Con motivo del fin de 2025, traemos una selección de las noticias, sentencias, jurisprudencia y tendencias más relevantes acaecidas durante el último trimestre del año en el sector tecnológico. THE CODE, la newsletter sobre tecnología de Pérez-Llorca, es un trabajo conjunto de los equipos de la firma en España, Portugal, México y Colombia.
UNIÓN EUROPEA
Digital Omnibus – una nueva filosofía regulatoria europea: La Comisión Europea presentó este paquete legislativo para simplificar las normas sobre inteligencia artificial (“IA”), ciberseguridad y datos. Las propuestas incluyen: (i) vincular la entrada en vigor de normas sobre sistemas de IA de alto riesgo a la disponibilidad de herramientas de apoyo (máximo dieciséis meses); (ii) introducir un punto de entrada único para notificaciones de incidentes de ciberseguridad; (iii) modernizar las normas sobre cookies reduciendo banners y permitiendo preferencias centralizadas; y (iv) consolidar cuatro actos legislativos sobre datos en uno solo. Puede consultar la nota jurídica de Pérez-Llorca al respecto aquí y un artículo en el Expansión por Raúl Rubio, socio del área de Propiedad Intelectual, Industrial y Tecnología en Pérez-Llorca, aquí.
Herramienta de denuncia de irregularidades del RIA: La Oficina Europea de IA ha establecido el canal de denuncias del Reglamento (UE) 2024/1689, de Inteligencia Artificial (“RIA”), un canal seguro y confidencial de denuncias de infracciones del RIA para las personas que deseen denunciar de forma anónima las posibles infracciones derivadas de este, contribuyendo así al desarrollo seguro y transparente de las tecnologías de IA. Consulte la herramienta aquí (disponible en francés, alemán e inglés).
Directrices conjuntas EDPS – Comisión Europea sobre la DMA y el RGPD: El Comité Europeo de Protección de Datos (“EDPS”) y la Comisión Europea han aprobado un borrador de directrices conjuntas para aclarar la interacción entre Reglamento de Mercados Digitales (“DMA”) y el Reglamento General de Protección de Datos (“RGPD”). Las directrices pretenden aclarar diversas cuestiones donde pudieran nacer conflictos de interpretación, como los guardianes de acceso deben aplicar la DMA de conformidad con el RGPD, entre otros. En el marco del proceso de aprobación de las directrices, el borrador de las directrices ya se ha publicado y los interesados pudieron presentar sus comentarios desde el 9 de octubre hasta el pasado 4 de diciembre. La versión final de las directrices se adoptará a lo largo de 2026. Consulte los borradores de directrices aquí (únicamente disponible en inglés).
Dictámenes sobre decisiones de adecuación del Reino Unido: El EDPS adoptó el pasado 20 de octubre dos dictámenes sobre los proyectos de decisión de la Comisión Europea para prorrogar hasta diciembre de 2031 la validez de las decisiones de adecuación del Reino Unido bajo el RGPD y la Directiva sobre protección de datos en el ámbito penal. La prórroga permitirá a organizaciones europeas seguir transfiriendo datos al Reino Unido sin garantías adicionales. Consulte la opinión del EDPS aquí.
Orientaciones revisadas sobre IA generativa: El pasado 28 de octubre, el EDPS publicó una versión revisada de sus orientaciones sobre el uso de IA generativa por parte de las instituciones, órganos y organismos de la Unión Europea (“UE”), con el objetivo de reforzar la protección de datos personales en un contexto tecnológico en rápida evolución. Las directrices introducen una definición afinada de IA generativa, una lista de verificación de cumplimiento, precisión de roles y responsabilidades, y orientaciones sobre bases jurídicas, limitación de finalidad y derechos de los interesados, alineadas con el Reglamento (UE) 2018/1725. Consulte las orientaciones aquí (únicamente disponibles en inglés).
