Agentes de la Policía Nacional detuvieron el pasado martes en la provincia de Granada a una persona por su presunta autoría de un delito de revelación de secretos. El arrestado publicaba en diversos portales de internet datos de carácter personal relativos a integrantes de diferentes instituciones sensibles del Estado, entre ellas el INCIBE, el Ministerio Fiscal, el Consejo de Seguridad Nacional, así como de miembros de la Policía Nacional, la Guardia Civil, la Fiscalía General del Estado, el Ministerio de Hacienda y la Agencia Tributaria.

Tras la localización del presunto autor, se procedió al registro de su domicilio, donde los agentes intervinieron diverso material informático y tecnológico que ya está siendo analizado por los especialistas policiales.

La investigación, dirigida por el Juzgado de Instrucción número 22 de Madrid, se inició tras detectar la difusión masiva de estos datos, lo que generaba un riesgo inmediato para la seguridad e integridad de los afectados y de las propias instituciones. Ante la gravedad de los hechos, se activó de forma urgente un dispositivo de localización y detención que culminó el pasado miércoles 27 de mayo con la detención del autor y el registro de su domicilio.

Esta investigación ha puesto el foco en el creciente riesgo que representan las campañas de exposición masiva de datos personales en Internet, especialmente cuando afectan a miembros de instituciones estratégicas del Estado. Este tipo de prácticas, conocidas en el ámbito cibernético como doxing, pueden facilitar amenazas, extorsiones o acciones coordinadas contra funcionarios públicos y organismos sensibles.

Es especialmente relevante la rapidez con la que se activó el dispositivo policial, dada la naturaleza de la información difundida y el potencial impacto sobre la seguridad operativa de las instituciones afectadas. La operación continúa abierta con el objetivo de esclarecer la posible implicación de otras personas y desarticular, de forma completa, la red de perfiles implicados en esta campaña de señalamiento y amenazas.

Nueva causa archivada para el alcalde de Badalona, Xavier García Albiol. La Audiencia de Barcelona ha confirmado que no ve delito en que el edil revelara durante un pleno municipal datos médicos de un hombre sin hogar que murió en la localidad en 2024.

En un auto, al que ha tenido acceso elDiario.es, la sección 8ª de la Audiencia de Barcelona confirma el archivo del caso decretado por el instructor. Los jueces no contestan en la resolución a la petición del letrado Andreu Van den Eynde, que representa a la acusación de Guanyem Badalona, para que se pronunciaran sobre la “singular analogía” que el caso de Albiol presentaba con la condena contra el ex fiscal general del Estado Álvaro García Ortiz por revelación de datos reservados.

La sentencia del Supremo sobre el ex fiscal general, argumentaba Guanyem Badalona, “aborda un debate relevante sobre la imposibilidad de responder a una noticia con una revelación de secretos”. Van den Eynde agregó que el Supremo consideró punible este tipo de actuación “incluso con referencias específicas a supuestos de datos de salud”.

V., el vecino sin hogar de Badalona fallecido, acudió al Hospital Municipal de Badalona el 25 de mayo de 2024, donde fue atendido. Desde hacía varios días que los habitantes del barrio de Canyadó habían observado un deterioro de su salud. El hombre terminó falleciendo el pasado 9 de junio.

Un mes después, durante el pleno municipal Albiol respondió a las peticiones de explicaciones de las asociaciones de vecinas, que denunciaron que la muerte del hombre sin hogar, de origen lituano, se produjo tras el cierre del albergue municipal para personas sin techo. Este vínculo molestó a Albiol, que respondió a los vecinos con datos del paso del fallecido por el hospital.

“Como fue al Hospital de Badalona, tengo aquí, no el parte, porque eso es privado, pero sí el porqué murió esta persona, y se lo voy a leer textualmente. Me lo han enviado desde el Hospital, eh”, lanzó el político del PP al pleno tras la petición vecinal. A continuación, difundió parte de los síntomas, el diagnóstico, las pruebas y el tratamiento médico al que fue sometido el sintecho en el Hospital de Badalona.

En su auto, el tribunal aprecia una “ausencia de cualquier evidencia de haber incurrido en conductas infractoras en materia de protección de datos” por parte de García Albiol. El motivo, explica el tribunal, es que la Autoridad Catalana de Protección de Datos no constató “infracciones concretas en materia de protección de datos” en su investigación. Si el ente especializado no apreció infracciones, menos puede hacerlo el derecho penal, concluyen los jueces.

La Audiencia entiende que los familiares del finado podrían denunciar la vulneración de la intimidad personal del fallecido como un derecho propio, siempre que demostraran el grado de parentesco exigible y que señalen qué informaciones concretas reveladas les han podido ocasionar un perjuicio.

En este caso concreto, los jueces concluyen que no se ha aportado “ninguna evidencia” de los ámbitos de la esfera privada del hermano que han podido verse afectados por las declaraciones de Albiol, ni si tuvieron trascendencia, difusión o impacto en su país de origen.

El tribunal sostiene que no consta que el difunto tuviese familia, ni próxima ni lejana, en España, ni que la misma “hubiere mostrado interés personal en su estado de salud o en la evolución y el desenlace fatal de su enfermedad, tampoco en el tratamiento de sus restos mortales, que nadie reivindicó en su momento”.

El Gobierno de Castilla-La Mancha creará el Registro de Población de la región, una base de datos administrativa para modernizar la interacción con la ciudadanía, a través de procedimientos administrativos electrónicos y comunicaciones basadas en medios digitales, tal y como se ha publicado este lunes en el Diario Oficial de Castilla-La Mancha (DOCM).

En este repositorio, elaborado a través de datos de los padrones municipales de localidades castellanomanchegas aparecerá el nombre, apellidos, domicilio, número de DNI o NIE. Por otra parte, también el número de teléfono y correo electrónico, en este caso solo si la ciudadanía lo facilita a través del espacio ciudadano.

Esta base de datos servirá para elaborar estadísticas oficiales, la comunicación entre la Administración y la ciudadanía de cara a procedimientos, trámites o gestiones, así como la evaluación de la calidad de los servicios prestados por los diferentes órganos de la Junta de Castilla-La Mancha.

Los usuarios de espacio ciudadano podrán acceder a través de esta plataforma a sus datos personales contenidos en el Registro de Población. Los datos de carácter personal del Registro de Población de Castilla-La Mancha son confidenciales y el acceso a los mismos se regirá por lo dispuesto en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

Las diferentes solicitudes de uso de datos contenidos en el Registro de Población de Castilla-La Mancha se dirigirán al órgano de la Junta de Castilla-La Mancha con competencias en materia de estadística y deberán explicitar la finalidad para la que esa información se precisa.

La inmensa mayoría de la ciudadanía española apoya el establecimiento de una “identificación obligatoria” para participar en redes sociales o foros de Internet, según un estudio publicado este viernes elaborado por la Universitat de Barcelona a partir de una encuesta a una muestra representativa de 2.500 personas y un análisis cualitativo a partir de sus respuestas.

La investigación muestra que la defensa del anonimato digital ha quedado reducido a una posición minoritaria en la sociedad española. “Solo uno de cada cuatro ciudadanos defiende la participación anónima”, explica el estudio, que avisa que “existe cierta polarización en la posición frente al anonimato: mientras unos lo defienden como un derecho básico que garantiza la libertad de expresión, otros lo identifican como una fuente de inmunidad para difundir información falsa y discursos de odio”.

La rotundidad de las cifras en este sentido ha sorprendido a los propios autores. “Lo que observamos, y que nos han sorprendido bastante al equipo de investigación, es la demanda de regulación de contenidos en las redes, como los discursos de odio, a través de medidas como la identificación obligatoria para participar públicamente en redes y foros de Internet”, ha confesado el investigador principal, Jordi Muñoz.

Una sorpresa quizá motivada porque estos hallazgos coinciden con un momento de creciente alerta por el avance del análisis masivo de información a través de la inteligencia artificial. Empresas que se han colocado en el foco público, como Palantir, se han especializado en cruzar datos personales y estructurales para identificar a personas y objetivos militares. Su plataforma es utilizada por organismos como el ICE para localizar, arrestar y deportar a inmigrantes irregulares en EEUU. La encuesta, de hecho, destaca que el principal derecho que la ciudadanía pide para Internet es la privacidad y la protección de datos (96%).

Muñoz, profesor asociado de Ciencias Políticas de la Universidad de Barcelona, ha sido el encargado de presentar los resultados durante el primer Encuentro Internacional por los Derechos Digitales que ha arrancado este miércoles en Barcelona. La iniciativa ha reunido a más de un centenar de académicos y representantes de la sociedad civil especializados en este área en unas jornadas de debates y conferencias que concluirán mañana.

