La Comisión de Protección de Datos irlandesa (en adelante, “DPC”, por sus siglas en inglés) ha impuesto una sanción de 345 millones de euros a TikTok, una de las mayores plataformas de creación de contenido, en relación con el tratamiento de datos de menores.
La DPC examinó cómo TikTok trataba estos datos atendiendo a los ajustes de la plataforma, a la verificación de la edad y a la transparencia de la información que se facilitaba a este colectivo de usuarios. En relación con los ajustes de la plataforma, la DPC comprobó que cualquier persona, usuario o no de TikTok, podía ver el contenido publicado por los usuarios menores de edad, dado que la configuración del perfil es pública por defecto. Además, la DPC señalaba que este hecho conlleva potenciales riesgos para los menores de 13 años que consiguen ingresar a dicha red social.
Otro punto importante de la decisión es el relativo al ajuste del “Family Pairing”, un sistema que tiene la plataforma a través del cual los padres pueden vincular sus cuentas a las de sus hijos menores con el objetivo de poder supervisar el contenido que suben. La DPC destacaba que la plataforma no tiene mecanismos para verificar que la persona que asocia su cuenta a la del menor era realmente su progenitor o tutor, provocando así que cualquier persona mayor de edad pueda intercambiar mensajes directos con éstos.
A mayor abundamiento, TikTok ha implementado patrones oscuros (en adelante, “dark patterns”) para favorecer la elección de opciones más intrusivas en materia de privacidad durante el procedimiento de registro y de publicación de vídeos.
Por todo lo anterior, la DPC ha constatado la infracción de los artículos 5.1.a), 5.1.c), 5.1.f), 12.1, 13.1.e), 24.1, 25.1 y 25.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”) sancionando a TikTok con una multa de 345 millones de euros. Además, ha exigido a la plataforma que adopte las medidas especificadas para el tratamiento de datos personales en un plazo de tres meses.
Esta sanción se convierte en la quinta más grande impuesta al amparo del RGPD, fruto de las medidas en materia de privacidad que la Unión Europea lleva exigiendo a la plataforma desde hace tiempo. De hecho, TikTok ya había sido sancionada en varias ocasiones por autoridades estatales precisamente por incumplir con el RGPD en lo relativo al tratamiento de datos de menores. Además, la Comisión Europea ya amenazó a TikTok con prohibir su uso en la Unión Europea si no se adaptaba a la normativa europea de protección de datos.
La compañía ha anunciado cambios en las características y ajustes de su plataforma, sobre todo teniendo en cuenta que también tiene obligaciones adicionales tras la entrada en vigor de la Ley de Servicios Digitales.
Puede consultar la Decisión de la DPC en el siguiente enlace [1] (disponible en inglés).
Entre noviembre de 2019 y enero de 2021, la Comisión Nacional de Informática y Libertades (en adelante, “CNIL”) recibió un total de 31 denuncias de usuarios de CANAL+ relativas a las comunicaciones comerciales y al ejercicio de derechos de los interesados. La CNIL llevó a cabo una investigación de los tratamientos realizados por la empresa en su página web apreciando la infracción de varios artículos, tanto del RGPD como del Código de Comunicaciones Postales y Electrónicas francés (en adelante, “CPCE”).
En primer lugar, la CNIL señala en su Resolución que CANAL+ no cumple con la obligación de obtener el consentimiento de los interesados para poder realizar comunicaciones comerciales por medios electrónicos. También destaca que en la política de privacidad de la página web no se ofrece información suficiente a los interesados sobre el ejercicio de sus derechos, ni tampoco se informa del plazo de conservación de sus datos personales.
Otros aspectos que pone de manifiesto la CNIL son el incumplimiento por parte de CANAL+ de las obligaciones relativas a la tramitación del derecho de acceso de los interesados, así como el incumplimiento de la obligación de regular, mediante contrato, los tratamientos realizados por los encargados del tratamiento. Además, aprecia un incumplimiento de la obligación de garantizar la seguridad de los datos personales y de la obligación de notificar a la CNIL una brecha de seguridad.
