{"id":18474,"date":"2025-08-27T10:58:32","date_gmt":"2025-08-27T10:58:32","guid":{"rendered":"https:\/\/wp-staging.sproof.com\/ley-de-proteccion-de-datos-en-transicion-una-conversacion-con-la-experta-katharina-raabe-stuppnig\/"},"modified":"2026-03-23T21:55:15","modified_gmt":"2026-03-23T21:55:15","slug":"ley-de-proteccion-de-datos-en-transicion-una-conversacion-con-la-experta-katharina-raabe-stuppnig","status":"publish","type":"post","link":"https:\/\/wp-staging.sproof.com\/es\/ley-de-proteccion-de-datos-en-transicion-una-conversacion-con-la-experta-katharina-raabe-stuppnig\/","title":{"rendered":"Ley de protecci\u00f3n de datos en transici\u00f3n: una conversaci\u00f3n con la experta Katharina Raabe-Stuppnig"},"content":{"rendered":"\n
\"Katharina<\/figure>
\n

Con m\u00e1s de 15 a\u00f1os de experiencia como abogada, su papel como cofundadora de un consejo asesor de protecci\u00f3n de datos y su participaci\u00f3n activa en procedimientos ante el Tribunal de Justicia de la Uni\u00f3n Europea, junto con Max Schrems y Thomas Lohninger, Katharina Raabe-Stuppnig es una de las voces m\u00e1s influyentes en la ley europea de protecci\u00f3n de datos. En su bufete de abogados en Wickenburggasse en Viena, habla sobre su trayectoria profesional, los desaf\u00edos del GDPR y la creciente complejidad causada por las nuevas leyes digitales de la UE. <\/p>\n<\/div><\/div>\n\n

Del derecho de los medios de comunicaci\u00f3n a la protecci\u00f3n de datos: experto en Austria<\/h2>\n\n

Katharina Raabe-Stuppnig comenz\u00f3 su carrera en derecho de los medios de comunicaci\u00f3n. Asesor\u00f3 a editoriales y empresas de telecomunicaciones en materia de derecho de la competencia, publicidad y responsabilidad de los medios de comunicaci\u00f3n. El puente hacia la protecci\u00f3n de datos fue casi autom\u00e1tico: “Muchos clientes se acercaron a m\u00ed y me dijeron: Conoce nuestros procesos y nuestro equilibrio de intereses, \u00bfpuede apoyarnos tambi\u00e9n con la protecci\u00f3n de datos?” <\/p>\n\n

Cuando entr\u00f3 en vigor el GDPR, la protecci\u00f3n de datos pas\u00f3 m\u00e1s al centro de la realidad corporativa. Las multas millonarias aumentaron la presi\u00f3n. Las empresas necesitan conceptos claros y conf\u00edan en las asociaciones existentes. Como resultado, la ley de protecci\u00f3n de datos pas\u00f3 de ser un tema marginal al foco central de su trabajo. <\/p>\n\n

\n

“Mi deseo ser\u00eda fortalecer la econom\u00eda europea, a trav\u00e9s de alternativas europeas. \u2028La estrategia digital y la Ley de Datos son un paso en la direcci\u00f3n correcta. La \u00fanica pregunta es: \u00bfLlegar\u00e1 a tiempo?”<\/p>\n\n\n\n

Mag. Kathrina Raabe-Stuppnig<\/p>\n<\/blockquote>\n\n

La protecci\u00f3n de datos como facilitador<\/h2>\n\n

Desde la introducci\u00f3n del RGPD en 2018, la necesidad de apoyo legal ha aumentado enormemente, y sigue siendo alta. Esto se debe entre otras cosas a que el reglamento no hace distinci\u00f3n entre grandes corporaciones y peque\u00f1as empresas. Todos deben cumplir con los mismos est\u00e1ndares. <\/p>\n\n

“Un sistema de gesti\u00f3n de protecci\u00f3n de datos que funcione es un verdadero facilitador hoy en d\u00eda”, explica Raabe-Stuppnig. “Ofrece a las empresas una visi\u00f3n general de los sistemas, los procesos y los riesgos, y constituye la base para la optimizaci\u00f3n y el aumento de la eficiencia”. <\/p>\n\n