La desinformación y el acoso, principales problemas

Muñoz ha destacado que la identificación obligatoria surge como respuesta a los principales problemas que la ciudadanía identifica en Internet. El 88% de los encuestados identifica las redes sociales y los medios digitales de forma general como el entorno más propicio para la difusión de noticias falsas, mientras que un 77% opina lo mismo sobre los discursos de odio.

Como vía de solución, el 65% de los ciudadanos se muestra a favor de regular la difusión de información en estas plataformas. A la hora de definir quién debe asumir el freno a la información falsa en Internet, la sociedad apunta hacia los poderes públicos.

El 48% de la población considera que los gobiernos tienen la responsabilidad principal de garantizar que no se publiquen este tipo de noticias en la red. Las plataformas tecnológicas ocupan la segunda posición, señaladas por el 39% de los encuestados, seguidas de los propios medios de comunicación con un 35% Un 14% de las personas encuestadas traslada la tarea de control y actuación a la Unión Europea.

Otra de las cifras más rotundas del estudio es el 95% de ciudadanos que piensa que los niños deberían estar más protegidos en la red. “En consecuencia, se detecta un fuerte consenso social en torno a la necesidad de implementar medidas de protección como el control parental (96%), la edad mínima para el uso de smartphones (91%) y la regulación de la publicidad dirigida a menores (96%)”, señala el estudio.

“A pesar de que existe una clara demanda de regulación dirigida a las autoridades, el 80% identifica a las propias familias como una de las principales entidades responsables de la protección de los menores en redes”, continúan los investigadores.

En este sentido, el Gobierno ha anunciado que ya tiene lista una aplicación de identificación digital para evitar que los menores por debajo de la edad recomendada accedan a las redes sociales. Se trata de Cartera Digital Beta, que emplea un mecanismo, asegura el Ejecutivo, que no recaba datos sobre la navegación de quienes la utilizan y hace imposible su identificación posterior.

Actualmente, la edad legal para el acceso a redes está fijada en los 14 años, pero el Gobierno espera aprobar una nueva ley que la eleve a 16 y habilite el empleo de sistemas como Cartera Digital Beta para asegurar su cumplimiento. Países como Australia han impuesto recientemente prohibiciones similares, pero su aplicación está dejando algunas incógnitas sobre su efectividad real.

Este viernes 8 de mayo, Instagram deja de ofrecer cifrado de extremo a extremo en sus mensajes privados. En la práctica, esto permite a Meta acceder libremente a los chats de los 2.500 millones de usuarios de esta red social.

La compañía asegura que el cambio se debe al bajo uso del cifrado, que debe ser activado por los usuarios. Sin embargo, la decisión coincide con la entrada en vigor de una ley estadounidense que presiona para que las compañías eliminen este protocolo de seguridad, el más eficaz para proteger las comunicaciones digitales. También con la mejora de las capacidades de análisis de datos masivos de la inteligencia artificial.

Las organizaciones de derechos digitales y privacidad han criticado la decisión de Meta, propietaria también de Facebook y WhatsApp. “Este cambio de rumbo expondrá a millones de usuarios a riesgos graves y concretos”, avisa la Global Encryption Coalition, en la que participan la Fundación Mozilla, el Centro para la Democracia y la Tecnología o la Internet Society.

Protección básica

El cifrado de los mensajes digitales es un proceso que convierte su contenido en un código ilegible, excepto para quien tiene la clave adecuada (el destinatario original). “Muchos usuarios de Instagram utilizan los mensajes directos para tratar asuntos personales, políticos o profesionales delicados”, destaca la Coalición. Abandonar el cifrado “aumentará el riesgo de que estos usuarios sean vigilados e interceptados por agentes malintencionados, gobiernos y otros que intenten acceder a sus comunicaciones privadas”, alertan.

Los críticos recuerdan, además, que incluso el director ejecutivo de Meta, Mark Zuckerberg, ha defendido el valor de esta protección digital básica. “Creo que el futuro de la comunicación se orientará cada vez más hacia servicios privados y cifrados, donde las personas puedan tener la seguridad de que lo que se dicen entre sí permanece protegido y sus mensajes y contenido no se almacenarán indefinidamente. Este es el futuro que espero que podamos ayudar a construir”, declaró en 2023.

Entonces, ¿a qué se debe el cambio? “Muy pocas personas optaban por el cifrado de extremo a extremo en los mensajes directos, por lo que eliminaremos esta opción de Instagram en los próximos meses. A partir del 8 de mayo de 2026, dejaremos de proporcionar cifrado de extremo a extremo en los mensajes directos”, comunicó la compañía en marzo, invitando a los usuarios a usar WhatsApp, que seguirá manteniendo esta protección.

Aunque Meta no ha llegado a dar una cifra oficial, algunos analistas hablan de porcentajes de uso en torno al 2%. Esto implicaría que 50 millones de personas en todo el mundo habían cifrado sus mensajes de Instagram, una cifra considerable teniendo en cuenta que debía activarse voluntariamente. “Es una función que está escondida, poco promocionada, es complicada, que la gente no conoce y que no está por defecto; no porque la gente decida que prefiere no estar protegida”, destaca Elena Gil, abogada especialista en nuevas tecnologías.

Conversaciones al descubierto

Contactada por elDiario.es, una portavoz de Meta ha compartido una publicación de 2023 de su blog oficial en la que afirma que no utilizará los mensajes privados para entrenar a su IA. Sin embargo, esto no aparece claramente definido en su política de privacidad, que es el único documento vinculante a nivel legal sobre el uso de datos personales de la compañía, avisa Elena Gil.

Al contrario, tras repasar estas claúsulas legales de 140 páginas, la abogada expica que Meta hace un uso extensivo y poco definido de un concepto legal denominado “interés legítimo”. Se trata de una fórmula que permite a las compañías utilizar los datos de los usuarios sin necesidad de pedirles permiso explícitamente.

“Es la figura que más se utiliza en el mundo digital para el entrenamiento de sistemas de inteligencia artificial o sistemas automatizados”, recuerda Gil, cuya investigación sobre cómo las empresas usan resortes legales como el “interés legítimo” para analizar datos de sus usuarios fue premiada por la Agencia Española de Protección de Datos. “Con muchos matices, básicamente quiere decir que no necesitan pedir consentimiento si las consecuencias de lo que hacen son leves”, detalla.

Además, no utilizar los datos de los mensajes para el entrenamiento de la IA, como asegura Meta, implica que estos no se añadirán a sus bases de datos. No que no pueda analizarlos. Uno de los usos de los que habla específicamente su política de privacidad es la inferencia: “La inferencia es la deducción de más información sobre ti. Esta información inferida es como el Santo Grial de la economía digital: aparte de recoger muchos datos sobre ti, intentan adelantarse y adivinar datos que tú nunca has llegado a dar”, continúa la jurista.

Esta información inferida es como el Santo Grial de la economía digital: aparte de recoger muchos datos sobre ti, intentan adelantarse y adivinar datos que tú nunca has llegado a dar

Elena Gil — abogada especialista en nuevas tecnologías

Al retirar la protección de extremo a extremo, la plataforma tiene vía libre para acceder a todos los mensajes de sus usuarios. “Imagínate que el cartero, que es Meta, pudiese parar a leer todas las cartas que tú escribes”, ejemplifica: “Si hablas de tus finanzas, de enfermedades, de a quién votas, de detalles que revelan tu condición sexual incluso en un país donde eso pueda estar perseguido, de lo que ganas, lo que te pasa. Si estás teniendo una relación extramatrimonial. De tus logros, de tus alegrías. Imagina que todo eso en vez de ser secreto, como se legisló hace décadas, ahora se pudiera leer”.

Gil aclara que esto no implica que sean personas quienes lo lean. Es “un algoritmo que siempre está aprendiendo de todo lo que tú haces dentro y fuera de los mensajes privados” el que podrá encargarse de ello.

“Todo esto es el caldo de cultivo de la manipulación masiva, entrenamiento de nuevos sistemas de IA, creación de sistemas que cada vez parezcan más humanos, etc. Y todo con la excusa de que se está informando de manera transparente en un texto que ya te digo que tiene más de 140 páginas, sabiendo que nadie se entera, porque ni siquiera una persona experta es capaz de enterarse de lo que ahí pone”, asevera la abogada sobre la política de privacidad de la red social.