Por todo lo anterior, la CNIL ha decidido imponer al Grupo CANAL+ una multa de 600.000 euros por infracción de los artículos 7.1, 12, 13, 14, 15, 28, 32 y 33 del RGPD y del artículo L.34-5 del CPCE.
Puede consultar la Resolución de la CNIL en el siguiente enlace [2] (disponible en francés).
El Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) resuelve, en la Sentencia de 26 de octubre de 2023 (asunto C-307/22, FT), las cuestiones prejudiciales planteadas por el Tribunal Federal de Justicia de Alemania (Bundesgerichtshof) relativas a la interpretación de los artículos 12.5, 15.3 y 23.1 i) del RGPD. En el litigio principal, un paciente solicitaba a su dentista una copia de su historial médico con el fin de poder exigirle responsabilidad por mala praxis. En contraprestación, el dentista le exige los gastos correspondientes de la obtención de dicho historial, ateniéndose a la legislación alemana.
El TJUE establece que, de acuerdo con el artículo 15.1 y 15.3 del RGPD, en relación con el artículo 12.5, el dentista (en su calidad de responsable del tratamiento) está obligado a facilitar gratuitamente al paciente una primera copia de su historial médico sin necesidad de motivar su solicitud, pues en virtud de dichos artículos la información facilitada será a título gratuito. No obstante, aclara que el responsable del tratamiento podrá exigir dicho pago cuando el interesado ya haya recibido, de forma gratuita, una primera copia de sus datos y la solicite de nuevo. Incluso podrá negarse a dar curso a la solicitud en el caso de que ésta sea manifiestamente infundada o excesiva.
Asimismo, señala que las normas nacionales no pueden establecer que un paciente corra con los gastos de una primera copia de su historial médico, independientemente de lo dispuesto en el artículo 23.1. i) del RGPD.
Otro de los puntos clave de la sentencia hace referencia a la forma en la que el responsable debe facilitar al interesado su historial médico, así como a su contenido. En este sentido, el TJUE establece que “en el marco de una relación médico-paciente, el derecho a obtener una copia de los datos personales objeto de tratamiento implica que el interesado debe disponer de una reproducción fiel e inteligible de todos esos datos (…). En el caso de los datos relativos a la salud de la persona interesada, este derecho incluye, en cualquier caso, el derecho a obtener una copia de los datos de su expediente médico que contengan información como diagnósticos, resultados de pruebas, opiniones de los médicos tratantes y cualquier tratamiento o intervención administrada al interesado”.
Puede acceder al comunicado de prensa del TJUE pulsando aquí. [3]
Puede consultar el texto completo de la sentencia en el siguiente enlace [4].
La Agencia Española de Protección de Datos (en adelante “AEPD”) impone una sanción millonaria a Banco Bilbao Vizcaya Argentaria, S.A. (en adelante, “BBVA”) por vulnerar varias disposiciones contenidas en el RGPD, debido a su gestión en el tratamiento de datos personales de una cliente a la que le habían sustraído su DNI, tarjeta bancaria y móvil, entre otros objetos personales. Pese a que la víctima comunicó la situación a la entidad bancaria en numerosas ocasiones, esto no impidió que los defraudadores realizasen contrataciones de productos financieros.
En primer lugar, la AEPD aprecia una vulneración del artículo 25 del RGPD, relativo al principio de protección de datos desde el diseño y por defecto. Señala que el procedimiento establecido por BBVA respecto a la gestión de incidentes en relación con el fraude no se adapta al RGPD, ya que no se enfoca en los riesgos para los derechos y libertades de los clientes, sino en los riesgos que puede soportar la entidad. Asimismo, la falta de medidas de seguridad por parte de BBVA en la gestión de contraseñas, autenticación de usuarios y bloqueos para evitar accesos no autorizados en supuesto de pérdida o robo de datos, supone una infracción del artículo 32 del RGPD.
Por último, la AEPD considera vulnerado el artículo 6.1 del RGPD, relativo a la existencia de una base de legitimación del tratamiento de datos personales en la contratación de productos financieros. Además, considera vulnerado este mismo artículo en relación con la incorporación y el mantenimiento de los datos personales de los clientes en los sistemas de información crediticia.
