Ecix | RegTech

La CNIL - Commission Nationale de l'Informatique et des Libertés publicó la semana pasada unas recomendaciones dirigidas a reforzar la transparencia y el control de los interesados sobre el uso de sus datos personales en solicitudes de crédito. Algunas ideas que cabe destacar: 1. La necesidad de informar al solicitante, antes de la recogida de datos, sobre qué información se ha utilizado, además de con qué finalidad y de qué origen procede; 2. La posibilidad de que los interesados aporten documentos parcialmente ocultos cuando determinadas informaciones no resulten necesarias, sin que el responsable pueda rechazarlos sistemáticamente; 3. La obligación de explicar el uso de herramientas automatizadas o de scoring, incluyendo su importancia, consecuencias y lógica general; 4. El derecho del interesado a obtener una explicación comprensible, solicitar intervención humana, expresar su punto de vista y pedir un nuevo examen cuando se haya producido una decisión automatizada; 5. La limitación del uso de incidentes de pago pasados, respecto de los cuales la CNIL ha recomendado no superar veinticuatro meses tras la regularización o desde que la deuda ya no pueda exigirse; y, por último, 6. La necesidad de realizar una evaluación de impacto cuando el tratamiento incluya perfiles o puntuaciones que puedan excluir a una persona de la obtención de crédito. Además, la CNIL nos recuerda que las herramientas de automatización empleadas para evaluar la solvencia pueden llegar a constituir sistemas de IA de alto riesgo en el marco del #RIA. Ecix | RegTech https://lnkd.in/ek5PZkD5 

Más allá de la sanción de 70.000 euros por la falta de licitud del tratamiento (uso del interés legítimo para tratar datos personales obtenidos a través de cookies), se impone una sanción de 50.000 euros por el incumplimiento de la obligación de contar con un representante en la Unión Europea. La sanción quedó finalmente reducida a una cuantía de 72.000 euros tras la aplicación de las reducciones correspondientes. Asimismo, la AEPD ha ordenado a la entidad que acredite la adopción de medidas para: (i) garantizar la licitud del tratamiento, (ii) asegurar el cumplimiento de las obligaciones aplicables al uso de cookies en plataformas, y (iii) disponer de un representante ante la Unión Europea. Ecix | RegTech MÁS INFORMACIÓN: https://lnkd.in/e8cAZgam

El próximo 10 de junio se celebra el #SummitComplianceLaboral2026 que organiza la WORLD COMPLIANCE ASSOCIATION, una cita que reunirá a la comunidad profesional del Compliance y los Recursos Humanos en un entorno reflexión y diálogo. Por mi parte, participaré como ponente en una sesión centrada en los desafíos que plantea el uso de nuevas tecnologías en el entorno laboral y su impacto en materia de privacidad y protección de datos. Puedes inscribirte aquí: https://lnkd.in/eUN_K6db Ecix Group #ProteccióndeDatos #WCA #CorporateCompliance

Ecix | Legal Operations Os compartimos este vídeo de nuestro socio Nikola Kovacic, en el que nos explica qué es Legal Operations y cómo permite tomar decisiones de forma más clara, eficiente y estratégica. Ecix | RegTech 🌐 www.ecix.tech #LegalOperations #LegalTech #InnovaciónLegal #ECIX

📎 Ejemplos prácticos de Responsables y Encargados La Autoridad de Protección de Datos de Países Bajos ha publicado una guía práctica con ejemplos para diferenciar cuándo una entidad actúa como responsable del tratamiento y cuándo lo hace como encargado. Y aunque pueda parecer una cuestión clásica del RGPD, el documento resulta especialmente interesante porque aterriza supuestos que siguen generando dudas reales en contratos, auditorías y proyectos tecnológicos. La guía insiste en una idea clave: no basta con lo que diga el contrato. Lo determinante sigue siendo quién decide realmente los fines y medios del tratamiento. Por eso, la autoridad analiza escenarios muy concretos relacionados con SaaS, cloud, analytics, outsourcing, servicios legales, RRHH, administraciones públicas o plataformas digitales. En varios ejemplos, además, deja claro que pueden coexistir tratamientos distintos dentro de una misma relación contractual, de modo que una entidad puede actuar simultáneamente como encargado para una actividad y como responsable independiente para otra. Uno de los puntos interesantes para equipos de privacidad y DPOs es el enfoque sobre servicios cloud y proveedores tecnológicos. La guía señala que, cuando el proveedor utiliza los datos para fines propios (por ejemplo, marketing o analítica propia) deja de actuar exclusivamente como encargado y pasa a ser responsable respecto de ese tratamiento adicional. También resulta relevante la aclaración de que el uso de contratos estandarizados o DPA “tipo” no convierte automáticamente al proveedor en responsable del tratamiento. Pero probablemente la novedad más llamativa sea la incorporación expresa de ejemplos vinculados a inteligencia artificial. La autoridad diferencia entre una IA desplegada íntegramente en la infraestructura interna de la organización, donde el proveedor no accede a datos personales, y el uso de chatbots públicos cuyos términos permiten reutilizar prompts y contenidos para reentrenamiento del modelo. En este último caso, la guía considera que existen tratamientos diferenciados y que el proveedor de la IA puede actuar como responsable respecto del entrenamiento posterior del sistema. El documento también aborda supuestos de corresponsabilidad, especialmente en entornos de plugins sociales y analítica web, recordando que una organización puede ser corresponsable incluso aunque no tenga acceso directo a todos los datos subyacentes tratados posteriormente por la plataforma tecnológica. En la práctica, esta guía vuelve a demostrar que la identificación correcta de roles sigue siendo uno de los puntos más críticos en privacidad. Y ahora, además, la discusión se traslada directamente al uso empresarial de herramientas de IA generativa. Para más información: https://lnkd.in/e8-nDBkC