Una ley contra el cifrado en 11 días

Existe otro telón de fondo tras la retirada de esta protección digital de los mensajes. El fin del cifrado en Instagram llega justo 11 días antes de que entre en vigor la llamada Take It Down Act, la primera ley estadounidense que ilegaliza la difusión no consentida de imágenes íntimas, incluyendo aquellas generadas con inteligencia artificial.

La Take It Down Act fue ratificada por Donald Trump en mayo de 2025 como reacción a los primeros escándalos de creación de imágenes sexualizadas con IA, en el que se vieron afectadas desde personalidades como Taylor Swift hasta políticas, así como profesoras y alumnas de colegios e institutos.

Además de castigar a los que difundan estos contenidos, la ley también estipula un período de 48 horas para que las plataformas retiren este tipo de contenidos. Instagram es uno de los principales espacios donde se dan este tipo de ataques, y el cifrado de los mensajes dificultaba a Meta su cumplimiento. Su retirada permitirá a la red social analizar los mensajes privados en busca de este y otros tipos de contenidos.

Se trata de una de las consecuencias perniciosas de este tipo de leyes, como alertan múltiples organizaciones de derechos digitales y expertos por todo el mundo. “Las plataformas podrían responder abandonando por completo el cifrado para poder monitorear el contenido, convirtiendo así las conversaciones privadas en espacios vigilados”, avisó durante la negociación de la Take It Down Act la Electronic Frontier Foundation (EFF), una de las organizaciones de referencia en este ámbito.

Pese a ello, la tendencia de imponer la posibilidad de revisar los mensajes cifrados de los usuarios se extiende a nivel internacional. En este momento, la UE está negociando una ley contra la difusión de pornografía infantil cuyos críticos avisan que podría tener el mismo efecto que la Take It Down Act. La Comisión Europea asegura que el texto no dificultará el cifrado, pero cientos de tecnólogos enviaron una carta a Bruselas para discrepar: “Es una amenaza enorme”.

Reino Unido o la India están impulsando legislaciones similares. Es por ello que la decisión de Instagram “es un precedente peligroso”, denuncia la Global Encryption Coalition: “En un momento en que los gobiernos de todo el mundo están considerando activamente medidas que debilitarían o eludirían el cifrado, el sector privado debe priorizar la privacidad y la seguridad en el diseño de sus productos”.

La Agencia Española de Protección de Datos (AEPD) apercibe a la Xunta y multa con 200.000 euros a la cadena de distribución Gadisa por el tratamiento de datos de usuarios sin su consentimiento, según informa Facua-Consumidores en Acción, que presentó denuncia por este caso.

En un comunicado, que recoge Europa Press, Facua indica que la Agencia de Protección de Datos ha desestimado el recurso que la empresa presentó contra la resolución que la sancionaba por haber tratado los datos de beneficiarios de un programa de ayudas de la administración sin su consentimiento, algo de lo que había informado elDiario.es.

La asociación denunció en enero de 2025 a esta empresa, propietaria de los supermercados e hipermercados Gadis, Claudio e Ifa Cash, tras conocer que estaba mandando a los hogares de los beneficiarios del programa Carné familiar --con el que pueden obtener beneficios económicos-- cheques regalo con un porcentaje de descuento calculado según las compras efectuadas. “Los datos de estos usuarios los habría obtenido mediante su cesión por parte de la Xunta de Galicia, y todo ello sin haber recabado previamente el consentimiento de los afectados para hacerlo. Además, Gadisa habría incorporado esos mismos datos a sus ficheros sin autorización para ello”, censura Facua.

Ahora, la AEPD ha confirmado que Gadisa cometió una infracción del artículo 26 del Reglamento General de Protección de Datos (RGPD), que obliga a que, cuando exista una corresponsabilidad en el tratamiento de datos personales -como en este caso entre la empresa y la Xunta de Galicia-, deben determinarse “de modo transparente y de mutuo acuerdo” sus responsabilidades respectivas. Acuerdo que, según señala la Agencia, no quedó acreditado en este caso.

Gadisa ha reaccionado asegurando que los beneficiarios del programa Carné familiar que recibieron cheques para utilizar en Gadis participaron “de forma voluntaria en el mismo” y se identificaron “expresamente” en cada compra, tanto en la tienda física como en la online para poder tener acceso a esas recompensas. “En ningún caso existió una utilización de datos ajena a la finalidad del programa, ni una cesión de datos personales”, afirma la empresa, que informa de que ha recurrido ante la Audiencia Nacional la resolución de la AEPD “por tratarse de una discrepancia de interpretación jurídica”.

 La Agencia ya había resuelto otro procedimiento sancionador contra la Xunta de Galicia en el que confirmaba la misma vulneración del Reglamento General de Protección de Datos, aunque en ese casó se zanjó sin multa económica.

Los principales chatbots de inteligencia artificial comparten datos de las conversaciones de los usuarios con las multinacionales de la publicidad online, que los utilizan para elaborar perfiles personalizados y vender anuncios hipersegmentados. Es la principal conclusión de un nuevo estudio que ha encontrado evidencias de estas filtraciones en ChatGPT, Claude, Grok y Perplexity, que mandan la información a las bases de datos para anuncios de Meta, Google, TikTok y otras compañías dedicadas al rastreo digital y la analítica web.

La filtración se produce a través de los enlaces permanentes de los chats, también conocidos como permalinks. Las plataformas envían estas direcciones web a los rastreadores junto con identificadores de usuario, como correos electrónicos cifrados o cookies, lo que permite asociar los datos de sus conversaciones a los perfiles publicitarios que elaboran terceras empresas sin el conocimiento del usuario.

“Este es el riesgo central: filtrar una URL no es solo metadatos, puede ser equivalente a filtrar la conversación en sí”, avisa el estudio, coordinado por el centro de investigación IMDEA Networks y liderado por el investigador español Narseo Vallina. “Las prácticas observadas también sugieren que los modelos de negocio basados en datos de la web tradicional (como la publicidad o la analítica) se están replicando en los ecosistemas de modelos de lenguaje, con una supervisión limitada”.

Las compañías son conscientes de que estas prácticas podrían contravenir las regulaciones de protección de datos. Perplexity, por ejemplo, retiró el rastreador de Meta de su web el 3 de abril de 2026, tras una demanda colectiva en Estados Unidos relacionada con la privacidad de sus usuarios. Esto detuvo el envío de enlaces y cookies a la red social y eliminó el acceso público a las conversaciones creadas por los usuarios que no habían iniciado sesión.

La misma práctica, solo que aún activa, es la que se da en Grok (el asistente desarrollado por xAI, propiedad de Elon Musk). “Es lo más grave que hemos encontrado”, destaca Vallina: “Las URLs y las conversaciones son accesibles de forma pública. Los rastreadores podrían potencialmente acceder a esa conversación, palabra a palabra. No tenemos evidencias de que lo estén leyendo, pero sabemos que el riesgo existe”.

Fuga de datos

Perplexity, pese a desactivar la posibilidad de que las conversaciones sean leídas por terceros, mantiene activos otros sistemas de rastreo. El estudio desglosa que cada vez que una persona utiliza el asistente, la empresa envía de forma automática su dirección de correo electrónico sin cifrar, el enlace exacto de la conversación y los detalles técnicos de su dispositivo a Datadog, una plataforma de monitorización de sistemas; y a Singular, una firma especializada en analítica y marketing.

Según las evidencias halladas, OpenAI envía los títulos de los chats y las direcciones de las conversaciones de los usuarios de la versión gratuita de ChatGPT a Google Analytics. Por su parte, Claude, de la empresa Anthropic, envía directamente los datos del usuario a plataformas como LinkedIn, TikTok, Google y otras ocho redes publicitarias distintas desde sus propios servidores, una técnica que las evita que las herramientas de bloqueo de anuncios de los navegadores puedan interceptar el tráfico de datos.

elDiario.es ha contactado con OpenAI, Anthropic, xAI (desarrolladora de Grok) y Perplexity para incluir su posicionamiento en esta información, pero no ha recibido respuesta. Los autores han denunciado los hechos a las agencias europeas de protección de datos, adelanta Vallina. Su estudio aún no ha sido revisado por otros investigadores independientes, pero han considerado que debían hacerlo público para alertar a los usuarios.

“Las conversaciones de los usuarios contienen con frecuencia información sensible, ya que estos suelen percibir a los modelos de lenguaje como asistentes de confianza”, avisa el estudio: “Esta percepción aumenta la probabilidad de que compartan más información sensible de la necesaria”. Otras investigaciones han detectado que los usuarios tienden a revelar detalles sobre sus preferencias sexuales, condiciones de salud o apoyo psicológico incluso cuando no son necesarios en el contexto de la conversación.

