LSI Final Legislación 2025

¿Por qué se considera necesario crear nuevas normas jurídicas específicas para el Derecho Informático?. Porque el Derecho Informático regula todo tipo de actividades empresariales, sin excepción. Porque hay un área de delimitación muy imprecisa, lo cual hace difícil la aplicación de normas clásicas. Porque el uso de la tecnología genera áreas novedosas como privacidad de datos, propiedad intelectual digital, e-commerce, etc. Porque el Derecho Informático solo se ocupa de la relación entre el Estado y las empresas.

Según el principio de autorización previa establecido en la Unión Europea: Toda persona que desee ser proveedora de servicios digitales debe obtener la autorización de la AEPD. No se puede exigir autorización previa para ser proveedor de servicios digitales en la UE. Solo se exige autorización previa si el servicio digital se relaciona con datos sensibles. Se requiere autorización previa en todos los casos.

¿Cuál de las siguientes afirmaciones define mejor el término “datos personales”?. Cualquier información en formato digital que se recabe de un usuario. Información que identifica o puede identificar a una persona física, no a una empresa u organización. Información sobre la localización geográfica de un dispositivo, sin importar su relación con una persona. Son únicamente los datos relacionados con la salud de una persona.

En la normativa de protección de datos, los llamados “datos anónimos”: Se consideran siempre datos personales. Siguen estando protegidos por el RGPD como datos sensibles. No están protegidos por el RGPD porque no se puede reidentificar a la persona. Son ilegales según la normativa europea.

Respecto a los datos pseudonimizados (seudonimizados): No son considerados datos personales en ningún caso. Son datos personales sujetos a las normas de protección, pero con mayor salvaguarda de privacidad. Son datos que han sido completamente anonimizados. Solo se utilizan para la investigación policial.

¿Cuál de los siguientes se considera un “dato sensible”?. El nombre y apellidos de una persona. El número de teléfono personal. Datos sobre el origen racial, ideología política o salud. Cualquier dato relacionado con su formación académica.

El tratamiento de datos personales engloba: Solo el proceso automatizado de los datos. Cualquier operación con datos personales, ya sea manual o automatizada. Exclusivamente los procesos de almacenamiento en bases de datos. Únicamente el envío de correos electrónicos.

¿En qué caso NO se aplica la normativa de protección de datos?. Cuando tratamos datos personales para fines domésticos o personales. Cuando tratamos datos de nuestros empleados en una empresa. Cuando tratamos datos de usuarios de un servicio online. Cuando tratamos datos de clientes en un comercio electrónico.

¿Qué función desempeña el Delegado de Protección de Datos (DPO o DPD)?. Decidir los fines y medios del tratamiento de datos. Ejecutar las órdenes del responsable de los datos. Revisar que se cumpla la normativa y asesorar a la entidad, trabajando sin presiones. Autorizar o denegar el tratamiento de datos ante las autoridades.

¿En cuál de estos casos es obligatorio nombrar un Delegado de Protección de Datos?. Cuando la empresa tiene menos de 10 trabajadores. Cuando se trate cualquier tipo de datos personales sin excepción. Cuando se trate en gran cantidad datos sensibles o se realice observación habitual y sistemática de muchas personas, o se sea un organismo público. Únicamente cuando lo solicite expresamente la AEPD.

¿Quién es la figura que decide para qué y cómo se usan los datos personales en una organización?. El Delegado de Protección de Datos. El Responsable del tratamiento. El Encargado del tratamiento. La Agencia Española de Protección de Datos.

¿Cuál de las siguientes no es una obligación del Responsable del tratamiento?. Llevar un registro de las actividades de tratamiento. Avisar a la autoridad de protección de datos si hay brechas de seguridad relevantes. Seguir las instrucciones del Encargado. Proteger los datos con medidas de seguridad adecuadas.

¿Qué obligación tiene el Encargado del tratamiento?. Decidir los fines del tratamiento de datos personales. Identificar las bases jurídicas que permiten el tratamiento. Llevar un registro de lo que hace con los datos y protegerlos adecuadamente. Supervisar el cumplimiento interno de la normativa de datos en la entidad.

La AEPD y el EDPB (European Data Protection Board): No tienen poder sancionador, solo pueden emitir recomendaciones. Son organismos que asesoran, supervisan y pueden sancionar incumplimientos en materia de protección de datos. Solo tienen competencias para el asesoramiento a empresas. Solo trabajan a nivel nacional en España.

