredicho esta interpretación, y deja claro que el consentimiento solicitado mediante mecanismos como los banners emergentes no cumple los estándares establecidos por la normativa.

La AEPD tramitó 18.885 reclamaciones en 2024, un 13 % menos que en 2023, aunque sigue siendo la segunda cifra más alta desde la entrada en vigor del RGPD. Las brechas de datos personales motivaron el 37 % del total de sanciones económicas, alcanzando los 13,1 millones de euros. Videovigilancia, servicios de internet y sector laboral fueron las áreas con mayor número de reclamaciones. Los sectores más sancionados económicamente fueron energía, banca y servicios digitales. Descenso de reclamaciones, pero cifras aún elevadas La Agencia Española de Protección de Datos (AEPD) gestionó un total de 18.885 reclamaciones durante 2024, lo que representa una disminución del 13 % respecto al año anterior, en el que se alcanzó un récord histórico. A pesar del descenso, la cifra se mantiene como la segunda más alta desde la aplicación del Reglamento General de Protección de Datos (RGPD) y un 25 % superior a la de 2022. Además, se recibieron 825 reclamaciones transfronterizas procedentes de otras autoridades del Espacio Económico Europeo, con un incremento del 17 % respecto a 2023. En total, la AEPD registró 19.722 entradas, incluyendo tanto denuncias como actuaciones iniciadas de oficio. CONSIGUE LA GUÍA ESENCIAL PARA DIRECTIVOS PREVENCIÓN DE RIESGOS LEGALES Y PENALES Descargar gratis Resolución ágil y eficacia del mecanismo de traslado Uno de los principales instrumentos para agilizar la respuesta a los ciudadanos fue el mecanismo de traslado de reclamaciones al responsable o encargado del tratamiento. Gracias a este procedimiento, el 88 % de los casos se resolvieron satisfactoriamente sin necesidad de iniciar expediente sancionador, que solo fue necesario en el 5 % de los casos. El tiempo medio de resolución fue de 77 días. Videovigilancia e internet, entre las materias más reclamadas Por materias, la videovigilancia lideró las reclamaciones en 2024, con un aumento del 19 %. Le siguieron los servicios de internet (+8 %) y el sector comercio-transporte-hostelería (+7 %). Cabe destacar el crecimiento del 49 % en las reclamaciones laborales, aunque estas aún no figuran entre las más numerosas. Procedimientos sancionadores en aumento Durante el año, la AEPD finalizó 414 procedimientos sancionadores o de apercibimiento. Las materias más afectadas fueron nuevamente la videovigilancia (pese a un descenso del 49 % respecto a 2023), internet (10 %), publicidad (-20 %), comercio y hostelería, y asuntos laborales (+28 %). Multas millonarias y sectores más afectados En 2024, la Agencia impuso 281 sanciones con un importe global de 35.592.200 euros. Los sectores más multados fueron: Energía y agua: 11.680.600 euros (frente a los 115.500 euros en 2023). Entidades financieras: 5.356.900 euros. Servicios de internet: 4.547.380 euros. Telecomunicaciones: 3.330.000 euros. Contratación fraudulenta: 2.538.200 euros. Brechas de datos, causa destacada de sanciones Las brechas de datos personales motivaron 30 expedientes, con sanciones que sumaron 13.179.600 euros, equivalentes al 37 % del total. Entre las infracciones más habituales destacan: Pérdida de confidencialidad de datos personales. Ausencia de medidas de seguridad acordes al riesgo. Incumplimiento de la protección de datos desde el diseño y por defecto. Falta de notificación de la brecha a la AEPD y a los afectados. Administraciones públicas también bajo sanción La Memoria de 2024 también evidencia que varias administraciones públicas fueron sancionadas por incumplir requerimientos o no acreditar la ejecución de medidas correctivas, lo que constituye una infracción muy grave según la normativa vigente. La tendencia general apunta a una mayor eficacia en la gestión de conflictos, con los traslados como herramienta preferente y con un enfoque cada vez más firme sobre sectores críticos como el energético, financiero y digital.