“Cuando los datos de las conversaciones se comparten con terceros como Meta y Google, junto con cookies y otros identificadores de usuario”, explican los investigadores de IMDEA Networks, “surge un nuevo escenario de riesgo”.

El estudio señala que la IA de Meta, Google Gemini y Microsoft Copilot han quedado fuera de este primer análisis debido a que estas empresas son tanto desarrolladores de chatbots y como rastreadores publicitarios. Al estar en los dos lados del negocio (recopilan los datos en su propio servicio y también controlan las redes de rastreo), los investigadores creen que estos asistentes entrañan un “modelo de amenaza diferente” al de ChatGPT, Claude, Grok o Perplexity. No obstante, avanzan que tienen previsto ampliar el alcance de su investigación para incluir los asistentes de Google, Meta y Microsoft en las próximas semanas.

El Ministerio para la Transformación Digital ha aprobado una orden ministerial que impide realizar cualquier comunicación comercial telefónica a través de números que no comiencen por el prefijo 400. La medida, que forma parte del Plan Antiestafas, fija octubre como fecha límite para que las operadoras bloqueen cualquier intento de contacto publicitario que no utilice esta nueva numeración.

“En el día de hoy hemos publicado en el BOE una instrucción que va a obligar a que todas las operadoras telefónicas obliguen a todas las empresas a hacer las llamadas comerciales, siempre con un número 400”, ha detallado el ministro Óscar López este martes en un evento de AMETIC, la patronal tecnológica. “Esta medida entrará en vigor a partir de octubre y por lo tanto, todos los ciudadanos que sepan que a partir de octubre solo podrán recibir llamadas comerciales que entren de un número 400 y el resto serán bloqueadas”.

Los nuevos números 400 serán unidireccionales. Esto significa que los ciudadanos podrán recibir la comunicación, pero el sistema les impedirá devolver la llamada a ese mismo número. Con esta restricción, el Gobierno busca neutralizar las estafas de rellamada, en las que los ciberdelincuentes intentan que la víctima contacte con números de tarificación especial dejándole un gancho en un primer contacto.

Además de la imposición del nuevo prefijo, las operadoras de telecomunicaciones también deberán permitir que sus clientes restrinjan totalmente cualquier contacto comercial vinculado a los números 400.

Registro de nombres contra el fraude por SMS

El paquete de medidas también incluye la mensajería móvil. Con el objetivo de frenar las suplantaciones de identidad de empresas e instituciones a través de SMS, la Comisión Nacional de los Mercados y la Competencia (CNMC) creará un registro oficial donde todos los organismos deberán inscribir los códigos alfanuméricos que utilizan como remitentes.

“A partir de junio, se acabaron los SMS suplantando la personalidad de compañías”, ha afirmado López, señalando que el objetivo es conseguir que “solamente las empresas y las entidades que estén en ese registro de la CNMC podrán hacer esos envíos masivos”. A partir del 7 de junio, las operadoras tienen la orden de bloquear cualquier mensaje cuyo remitente no figure en esta base de datos verificada.

Estas medidas se suman a un protocolo previo que, desde marzo de 2025, prohíbe el uso de numeración móvil para servicios de atención al cliente, obligando al uso de números cortos, fijos locales o rangos gratuitos (800 y 900).

El ministro ha defendido que esas primeras medidas han servico para frenar millones de contactos publicitarios y estafas. “Con las medidas que hemos puesto hasta ahora, hemos conseguido bloquear ya 192 millones de llamadas y 17 millones de SMS”. Según datos del sector, compañías como Telefónica interceptan actualmente cerca de 500.000 llamadas fraudulentas cada día antes de que lleguen al terminal del usuario final.

La nueva normativa se aplicará a todas las compañías, con la única excepción de las pequeñas operadoras de luz, gas y teléfono que posean menos de un 5% de cuota de mercado, cuenten con menos de 250 trabajadores o facturen menos de 50 millones de euros anuales. En caso de incumplimiento tras la entrada en vigor, los ciudadanos podrán denunciar directamente ante la Oficina de Atención al Usuario de Telecomunicaciones (OAUT) o la CNMC.

La Oficina Antifrau de Catalunya (OAC) ha abierto un procedimiento sancionador contra un directivo de TMB, la empresa pública que gestiona el metro y el bus en Barcelona, por la exposición de datos confidenciales de empleados en la intranet de la compañía que desveló elDiario.es en febrero de 2025.

La propuesta de sanción, todavía por determinar, podría alcanzar un máximo de 300.000 euros porque Antifraude considera “muy grave” la presunta infracción cometida, al haber vulnerado las garantías de confidencialidad y anonimato de una persona informante de la propia OAC.

Son varios los empleados de TMB que, durante los últimos años, han pedido amparo a Antifraude para obtener su protección como informantes de presuntos casos de corrupción. Algunos de ellos lo hicieron tras alertar de la propia brecha de seguridad en la intranet, otros tras denunciar o investigar a altos directivos por presunto acoso laboral.

La posible multa se dirige contra el director del área jurídica y de buen gobierno, también imputado en un juzgado penal junto al consejero delegado y otra directiva por presunto acoso laboral a la jefa que investigaba irregularidades internas.

La propuesta de sanción se suma a la cuantiosa multa que la Autoridad Catalana de Protección de Datos (APDCat) pretende imponer a la compañía por los mismos hechos. En el caso de la APDCat, la sanción podría llegar a 15 millones de euros. 

Desde TMB señalan que el afectado presentará alegaciones ante la Oficina Antifraude, recuerdan que la brecha ocurrió hace más de un año, aseguran que lo pusieron en contacto de las autoridades, y achacan el fallo a un “error” del “proveedor externo” que se encargaba de la gestión del sistema informático.

Datos sensibles a la vista

Tal y como desveló este periódico hace un año, un error en la configuración de la intranet de TMB permitió que cualquiera de los casi 9.000 empleados de la compañía pudiera acceder, y descargar, cientos de gigas de información sensible de algunos de sus compañeros.

La información accesible, en algunos supuestos, era altamente confidencial e incluía expedientes de la propia Oficina Antifraude, denuncias al Canal Ético de la empresa, actas del Consejo de Administración, expedientes de Fiscalía, demandas laborales, informes de riesgos psicosociales, correos electrónicos…

También estaba expuesta otra información comprometedora del departamento de recursos humanos y del de compliance como por ejemplo grabaciones de testigos entrevistados durante la instrucción de un caso de acoso laboral.

Los empleados de TMB también podían consultar datos de familiares de los demás empleados, contratos de trabajo, solicitudes de baja, informes y diagnósticos médicos, denuncias policiales, sentencias judiciales, actas de conciliación en despidos o incluso convenios reguladores de regímenes de separación conyugal.

La propuesta de sanción de Antifraude supone un elemento más en la crisis de reputación que vive TMB: a los problemas derivados de la brecha de seguridad se le suma la imputación de hasta cinco altos directivos en juzgados penales por dos presuntos delitos de acoso laboral.

En las dos querellas por presunto acoso laboral que han presentado contra estos cinco directivos también se ha incluido la mencionada brecha de seguridad, ya que los datos de las dos denunciantes y toda la documentación de las investigaciones internas de sus casos estuvieron al descubierto durante meses.

La cadena de gimnasios Basic-Fit ha sufrido un robo de la información que afecta a aproximadamente un millón de sus socios en Europa. Entre los afectados hay clientes de sus gimnasios en España, Francia, Alemania y Países Bajos. Los datos sustraídos incluyen nombres y apellidos, direcciones, correos electrónicos, números de teléfono, fechas de nacimiento, números de cuenta bancaria e información sobre su membresía y consumo, según ha informado Basic-Fit a las víctimas a través de correo electrónico.

“Concretamente, incluye el tipo de membresía, el saldo de pagos, el número de pase de Basic-Fit, un identificador interno, los horarios y clubs de tus visitas recientes”, desglosa la empresa sobre este último punto. Los ciberdelincuentes también han accedido al tipo de dispositivo que los socios utilizaron para validar esas últimas visitas, como por ejemplo la marca del teléfono. Las contraseñas del servicio no se han visto afectadas, según la comunicación.

El acceso a los datos se produjo el pasado 8 de abril en el sistema encargado de registrar las visitas de los socios a los centros deportivos. El operador, que presta servicio a más de 4,5 millones de clientes en seis países europeos, ha detallado que sus herramientas de monitorización detectaron la intrusión y bloquearon el acceso. El sistema que gestiona su modelo de franquicias en otros países europeos opera de manera independiente y no se ha visto afectado por la filtración.