El principio de “licitud, lealtad y transparencia” implica: Solo la necesidad de obtener el consentimiento cuando se recogen datos. La obligación de informar clara y previamente de la forma en que se tratarán los datos y garantizar su uso legítimo. Que los datos puedan utilizarse para cualquier finalidad que la empresa considere. Que no sea necesario informar de cambios en el tratamiento una vez obtenido el consentimiento inicial.

El principio de “limitación de la finalidad” significa: Que los datos solo pueden recopilarse durante un tiempo limitado. Que los datos deben recogerse e inmediatamente eliminarse. Que los datos se deben utilizar exclusivamente para los fines específicos para los que fueron recogidos, salvo excepciones con base legal. Que solo es posible utilizar los datos con fines comerciales.

El principio de “minimización de datos” busca: Recabar cuantos más datos, mejor, para asegurar la calidad de los tratamientos. Recoger únicamente los datos necesarios para los fines establecidos. Eliminar cualquier tipo de datos personales. Recoger los datos sensibles y descartar el resto.

La “limitación del plazo de conservación” establece que: Los datos pueden conservarse indefinidamente si se protegen adecuadamente. Los datos deben destruirse o anonimizarse cuando dejen de ser necesarios para la finalidad original, salvo excepciones legales o de interés público. No es obligatorio fijar un plazo de conservación mientras se notifique a los interesados. Todos los datos deben eliminarse al cumplir un año de almacenamiento.

En caso de producirse una brecha de seguridad que afecte a los datos personales, el Responsable del tratamiento debe: No avisar a nadie para evitar alarmas innecesarias. Notificarla a la autoridad competente solo si se ve afectado un número muy grande de personas. Notificar a la autoridad de protección de datos y, si existe alto riesgo, a los afectados. Derivar toda la responsabilidad al Encargado.

El principio de “responsabilidad proactiva” (accountability) implica que: El Responsable solo debe actuar si la autoridad se lo requiere. Se debe cumplir y poder demostrar el cumplimiento de la normativa, adoptando las medidas necesarias por iniciativa propia. El Delegado de Protección de Datos asume toda la responsabilidad legal. El Encargado del tratamiento es quien debe garantizar el cumplimiento y asumir las sanciones.

¿Cómo se define la Inteligencia Artificial (IA) en el contexto del Reglamento?. Sistemas con capacidad de aprender y adaptarse a partir de datos, impactando entornos físicos o virtuales. Programas que simplemente recogen datos sin capacidad de modificación. Herramientas que analizan datos, pero sin repercusión en el entorno real. Cualquier aplicación informática, aunque no analice datos.

El término GPAI (General Purpose AI) alude a: Un modelo de IA entrenado con datos muy limitados y tareas muy concretas. Un modelo de IA que aprende de forma autosupervisada con grandes cantidades de datos y que puede cubrir múltiples tareas distintas. Cualquier sistema de IA que esté todavía en investigación y no se haya probado. Un software de IA que solo se aplica al reconocimiento de imágenes estáticas.

¿Cuál de estas figuras es responsable de garantizar el cumplimiento normativo cuando se importa un modelo de IA a la UE?. El Responsable del despliegue. El Proveedor de datos. El Representante autorizado. El Distribuidor en el mercado nacional.

La figura que proporciona el modelo a un usuario final, permitiéndole utilizarlo, se conoce como: El Proveedor. El Fabricante. El Responsable del despliegue. El AESIA.

La AESIA (Autoridad Supervisora de la IA) tiene, entre otras, la función de: Definir por sí misma nuevas leyes de IA en cada país de la UE. Revisar el cumplimiento de normas de IA y autorizar a entidades para certificar sistemas. Aprobar directamente todos los modelos GPAI sin intervención de otras autoridades. Centralizar la comercialización de los productos de IA y distribuirlos en Europa.

¿Para qué sirven los “sandboxes” dentro de la normativa de IA?. Para lanzar nuevas aplicaciones a gran escala sin supervisión. Para probar sistemas de IA en entornos reales sin ningún control. Para desarrollar y testar sistemas de IA en un entorno seguro y supervisado antes de su despliegue. Para comercializar productos de IA directamente al público sin tener la autorización previa.

El ámbito de aplicación espacial del Reglamento de IA incluye: Solamente los sistemas de IA desarrollados en la UE, no importados. Todos los sistemas de IA, se usen o no en el territorio de la UE. A proveedores no establecidos en la UE únicamente cuando el modelo no esté entrenado en datos europeos. A proveedores y responsables de despliegue si introducen o utilizan la IA en la UE, o si sus outputs se usan en la UE.