Por todo lo anterior, la AEPD impone a BBVA las siguientes sanciones: 500.000 euros por infracción del artículo 32 del RGPD, por falta de medidas de seguridad en relación con la incorporación y el mantenimiento de los datos personales en los sistemas de información crediticia y 140.000 euros por vulneración del artículo 6.1 del RGPD. Sobre estas sanciones, BBVA efectúa el pago voluntario al reconocer su responsabilidad. Además, la AEPD impone a BBVA la sanción de 500.000 euros por infracción del artículo 25 del RGPD y de 500.000 euros por infracción del artículo 32 del RGPD, por falta de medidas de seguridad en relación con los procedimientos de contratación de productos financieros. En total, la multa asciende a la cuantía de 1.640.000 euros.
Puede consultar el texto completo de la Resolución en el siguiente enlace [5].
La AEPD sanciona a la entidad CHATWITH.IO WORLDWIDE, S.L. por usar dark patterns para la gestión de la política de privacidad de una página web de la que es titular.
En primer lugar, la AEPD aprecia una infracción del artículo 13 del RGPD. Concretamente, señala que la página web no ofrece información sobre los fines del tratamiento de los datos personales, que no se detallan de forma clara los intereses legítimos de terceros y que no se hace referencia a la intención del responsable de transferir datos personales a un tercer país, a pesar de que una parte de los proveedores que aparecen en la página web se encuentran fuera de la Unión Europea.
En relación con los dark patterns, la AEPD aprecia en la página web los dark patterns de sobrecarga (overloading), que consisten en generar fatiga al usuario por presentar demasiadas posibilidades, y de ocultación (skipping), es decir, aquellos consistentes en diseñar la interfaz de tal manera que el usuario no piense o incluso se olvide de algunos aspectos relacionados con la protección de datos. En efecto, se observan los citados dark patterns cuando se accede a la política de privacidad de la página web, en el apartado “Lista de proveedores”. Una vez allí, el interesado se encuentra con una lista de unas 130 empresas, de las cuales, más de la mitad tienen marcada por defecto la casilla de “aceptar tratamiento de datos por interés legítimo”. Esto obliga al usuario, en el caso de querer oponerse al tratamiento, a marcar una a una las casillas a lo largo de la lista, lo cual le genera fatiga y no puede oponerse indicándolo una sola vez o un número de veces razonable. En este aspecto, la AEPD aprecia una vulneración del artículo 5.1, letra a), del RGPD.
Asimismo, la AEPD considera cometida una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”), por la utilización de cookies de terceros que no son técnicas o necesarias, por la imposibilidad de rechazar las cookies de terceros y por la falta de información en la política de cookies.
Por todo lo anterior, la AEPD impone a la compañía una sanción que asciende a un total de 12.000 euros; por la infracción del artículo 13 del RGPD, 2.000 euros, por la infracción del artículo 5.1, letra a), del RGPD, 5.000 euros y por la infracción del artículo 22.2 de la LSSICE, 5.000 euros.
Puede consultar el texto íntegro de la resolución aquí [6].
Puede consultar las Directrices sobre dark patterns del EDPB aquí (disponible en inglés) [7]
La AEPD ha aprobado la modificación del Código de conducta “Tratamiento de datos en la actividad publicitaria”, promovido por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL). Cabe recordar que dicho código establece medidas para demostrar la responsabilidad proactiva en el tratamiento de datos de carácter personal con fines publicitarios, así como un procedimiento extrajudicial de resolución de controversias que surjan entre los ciudadanos y las entidades adheridas del código.
La modificación del código se debe esencialmente a la necesidad de adaptar su contenido a lo dispuesto en la Circular 1/2023 de la AEPD sobre la aplicación del artículo 66.1. b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones (en adelante, “LGTel”). Las modificaciones del código afectan fundamentalmente al envío de comunicaciones comerciales sobre la base del interés legítimo, al régimen de traslado de las reclamaciones frente a adheridos al código por parte de la AEPD y a la creación de un distintivo de adhesión.