“Los hackers encontraron una vulnerabilidad en la seguridad de nuestro sistema”, ha explicado un portavoz de Basic-Fit a elDiario.es. “La solucionamos minutos después de detectar la brecha. Lamentablemente, la seguridad 100% no existe, tal y como confirma el NCSC (la agencia nacional de ciberseguridad del Reino Unido), que aconseja a las empresas que trabajen en su resiliencia”, añaden las mismas fuentes: “Los hackers no se han puesto en contacto con nosotros y, por lo que sabemos, los datos no se han publicado en ningún lugar”.

Ataques de suplantación de identidad

La empresa comunica a los afectados que no es “necesario” que tomen “ninguna medida inmediata”. No obstante, avisa que deben tener “cuidado con los posibles intentos de phishing”, una modalidad de ataque en la que los ciberdelincuentes suplantan la identidad de empresas e instituciones para ganarse la confianza de las víctimas y robar sus datos financieros o su dinero.

La acumulación de datos personales como las sustraídas en este tipo de incidentes, como cuentas bancarias, números de teléfono y fechas de nacimiento, facilita el diseño de los ganchos para engañar al objetivo. Los ciberdelincuentes utilizan detalles específicos como nombres completos o registros de actividad para generar un “sesgo de autoridad” y una sensación de urgencia que impida que sospeche de la interacción.

Además, el volumen de información filtrada permite la profesionalización de las estafas mediante centros de llamadas, donde los datos son vendidos a terceros o empleados para cometer fraudes financieros posteriores.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Booking ha notificado a sus usuarios una brecha de seguridad que ha permitido el robo de información personal vinculada a sus reservas. En un correo enviado a los afectados, la compañía ha confirmado que los datos expuestos incluyen nombres, correos electrónicos, números de teléfono y cualquier detalle que el cliente haya compartido directamente con el alojamiento.

En una primera comunicación, la plataforma ha informado a las víctimas de que sus direcciones físicas también se habían filtrado. No obstante, Booking ha explicado posteriormente a elDiario.es que se trataba de un error en la redacción del aviso que esos datos no se han visto afectados. Este medio ha preguntado a la empresa por el número de afectados y la vía en que los ciberdelincuentes se han hecho con la información, pero esta no ha contestado a las preguntas.

En su respuesta a elDiario.es, Booking reitera lo comunicado a las víctimas: tras detectar “actividad sospechosa”, Booking ha actualizado los números de PIN de las reservas afectadas e instado a sus clientes a mantener la alerta ante posibles correos, llamadas o mensajes de WhatsApp sospechosos.

En este sentido, la empresa recuerda que nunca solicita datos de tarjetas de crédito o transferencias bancarias fuera de los canales oficiales de pago de su plataforma. “Si has recibido algún correo electrónico o alguna llamada telefónica sospechosa, podría provenir de personas con malas intenciones que se hacen pasar por el alojamiento o por Booking”, avisa a los afectados.

Este robo se produce en un contexto de aumento de los ataques de suplantación de identidad que utilizan a los hoteles como gancho. Los ciberdelincuentes se hacen pasar por los establecimientos para contactar con clientes que van a hospedarse en ellos de manera inminente para anunciarles problemas en su reserva o cambios de última hora. Su objetivo es que, movidos por la urgencia, realicen pagos o revelen sus datos financieros a los estafadores.

La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a diversos hoteles por este motivo. Otra de sus tácticas es atacar a los propios empleados del alojamiento, enviando enlaces maliciosos a los empleados del establecimiento para infectar sus equipos y obtener las claves de acceso a Booking. Una vez dentro del sistema, envían mensajes a los futuros huéspedes alegando problemas con el pago o la tarjeta para redirigirlos a páginas fraudulentas donde capturan sus datos bancarios.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

La Plataforma en Defensa de la Sanidad Pública de Cantabria exige que los datos de los voluntarios del proyecto Cohorte no se utilicen para “encarecer seguros o excluir a colectivos vulnerables”. En la misma línea, solicita al Gobierno de Cantabria la publicación íntegra del acuerdo, y de la memoria jurídica y ética que lo sustenta, con la farmacéutica estadounidense a la que se van a ceder los datos de los voluntarios que participaron en este estudio. El colectivo pide una explicación “en lenguaje comprensible” de qué implica para las 51.000 personas y la creación de un comité para permitir o no usos secundarios de datos sanitarios en Cantabria.

En conversación con elDiario.es, el colectivo considera que hacen falta “políticas claras de conflicto de interés” para investigadores y responsables públicos, así como cláusulas que impidan que los modelos genómicos se utilicen para discriminar, encarecer seguros o excluir a colectivos vulnerables. Para ello, proponen un órgano que supervise los convenios y evalúe los posibles riesgos de usos secundarios. “Una gobernanza independiente” que debería contar con la participación de pacientes, expertos en bioética y protección de datos y representantes de la sociedad civil, precisan.

En opinión de los portavoces de la plataforma, son pasos “mínimos” para preservar la confianza en el proyecto. “Sin transparencia, sin garantías y sin participación social, cualquier acuerdo público-privado en un terreno tan sensible corre el riesgo de erosionar precisamente aquello que se necesita fortalecer: la confianza de la ciudadanía en sus instituciones”, explica Antonio Jiménez, exjefe de Neumología y exdirector médico del Hospital Universitario Marqués de Valdecilla en Santander.

Cohorte Cantabria es un proyecto público que se sostiene sobre la confianza de miles de voluntarios “y esa confianza se alimenta de transparencia radical”, estima este experto. El colectivo subraya que la ciudadanía tiene derecho a saber qué va a hacer exactamente Regeneron Pharmaceuticals -una farmacéutica con sede en Boston propiedad de uno de los mayores fondos de inversión a nivel mundial- con los datos, qué obtiene la sanidad pública a cambio y qué riesgos existen. “Publicar el convenio -con las mínimas reservas comerciales- y los informes que lo sustentan no debería ser visto como una concesión, sino como un deber democrático”, apunta Jiménez en declaraciones a este periódico.

La plataforma reclama “hechos concretos” que avalen la afirmación de que el convenio entre Cohorte y el laboratorio farmacéutico estadounidense “se ajusta escrupulosamente a la legalidad y a la ética”, tal como han asegurado los impulsores del proyecto. “Cuando hablamos del uso de información de salud que se transfiere a una empresa privada, no basta con invocar buenas intenciones”, advierten.

Nuevo consentimiento

Desde el punto de vista jurídico, desde la plataforma consideran que un convenio de estas características exige una base legal bien definida “compatible con el consentimiento original”. Respecto a la cesión de datos de Cohorte, el colectivo considera necesario acreditar “que la finalidad es la investigación biomédica y la medicina de precisión, no una explotación comercial amplia”.

En su opinión, si los fines son comerciales o para desarrollar productos inaccesibles para el sistema público de salud, debería plantearse un nuevo consentimiento de los voluntarios en el proyecto. Así, la plataforma defiende que para respetar la autonomía de los participantes “se debe ofrecer un mecanismo sencillo de oposición o retirada para quienes no deseen que sus datos se utilicen en acuerdos con empresas privadas, sin perjuicio en su atención sanitaria”.

De hecho, advierten que debe garantizarse un beneficio recíproco y medible: acceso preferente a resultados para el sistema público, coautoría científica, participación en patentes o licencias y un retorno económico cuantificable. “No es aceptable que una farmacéutica reciba un activo enorme a cambio de contraprestaciones vagas”, concluye Antonio Jiménez.

El Partido Regionalista de Cantabria ha pedido que sea la Universidad de Cantabria, a través del Instituto de Física de Cantabria (IFCA), quien asuma la gestión de datos del proyecto sanitario Cohorte Cantabria. El portavoz parlamentario del PRC, Pedro Hernando, ha presentado una iniciativa en el Parlamento para evitar la intención del Gobierno de Cantabria de poner en manos privadas la investigación de salud pública, tras conocerse que el consejero de Salud, César Pascual, va a firmar un convenio para poner en manos de la farmacéutica estadounidense Regeneron Pharmaceuticals los datos de 51.000 voluntarios cántabros del proyecto Cohorte.

La Proposición No de Ley del PRC se produce tras la confirmación a elDiario.es por parte del IFCA, centro mixto del CSIC y de la UC, de su “voluntad y capacidad para poder desarrollar el proyecto”.