¿En cuál de los siguientes supuestos se considera excluida la aplicación del Reglamento de IA?. Cuando el sistema de IA sea puramente experimental y solo se use en un laboratorio sin fines comerciales. Cuando se busque comercializar el sistema en la UE bajo una marca específica. Cuando un individuo desee usar un modelo de IA para fines empresariales en su propia oficina. Cuando el proveedor está establecido fuera de la UE y carece de Representante.

Según la clasificación del riesgo de un sistema de IA, ¿qué nivel de riesgo se considera prohibido por atentar contra los derechos fundamentales de la UE?. Nivel alto. Nivel de transparencia. Nivel inaceptable. Nivel mínimo.

Un ejemplo de sistema de alto riesgo es: Un filtro de spam en el correo electrónico privado. Un sistema de reconocimiento de voz en videojuegos. Un sistema de gestión de infraestructuras críticas o de selección de personal. Un chatbot que solo contesta preguntas de cultura general.

En los casos de riesgo de transparencia, el reglamento exige: La supervisión humana constante sin excepciones. La desactivación inmediata del sistema en caso de mal uso. Que se informe al usuario de que está interactuando con una IA, especialmente con deepfakes o chatbots. Solo se pide informar a la autoridad local de las características del sistema.

Entre las prácticas prohibidas por el Reglamento, encontramos: Cualquier uso de biometría en el ámbito médico. Cualquier uso de biometría en el ámbito médico. Sistemas de IA empleados en transacciones bancarias. La clasificación de correos electrónicos para fines publicitarios.

Se prohíbe expresamente el reconocimiento de emociones en contextos educativos o laborales, al considerarse intrusivo y sin base de justificación. Debe responsabilizarse del diseño, desarrollo y cumplimiento de la normativa, integrando un sistema de gestión de riesgos. No tiene responsabilidad mientras el Responsable del despliegue asuma la supervisión final. Solo debe ocuparse de la formación de los usuarios finales. Está obligado a registrarse en la UE pero no a documentar el proceso de diseño.

Si un Distribuidor o Importador introduce el producto con IA en el mercado bajo su propia marca: Actúa como un simple representante, sin responsabilidades adicionales. Se considera “Proveedor” a efectos del Reglamento, asumiendo las obligaciones correspondientes. Debe remitir siempre la responsabilidad a un tercero en caso de incidente. Solo se hace responsable de la promoción comercial, sin tener obligaciones técnicas.

Los Fabricantes de productos que incluyan sistemas de IA: No se ven afectados por el Reglamento si el producto se vende fuera de la UE. Se consideran “Responsables del despliegue” en todos los casos. Se consideran “Proveedores” cuando integren sistemas de IA en sus productos. Solamente deben supervisar el control de calidad, sin obligaciones de documentación.

Uno de los requisitos que deben implementar los Proveedores de sistemas de IA de alto riesgo es: Una gestión de riesgos fundamentada únicamente en la experiencia personal del desarrollador. Criterios de calidad, pero sin necesidad de registrar incidentes ocurridos tras la venta. Establecer un sistema de gestión de riesgos, proteger el sistema de ciberamenazas y llevar un registro de incidencias. Eliminar cualquier intervención humana en el funcionamiento del sistema.

¿Durante cuánto tiempo debe conservarse la documentación técnica de un sistema de IA de alto riesgo?. No se exige conservación, solo supervisión constante. Mínimo 2 años desde la fecha de comercialización. Mínimo 6 meses desde su despliegue. Al menos 10 años después de la puesta en el mercado.

¿Qué es la evaluación de la conformidad con marcado CE en sistemas de alto riesgo?. Un proceso interno al Proveedor sin intervención de terceros. Un procedimiento de verificación para asegurar que el sistema cumple los requisitos técnicos y legales, demostrable con el etiquetado CE. Una simple revisión opcional que no es estrictamente obligatoria. Un trámite administrativo que se lleva a cabo solo si el producto falla en pruebas internas.

¿Por qué los modelos GPAI pueden considerarse de “riesgos sistémicos”?. Porque únicamente analizan datos almacenados localmente sin llegar a mayor escala. Porque siempre se utilizan para fines educativos y sanitarios. Porque tienen un impacto potencial elevado y usan gran capacidad de cálculo, pudiendo incidir en muchos ámbitos. Porque solo se aplican a sistemas de monitorización emocional y reconocimiento facial.

Entre las obligaciones adicionales de los Proveedores de GPAI se encuentra: Retirar por completo cualquier referencia a copyright en los datos de entrenamiento. Notificar anualmente a todos los usuarios los costes de mantenimiento del sistema. Facilitar información y documentación básica a quienes deseen usar ese modelo en su propio sistema, colaborar con autoridades y respetar los derechos de autor. Publicar todo el código fuente sin restricciones, incluso si no es open-source.

