Estatuto Jurídico de los Neurodatos: Desafíos, Marco Normativo y Garantías Fundamentales
La tecnología ya puede leer la actividad cerebral de una persona antes de que esa persona tome una decisión consciente. Los neurodatos no son el futuro: son el presente de un ordenamiento jurídico que todavía no sabe cómo responder.
1. Resumen Ejecutivo
Los neurodatos —entendidos como información obtenida directamente del sistema nervioso o inferida mediante patrones de comportamiento— plantean desafíos jurídicos disruptivos debido a su naturaleza preconductual y su extraordinaria capacidad identificativa. Su singularidad reside en una dimensión metacognitiva que permite acceder a procesos cerebrales inconscientes y predisposiciones que el propio individuo desconoce, lo que cuestiona frontalmente la suficiencia del paradigma del consentimiento informado tradicional. Este estudio analiza la distinción técnica entre neurodatos en sentido estricto (datos biométricos cerebrales) y datos neuroconductuales, subrayando que ambos poseen un elevado valor semántico capaz de revelar categorías especiales de información sensible bajo el amparo del artículo 9 del Reglamento General de Protección de Datos (RGPD).
El tratamiento masivo de esta información entraña riesgos individuales críticos, como la intrusión en la intimidad mental, y peligros colectivos sistémicos que amenazan los fundamentos del orden democrático a través de la microsegmentación emocional y la denominada «tiranía de la minoría». Ante la actual ausencia de una normativa específica en el ordenamiento europeo y español, resulta imperativa una interpretación reforzada del RGPD y del Reglamento de Inteligencia Artificial (RIA). Dicha interpretación debe centrarse en garantizar una transparencia algorítmica total y una supervisión humana que sea genuinamente significativa, evitando los sesgos de automatización.
Finalmente, se sostiene que los neurodatos deben considerarse res extra commercium, dada su vinculación indisoluble con la dignidad humana, la integridad psíquica y el libre desarrollo de la personalidad, derechos que el Tribunal Constitucional sitúa fuera del tráfico mercantil. Esta calificación jurídica es esencial para prohibir modelos de negocio basados en la mercantilización de la conciencia humana. El análisis concluye con recomendaciones operativas y listas de verificación destinadas a responsables y delegados de protección de datos para salvaguardar la soberanía cognitiva en un entorno tecnológico crecientemente invasivo (Castillo Parrilla et al., 2026, resumen ejecutivo, p. 13-15).
2. Introducción: El Deslinde Conceptual Necesario
2.1. Neurotecnología y el acceso a la actividad neuronal
El punto de partida para cualquier análisis jurídico riguroso sobre la materia es la comprensión de la neurotecnología, definida por la UNESCO como el conjunto de dispositivos y procedimientos diseñados para acceder, investigar, evaluar, manipular o emular la estructura y función de los sistemas neuronales humanos (Castillo Parrilla et al., 2026, apartado 1.1). Estas tecnologías operan bajo dos modalidades fundamentales: el registro de la actividad cerebral (como los electroencefalogramas) y su manipulación activa mediante técnicas de neuroestimulación o neuromodulación (Castillo Parrilla et al., 2026, apartado 1.1). Es imperativo destacar que el acceso a la actividad neuronal puede realizarse de forma local, mediante sensores en contacto físico con el usuario, o de manera remota (Castillo Parrilla et al., 2026, apartado 1.1). Asimismo, la recolección de esta información puede ser activa, cuando el individuo realiza una tarea específica, o pasiva, mediante un registro continuo sin actividad deliberada del sujeto (Castillo Parrilla et al., 2026, apartado 1.1). No obstante, la neurotecnología no es una condición sine qua non para la generación de neurodatos; estos también pueden surgir a través de inferencias algorítmicas sobre estados emocionales o procesos mentales a partir de datos biométricos o conductuales preexistentes (Castillo Parrilla et al., 2026, apartado 1.1).