“El proyecto Cohorte Cantabria constituye una de las principales iniciativas de investigación biomédica y de salud pública desarrolladas en nuestra comunidad autónoma, al integrar información clínica, epidemiológica y biológica de más de cincuenta mil voluntarios y voluntarias cántabras, conformando un activo estratégico de enorme valor científico, sanitario y social”, explica la propuesta.

Los regionalistas alertan de la intención del Gobierno de Cantabria de formalizar, a través del Instituto de Investigación Sanitaria Valdecilla (IDIVAL), un acuerdo con la farmacéutica estadounidense Regeneron Pharmaceuticals para realizar estudios de genómica y proteómica sobre los datos y muestras recabados por Cohorte Cantabria. Así mismo, cuestiona la justificación pública del consejero de Salud, César Pascual, sobre “la supuesta falta de capacidad técnica en Cantabria y en España para abordar un proyecto de esta magnitud”.

El portavoz Pedro Hernando considera prioritario optar “por el aprovechamiento y fortalecimiento de las capacidades científicas, tecnológicas y sanitarias existentes en el sector público de nuestra comunidad autónoma frente a iniciativas de carácter privado”. Por ello, instan a que sea el Instituto de Física de Cantabria (IFCA), debido a “su capacidad acreditada para el procesamiento y análisis de datos de gran volumen”, así como “su potencial en el tratamiento bioinformático y computacional de la información derivada de Cohorte Cantabria”, quien desarrolle “un hub nacional de investigación en la materia”.

El Instituto de Física de Cantabria (IFCA) tiene la capacidad de hacer el estudio genómico del proyecto Cohorte que el consejero de Salud pretende poner en manos de una farmacéutica estadounidense propiedad del mayor fondo de inversión mundial, Blackrock. El centro mixto del Consejo Superior de Investigaciones Científicas (CSIC) y la Universidad de Cantabria (UC) “tienen la voluntad y la capacidad para poder desarrollar el proyecto”, han asegurado tras la consulta de este periódico. Fuentes del IFCA confirman que, de hecho, hay un proyecto en curso.

Esta información desmiente al consejero de Salud, César Pascual (PP), que ha justificado ceder los datos de 51.000 voluntarios de Cohorte Cantabria a un laboratorio con sede en Boston porque Cantabria “no tiene capacidad” para llevar a cabo un estudio de genómica “de la magnitud” del proyecto. “Se necesitarían prácticamente ordenadores cuánticos para poder mover y hacer estos análisis tan grandes”, ha afirmado esta misma semana.

Un argumento que utilizó en la rueda de prensa donde se anunció el convenio con Regeneron Pharmaceuticals, en la réplica posterior tras las críticas a la cesión de los datos de los cántabros a una empresa privada y por tercera vez en el Parlamento de Cantabria. Según el consejero, solo hay dos posibilidades: la farmacéutica estadounidense, que está estudiando las grandes cohortes de Europa, “o una empresa china” que “no estaba dentro del marco”. En su opinión, la elección “era muy clara” por el volumen de datos que se van a manejar.

Pero a la vez, en la tribuna del hemiciclo, ya admitió otra posibilidad. A preguntas del portavoz parlamentario regionalista, Pedro Hernando, reconoció que hay conversaciones con el Instituto de Física de Cantabria para poder utilizar sus ordenadores y con el laboratorio estadounidense para desplazar allí personal para que se forme. Lo cual amplía el perímetro del falso dilema que planteó inicialmente: Estados Unidos o China.

No obstante, Pascual ya tiene prácticamente cerrado el contrato que el Instituto de Investigación Sanitaria de Valdecilla (Idival) prevé firmar en breve con la farmacéutica estadounidense Regeneron Pharmaceuticals para realizar estudios de genómica y proteómica sobre los datos recabados por Cohorte. Un acuerdo que, según el consejero, lleva años negociándose y que no se ha hecho público. Por eso el PRC ha exigido que pase por el Parlamento antes de rubricarse.

Un convenio que cuesta dinero a Cantabria

Pascual dice que el contrato se hará sin “ningún tipo de contraprestación económica”, aunque inicialmente no era así. El laboratorio iba a pagar a Cantabria por los datos de 51.000 cántabros, pero a última hora se eliminó esta cláusula. “Esa fue la única pega que puso el Gobierno al acuerdo que plantearon, porque pensábamos que la contraprestación económica podía ser malinterpretada”, explicó en el Parlamento.

Pero el acuerdo le costará dinero a Cantabria e incluirá restricciones a la hora de trabajar con sus propios datos. La conclusión es que el Gobierno autonómico compartirá gratis y en exclusiva las muestras de 51.000 voluntarios, tendrá que pagar el coste que suponga el envío de las muestras a Estados Unidos y no podrá ceder esos datos de genómica “a otros terceros en aquellos procesos de investigación que ellos están haciendo, lo cual parece lógico”, dice el consejero.

Procesamiento de datos en España

La Plataforma en Defensa de la Sanidad Pública de Cantabria también desmiente que los datos de Cohorte solo puedan procesarse en Estados Unidos, como argumenta el consejero de Salud para justificar la cesión de los datos de 51.000 voluntarios cántabros del proyecto Cohorte a una farmacéutica norteamericana.

El colectivo se ha sumado a la polémica y considera que, como paso previo a ceder los datos de 51.000 voluntarios a Regeneron Pharmaceuticals, “debe acreditarse de forma clara qué circunstancias imposibilitan el procesado en nuestro país de la información generada en Cohorte”. Sobre todo cuando España dispone de supercomputación de nivel mundial y la Universidad de Cantabria de un superordenador, el 'Altamira', “con capacidades de procesamiento gigantescas y de uso gratuito para proyectos de investigación”.

Desde la Plataforma en Defensa de la Sanidad Pública también desmienten que solo Estados Unidos y China dispongan de computación cuántica, como asevera el consejero de Salud, y señalan que IBM, líder mundial occidental en ese tipo de tecnología, tiene uno solo dedicado a investigación en San Sebastián. El superordenador cuántico más potente de Europa, el IBM Quantum System Two, del que solo existen en la actualidad otros dos: uno en Estados Unidos y otro en Japón, según se publicó cuando se inauguró en octubre.

El consejero de Salud de Cantabria, César Pascual (PP), ha reconocido este lunes en el Parlamento que el contrato que el Instituto de Investigación Sanitaria de Valdecilla (Idival) prevé firmar en breve con la farmacéutica estadounidense Regeneron Pharmaceuticals para el uso de los datos médicos de los más de 51.000 voluntarios que participan en el Proyecto Cohorte conllevaba una contraprestación económica que se ha eliminado por petición del Gobierno que preside María José Sáenz de Buruaga (PP).

“Este acuerdo hace muchos años que se viene negociando y han sido los directores de Cohorte y del Idival quienes han negociado. La única cuestión que se planteó es que eliminaran la contraprestación económica. Esa fue la única pega que puso el Gobierno al acuerdo que plantearon, porque pensábamos que la contraprestación económica podía ser mal interpretada y por eso se eliminó esa cláusula”, ha admitido Pascual durante su intervención desde la tribuna.

El consejero de Salud se ha manifestado así en el pleno del Parlamento de Cantabria en respuesta a preguntas del portavoz del PRC, Pedro Hernando, sobre el contrato que el Idival prevé firmar con la farmacéutica estadounidense Regeneron Pharmaceuticals y que ha levantado una gran polémica por el uso de esta información personal y confidencial.

Sin embargo, Pascual ha incidido en que el acuerdo está enfocado a realizar estudios de genónica y proteómica sobre los datos recabados por ese proyecto en el que participan más de 51.000 voluntarios cántabros, sin “ningún tipo de contraprestación económica”, más allá del coste que suponga el envío de las muestras a Estados Unidos y ha subrayado que la comunidad “no tiene capacidad” para llevar a cabo una investigación “de la magnitud” que representa el proyecto Cohorte Cantabria.

“El acuerdo no contempla ninguna salvaguarda, exclusivamente la de que no cedamos esos datos de genómica a otros terceros en aquellos procesos de investigación que ellos están haciendo, lo cual parece lógico”, ha precisado.

El consejero ha defendido también que “la elección era muy clara” por el volumen de datos que se van a manejar, dada la cantidad de voluntarios, entre la farmacéutica estadounidense, que está estudiando las grandes cohortes de Europa, “o una empresa china”, que, ha puntualizado, “no estaba dentro del marco”

En este sentido, Pascual ha vuelto a pedir “tranquilidad” porque, según su versión, las muestras y los datos serán “anónimos” y tendrán que pasar antes de ser enviados por el comité de ética del Idival “como cualquier otro ensayo clínico que se está haciendo”.