España
Acuerdo de coproducción cinematográfica y audiovisual España-Colombia: El pasado 6 de noviembre se publicó en el Boletín Oficial del Estado un acuerdo entre España y Colombia de coproducción cinematográfica y audiovisual, para estimular el desarrollo de coproducciones entre ambos países. El acuerdo establece un régimen jurídico específico para obras realizadas con financiación y producción conjuntas, incluyendo requisitos de elegibilidad. El acuerdo tiene una vigencia de cinco años prorrogables. Lea el acuerdo completo aquí. Puede consultar la nota jurídica de Pérez-Llorca al respecto aquí.
AESIA publica guías de implementación del RIA: El pasado 11 de diciembre, el Gobierno de España anunció la publicación de las guías de apoyo al cumplimiento del RIA, ya disponibles en la web de la Agencia Española para la Supervisión de la Inteligencia Artificial (AESIA). Las guías, desarrolladas en colaboración con doce empresas españolas de distintos sectores, tienen como objetivo servir de apoyo para la implementación y cumplimiento de la normativa europea de IA y sus obligaciones aplicables. Si bien no tienen carácter vinculante ni sustituyen la normativa aplicable, proporcionan recomendaciones prácticas alineadas con los requisitos regulatorios e incluyen checklists para que las empresas puedan documentar las medidas de cumplimiento de cada caso de uso. Encuentre las guías aquí.
Portugal
Estrategia Digital Nacional y Agenda de IA: El Gobierno portugués ha aprobado la nueva Estrategia Digital Nacional, la Agenda Nacional de IA y un Pacto de Competencias Digitales, destinados a acelerar la adopción de IA en el sector público, modernizar las operaciones del Estado y promover la capacitación digital. Según proyecciones oficiales, la nueva Agenda de IA podría contribuir hasta 2,7 puntos porcentuales al PIB de Portugal.
Transposición de la Directiva NIS2: El Gobierno portugués ha aprobado una nueva Ley de Ciberseguridad que transpone la Directiva NIS2 de la UE, ampliando el número de entidades públicas y privadas consideradas esenciales o importantes e imponiendo obligaciones más estrictas sobre gestión de riesgos, notificación de incidentes y gobernanza. El nuevo régimen refuerza las competencias del Centro Nacional de Ciberseguridad (CNCS) y entra en vigor el 3 de abril de 2026.
Declaración de Lisboa sobre IA y regulación digital (Grupo D9+): El Gobierno portugués ha firmado la Declaración de Lisboa de los países D9+, comprometiéndose a la simplificación regulatoria, normas digitales pro-innovación e inversión específica en IA, infraestructura digital y competencias tecnológicas avanzadas. Se espera una nueva estrategia nacional de IA y digital para finales de 2025, que podría introducir incentivos sectoriales para empresas tecnológicas internacionales que operen en Portugal.
LatAm
México
Avances en la regulación de la IA: El 30 de septiembre, senadores de la República informaron sobre el avance en la elaboración de un marco normativo general para la regulación de la IA, mediante el trabajo de la Comisión de Análisis, Seguimiento y Evaluación sobre la Aplicación y Desarrollo de la Inteligencia Artificial. El marco propuesto abarca aspectos transversales como la gobernanza y supervisión de sistemas de IA, clasificación de riesgos, mecanismos de responsabilidad y armonización normativa en leyes sectoriales (incluyendo propiedad intelectual, datos personales y seguridad), lo que implica para las empresas tecnológicas la necesidad de anticipar y alinear sus estrategias de cumplimiento con estándares emergentes de regulación ética y técnica de IA.
Reforma a la Ley Federal de Protección al Consumidor – “cancelación fácil”: El Congreso aprobó el 5 de noviembre la reforma que adiciona las fracciones VIII y IX al artículo 76 Bis de la Ley Federal de Protección al Consumidor, publicada en el Diario Oficial de la Federación el 12 de diciembre y en vigor desde el 13 de diciembre. La obligación de implementar mecanismos de cancelación inmediatos y sin fricción en servicios digitales con cargos recurrentes incide en la arquitectura de software, la experiencia de usuario y el uso estratégico de elementos de diseño digital, obligando a las empresas tecnológicas a alinear sus modelos de negocio, interfaces y flujos operativos con estándares regulatorios que impactan directamente la forma en que se explotan y protegen sus activos tecnológicos e intangibles.