Al mismo tiempo, el entorno se est\u00e1 volviendo cada vez m\u00e1s complejo: la nueva legislaci\u00f3n como NIS-2, la Ley de Resiliencia Cibern\u00e9tica, la Ley de IA o la Ley de Datos imponen demandas adicionales a las empresas, en todas las industrias. Aquellos que ya han creado una base estable de protecci\u00f3n de datos tienen una clara ventaja. <\/p>\n\n

Estrategias de transformaci\u00f3n digital<\/h3>\n\n

Las preguntas con las que las empresas recurren al bufete de abogados hoy en d\u00eda son m\u00faltiples:<\/p>\n\n

    \n
  • \u00bfC\u00f3mo me afecta NIS-2 si soy un proveedor de infraestructura cr\u00edtica?<\/li>\n\n\n\n
  • \u00bfQu\u00e9 pol\u00edticas necesito para la Ley de IA?<\/li>\n\n\n\n
  • \u00bfC\u00f3mo trato los nuevos derechos de acceso a los datos de acuerdo con la Ley de Datos, sin poner en peligro el nivel de protecci\u00f3n de datos que he desarrollado hasta ahora?<\/li>\n<\/ul>\n\n

    Adem\u00e1s de las evaluaciones legales, las cuestiones estrat\u00e9gicas juegan un papel cada vez m\u00e1s importante: \u00bfD\u00f3nde se ubican las responsabilidades en la empresa? \u00bfC\u00f3mo equilibra el cumplimiento, la ciberseguridad y la innovaci\u00f3n? Raabe-Stuppnig y su equipo apoyan a las empresas no solo en la implementaci\u00f3n, sino tambi\u00e9n en el posicionamiento dentro del nuevo marco legal. <\/p>\n\n

    UE vs. EE. UU.: Diferentes actitudes b\u00e1sicas<\/h2>\n\n

    Un tema particularmente delicado es el uso de software de terceros pa\u00edses, por ejemplo, por parte de hiperescaladores estadounidenses. Aunque tambi\u00e9n existen leyes de protecci\u00f3n de datos en los EE. UU., dijo Raabe-Stuppnig, la protecci\u00f3n se aplica principalmente a los ciudadanos estadounidenses. Para los ciudadanos de la UE, estas regulaciones son mucho m\u00e1s d\u00e9biles. <\/p>\n\n

    “El problema radica en la ponderaci\u00f3n: los intereses de seguridad de la NSA a menudo tienen prioridad sobre la protecci\u00f3n de datos de los no estadounidenses. El TJUE ya ha encontrado esta desproporcionalidad dos veces y, por lo tanto, anul\u00f3 principios centrales como Safe Harbor y Privacy Shield”.<\/p>\n\n

    Cambio de conciencia en Europa desde 2018<\/h3>\n\n

    Desde que entr\u00f3 en vigor el RGPD, la concienciaci\u00f3n en Europa ha cambiado notablemente. Las empresas de hoy en d\u00eda son mucho m\u00e1s sensibles cuando se trata de manejar datos personales. La atenci\u00f3n de los medios en torno a las sentencias de protecci\u00f3n de datos y los casos de alto perfil ha jugado un papel central en esto. <\/p>\n\n

    “Hemos creado un est\u00e1ndar de oro en protecci\u00f3n de datos en Europa”, resume Raabe-Stuppnig. “Y es gratificante ver cu\u00e1ntas empresas se esfuerzan activamente no solo por cumplir con este est\u00e1ndar, sino por usarlo como una ventaja competitiva”. <\/p>\n\n

    \u00bfQu\u00e9 hace que la transferencia de datos a los EE. UU. sea tan sensible y cu\u00e1l es la situaci\u00f3n legal actual en la UE?<\/h3>\n\n