2.2. La distinción entre Neurodatos (objeto) y Neuroderechos (marco protector)
Para evitar confusiones conceptuales que comprometan la utilidad del análisis jurídico, se debe distinguir entre el objeto de protección y el marco normativo. Los neurodatos se definen como la información extraída del cerebro y del sistema nervioso, así como las inferencias derivadas de ella (preferencias, estados cognitivos, etc.), constituyendo un tipo de dato personal de naturaleza singular (Castillo Parrilla et al., 2026, p. 17). Por el contrario, los neuroderechos representan un conjunto emergente de principios éticos y propuestas jurídicas destinados a salvaguardar la mente frente a posibles abusos tecnológicos (Castillo Parrilla et al., 2026, p. 17). Entre ellos se incluyen la privacidad mental, la libertad cognitiva, la integridad mental, la continuidad psicológica y el acceso equitativo a mejoras (Castillo Parrilla et al., 2026, p. 17). En términos técnicos, los neuroderechos operan como el marco protector, mientras que los neurodatos son el objeto central de dicha protección (Castillo Parrilla et al., 2026, p. 17).
2.3. Justificación de una guía específica ante la evolución técnica
La necesidad de un estudio detallado y una guía operativa responde a que los neuroderechos aún carecen de un reconocimiento legal autónomo y plenamente vinculante en los ordenamientos europeo y español, más allá de las referencias programáticas de la Carta de Derechos Digitales (Castillo Parrilla et al., 2026, p. 18). Aunque la normativa vigente de protección de datos (RGPD y LOPDGDD) ya ofrece instrumentos aplicables, la rápida evolución tecnológica exige orientaciones prácticas claras para los responsables del tratamiento y autoridades de supervisión (Castillo Parrilla et al., 2026, p. 18). Esta justificación se ve reforzada por la tendencia internacional, ejemplificada por la reforma constitucional chilena de 2021, que establece que el desarrollo tecnológico debe respetar la integridad física y psíquica, resguardando específicamente la actividad cerebral y su información (Castillo Parrilla et al., 2026, p. 18). En el ámbito español, estas garantías pueden incardinarse en la protección del libre desarrollo de la personalidad consagrada en el artículo 10 de la Constitución Española (Castillo Parrilla et al., 2026, p. 18). La presente investigación, por tanto, se centra en ofrecer un marco de análisis práctico para la aplicación de las normas vigentes a una realidad tecnológica en constante mutación (Castillo Parrilla et al., 2026, p. 18).
📄 Recurso completo: Puedes descargar la guía íntegra en PDF: Guía de uso de neurodatos — Castillo Parrilla et al. (2026)
3. Naturaleza, Características y Riesgos de los Neurodatos
3.1. Naturaleza preconductual, valor semántico y dimensión metacognitiva
La categorización jurídica de los neurodatos exige, en primera instancia, comprender sus propiedades técnicas distintivas. Los neurodatos son información de naturaleza preconductual, dado que reflejan procesos fisiológicos y electroquímicos cerebrales que anteceden a la acción voluntaria o a la exteriorización de la voluntad (Castillo Parrilla et al., 2026, p. 21-22). Esta característica implica que la tecnología puede revelar intenciones, predisposiciones o estados emocionales antes incluso de que el propio sujeto sea consciente de ellos (Castillo Parrilla et al., 2026, p. 22). Asimismo, estos datos poseen un elevado valor semántico. No se trata únicamente de magnitudes biofísicas brutas (como el flujo sanguíneo o impulsos eléctricos), sino que, mediante el procesamiento con inteligencia artificial, adquieren un significado profundo sobre la individualidad del sujeto: desde su estado de salud hasta sus convicciones más íntimas (Castillo Parrilla et al., 2026, p. 22). A esto se suma una dimensión metacognitiva, pues las neurotecnologías acceden a procesos inconscientes, generando información sobre la personalidad que el individuo desconoce de sí mismo, lo que subvierte el modelo tradicional de autonomía (Castillo Parrilla et al., 2026, p. 22).