Creación del Fondo InnovaTecNM y fortalecimiento de la protección de patentes académicas: La presidenta Claudia Sheinbaum anunció el 26 de noviembre la creación del Fondo InnovaTecNM, destinado a impulsar proyectos tecnológicos desarrollados por estudiantes del Tecnológico Nacional de México (TecNM). Los proyectos seleccionados serán registrados ante el Instituto Mexicano de la Propiedad Industrial (IMPI), con el objetivo de que los estudiantes obtengan la titularidad de las patentes derivadas, al tiempo que se incrementará el presupuesto del TecNM para la formación de talento especializado. Este programa refuerza la protección temprana de activos tecnológicos generados en el ámbito académico, fomentando la transferencia de tecnología y la adecuada gestión de derechos de propiedad intelectual desde las etapas iniciales de desarrollo.
Colombia
Circular Externa 002 de 2025 – protección de datos en transferencia de tecnología: La Superintendencia de Industria y Comercio (“SIC”) expidió esta circular, impartiendo instrucciones para garantizar la protección de datos personales en procesos de transferencia de tecnología. La norma establece obligaciones para entidades que participen en operaciones donde se transfieran datasets con datos personales o tecnologías que permitan su tratamiento (como soluciones de IA, biometría o CRM), incluyendo verificación de cumplimiento normativo, protección de datos desde el diseño, mecanismos de responsabilidad demostrada y garantías contractuales en transferencias internacionales.
MinTIC aclara competencias sobre bloqueo de plataformas digitales: El Ministerio de Tecnologías de la Información y las Comunicaciones (“MinTIC”) determinó que no tiene competencia legal para bloquear páginas web, medios de comunicación ni plataformas digitales, conforme a la Ley 1341 de 2009 y el principio de neutralidad en Internet. Esta precisión se formalizó en respuesta oficial del 27 de noviembre, reafirmando que cualquier restricción debe provenir de autoridad competente bajo mandato legal. El MinTIC enfatizó que su rol se limita a comunicar a los operadores las decisiones emitidas por entidades con competencia expresa.
Proyecto de Ley 274 de 2024 – actualización del régimen de protección de datos: La Comisión Primera de la Cámara de Representantes aprobó el 28 de octubre en primer debate el Proyecto de Ley 274 de 2024, que actualiza el régimen de protección de datos personales. El texto introduce cambios significativos: ampliación del concepto de tratamiento para incluir IA y big data, obligación de reportar incidentes de seguridad, evaluaciones de impacto en operaciones de alto riesgo y redefinición de datos sensibles incorporando información derivada de perfilamiento automatizado. Se ratifica a la SIC como autoridad de control con mayores facultades sancionatorias.
Proyecto de Ley 043 de 2025 – regulación de la IA: El Congreso Nacional emitió ponencia positiva para el primer debate del Proyecto de Ley 043 de 2025, que busca regular el uso, desarrollo e implementación de la IA en Colombia. El proyecto establece clasificación de sistemas por niveles de riesgo, creación de la Autoridad Nacional para la IA en cabeza de MinCiencias, lineamientos de transparencia y supervisión humana, y mecanismos para impulsar investigación y soberanía tecnológica. Con mensaje de urgencia del Ejecutivo, se perfila como instrumento estratégico para habilitar la innovación y garantizar la protección de derechos fundamentales.
Circular Externa 001 de 2025 – datos personales en FinTech: La SIC expidió la Circular Externa 001 de 2025, estableciendo instrucciones para el tratamiento de datos personales en la oferta de productos y servicios FinTech orientados a inclusión financiera. Entre los lineamientos se destacan: garantizar finalidad legítima y temporalidad, minimización de datos, consentimiento informado y diferenciado, protección reforzada de datos biométricos, transparencia en decisiones automatizadas y validación del nivel de protección en transferencias internacionales. Su incumplimiento puede acarrear sanciones, reforzando la necesidad de robustecer la gobernanza de datos en el ecosistema FinTech.
