Sector update: Derecho digital y TMT | nº 1 - Enero 2026

Nuevas guías de la AESIA para el cumplimiento del Reglamento de IA

La Secretaría de Estado de Digitalización e Inteligencia Artificial —a través de la Dirección General de Inteligencia Artificial y en colaboración con la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)— ha publicado recientemente, un conjunto de guías elaboradas en el marco del desarrollo del piloto de Sandbox Regulatorio de IA en España.

Esta iniciativa está diseñada para servir como precursor práctico de la aplicación coherente del Reglamento (UE) 2024/1689, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA). Estas guías proporcionan un enfoque estructurado para los distintos actores de la cadena de valor de la IA —principalmente proveedores y responsables del despliegue— a fin de orientarles en sus funciones y responsabilidades bajo el nuevo marco jurídico.

Los recursos están organizados en dieciséis guías, agrupadas en tres bloques: guías introductorias (1 y 2), guías técnicas (3 a 15) y un manual para listas de verificación de autoevaluación (16). Estas directrices ofrecen medidas de implementación detalladas para artículos fundamentales del Reglamento de IA, entre ellos la gestión de riesgos (artículo 9), la gobernanza de datos (artículo 10), la transparencia (artículo 13) y la supervisión humana (artículo 14). Además, las guías técnicas especializadas abordan los requisitos esenciales de precisión, robustez y ciberseguridad (artículo 15). Esta organización temática fomenta que las organizaciones adopten un proceso iterativo y continuo de mitigación de riesgos que abarque todo el ciclo de vida del sistema de IA.

Aunque estas directrices no son vinculantes y no sustituyen a la legislación aplicable ni a las futuras normas armonizadas, ofrecen recomendaciones prácticas basadas en pruebas realizadas en escenarios reales con casos de uso de alto riesgo en sectores como salud, empleo e infraestructuras críticas.

Asimismo, las guías de la AESIA están sujetas a una evaluación y revisión permanentes, y se espera que se actualicen periódicamente para alinearse con el desarrollo de las normas y directrices que publicará la Comisión Europea. También se actualizarán una vez se apruebe el “Reglamento Ómnibus Digital”, que modifica el Reglamento de IA.

En definitiva, las guías de la AESIA representan un hito pionero que consolida a España como líder en el desarrollo responsable de la inteligencia artificial. Como el primer Sandbox de IA lanzado en la UE, el piloto español sirve de modelo para otros Estados miembros y se espera que influya en el proceso de estandarización europeo.

Adecuación del Reino Unido a la Directiva de datos personales con fines penales

El Diario Oficial de la Unión Europea de 23 de diciembre de 2025 publicó la Decisión de Ejecución (UE) 2025/2571 de la Comisión, de 19 de diciembre de 2025, que modifica la Decisión (UE) 2021/1773 y prórroga hasta el 27 de diciembre de 2031, la vigencia de la adecuación del Reino Unido conforme a la Directiva (UE) 2016/680, relativa al tratamiento de datos personales por autoridades competentes con fines penales. La decisión se basa en la evaluación actualizada de la legislación británica, tras la adopción de la Data (Use and Access) Act, y concluye que el Reino Unido mantiene un nivel de protección esencialmente equivalente al exigido por la UE, tanto desde un punto de vista formal como práctico. Se valoran, entre otros aspectos: (i) La continuidad de garantías sustanciales para el ejercicio de derechos individuales; (ii) el régimen de transferencias internacionales, que sigue alineado con los principios de la Directiva; (iii) la transformación de la ICO en la nueva Information Commission, cuya independencia y competencias se mantienen; y (iv) las nuevas facultades del Secretary of State se consideran proporcionadas y sujetas a salvaguardas. La Comisión continuará supervisando la evolución normativa y práctica en el Reino Unido y podrá revisar o revocar esta adecuación si se detecta que el nivel de protección deja de ser adecuado. Es cierto que el Reino Unido viene adoptando tras el Brexit normativa propia, cada vez más en línea con sus singulares aspiraciones en materia de protección de datos, casi por definición más laxas que las de la UE. Con todo, y esta Decisión lo prueba, sus estándares en este ámbito continúan siendo plenamente homologables a los de la Unión.