También ha asegurado que no tiene inconveniente en que se informe al Parlamento del acuerdo, aunque ha aclarado que tendrá que ser el Idival el que lo haga, porque es la entidad que firmará ese documento, que ha recordado que, como el resto de convenios de esta fundación, será publicado en su página web.

“Cantabria no tiene capacidad para hacer un análisis de esta magnitud”, ha recalcado Pascual, quien ha remarcado que se necesitarían “prácticamente ordenadores cuánticos para poder mover y hacer estos análisis tan grandes”, con personal formado.

De hecho, ha apuntado que se está en conversaciones con el Instituto de Física de Cantabria (IFCA) para poder utilizar sus ordenadores y con el laboratorio estadounidense para desplazar allí personal para que se forme.

Agentes de la Policía Nacional han detenido a dos personas en Valencia y Torreblanca (Castellón) por su presunta participación en los delitos de revelación de secretos, daños informáticos y blanqueo de capitales, así como pertenencia a organización criminal. Los arrestados habrían sustraído casi diez millones de registros confidenciales mediante ataques cibernéticos de extrema gravedad.

La investigación comenzó el pasado año 2023 cuando los agentes tuvieron conocimiento de la sustracción masiva de información de los datos de los alumnos, padres y profesores de Castilla-La Mancha, según ha informado la Policía en nota de prensa.

Utilizaban los datos para estafar, usurpar identidades o venderlos

Tras las oportunas pesquisas policiales, y tras dar con los autores del hecho delictivo, los agentes determinaron que esta organización criminal habría cometido alrededor de una treintena más de hechos delictivos similares. La información robada era posteriormente utilizada por la rama de monetización del grupo criminal para cometer ciberestafas, usurpaciones de identidad y para su venta ilícita en foros underground.

Para llevar a cabo sus operaciones, la organización criminal utilizaba equipos de alto nivel y una sofisticada infraestructura tecnológica. Esta red estaba diseñada para vulnerar sistemas de seguridad, anonimizar sus rastros y eludir la acción de la justicia, evidenciando una altísima especialización y división de tareas operativas, logísticas y de monetización.

Así, se llevaba a cabo la entrada y registro de los inmuebles de los ahora arrestados. Durante estas intervenciones se ha neutralizado la infraestructura tecnológica de la red y se ha procedido a desarticular su sistema de blanqueo de capitales, el cual operaba mediante el uso de criptomonedas y casas de cambio virtuales y la utilización de infraestructura internacional en varios países de Europa.

La investigación, dirigida por la Plaza 11 de la Sección de Instrucción del Tribunal de Instancia de Zaragoza, ha sido llevada a cabo por la Comisaría General de Información contando con la colaboración de las Brigadas Provinciales de Información de Valencia, Castellón y Madrid.

Hay pocas instituciones con mayor prestigio y reputación social en Cantabria que el Hospital Universitario Marqués de Valdecilla en Santander. Por no decir que ninguna otra cuenta con el respaldo y el consenso ciudadano respecto al trabajo que desarrollan sus profesionales en el centro sanitario, que podríamos calificar casi de 'orgullo' autonómico. Se le ha denominado en muchas ocasiones como la joya de la corona de la sanidad pública con razón y actúa por tanto como un referente que aglutina a su alrededor esa pátina de respetabilidad tan difícil de alcanzar en tiempos de polarización creciente.

Y esa imagen tan positiva que acompaña a Valdecilla a lo largo de los años se traslada también a sus proyectos y a otras entidades vinculadas o dependientes, como el propio Instituto de Investigación Sanitaria de Valdecilla (IDIVAL) que impulsa el programa de investigación biomédica Cohorte Cantabria, acogido con tanto entusiasmo por la población que ha llegado a sumar en poco tiempo más de 51.000 voluntarios y voluntarias que participan altruistamente, cediendo sus datos personales y de salud para contribuir en el desarrollo de esta iniciativa puntera. Alcanza aproximadamente al 20% de los cántabros con edades entre 40 y 70 años, nada menos, con una penetración difícil de imaginar en otros ámbitos.

Sin embargo, de un tiempo a esta parte, las dudas, sospechas e incertidumbres que rodean a este programa no dejan de crecer y empiezan a hacer mella en la sociedad. Primero fue por las declaraciones del consejero de Salud, César Pascual (PP), que habló abiertamente de la colaboración público-privada que tanto le gusta en un foro con empresas del sector de la biomedicina, donde presumió de contar con información de gran valor gracias a esta recogida masiva de datos. A pesar de negarse a sí mismo poco después, con cierta condescendencia por su parte, no había transcurrido ni un mes cuando anunció un convenio con una gran empresa farmacéutica estadounidense con sede en Boston y propiedad de uno de los mayores fondos de inversión del planeta, que utilizará esas muestras recogidas por Cohorte para sus investigaciones privadas.

Aquí es donde ya han saltado todas las alarmas. Según han advertido sus responsables, Cohorte maneja una combinación con más de 1.500 variables de datos de salud de los voluntarios, pero también datos geográficos, demográficos e incluso catastrales, con un análisis “de máxima finura” molecular que tenían el objetivo de “comprender con mayor profundidad por qué algunas personas desarrollan determinadas enfermedades, cómo evoluciona el riesgo a lo largo del tiempo y qué factores biológicos influyen en esa evolución”, entre otros aspectos. Y si los cántabros se prestaron a ello es por el aval científico de Valdecilla y la seguridad que aporta el sistema público de salud, muy lejos de los estándares y la confianza que reporta una farmacéutica privada de un tercer país como Estados Unidos.

Hasta ahora, tanto los responsables médicos del proyecto como el consejero de Salud han reaccionado cuestionando personalmente a los críticos, tachando de insidias las dudas planteadas, pero siguen sin entrar al fondo del asunto. “Es muy complejo de explicar” no puede ser nunca una respuesta válida ante las preguntas que lícitamente hacen muchas personas que confiaban en Cohorte. “No hay cesión de datos de los voluntarios a ninguna farmacéutica, sino que se compartirán de forma controlada y anónima”, ha sido la explicación más precisa hasta la fecha, por contradictorio que parezca este argumento. Es urgente que se actúe con total transparencia, que hagan públicos los acuerdos alcanzados con empresas o entidades externas y se esfuercen por ser más didácticos si pretenden recuperar la confianza de las miles de personas que se involucraron en esta iniciativa.

Más de 50.000 cántabros han participado hasta la fecha de manera desinteresada en el proyecto Cohorte aportando sus datos personales y médicos para la investigación, tal y como se concibió en su origen. En paralelo, el proyecto Cohorte se ha desdoblado en otro denominado Valdata para “facilitar la transferencia al mercado” de los datos sanitarios, según señala la web del Instituto de Investigación Sanitaria de Valdecilla (IDIVAL), impulsor de la iniciativa. “Potenciar la utilización de datos clínicos”, en el lenguaje administrativo que utiliza el Gobierno de Cantabria.

Los datos son el gran valor de este proyecto, con los recelos que genera su tratamiento en una coyuntura social y económica donde tienen un extraordinario valor.

A principios de febrero, el Gobierno de Cantabria inició el derribo de la vieja estructura de la Residencia Cantabria donde se proyecta el futuro Parque Científico y Tecnológico de la Salud de carácter público-privado. El portavoz del Grupo Parlamentario Regionalista, Pedro Hernando, consideró “un despropósito inadmisible” esta privatización y expresó el temor de que se esté abriendo la puerta “a la comercialización de datos sensibles” y “para que la sanidad privada y las empresas de biomedicina hagan su dinero”.

El consejero de Salud, César Pascual (PP), negó estas prácticas. A raíz de estas declaraciones empezaron a llegar mensajes a Cohorte de personas que querían darse de baja. El consentimiento para participar en el estudio y el almacenamiento de sus muestras y datos “podrá ser revocado en cualquier momento” pero, no obstante, “puede incluir alguna restricción sobre el uso o acceso de sus muestras y datos”, explica el documento que firman los voluntarios.

Un mes después, el Gobierno de Cantabria acaba de anunciar que esos datos se pondrán a disposición de un laboratorio farmacéutico estadounidense para hacer investigaciones genómicas. Pero que la empresa privada no pagará por ellos, se le facilitarán gratis e incluso costarán dinero a Cohorte, que tendrá que pagar los gastos de enviar las muestras a Estados Unidos. Esta colaboración podría ser resultado del viaje a Estados Unidos para divulgar el programa que hicieron hace un tiempo el consejero de Salud y otros tres directivos sanitarios, que también visitaron recientemente Panamá.