Hoy comparto una noticia que me hace especial ilusión. Ya puede consultarse en versión anticipada mi artículo «La anonimización de datos genéticos en el Espacio Europeo de Salud: criterios de identificabilidad y alcance de la prohibición de reidentificación tras la Sentencia del TJUE de 4 de septiembre de 2025», galardonado ex aequo con el Premio Carlos María Romeo Casabona a la Mejor Comunicación del XXXII Congreso Internacional sobre Derecho y Genoma Humano. Disponible aquí: https://lnkd.in/edQeRxni El trabajo será publicado en el Núm. 62 (2026) de la «Revista de Derecho y Genoma Humano. Genética, Biotecnología y Medicina Avanzada». Mi agradecimiento a la Red Cátedra de Derecho y Genoma Humano, y muy especialmente a Ana Menéndez Pérez, por su acompañamiento y apoyo durante el proceso de revisión editorial. # Ecix | RegTech # MDTPDASI UC3M # Red Cátedra de Derecho y Genoma Humano #XiiiCongresoDerechoYGenomaHumano #RevistaDerechoYGenomaHumano #EEDS

La AEPD ha resuelto el procedimiento sancionador contra KONECTA BTO, S.L., imponiendo una multa inicial de 500.000 euros, reducida a 300.000 euros por reconocimiento de responsabilidad y pago voluntario. En cuanto al contenido de la resolución, la AEPD ha considerado que KONECTA ha incumplido el principio de integridad y confidencialidad del RGPD, al no haber garantizado medidas técnicas y organizativas adecuadas frente a riesgos previsibles en un entorno de acceso remoto y tratamiento masivo de datos personales. Entre los elementos principales, la autoridad ha destacado que: 1. KONECTA ha tenido acceso a la cartera de clientes de las entidades afectadas a través del CRM del cliente; 2. El incidente ha afectado a datos como nombre, apellidos, número de DNI, NIE o pasaporte, dirección postal, correo electrónico y teléfono; 3. El acceso no autorizado ha derivado en la exfiltración de datos personales; 4. La brecha ha sido detectada inicialmente por una de las entidades clientes y no por KONECTA; y 5. Han existido deficiencias en las capacidades de detección, registro, trazabilidad y monitorización, incluyendo la ausencia de sistemas adecuados como SIEM, NDR o equipos de monitorización eficaces en el momento del incidente. Es importante destacar que la AEPD ha considerado relevante que las medidas cuya ausencia ha favorecido el incidente hayan estado previstas contractualmente y que KONECTA, la cual actuaba como encargado del tratamiento y entidad especializada en servicios de atención a clientes, debía haber previsto estos riesgos en el marco de su actividad. Ecix | RegTech https://lnkd.in/eQiK2tiV

Ecix | Eventos Hoy hemos asistido al 9º One Day Compliance Barcelona, organizado por Cumplen. Asociación de Profesionales de Cumplimiento Normativo . Una jornada para compartir ideas y experiencias sobre #compliance, #ética, #sostenibilidad, #sistemas internos de información y los #retos que afrontan hoy las organizaciones. Nuestro vicepresidente, Carlos Alberto Saiz Peña, ha participado en la apertura inaugural del encuentro y ha moderado la mesa redonda “Conflictos de interés y responsabilidad del Compliance Officer: decidir en entornos complejos”. Gracias a Cumplen. Asociación de Profesionales de Cumplimiento Normativo por impulsar estos espacios de encuentro y conversación entre profesionales. Ecix | RegTech www.ecix.tech #Gobernanza #ÉticaEmpresarial #Sostenibilidad #Barcelona

Nueva oportunidad organizada por #CUMPLEN para compartir experiencias, información e ideas en torno al cumplimiento en el 9°ONE DAY COMPLIANCE en Barcelona. Magníficos ponentes que nos aportan luz en temas relevantes como #conflictosdeinteres, #gestiondeterceros, #SistemasInternosdeInformacion. #Cumplimiento #Gobernanza Ecix | RegTech