    El debate sobre la protecci\u00f3n de datos entre la UE y los Estados Unidos es complejo y, sobre todo, muy din\u00e1mico desde el punto de vista jur\u00eddico. A diferencia de pa\u00edses como Suiza, para los que se ha emitido una llamada decisi\u00f3n de adecuaci\u00f3n de la Comisi\u00f3n de la UE, la situaci\u00f3n con los Estados Unidos era y es mucho m\u00e1s complicada. Dicha decisi\u00f3n establece que los datos personales pueden transferirse a un tercer pa\u00eds porque existe un nivel de protecci\u00f3n de datos comparable al de la UE. En pa\u00edses como China o Rusia, y durante mucho tiempo tambi\u00e9n en los Estados Unidos, tal decisi\u00f3n faltaba. <\/p>\n\n

    Procesamiento de datos en los EE. UU.: un acto de equilibrio legal<\/h4>\n\n

    Por ejemplo, tan pronto como las empresas trabajan con proveedores de servicios de procesamiento de datos en los EE. UU., deben tomar medidas de protecci\u00f3n adicionales para mantener el nivel de protecci\u00f3n de datos requerido por el GDPR. Esto significa m\u00e1s esfuerzo, m\u00e1s obligaci\u00f3n de verificar y m\u00e1s riesgo. <\/p>\n\n

    Un ejemplo pr\u00e1ctico: incluso si elige una ubicaci\u00f3n de servidor dentro de la UE para los proveedores de nube de EE. UU., el problema persiste, por ejemplo, si la subsidiaria europea est\u00e1 subordinada a una empresa matriz de EE. UU. En caso de emergencia, las autoridades estadounidenses, como la NSA, podr\u00edan exigir acceso a los datos, incluso a trav\u00e9s de una cadena de mando interna. Una ubicaci\u00f3n de servidor en la UE reduce el riesgo, pero no lo elimina por completo. <\/p>\n\n

    Del puerto seguro al marco de privacidad de datos: una revisi\u00f3n<\/h4>\n\n

    La historia de los acuerdos de protecci\u00f3n de datos entre la UE y los Estados Unidos se lee como una sucesi\u00f3n de reveses legales:<\/p>\n\n

      \n
    • Safe Harbor fue el primer acuerdo que impuso voluntariamente ciertos est\u00e1ndares de protecci\u00f3n de datos a las empresas estadounidenses. Fue anulado en 2015 por la sentencia Schrems I. <\/li>\n\n\n\n
    • El Escudo de privacidad fue el sucesor: una versi\u00f3n revisada de Safe Harbor. Pero este acuerdo tambi\u00e9n fue declarado inv\u00e1lido por el Tribunal de Justicia de la Uni\u00f3n Europea en 2020 en la sentencia Schrems II. <\/li>\n\n\n\n
    • En respuesta, entr\u00f3 en vigor el Marco de Privacidad de Datos, sobre la base del cual la Comisi\u00f3n de la UE ha adoptado una vez m\u00e1s una decisi\u00f3n de adecuaci\u00f3n para los Estados Unidos.<\/li>\n<\/ul>\n\n

      Sin embargo, la nueva decisi\u00f3n se basa una vez m\u00e1s en bases inestables<\/h4>\n\n

      Esto se debe a que el Marco de Privacidad de Datos se basa en una orden ejecutiva<\/strong> del presidente de los Estados Unidos, es decir, una orden que te\u00f3ricamente puede ser revocada en cualquier momento<\/strong>. Por lo tanto, los cr\u00edticos dudan de la estabilidad a largo plazo de este marco. Ya se ha presentado una demanda contra la decisi\u00f3n de adecuaci\u00f3n ante el Tribunal de Justicia de las Comunidades Europeas, y el resultado est\u00e1 abierto. <\/p>\n\n

      Adem\u00e1s, la autoridad de supervisi\u00f3n responsable de EE. UU., PCLOB<\/strong> , actualmente no puede actuar porque tres de sus cinco gerentes han sido despedidos por el expresidente Trump. El resultado: una gran incertidumbre<\/strong> sobre la estabilidad del mecanismo de protecci\u00f3n de datos en los Estados Unidos. <\/p>\n\n

      \u00bfQu\u00e9 importancia tiene el Marco de Privacidad de Datos para las empresas de la UE?<\/h2>\n\n