Puede consultar la resolución de modificación del código de conducta pulsando aquí [8].
Si desea acceder al código de conducta, pulse en este enlace [9].
En el informe jurídico 0055/2023, la AEPD analiza en primer lugar la normativa aplicable a los Servicios de Prevención de Riesgos Laborales diferenciando los conceptos de “historia clínica laboral” e “historia clínica ordinaria o convencional”. Mientras la primera está vinculada a las competencias y funciones de los Servicios de Prevención de Riesgos Laborales, por estar referida a la Salud Laboral, la otra se puede considerar como aquella que está vinculada a cualquier actuación médico-asistencial, ya sea realizada por los servicios de atención primaria o de atención especializada, a través del Sistema Nacional de Salud o a través de la sanidad privada.
La AEPD señala que no es necesario que los Servicios de Prevención accedan a la historia clínica de los servicios de atención primaria y/o especializada del sistema nacional de salud o de la sanidad privada. En cambio sí reconoce que, en ocasiones, dichos Servicios pueden acceder a la historia clínica laboral, precisamente, por su marcado componente laboral, en casos relacionados con la prestación de los primeros auxilios y planes de emergencia en el trabajo, y en situaciones referidas a la vigilancia de la salud de los trabajadores.
En las situaciones descritas anteriormente, destaca la AEPD que este tratamiento estaría amparado en el artículo 9.2 del RGPD, apartado h), siendo su base de legitimación el cumplimiento de una obligación legal y el cumplimiento de una misión realizada en interés público recogidas en el artículo 6.1 apartados c) y e) del RGPD, respectivamente. Fuera de estas situaciones, será necesario el consentimiento expreso del trabajador.
Puede consultar el informe jurídico en el siguiente enlace [10].
La AEPD ha publicado recientemente su informe 2015/0339 a través del que precisa que los menores de entre 16 y 18 años, tendrán derecho a ejercer su derecho de acceso a la historia clínica. No obstante, los titulares de la patria potestad podrán también acceder a los datos del menor de edad sujeto a aquélla mientras la situación persista. La AEPD señala que el responsable del tratamiento no podrá oponerse a este acceso por la mera oposición del menor, salvo que así lo reconociera una norma con rango de Ley.
Puede consultar el informe jurídico en el siguiente enlace [11]
La empresa Productos Ibéricos Calderón y Ramos, S.L. impugna ante el Tribunal General de la Unión Europea (en adelante, “TGUE”) la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”, por sus siglas en inglés) de denegar el registro de la marca “Estrella de Castilla” sobre la base de su “grado de similitud” con la marca de cerveza “Estrella Galicia”, de la que es propietaria la empresa Hijos de Rivera, S.A.
En su Sentencia, el TGUE destaca que la marca “Estrella Galicia”, anterior a “Estrella de Castilla”, goza de un renombre elevado en España para el producto de la cerveza y detecta una similitud entre los signos en conflicto puesto que tienen la misma estructura. Además, destaca que los productos y servicios designados por las marcas presentan cierta proximidad pues tanto la cerveza como los productos de charcutería se destinan al consumo humano, pueden consumirse y adquirirse en los mismos establecimientos y consumirse juntos.
Por todo lo anterior, el TGUE se apoya en el criterio de la EUIPO y concluye que puede establecerse un vínculo entre las marcas en conflicto, por lo que decide desestimar el recurso y condenar en costas a Productos Ibéricos Calderón y Ramos, S.L.
Puede acceder al texto completo de la sentencia del TGUE pulsando aquí [12].
El Gobierno ha iniciado ya los trámites de audiencia e información pública respecto al Proyecto de Real Decreto relativo a licencias, autorizaciones y registros del Juego, para la introducción de un sistema de límites de depósito conjuntos por jugador.
El sistema, gestionado por la Dirección General de Ordenación del Juego (en adelante, “DGOJ”), implementará unos límites diarios y semanales de depósito, los cuales serán totalmente independientes y complementarios de los ya existentes. El Proyecto establece como límite de importe de depósito diario 600 euros, mientras que el semanal asciende a 1.500 euros.