3.2. Riesgos individuales: Intrusión en la intimidad mental y hackeo neuronal
El tratamiento de esta información conlleva riesgos de una intensidad sin precedentes para la esfera privada. El peligro más directo es la intrusión en la intimidad mental, permitiendo el acceso a pensamientos o estados mentales sin un consentimiento que sea genuinamente efectivo (Castillo Parrilla et al., 2026, p. 23). La singularidad de las ondas cerebrales, comparables a una huella dactilar neurológica, eleva exponencialmente el riesgo de reidentificación de datos que se pretendan anonimizar (Castillo Parrilla et al., 2026, p. 23). Las fuentes identifican también amenazas físicas y lógicas, como el hackeo de dispositivos neurotecnológicos implantados, lo que permitiría a terceros no autorizados alterar deliberadamente la actividad cerebral (Castillo Parrilla et al., 2026, p. 23). Estas acciones suponen una vulneración crítica del libre desarrollo de la personalidad consagrado en el artículo 10.1 de la Constitución Española y de la integridad psíquica (Castillo Parrilla et al., 2026, p. 23-24).
3.3. Riesgos colectivos: Manipulación a escala y la «tiranía de la minoría»
Más allá del daño individual, la acumulación masiva de neurodatos plantea riesgos sistémicos para el orden democrático. El conocimiento profundo del funcionamiento cerebral permite a grandes corporaciones o actores estatales anticipar deseos y temores, facilitando una manipulación subliminal que puede inclinar elecciones electorales o uniformar el comportamiento social sin que exista una coacción visible (Castillo Parrilla et al., 2026, p. 24-25). Como antecedente técnico, las fuentes citan el caso de Cambridge Analytica, que utilizó el perfilado psicográfico (escala OCEAN) para explotar vulnerabilidades emocionales mediante microsegmentación, logrando cambios de comportamiento sin que los sujetos fueran conscientes de la influencia (Castillo Parrilla et al., 2026, p. 25-26). Este fenómeno se agrava con la denominada «tiranía de la minoría»: la cesión irreflexiva de neurodatos por una minoría de usuarios permite a los algoritmos inferir información sensible de otros individuos semejantes que no han consentido el tratamiento (Castillo Parrilla et al., 2026, p. 31).
3.4. El debate sobre la comercialización: Los neurodatos como res extra commercium
Dada su vinculación indisoluble con la dignidad y la integridad física y psíquica, las fuentes sostienen que los neurodatos deben considerarse res extra commercium (cosas fuera del comercio) (Castillo Parrilla et al., 2026, p. 26). Este debate se apoya en que, aunque ciertos derechos como la propia imagen son comercializables, otros como la vida o el libre desarrollo de la personalidad están absolutamente excluidos del tráfico mercantil (Castillo Parrilla et al., 2026, p. 29). La comparación establecida por el Supervisor Europeo de Protección de Datos (SEPD) asimila los mercados de datos con los mercados de órganos: así como el Convenio de Oviedo prohíbe el lucro con el cuerpo humano, la información cerebral revela la esencia de la conciencia y no debe ser objeto de compraventa (Castillo Parrilla et al., 2026, p. 31). Esta tesis de la «inalienabilidad de mercado» encuentra respaldo en legislaciones emergentes como las de Chile, Colombia y Costa Rica, que prohíben la mercantilización de la actividad cerebral por su valor como patrimonio de la humanidad (Castillo Parrilla et al., 2026, p. 32).
4. Clasificación Jurídica y Niveles de Identificabilidad
4.1. Neurodatos en sentido estricto vs. Datos neuroconductuales
La calificación jurídica de los neurodatos es el paso previo indispensable para determinar el régimen de garantías aplicable. Las fuentes establecen una distinción dicotómica fundamental basada en el origen y la naturaleza de la información recolectada (Castillo Parrilla et al., 2026, apartado 1.2). En primer lugar, los neurodatos en sentido estricto son aquellos que refieren directamente a la estructura, actividad y funcionamiento del sistema nervioso, recopilados de manera específica mediante neurotecnología (Castillo Parrilla et al., 2026, p. 20). Estos datos poseen un potencial identificativo unívoco, ya que las ondas cerebrales son únicas para cada individuo, funcionando como una huella dactilar neurológica (Castillo Parrilla et al., 2026, p. 21). Por otro lado, los neurodatos en sentido amplio o datos neuroconductuales comprenden elementos observables del comportamiento de los cuales, tras un procesamiento técnico, es posible inferir estados mentales, procesos cognitivos o el funcionamiento del sistema nervioso (Castillo Parrilla et al., 2026, apartado 2.2.2). Esta segunda categoría es mucho más vasta e incluye, por ejemplo, el análisis de patrones de tecleo para detectar patologías motoras o el rastreo de navegación para realizar perfilados emocionales (Castillo Parrilla et al., 2026, p. 40).