      Si planifica a largo plazo y desea centrarse en la seguridad de los datos, no debe confiar ciegamente en el Marco de Privacidad de Datos. La situaci\u00f3n legal puede cambiar r\u00e1pidamente, como en el pasado. Las evaluaciones de impacto de transferencia de datos (TIA)<\/strong> requieren mucho esfuerzo y las infracciones pueden resultar en sanciones severas: hasta el 4% de los ingresos anuales globales<\/strong>. <\/p>\n\n

      Los servicios en la nube de EE. UU. (todav\u00eda) se pueden utilizar, pero no sin riesgos<\/h2>\n\n

      Actualmente, los servicios en la nube de los proveedores estadounidenses pueden utilizarse de conformidad con la normativa de protecci\u00f3n de datos, siempre que se apliquen las medidas de protecci\u00f3n adecuadas, como las cl\u00e1usulas contractuales est\u00e1ndar y las<\/strong> medidas t\u00e9cnicas de seguridad<\/strong> . Pero sigue habiendo un riesgo residual. Es particularmente problem\u00e1tico que todav\u00eda no exista un cifrado de extremo a extremo adecuado para el uso diario<\/strong> para todos los tipos de uso, por ejemplo, en el procesamiento continuo de datos (“datos en uso”). <\/p>\n\n

      Por lo tanto, el uso de los servicios de EE. UU. siempre debe evaluarse individualmente<\/strong> : \u00bfQu\u00e9 tan sensibles son los datos procesados? \u00bfQu\u00e9 medidas de seguridad se est\u00e1n tomando? \u00bfY hasta qu\u00e9 punto la empresa es capaz de amortiguar realmente los riesgos? <\/p>\n\n

      Entre el blanco y negro y el realismo: c\u00f3mo las empresas deben lidiar con la protecci\u00f3n de datos y los proveedores de la nube<\/h2>\n\n

      La cuesti\u00f3n de si las empresas solo deben usar software y servicios en la nube de origen europeo, un “todo o nada”, suena como una postura clara al principio. Pero esto es exactamente lo que advierte la experta en protecci\u00f3n de datos Katharina Raabe-Stuppnig. Tal principio no solo es poco pr\u00e1ctico, sino tambi\u00e9n dif\u00edcil de justificar ante las autoridades. M\u00e1s bien, cualquier decisi\u00f3n de utilizar software o servicios en la nube debe tomarse caso por caso, dependiendo de cu\u00e1n sensibles sean los datos procesados y qu\u00e9 medidas de protecci\u00f3n se puedan tomar en t\u00e9rminos concretos. <\/p>\n\n

      No se deje llevar por una falsa sensaci\u00f3n de seguridad, incluso con el Marco de Privacidad<\/h3>\n\n

      Otro tema que actualmente ocupa a muchas empresas: \u00bfQu\u00e9 sucede si el Tribunal de Justicia de la Uni\u00f3n Europea (TJUE) anula el nuevo Marco de Privacidad de Datos<\/strong> entre la UE y los EE. UU., como lo hicieron antes el “Puerto Seguro” y el “Escudo de Privacidad”? La respuesta a esto es clara: surgir\u00eda de nuevo una inseguridad jur\u00eddica masiva<\/strong> . Esta es precisamente la raz\u00f3n por la que Kargl ya aconseja a las empresas que no conf\u00eden exclusivamente en el marco<\/strong>, sino que tambi\u00e9n acuerden cl\u00e1usulas contractuales est\u00e1ndar (SCC).<\/strong> Estos siempre deben incluir la llamada evaluaci\u00f3n de impacto de la transferencia (TIA),<\/strong> es decir, un an\u00e1lisis de riesgos para la transferencia de datos a terceros pa\u00edses. <\/p>\n\n

      Pero el abogado tambi\u00e9n lo deja claro: si el Marco de Privacidad de Datos realmente cayera y, por lo tanto, se cuestionara fundamentalmente la proporcionalidad de la transferencia de datos a los EE. UU., Los TIA tambi\u00e9n alcanzar\u00edan sus l\u00edmites. La esperanza se basa entonces en medidas t\u00e9cnicas y organizativas complementarias<\/strong> , sobre todo en el cifrado<\/strong>. <\/p>\n\n