No obstante, los jugadores podrán, voluntariamente, modificar los ya establecidos límites del importe del conjunto de sus depósitos o, incluso, la desaparición de cualquier límite. Tales modificaciones surtirán efecto transcurrido siete días hábiles desde la presentación de la solicitud, si bien deberán transcurrir un mínimo de tres meses desde la presentación de la última solicitud para presentar una nueva.
Asimismo, el Proyecto suprime la hipoteca constituida sobre inmuebles ubicados en España como forma de garantía, dadas las dificultades que presenta la figura para valorar la suficiencia de la garantía.
Puede encontrar el Proyecto de Real Decreto a través del siguiente enlace [13].
El Tribunal Superior de Justicia (en adelante, “TSJ") de la Comunidad Valenciana ha elevado ante el TJUE una cuestión prejudicial sobre el régimen de restricciones impuesto a la renovación y otorgamiento de nuevas autorizaciones de establecimientos de juego y explotación de máquinas tipo B. Tales restricciones, desarrolladas por el Decreto 87/2021, del Consell, establecen: (i) la imposibilidad de renovación de las autorizaciones de explotación de las máquinas tipo B anteriores a la entrada en vigor de la Ley 1/2020, Ley 1/2020, de la Generalitat, de regulación del juego y de prevención de la ludopatía en la Comunitat Valenciana; y (ii) la moratoria de un plazo de cinco años desde la entrada en vigor de la ya mencionada Ley 1/2020 para la concesión de nuevas licencias o autorizaciones para establecimientos de juegos y para la concesión de autorizaciones de explotación de máquinas tipo B.
El TSJ de la Comunidad Valenciana toma como ejemplo para el juicio de adecuación de las restricciones su pronunciamiento sobre el régimen de distancias mínimas que, según la misma normativa, deben mantener los salones de juego, tanto respecto unos de otros como respecto de los centros educativos aledaños. El TSJ consideró entonces que el régimen de distancias mínimas resultaba incompatible con los principios de proporcionalidad, adecuación, idoneidad y necesidad de la medida, puesto que ya existen otras medidas que son más tolerantes con los principios de libertad de empresa, establecimiento y acceso al mercado y ejercicio de actividades e igualmente idóneas y efectivas –por ejemplo, la prohibición de acceso y participación a, entre otras, personas menores de edad o incapacitadas y/o la prohibición de publicidad y otras actividades de promoción del juego en el lugares como la vía pública, los medios de transporte o en el exterior de los locales–.
Así, el TSJ entiende igualmente contrarias a la proporcionalidad las restricciones a la renovación y otorgamiento de nuevas autorizaciones de establecimientos de juego y de explotación de máquinas tipo B, puesto que suponen la negación del ejercicio de una actividad lícita sin el debido respeto al principio de proporcionalidad ni a los derechos de libre establecimiento y libertad de mercado. Por ello, el TSJ formula al TJUE las siguientes cuestiones prejudiciales:
Puede consultar el Auto del TSJ de la Comunidad Valenciana aquí [14].
El TSJ de las Islas Baleares ha declarado la nulidad de las restricciones de distancias entre establecimientos de juego recogidas en el Decreto 42/2019, por el que se aprueba el Reglamento de Salones de Juego en las Islas Baleares. En concreto, el citado Decreto establece en su artículo 8 dos tipos de restricciones de distancia para la instalación de salones de juego, a saber: (i) 100 metros entre el salón de juego y cualesquiera centros de enseñanza de menores de edad, zonas de ocio infantil y centros permanentes de atención a menores de edad; y (ii) 500 metros entre el salón de juego a instalar y cualquier otro salón de juego ya autorizado o en tramitación en el término municipal de Palma, reduciéndose esta distancia a 250 metros en el resto de municipios de las Islas Baleares.