4.2. El árbol de decisiones para la clasificación
Para facilitar la labor de los responsables del tratamiento, las fuentes proponen un esquema de decisión lógico para categorizar la información (Castillo Parrilla et al., 2026, Diagrama 2). El proceso comienza con la pregunta de si los datos identifican o pueden identificar a una persona física (art. 4.1 RGPD). Si la respuesta es negativa, el dato queda fuera del ámbito de aplicación del RGPD; sin embargo, las fuentes advierten de que la singularidad de los patrones cerebrales hace que este supuesto sea excepcional (Castillo Parrilla et al., 2026, p. 34). Si el dato es personal, el siguiente nivel de análisis consiste en determinar si se trata de un neurodato en sentido estricto. De ser así, se clasifica automáticamente como dato biométrico bajo el artículo 9 del RGPD (Castillo Parrilla et al., 2026, Diagrama 2). En caso de tratarse de datos neuroconductuales, se debe verificar si a través de ellos se puede inferir información sensible (salud, opiniones políticas, orientación sexual, etc.). Si existe tal capacidad inferencial, el dato adquiere la consideración de categoría especial por vía de la inferencia; de lo contrario, se somete al régimen general del RGPD (Castillo Parrilla et al., 2026, Diagrama 2).
4.3. Los neurodatos como categoría especial de datos (Art. 9 RGPD)
Los neurodatos no son meros datos personales ordinarios; su tratamiento está, por lo general, prohibido salvo que concurran excepciones específicas (Castillo Parrilla et al., 2026, apartado 5.3.1). Las fuentes analizan con detalle cómo los neurodatos se incardinan en el artículo 9.1 del RGPD (Castillo Parrilla et al., 2026, p. 36-37): como datos biométricos, al ser obtenidos mediante un tratamiento técnico específico que permite la identificación única de la persona (p. 37); como datos relativos a la salud, cuando revelan condiciones neurológicas o estados mentales (p. 36); y por inferencia, cuando el análisis algorítmico de la actividad cerebral permite reconstruir convicciones religiosas, opiniones políticas u orientación sexual (p. 37). Un ejemplo crítico de mala clasificación es el caso de la empresa Emotiv Inc., que sostenía en su política de privacidad que los datos de electroencefalograma (EEG) recogidos por sus dispositivos no eran datos personales por estar seudonimizados (Castillo Parrilla et al., 2026, p. 35). Las fuentes rechazan esta interpretación, señalando que la seudonimización no es un proceso irreversible y que, en el ordenamiento europeo, cualquier información cerebral vinculada a un sujeto identificable es un dato personal de categoría especial que activa todas las garantías de protección (Castillo Parrilla et al., 2026, p. 36, 69).
4.4. Problemática de la anonimización, seudonimización y criptografía postcuántica
El tratamiento de neurodatos se enfrenta a tres niveles de identificabilidad: hipotética/remota, previsible/razonable y unívoca (Castillo Parrilla et al., 2026, p. 21). Las fuentes subrayan que el avance tecnológico está reduciendo drásticamente el ámbito de la «identificabilidad remota», convirtiendo lo que antes era anónimo en información reidentificable mediante inteligencia artificial (Castillo Parrilla et al., 2026, p. 43). Especial preocupación despierta la vulnerabilidad criptográfica. Los neurodatos cifrados hoy mediante algoritmos estándares (RSA o ECC) podrían ser almacenados por actores maliciosos para ser descifrados en el futuro mediante computación cuántica (Castillo Parrilla et al., 2026, p. 46). Esta estrategia, denominada «harvest now, decrypt later» (recolectar ahora, descifrar después), es particularmente peligrosa debido a que la información cerebral permanece vinculada de forma permanente e irrevocable a la identidad del individuo (Castillo Parrilla et al., 2026, p. 46). Por ello, se recomienda la transición inmediata hacia la criptografía postcuántica para garantizar la seguridad de estos datos sensibles a largo plazo (Castillo Parrilla et al., 2026, p. 46).