¿Cuál es el principal objetivo del Reglamento de Servicios Digitales?. Establecer un marco para regular los sistemas de gestión de datos personales exclusivamente. Garantizar la protección de los usuarios y la transparencia de los servicios digitales que se ofrecen en la UE, creando un marco común de obligaciones. Promover el uso de aplicaciones web en el ámbito doméstico, sin fines comerciales. Crear un único organismo europeo responsable de supervisar la conectividad a internet.

El término Servicio de la Sociedad de la Información (SSI) se refiere a: Un servicio prestado a distancia y por medios electrónicos, siempre que sea de radiodifusión. Cualquier servicio en línea, incluido el fax y la telefonía vocal tradicionales. Un servicio que se presta a cambio de una remuneración, por vía telemática y a petición del usuario, excluyendo la radiodifusión y la telefonía vocal. Un sistema de mensajería interna de uso estrictamente doméstico.

¿Cuál de las siguientes opciones describe correctamente la categoría de servicios de alojamiento de datos?. Servicios que únicamente retransmiten señales de terceros sin almacenamiento de contenido. Servicios intermediarios que almacenan y gestionan información que el usuario les proporciona, a petición de este (p. ej. servicios de almacenamiento en la nube). Plataformas que difunden al público contenido que ellas mismas generan de manera original. Cualquier servicio que ofrezca llamadas de voz sobre IP.

Dentro del Reglamento de Servicios Digitales, una plataforma online se define como: Todo servicio de alojamiento de datos que, además de almacenar, difunde o facilita la visualización de esos contenidos al público. Un buscador general de internet que no interactúa con contenido de terceros. Una web que vende únicamente sus propios productos sin permitir la participación de terceros. Cualquier servicio de la sociedad de la información que no requiera conexión a internet.

¿Cuándo una plataforma online puede ser clasificada como VLOP (Plataforma online de muy gran tamaño)?. Cuando supere la cantidad de 45.000 usuarios anuales en la UE. Únicamente si se trata de un motor de búsqueda con alcance global. Cuando alcance más de 45 millones de usuarios activos en la UE, con un proceso específico para obtener ese título. Cuando la plataforma tenga un mínimo de 4,5 millones de suscriptores de pago en todo el mundo.

¿Quién se considera “prestador de servicios” a efectos del Reglamento de Servicios Digitales?. Cualquier persona física o jurídica que ofrezca un servicio de la sociedad de la información, sin importar su tamaño. Únicamente los grandes proveedores de contenidos de pago. Solamente las empresas con más de 50 empleados que ofrezcan contenido audiovisual. Los canales de televisión y radio, por su labor de difusión de información.

¿Cuál de las siguientes obligaciones incumbe a todos los servicios intermediarios?. Eliminar de manera inmediata cualquier contenido sin aviso previo. Negarse a cooperar con las autoridades nacionales cuando haya investigaciones judiciales en curso. Cooperar con las autoridades nacionales y designar puntos de contacto o representantes legales si es necesario. Proporcionar alojamiento gratuito a cualquier usuario que lo solicite.

¿Qué ocurre si un servicio de alojamiento de datos recibe una notificación de contenido ilícito y no lo retira?. Podrá ser considerado responsable y enfrentarse a posibles reclamaciones si mantiene un contenido ilegal tras haber sido informado. No se ve afectado, ya que el servicio de alojamiento es siempre un mero intermediario sin responsabilidad. Se considera un delito penal automático contra el prestador. Pierde de forma inmediata su registro de prestador de servicios digitales en la UE.

Sobre la declaración de motivos que se envía al usuario cuya publicación se retira: Solo se exige cuando el contenido retirado sea de índole publicitaria. No es necesaria cuando la eliminación procede de una orden judicial o administrativa. Debe incluir siempre el nombre completo de quien ha denunciado el contenido. No debe explicar la razón concreta de la retirada, solo la fecha de la misma.

¿Cuáles de las siguientes son obligaciones impuestas a las plataformas online (VLOPs) para mejorar la confianza de los usuarios?. Mantener en secreto la identidad de los alertadores fiables e impedir el acceso a reclamaciones internas. Desarrollar un sistema interno de reclamaciones, resolver conflictos extrajudicialmente y establecer medidas contra el uso indebido de la plataforma. Exigir a todo usuario que presente un documento de identidad antes de publicar contenido. Centralizar todos los datos de los usuarios y exponerlos públicamente para mayor transparencia.