La importancia de la cadena de derechos: En operaciones transaccionales que involucran activos protegidos por derechos de propiedad intelectual, resulta esencial verificar la cadena de derechos para garantizar que el adquirente obtendrá el título necesario para la explotación de los activos. El enfoque de este análisis varía significativamente según la estructura de la operación. En un share deal, debe confirmarse que la compañía ostenta efectivamente la titularidad sobre los activos intangibles y verificar la existencia de cláusulas de cambio de control que puedan activarse ante cualquier modificación del control societario. En un asset deal, es imprescindible identificar con precisión cada derecho de propiedad intelectual objeto de cesión, asegurar que el vendedor cuenta con las facultades necesarias para transmitirlos, y detectar cláusulas que prohíban su transferencia. La cesión debe formalizarse por escrito conforme a la normativa aplicable.
La creciente utilización de IA añade complejidad adicional. La dificultad para atribuir la autoría en obras generadas mediante IA, junto con las incertidumbres regulatorias, exige la evaluación del origen de los activos, los procesos de creación utilizados y la viabilidad de su explotación comercial.
Open-source: En el ámbito transaccional, hemos identificado una tendencia positiva en relación con las operaciones de compraventa de negocios cuyos activos incorporan código abierto sujeto a licencias de software libre. Tradicionalmente, la presencia de código open-source en activos tecnológicos relevantes ha planteado riesgos importantes para el valor de la transacción, especialmente cuando dicho código está sujeto a licencias copyleft que obligan al licenciatario a no imponer condiciones más restrictivas a los sublicenciatarios que las que le fueron impuestas originalmente. Estas licencias pueden generar un efecto de “contaminación” sobre el software propietario cuando ambos códigos se integran mediante compilación estática, dando lugar a obras derivadas que quedan sujetas a las mismas condiciones de software libre, lo que en determinados casos puede imposibilitar la comercialización del activo o reducir drásticamente su valor.
Sin embargo, la evolución de las arquitecturas de software y las prácticas modernas de desarrollo han introducido un escudo natural que mitiga estos riesgos. En la mayoría de las operaciones que hemos analizado recientemente, observamos que el software propietario se integra con código abierto mediante enlaces dinámicos que se relacionan con el ejecutable del código y no con el código fuente en sí mismo. Esta arquitectura basada en dynamic linking establece una separación técnica que evita la creación de obras derivadas en el sentido contemplado por las licencias de software libre más restrictivas, las cuales típicamente imponen sus condiciones sobre código relacionado mediante static linking o compilación conjunta en un mismo archivo o módulo. Como resultado, el código abierto permanece intacto y aislado, sin contaminar el software propietario objeto de protección, lo que preserva el valor transaccional de los activos tecnológicos y reduce de forma considerable las contingencias identificadas durante el proceso de due diligence.
Política de IA Generativa: Prácticamente todas las empresas utilizan IA generativa para optimizar sus procesos internos, aumentar la eficiencia operativa y mantener su competitividad en el mercado, convirtiéndose en una herramienta indispensable para el crecimiento empresarial. Sin embargo, este uso generalizado y, en muchos casos, no regulado, genera importantes riesgos legales y comerciales que tarde o temprano exigen una regulación interna tanto por obligaciones internas como externas. Para aprovechar al máximo el potencial de la IA generativa, mientras se garantiza su uso responsable y actualizado, la implementación de una política de uso de IA generativa es imprescindible para cualquier organización que busque maximizar los beneficios de esta tecnología sin comprometer su seguridad jurídica y reputacional. Puede leer el contenido completo de la nota jurídica de Pérez-Llorca al respecto aquí.
UNIÓN EUROPEA
TJUE
Responsabilidad de sitios de venta online por datos personales en anuncios (C‑492/23): El pasado 2 de diciembre, el Tribunal de Justicia de la Unión Europea (“TJUE”) declaró que el operador de un mercado en línea es responsable del tratamiento de datos personales contenidos en anuncios publicados por usuarios. Cuando estos anuncios incluyen datos sensibles (p. ej., relativos a vida sexual), debe aplicar antes de su publicación medidas técnicas y organizativas estrictas: identificar si contiene datos sensibles, verificar la identidad del usuario y comprobar coincidencia con la persona cuyos datos aparecen o existencia de consentimiento explícito; en caso contrario, debe denegar la publicación. El TJUE aclaró que estas obligaciones del RGPD no pueden eludirse invocando las exenciones de responsabilidad de la Directiva 2000/31/CE, de comercio electrónico. Lea la sentencia aquí.