Para qué sirve Valdata

Pero la duda es para qué se ha constituido concretamente Valdata. Un proyecto financiado con 1,6 millones de euros, cuyo investigador principal es Joaquín Cayón, experto en derecho sanitario y bioético, subvencionado por el Ministerio de Transformación Digital con fondos europeos para crear “un mercado común de datos” que garantice el liderazgo europeo mediante el libre flujo de datos “en beneficio de empresas, investigadores y administraciones”.

Es decir, que Valdata -un proyecto que presentó el IDIVAL a esta convocatoria ministerial y que finaliza en junio- permitiría, según esta explicación, poner los datos de los voluntarios cántabros a disposición de empresas. Con la particularidad de que el proyecto es de carácter europeo y, por tanto, tiene como objetivo principal la creación de un mercado común de datos “que garantice el liderazgo de la Unión Europea en la economía global de los datos”.

“El proyecto Valdata tiene como finalidad estratégica facilitar el uso secundario de los datos sanitarios, orientado a mejorar la investigación, la innovación, la planificación sanitaria y la eficiencia del sistema público de salud, siempre bajo un modelo de gobernanza pública y control institucional”, asegura el Gobierno autonómico. “Persigue justamente garantizar y testear que los datos sanitarios se utilicen de forma segura e interoperable”, específica a preguntas del Grupo Parlamentario Regionalista consultadas por elDiario.es.

La respuesta del Gobierno de Cantabria define a Valdata como “repositorio, plataforma de integración o herramienta de análisis” y que opera “a modo de sandbox o piloto sobre ecosistemas sanitarios de datos, entre los cuales se encuentran los lagos de datos asistenciales”. A través de esta terminología resulta complicado descifrar que hace exactamente Valdata.

A qué datos tiene acceso

Lo cierto es que Valdata tiene acceso a datos procedentes del sistema sanitario público de Cantabria: las historias clínicas electrónicas de atención hospitalaria y atención primaria, datos de plataformas de investigación, de los sistemas corporativos del Servicio Cántabro de Salud “y otras fuentes sanitarias públicas que puedan incorporarse de forma progresiva”, añade el Gobierno de Cantabria.

Por su parte, los voluntarios de Cohorte han contribuido desinteresadamente con un análisis de sangre y un exhaustivo cuestionario sobre hábitos de salud y de vida, patologías y hasta enfermedades de la familia. Los voluntarios firmaban un contrato cediendo sus datos a la iniciativa liderada por el inmunólogo Marcos López Hoyos, que contribuyó a infundir la confianza en esta iniciativa entre los ciudadanos.

Se han recogido datos relativos a su salud, formación, trabajo, hábitos de vida, además de otros que se obtienen de registros oficiales (historia clínica, receta electrónica, Seguridad Social, sede electrónica del catastro e Instituto Nacional de Estadística), además de las entrevistas. Rellenar el cuestionario supone aproximadamente 50 minutos. Ahí se pide información sobre el nivel de estudios alcanzado, ingresos brutos, características de la vivienda, calidad de vida, consumo de tabaco y alcohol, dieta, actividad física, antecedentes familiares, actividad laboral, hábitos de sueño, memoria y consumo de tabaco.

Precisamente, al día siguiente de que el consejero de Salud anunciase la colaboración con el laboratorio farmacéutico con sede en Boston, Cohorte envió una comunicación a los miles de voluntarios cántabros anunciando que recibirán una llamada para concertar una cita que se enmarca en la segunda fase del proyecto, que comienza ahora.

Javier Crespo ha tomado el relevo de Marcos López Hoyos como director científico y el mensaje también recuerda el partido benéfico a favor de Cohorte Cantabria, que se jugará en Suances el 25 de abril entre el San Martín Veteranos y el Real Madrid Leyendas. Financiado con medio millón de euros anuales, Cohorte necesita más dinero.

Por su parte, el proyecto Valdata concluirá a finales de junio sin que las explicaciones oficiales dadas por el Gobierno de Cantabria a las preguntas parlamentarias que ha hecho el PRC arrojen claridad sobre qué ha hecho exactamente este proyecto, a quién se ceden los datos de los voluntarios y en qué condiciones.

La portavoz de la Comisión Ejecutiva Autonómica del PSOE de Cantabria, Ainoa Quiñones, ha crticado que el Gobierno del PP haya “vendido los datos donados por 50.000 cántabros y cántabras” para el proyecto Cohorte Cantabria gestionado por el Servicio Cántabro de Salud (SCS) a una empresa farmacéutica americana.

La reacción de los socialistas se produce tras el anuncio del consejero de Salud, César Pascual, de un acuerdo, que se firmará en las próximas semanas, para ceder los datos sanitarios y sociodemográficos de los voluntarios cántabros a la empresa estadounidense Regeneron Pharmaceuticals ubicada en Boston (Massachusetts), responsable del mayor banco genómico del mundo occidental. Pascual ha precisado que “no es un acuerdo económico, sino de colaboración” y que “cada una de las partes corre con sus gastos”. 

Quiñones considera que “se trata de algo muy grave” porque los voluntarios han aportado de forma altruista sus datos a Cohorte Cantabria para que puedan ser parte de ensayos clínicos dentro de la sanidad pública de Cantabria. Por ello, considera que el Gobierno de Cantabria tiene que aclarar cuanto antes “por qué ha decidido venderlos a una empresa farmacéutica americana”.

En este sentido, añade que los 'populares' tienen que explicar “quién les ha dado permiso para hacer negocio con los datos biomédicos de 50.000 cántabros”. 

“Una vez más, la sanidad pública convertida en una empresa y el derecho a la salud de los cántabros convertido en un negocio por el Gobierno del PP y de María José Sáenz de Buruaga”, ha denunciado.

Por último, la portavoz socialista ha expresado su preocupación por el futuro de la sanidad pública y los recortes junto al “deterioro y el desmantelamiento progresivo que sufre en Cantabria y que nos vuelve a dejar un último ejemplo muy sangrante como es privatizar hasta las donaciones de los cántabros”.

El Tribunal Supremo ha rechazado la práctica empresarial de exigir a médicos de centros privados que acrediten si las citas de empleados pueden realizarse fuera del horario laboral, así como si las consultas que realizan están incluidas en la cartera de servicios públicos, como pedía la Televisión y Radio pública gallega.

En una sentencia fechada el pasado 3 de febrero, que ha consultado elDiario.es, la Sala de lo Social desestima un recurso presentado por Corporación Radio y Televisión de Galicia contra un fallo de junio de 2024 del Tribunal Superior de Justicia de Galicia, sobre un conflicto colectivo a instancias del sindicato USO Galicia.

Lo que ha aclarado el Supremo es si es legítimo que la empresa exija, en el caso de que la atención médica que precise un trabajador se lleve a cabo en un centro médico privado, la obligación de aportar un documento en el que el médico indique que el objeto de la revisión está incluido en la cartera de servicios del sistema sanitario público y también la imposibilidad de realizar la cita médica fuera del horario laboral del empleado.

El médico no tiene esa obligación

Los magistrados consideran que el facultativo de un centro privado “no tiene obligación de emitir la referida declaración”, que no es de índole médica, sino jurídica.

Además, el médico debería indicar también si la cita no se podía hacer fuera del horario de trabajo, algo que el Supremo también considera ajeno a sus funciones y conocimiento, sobre el horario laboral de su paciente.

Los magistrados recuerdan que a las obligaciones documentales de los profesionales médicos se ciñen a las previstas en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que no regula estas exigencias de la empresa.

Compromete la protección fundamental de datos personales

Además, los magistrados destacan que “puede hallarse comprometido el derecho fundamental a la protección de datos” por esta práctica empresarial. “El declarar que la revisión médica prestada está incluida en la cartera es una información médica y, como tal, tiene la consideración de dato personal”, recuerda la sentencia.

El Supremo recuerda que los datos médicos son “especialmente sensibles”, conforme el art. 9.1 del Reglamento europeo sobre la protección de las personas físicas en los que respecta al tratamiento de datos personales. Así, estos datos sensibles solo pueden tratarse a según los fines recogidos en el mismo Reglamento “(prestación de asistencia o tratamiento de tipo sanitario), por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad”.

“En suma, la empresa no puede pretender acceder a datos personales que forman parte de las historias clínicas” reguladas en los artículos 14 y siguientes de la mencionada Ley de la autonomía del paciente, zanja el Supremo.