El sistema interno de reclamaciones que deben habilitar las VLOPs: Es voluntario y solo se aplica cuando el usuario paga una suscripción. Debe permitir a los usuarios impugnar decisiones sobre eliminación o moderación de contenidos. Solo opera con respecto a disputas de propiedad intelectual. Debe usarse para resolver cualquier problema técnico de la plataforma.

¿Quiénes son los alertadores fiables dentro del Reglamento de Servicios Digitales?. Entidades o individuos sin experiencia previa que reportan contenido ilegal. Organizaciones o personas reconocidas por su fiabilidad y competencia en la detección de contenido ilícito, cuyas notificaciones deben ser tramitadas con prioridad. Usuarios genéricos que denuncian contenido con el único requisito de tener un correo electrónico verificado. Agencias estatales que monitorean las redes para censurar cualquier opinión contraria al gobierno.

Una de las obligaciones centrales para las VLOPs es: Diseñar interfaces que fomenten la confusión del usuario para maximizar la atención. Permitir que la publicidad se camufle como contenido neutro sin etiquetado especial. Garantizar que las recomendaciones basadas en perfiles no sean opacas, ofreciendo transparencia y opciones al usuario. Bloquear el acceso a menores en cualquier caso, independientemente del tipo de contenido.

¿Qué obligación específica tienen las plataformas online de muy gran tamaño (VLOPs) que actúan como Marketplaces?. Permitir a los comerciantes vender productos sin registro ni identificación para facilitar el comercio. Verificar la trazabilidad de los vendedores y proporcionar información clara a los consumidores acerca de la legalidad de los productos o servicios ofrecidos. Prohibir toda venta de productos o servicios procedentes de fuera de la UE. Colaborar con todos los gobiernos europeos para fijar el precio de los productos vendidos en la plataforma.

¿Cuáles de estas medidas forman parte de las obligaciones de transparencia para todos los servicios intermediarios?. Exponer públicamente los datos personales de todos los empleados de la plataforma. Publicar informes anuales sobre la moderación de contenidos y detallar en sus condiciones generales las posibles restricciones aplicables. Ocultar cualquier referencia a la forma en que se lleva a cabo la gestión de reclamaciones. Destruir toda información relativa a la moderación de contenidos tras 24 horas.

¿En qué consiste la evaluación de riesgos anual que deben realizar las VLOPs?. Un análisis periódico para prevenir o mitigar los riesgos sistémicos que puedan derivarse de su actividad, incluyendo difusión de contenidos ilícitos o desinformación. Un informe opcional para mejorar la imagen corporativa, sin implicación legal. Una auditoría interna centrada exclusivamente en reducir costes de mantenimiento. Un análisis llevado a cabo por un equipo voluntario de usuarios sin supervisión externa.

Tras la evaluación de riesgos, las VLOPs deben: Realizar campañas publicitarias masivas para justificar su política de moderación. Presentar un informe ante la autoridad competente y someterse a una auditoría independiente, que verifique el grado de cumplimiento. Suspender automáticamente toda cuenta que haya emitido alguna denuncia contra el servicio. No están obligadas a llevar a cabo ninguna acción posterior, solo a guardarla internamente.

Con respecto a los menores, las VLOPs deben: Excluir a los usuarios menores de 18 años de todas sus plataformas. Permitir su acceso sin ningún tipo de control parental o protección. Implementar salvaguardas y funciones específicas que garanticen la protección de los usuarios menores, evitando exponerlos a contenidos peligrosos. Incorporar publicidad personalizada que se dirija específicamente a menores, pues es un sector con alta capacidad de consumo.

¿Qué entiende el Reglamento por “trazabilidad de los comerciantes” en los Marketplaces?. Identificar a cada comprador individual para fines estadísticos. Garantizar que se conozca la identidad de los vendedores y la procedencia de los productos, para poder tomar medidas si algo es ilícito. Mostrar de forma pública los datos financieros de cada vendedor. Registrar únicamente el número de cuenta bancaria del vendedor para procesar pagos.

¿Qué sucede si una plataforma online de muy gran tamaño no cumple sus obligaciones de auditoría e informes de evaluación de riesgos?. Puede recibir sanciones, incluyendo multas de la autoridad competente por incumplimiento grave del Reglamento. Se desestima su falta de cumplimiento, pues no hay sanciones establecidas. Solo pierde el estatus de VLOP pero sigue operando libremente sin restricciones. Debe cerrar su servicio en la UE sin posibilidad de reabrir.