Impacto digital de la ley de servicios de atención a la clientela

La Ley 10/2025, de 26 de diciembre, reguladora de los servicios de atención a la clientela, incorpora modificaciones significativas en las obligaciones de información, contratación y atención al cliente, con impacto directo en el comercio en línea. Así, se exige que el usuario vea desde el inicio, el precio final completo del producto o servicio (inclusivo de impuestos y cualquier gasto adicional); si el precio no es determinable, debe explicarse la base de cálculo y los posibles costes. En precios personalizados, se obliga a informar al usuario cuando el importe se fija mediante decisiones automatizadas; asimismo, se limitan las conocidas prácticas de subida dinámica en contextos de urgencia o riesgo. En suscripciones, se impone un aviso previo de un mínimo de 15 días antes de la renovación automática, y un procedimiento de baja sencillo y sin trabas. En reseñas online, se exige transparencia sobre si son obra de usuarios reales, así como el método de verificación de las mismas; se acota la reseña a compras o usos recientes y se reconoce un derecho de respuesta y solicitud de retirada si se acredita su falsedad. En atención al cliente, se imponen plazos de respuesta y obligación de permitir atención humana (excluyendo atención única mediante chatbots). Además, se limita el marketing telefónico, que ha de identificarse mediante determinados prefijos o códigos; se obliga a los operadores a bloquear el marketing que infrinja esas normas; y se establece la nulidad de contratos cerrados por esa vía y que carezcan de consentimiento acreditado. Finalmente, se efectúan modificaciones al régimen de tratamiento de datos personales con fines de exclusión publicitaria, limitando la posibilidad de crear sistemas a este fin a las asociaciones y organismos con alta representatividad del artículo 40.2 del Reglamento General de Protección de Datos (RGPD). La norma vincula a grandes empresas (más de 250 empleados o más de €50M de volumen de facturación) y a las que ofrecen servicios básicos de interés general (luz, agua, telecomunicaciones, entre otros). Conforme a la definición de "clientela" prevista en la propia Ley, por tal debe básicamente entenderse a las "personas consumidoras o usuarias", cuya posición en el comercio en línea queda indiscutiblemente reforzada tras su entrada en vigor (operada el pasado 28 de diciembre de 2025). 

Sentencia alemana sobre uso de imágenes en IA bajo excepción de minería de textos y datos

El Tribunal Regional Superior de Hamburgo (Alemania) ha rechazado en su sentencia Kneschke v. LAION, de 10 de diciembre de 2025, la apelación contra la sentencia de instancia presentada por un fotógrafo contra una asociación sin ánimo de lucro (LAION) por utilizar una de sus imágenes en la creación de una base de datos destinada al entrenamiento de modelos de IA generativa. El Tribunal concluye que la recopilación está amparada por la excepción legal de minería de textos y datos –tanto generales como con fines científicos– y que esta actividad no afecta al mercado principal de explotación de la obra. Además, considera que la elaboración de esa base de datos constituye investigación aplicada y que, en este caso particular, responde al interés público, dado que el proyecto de esa asociación carecía de ánimo de lucro. La clave del asunto residía, no obstante, en la alegación del fotógrafo de que existía una reserva de uso sobre esa fotografía (es decir, se ejerció el derecho de opt-out respecto de la excepción): sobre ello, el Tribunal determinó que en la medida en que la advertencia solo constaba en lenguaje natural, no era legible por una máquina en 2021, fecha en la que la imagen fue descargada, y que por ello no se cumplían los requisitos legales para que tal reserva fuera de aplicación. La sentencia tiene mucha importancia, tanto por su carácter pionero cuanto porque la minería de textos y datos constituye un medio de defensa clave de los desarrolladores de IA generativa a la hora de utilizar contenido protegido en el entrenamiento de modelos; siendo el opt-out, a su vez, la "contradefensa" de los titulares de derechos de autor. Sin perjuicio de la posible impugnación de este fallo, la posición de dichos titulares de derechos queda ciertamente debilitada tras el mismo.

El gobierno español abre consulta pública sobre la propuesta europea para simplificar la aplicación del Reglamento de IA

El Ministerio para la Transformación Digital ha abierto a consulta pública la propuesta de la Comisión Europea para aplicar de forma más gradual el Reglamento de IA mediante el paquete “Omnibus Digital”. La iniciativa escalona las obligaciones para sistemas de alto riesgo según la disponibilidad de normas técnicas y herramientas de apoyo, y reduce cargas administrativas al extender a las pequeñas empresas de mediana capitalización las facilidades ya previstas para pymes, como la documentación técnica simplificada. Asimismo, limita la obligación de registrar determinados sistemas de alto riesgo cuando su función sea meramente acotada o procedimental, y elimina la exigencia de elaborar un plan armonizado de vigilancia poscomercialización. La propuesta también autoriza el tratamiento de categorías especiales de datos exclusivamente para detectar y corregir sesgos, siempre bajo estrictas garantías de minimización, supresión y medidas técnicas reforzadas. Impone exclusivamente a los Estados miembros (y no ya a todos los destinatarios del Reglamento) las obligaciones de alfabetización. Y, finalmente, el paquete impulsa el uso de sandboxes regulatorios y las pruebas en condiciones reales, y clarifica la interacción del Reglamento de IA con otras normas de la UE para facilitar su aplicación práctica. La consulta pública estará abierta del 23 de enero al 8 de febrero de 2026. Acerca de las singularidades e impacto del paquete "Omnibus Digital", tanto en materia de IA, como en sus demás implicaciones, nos remitimos a nuestros comentarios en la Alerta: Ómnibus y Paquete digital UE: una mirada (algo más) sosegada.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.