Protección por derechos de autor de objetos de artes aplicadas (C‑580/23 y C‑795/23): El pasado 4 de diciembre, el TJUE confirmó que los objetos de artes aplicadas, como muebles o diseños utilitarios, pueden protegerse por derechos de autor si cumplen los mismos criterios de originalidad aplicables al resto de obras: deben reflejar la personalidad del autor mediante decisiones libres y creativas expresadas objetivamente en el objeto. El TJUE rechazó que exista una relación de regla-excepción entre protección por diseño y protección por copyright, y aclaró que para apreciar infracción el criterio no es la “impresión general” propia del derecho de diseños, sino comprobar si los elementos creativos originales se reproducen de forma reconocible en el objeto supuestamente infractor. Lea la sentencia aquí.
España
Coautoría de obras de arte (STS 1338/2025): El Tribunal Supremo confirmó la coautoría de una artista sobre 221 obras pictóricas creadas durante su colaboración con el demandado entre 2006 y 2016. La demandante ejecutaba materialmente los cuadros siguiendo indicaciones sobre temática y bocetos, pero también adoptaba decisiones propias y plasmaba su personalidad artística. El Tribunal rechazó que la existencia de relación laboral excluya la autoría, dado que los derechos morales son irrenunciables, y afirmó que la ejecución material de la obra puede incorporar originalidad protegible conforme al concepto europeo de “creación intelectual”. Lea la sentencia aquí.
Sentencia PLL TechLaw
Registro de marca numérica con apariencia gráfica (STS 1297/2025): El Tribunal Supremo estimó el recurso de casación contra la denegación de registro de la marca numérica “26 1 18 1” con determinada apariencia gráfica, ordenando su inscripción. Los números se corresponden con las letras ZARA en el alfabeto anglosajón (posición de cada letra). El Tribunal consideró que, dado que ZARA tiene gran significación dentro del grupo empresarial solicitante, un consumidor medio puede identificar fácilmente los productos marcados con el signo numérico con su origen empresarial. La sentencia destaca que la posición de los números no impide que el signo sea retenido mentalmente, especialmente considerando la percepción visual y auditiva conjunta. Lea la sentencia aquí.
Meta condenada por competencia desleal (SJM 98/2025): El pasado 19 de noviembre, el Juzgado de lo Mercantil de Madrid condenó a Meta a pagar 542 millones de euros a miembros de AMI por competencia desleal. La sentencia estimó que Meta obtuvo una “ventaja competitiva” al usar datos de millones de usuarios sobre una base legal que no permitía ese uso para la venta de publicidad personalizada, ventaja que los demandantes, que realizan publicidad online en display, jamás podrán igualar. La sentencia es recurrible ante la Audiencia Provincial de Madrid. Lea la sentencia aquí.
La CNMV multa con cinco millones a X por publicar anuncios de falsas inversiones en criptomonedas suplantando a famosos: El pasado 13 de noviembre, el Boletín Oficial del Estado recogió la sanción impuesta a X (Twitter International Unlimited Company) por valor de cinco millones de euros, por permitir la publicación en su red social de anuncios de empresas de inversión irregulares que, además, utilizaban deepfakes con imágenes de personas famosas para publicitar sus servicios de inversión, además de falsas noticias de medios de comunicación que incentivaban al uso de los servicios financieros de esta empresas de inversión. Lea más aquí.
LatAm
Colombia
Anulación de providencia judicial por uso indebido de IA (Sentencia STC17832-2025): La Corte Suprema de Justicia determinó que el fallo del Tribunal Superior de Sincelejo se sustentó en citas jurisprudenciales inexistentes, presuntamente generadas por herramientas tecnológicas, lo que configuró una vulneración del derecho fundamental al debido proceso. La Corte advirtió que la incorporación de información no verificada en decisiones judiciales constituye un defecto de motivación y una vía de hecho, fijando un precedente sobre los límites y riesgos del uso de IA en la administración de justicia.