5. Marco Normativo Multinivel Aplicable
El tratamiento de los neurodatos no se rige por una norma única y específica, sino que se articula a través de un entramado normativo multinivel que combina legislación vinculante, propuestas en fase de tramitación e instrumentos de soft law (Castillo Parrilla et al., 2026, apartado 3). Este bloque normativo debe interpretarse de forma sistemática para cubrir las lagunas que la rápida evolución tecnológica genera en los ordenamientos tradicionales.
5.1. El bloque normativo de la Unión Europea: RGPD, RIA y REEDS
El Reglamento General de Protección de Datos (RGPD) constituye el eje central y marco principal de protección (Castillo Parrilla et al., 2026, apartado 3.1.1). Aunque no menciona de forma nominal a los neurodatos, sus principios de minimización, limitación de la finalidad y lealtad son plenamente operativos (Castillo Parrilla et al., 2026, apartado 3.1.1). Este marco se complementa con la Directiva de Protección de Datos Penales (DPDP), cuyas definiciones de datos biométricos y de salud son idénticas a las del RGPD, aplicándose específicamente al ámbito de la prevención e investigación de delitos (Castillo Parrilla et al., 2026, apartado 3.1.1). En un plano sectorial, el Reglamento del Espacio Europeo de Datos de Salud (REEDS), aprobado en febrero de 2025, regula el intercambio y gestión de datos sanitarios electrónicos, lo que incluye a los neurodatos generados en contextos clínicos (Castillo Parrilla et al., 2026, apartado 3.1.3). El REEDS facilita el uso secundario de esta información para fines de investigación y salud pública, siempre bajo las salvaguardas del RGPD (Castillo Parrilla et al., 2026, p. 52).
5.2. Particularidades del Reglamento de Inteligencia Artificial (RIA) y la biometría
El Reglamento de Inteligencia Artificial (RIA) introduce una capa de protección adicional basada en el riesgo (Castillo Parrilla et al., 2026, apartado 3.1.2). Resulta crucial señalar que el RIA establece prohibiciones específicas (art. 5) que afectan directamente a la neurotecnología, como el veto a sistemas que empleen técnicas subliminales para distorsionar el comportamiento o sistemas que realicen inferencia de emociones en entornos laborales y educativos, salvo por razones médicas (Castillo Parrilla et al., 2026, p. 51). Sin embargo, las fuentes advierten de una discrepancia técnica preocupante: mientras el RGPD define los datos biométricos como aquellos que permiten la «identificación única» del sujeto, el RIA suprime este requisito de su definición (Castillo Parrilla et al., 2026, apartado 3.1.2). Esta divergencia complica la interpretación sistemática, ya que el RIA permite el uso de datos biométricos en sistemas de alto riesgo bajo condiciones que podrían colisionar con la prohibición general del artículo 9 del RGPD (Castillo Parrilla et al., 2026, p. 52).
5.3. El ordenamiento español: LOPDGDD, LOPDP y normativas sectoriales
En España, la LOPDGDD (Ley Orgánica 3/2018) desarrolla el RGPD y es el punto de referencia nacional para el tratamiento de datos personales (Castillo Parrilla et al., 2026, apartado 3.2.1). En el ámbito de la IA, España ha sido pionera con la creación del Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y el establecimiento de un sandbox regulatorio (Castillo Parrilla et al., 2026, apartado 3.2.2). Asimismo, la Ley 15/2022 de igualdad de trato impone obligaciones para prevenir sesgos en decisiones automatizadas, un aspecto crítico cuando se utilizan neurodatos para el perfilado (Castillo Parrilla et al., 2026, p. 54). Para las neurotecnologías invasivas, el Real Decreto 192/2023 regula su comercialización como productos sanitarios bajo supervisión de la AEMPS (Castillo Parrilla et al., 2026, p. 54).