El TSJ examina ambas restricciones de distancias y, si bien considera la primera debidamente necesaria y proporcionada y que responde a la razón imperiosa y de interés general de protección de colectivos vulnerables, no concluye de la misma manera respecto de la segunda. Entiende el TSJ que la restricción de distancia entre salones de juego por su sola proximidad carece de suficiente motivación, ya que no busca amparar, como sí es el caso de la otra restricción, a un colectivo digno de protección. Así, tal ausencia de motivación convierte tal limitación en contraria a derecho, puesto que no queda salvaguardada por los principios de necesidad y proporcionalidad, lo que determina su declaración de nulidad por el TSJ balear.
Puede consultar la resolución del TSJ balear a través del siguiente enlace [15].
El Gobierno, mediante el Real Decreto 729/2023, de 22 de agosto, ha aprobado el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (en adelante, “AESIA”), lo que supone un paso más en la creación de lo que será la primera agencia reguladora en esta materia de toda la Unión Europea. España se adelanta así al resto de los Estados miembros en el cumplimiento de una de las propuestas clave de la Propuesta de Reglamento en materia de Inteligencia Artificial.
AESIA, con sede en La Coruña, tendrá como objeto y fines la supervisión, el asesoramiento, la concienciación y formación, la inspección y, en su caso, la sanción de aquellas conductas relacionadas con el uso, desarrollo e implementación de los sistemas de inteligencia artificial y, más concretamente, de los algoritmos.
Puede consultar los estatutos de AESIA a través del siguiente enlace [16].
El Ministerio de Asuntos Económicos y Transformación Digital ha publicado el borrador de Real Decreto en el que establece un sandbox o “entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial”.
El objetivo que se persigue con la creación de este entorno controlado de pruebas es el ensayo de algunos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas, con el objetivo de facilitar la implementación de los principios que regirán el diseño, la validación y el seguimiento de estos sistemas, así como la mitigación de los riesgos que los mismos puedan presentar.
Los sistemas que podrán acceder al entorno controlado de pruebas son los considerados de alto riesgo. El Anexo I del Proyecto facilita una serie de sistemas de inteligencia artificial clasificados por áreas que se considerarán de alto riesgo. Las personas jurídicas que deseen participar en el entorno controlado de pruebas podrán presentar uno o varios sistemas de inteligencia artificial –siempre y cuando estos sean diferentes–, si bien únicamente se admitirá la participación con uno de esos sistemas.
Puede consultar el borrador del Proyecto en el siguiente enlace [17].
Links
[1] https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf
[2] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048222771
[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-10/cp230161es.pdf
[4] https://curia.europa.eu/juris/document/document_print.jsf?mode=req&pageIndex=0&docid=279125&part=1&doclang=ES&text=&dir=&occ=first&cid=4414245
[5] https://www.aepd.es/documento/ps-00677-2022.pdf
[6] https://www.aepd.es/documento/ps-00080-2023.pdf
[7] https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf
[8] https://www.aepd.es/documento/resolucion-modificacion-2023-cc.0004.2018-autocontrol.pdf
[9] https://www.aepd.es/documento/codigo-conducta-autocontrol.pdf
[10] https://www.aepd.es/documento/2023-0055.pdf
[11] https://www.aepd.es/documento/2015-0339.pdf
[12] https://curia.europa.eu/juris/document/document.jsf?text=&docid=279066&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=94138
[13] https://www.consumo.gob.es/sites/consumo.gob.es/files/20230901_rd_main_modificacion_rrdd_limites_conjuntos_info_publica_0.pdf
[14] https://www.poderjudicial.es/search/AN/openDocument/e17c146e9dfca394a0a8778d75e36f0d/20231031%C3%A7
[15] https://www.poderjudicial.es/search/AN/openDocument/f91215316c3f002ba0a8778d75e36f0d/20231003
[16] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2023-18911
[17] https://portal.mineco.gob.es/RecursosArticulo/mineco/ministerio/participacion_publica/audiencia/ficheros/Proyecto_RD_Sandbox_IA-1.pdf
[18] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[19] https://twitter.com/RamonyCajalAbog
[20] https://www.ramonycajalabogados.es/es/search