Cierre de operaciones por tratamiento indebido de datos (Resolución 78798 de 3 de octubre de 2025): La SIC sancionó a las sociedades World Foundation y Tools for Humanity Corporation con el cierre inmediato y definitivo de toda operación que implique tratamiento de datos personales en Colombia. La investigación evidenció graves incumplimientos al régimen de protección de datos, incluyendo ausencia de políticas y procedimientos para garantizar el derecho de habeas data, falta de autorización válida para el tratamiento de datos sensibles y deficiencias en medidas de seguridad. Las compañías recolectaban imágenes biométricas del iris de miles de personas a cambio de incentivos económicos, sin informar de manera clara las finalidades del tratamiento.
Estrategia europea “Apply AI”: La Comisión Europea lanzó en octubre de 2025 la Estrategia “Apply AI”, que integra la “estrategia europea” de IA centrándose en la aplicación práctica de la IA en toda Europa. Su objetivo es aprovechar el potencial transformador de la IA promoviendo una mayor adopción e integración en sectores industriales y públicos clave, prestando especial atención a las necesidades de las pymes y proporcionando apoyo específico para acelerar su transformación digital, manteniendo el enfoque en excelencia, confianza y protección de derechos fundamentales. Lea más aquí.
Equipos compuestos por personas e IA superan en desempeño a equipos compuestos solo por humanos o solo por IA: Una reciente investigación demuestra que los equipos mixtos formados por humanos e IA rinden mejor bajo presión que los equipos formados solamente por humanos o por IA. Las conclusiones sugieren que esta combinación puede ser especialmente eficaz cuando hay mucho en juego y los recursos son escasos, permitiendo un mejor desempeño de las tareas, incluso cuando el entendimiento humano de la respuesta de la IA sea limitado. Lea más aquí.
Informe “The State of AI in 2025” de McKinsey: El pasado 5 de noviembre, McKinsey publicó un informe en el que analizaba el estado actual de la implementación de la IA en entornos empresariales. En concreto, destacó que el 88 % de las empresas ya usan IA en al menos una función empresarial, frente al 78 % del año anterior. Sin embargo, solo un tercio ha conseguido escalar la IA de forma transversal: la mayoría continúa con pilotos o implementaciones parciales. El informe concluye que la IA se ha convertido en estándar, pero su valor real depende de la capacidad para pasar del piloto al escalado estratégico, rediseñando procesos y estructuras internas. Lea el informe aquí.
OpenAI actualiza la política de uso de ChatGPT: OpenAI revisó las políticas de uso de ChatGPT para prohibir el asesoramiento personalizado en áreas reguladas como derecho, medicina y finanzas. ChatGPT ya no ofrecerá diagnósticos, recomendaciones legales ni estrategias de inversión a medida; solo podrá aportar información general y contexto. El cambio responde al objetivo de garantizar un uso responsable de la IA, evitando que usuarios confundan sus respuestas con la opinión de un profesional acreditado. Las modificaciones entraron en vigor el pasado 29 de octubre. Lea la nueva política aquí.
España crea especificación UNE para medir la sostenibilidad de la IA: La Asociación Española de Normalización, por iniciativa de la Secretaría de Estado de Digitalización e Inteligencia Artificial, publicó el pasado 9 de octubre la especificación técnica UNE 0086, desarrollada por 35 entidades expertas, que establece un marco común para medir el consumo energético, la huella de carbono, el consumo de agua y el rendimiento de los sistemas de IA. La especificación proporciona una guía para cuantificar el impacto ambiental de modelos y algoritmos de IA en todas las fases de su ciclo. Esta iniciativa forma parte del Programa Nacional de Algoritmos Verdes (PNAV) y posiciona a España en la vanguardia de la definición de normas internacionales en sostenibilidad tecnológica. Lea más aquí.