      Cifrado: la aspiraci\u00f3n y la realidad divergen<\/h2>\n\n

      Las autoridades de protecci\u00f3n de datos y el TJUE exigen una soluci\u00f3n clara a los proveedores de servicios en la nube de EE. UU.: los datos solo deben almacenarse de forma encriptada<\/strong> y la clave debe administrarse fuera del proveedor<\/strong> , idealmente en Europa y bajo el control de la empresa responsable de datos o un fideicomisario europeo. El objetivo de esta soluci\u00f3n llamada “gesti\u00f3n de claves externas”<\/strong> es garantizar que, incluso en caso de acceso por parte de las autoridades estadounidenses, como la NSA, solo se puedan transmitir datos cifrados, es decir, inutilizables. <\/p>\n\n

      En la pr\u00e1ctica, sin embargo, seg\u00fan Katharina Raabe-Stuppnig, este tipo de cifrado solo se puede implementar realmente para los datos de respaldo<\/strong>. Tan pronto como los datos se procesan activamente en la vida cotidiana<\/strong> , se requiere acceso a material no cifrado. Aqu\u00ed es precisamente donde radica el problema: la tecnolog\u00eda que permite el procesamiento completo de datos en un estado cifrado<\/strong> actualmente solo existe en una medida muy limitada<\/strong> , por ejemplo, para c\u00e1lculos simples o estimaciones en escenarios espec\u00edficos. El estado de la t\u00e9cnica a\u00fan no es suficiente<\/strong> para el uso generalizado requerido en los negocios. <\/p>\n\n

      El papel de Europa: oportunidades a trav\u00e9s de la Ley de Datos<\/h2>\n\n

      A pesar de estos desaf\u00edos, el abogado es optimista sobre el futuro: la Ley de Datos de la UE<\/strong> establece un rumbo importante. Los proveedores de la nube deben estar obligados a habilitar estrategias multinube<\/strong>, es decir, a apoyar el cambio sin problemas entre proveedores, sin altos costes de cambio. Se trata de un esfuerzo activo para reforzar la soberan\u00eda europea en el espacio digital<\/strong> y crear m\u00e1s alternativas a los hiperescaladores estadounidenses<\/strong> a largo plazo. <\/p>\n\n

      La pregunta sigue siendo si Europa a\u00fan podr\u00e1 hacer esto a tiempo<\/strong> para poder actuar de manera m\u00e1s independiente y segura en el espacio digital. Sin embargo, Raabe-Stuppnig conf\u00eda en que la voluntad pol\u00edtica est\u00e1 ah\u00ed, y con una financiaci\u00f3n y regulaci\u00f3n espec\u00edficas, pronto podr\u00edan surgir alternativas europeas viables. <\/p>\n\n

      Una exenci\u00f3n general de las soluciones de terceros pa\u00edses no es factible ni legalmente necesaria. Las empresas deben sopesar cuidadosamente la sensibilidad de sus datos, qu\u00e9 socios son adecuados y qu\u00e9 medidas de protecci\u00f3n pueden implementar en t\u00e9rminos concretos. Aquellos que ya conf\u00edan en las SCC, TIA y el cifrado<\/strong> no solo est\u00e1n en el lado seguro legalmente, sino que tambi\u00e9n fortalecen su posici\u00f3n europea en la competencia digital. <\/p>\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Protecci\u00f3n de datos en Europa – sproof<\/p>\n","protected":false},"author":6,"featured_media":18475,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[408],"tags":[],"class_list":["post-18474","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-derecho-economia-e-impuestos"],"acf":[],"_links":{"self":[{"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/posts\/18474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/comments?post=18474"}],"version-history":[{"count":4,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/posts\/18474\/revisions"}],"predecessor-version":[{"id":157794,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/posts\/18474\/revisions\/157794"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/media\/18475"}],"wp:attachment":[{"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/media?parent=18474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/categories?post=18474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/es\/wp-json\/wp\/v2\/tags?post=18474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}