5.4. Derecho internacional y comparado: De la UNESCO a la reforma chilena
A nivel global, la Recomendación de la UNESCO sobre la Ética de las Neurotecnologías (2025) se erige como el primer instrumento global de soft law específico (Castillo Parrilla et al., 2026, apartado 3.5.2). Este documento adopta un enfoque extensivo que protege no solo los datos neuronales directos, sino también cualquier dato conductual que permita inferir estados mentales (Castillo Parrilla et al., 2026, p. 58). En el derecho comparado, Chile marcó un hito histórico con la reforma del artículo 19 de su Constitución en 2021, que resguarda expresamente la actividad cerebral y la información proveniente de ella (Castillo Parrilla et al., 2026, p. 55). Esta tendencia de protección reforzada se observa también en proyectos legislativos en Colombia, Costa Rica y México (Castillo Parrilla et al., 2026, apartado 11.3.2).
5.5. El valor interpretativo de la Carta de Derechos Digitales de España
Aunque carece de eficacia normativa vinculante, la Carta de Derechos Digitales (2021) ofrece un criterio interpretativo esencial (Castillo Parrilla et al., 2026, apartado 3.4.2). Su derecho XXVI sistematiza los retos de las neurotecnologías en cinco ejes: control de la identidad, autodeterminación en la toma de decisiones, confidencialidad de los procesos cerebrales, integridad psíquica y acceso equitativo a tecnologías de mejora (Castillo Parrilla et al., 2026, p. 57). Las fuentes subrayan que estos principios pueden integrarse en la interpretación del libre desarrollo de la personalidad (art. 10 CE) para dotar de contenido a los derechos ya existentes (Castillo Parrilla et al., 2026, p. 18).
6. Neurodatos y Derechos Fundamentales: Una Nueva Dimensión
El tratamiento de neurodatos afecta de manera transversal a un conjunto de derechos fundamentales que trascienden la mera protección de datos personales, incidiendo en el núcleo de la identidad y la libertad humana (Castillo Parrilla et al., 2026, apartado 4).
6.1. Dignidad humana e integridad física y psíquica
La dignidad de la persona es el fundamento del orden político y la paz social, constituyendo un valor inviolable que debe presidir toda regulación tecnológica (Castillo Parrilla et al., 2026, apartado 4.1). En este contexto, el uso de neurotecnologías no puede atentar contra la integridad física y psíquica del individuo (Castillo Parrilla et al., 2026, apartado 4.1). El libre desarrollo de la personalidad (art. 10.1 CE) exige que el sujeto mantenga el control sobre los procesos que conforman su identidad, permitiéndole poner en práctica una voluntad autónoma y no condicionada (Castillo Parrilla et al., 2026, apartado 4.1). Las fuentes destacan que el acceso no consentido a la información cerebral compromete la capacidad de autodeterminación, afectando el núcleo más protegido de la dignidad humana (Castillo Parrilla et al., 2026, p. 62).
6.2. Intimidad mental y el poder de disposición sobre el dato
Ante la irrupción de las neurotecnologías, el derecho a la intimidad adquiere una nueva dimensión denominada intimidad mental (Castillo Parrilla et al., 2026, apartado 4.2). Esta se define como la capacidad de una persona para ocultar su información mental y evitar intrusiones no consentidas en su dominio cognitivo (Castillo Parrilla et al., 2026, p. 64). A diferencia de la intimidad tradicional, la mental protege incluso aquello que el sujeto desconoce de sí mismo pero que es accesible mediante la lectura de su actividad cerebral o el análisis de datos neuroconductuales (Castillo Parrilla et al., 2026, p. 64). El derecho a la protección de datos otorga al individuo un poder de disposición y control sobre sus neurodatos, permitiéndole decidir qué información comparte (Castillo Parrilla et al., 2026, p. 64). Este control se manifiesta en el cumplimiento estricto de los principios de licitud, lealtad y transparencia: si se recaban datos de navegación para realizar perfilados emocionales sin informar adecuadamente, se vulnera el principio de limitación de la finalidad (Castillo Parrilla et al., 2026, p. 65).
6.3. Libertad cognitiva, autodeterminación y el impacto de los sesgos
La libertad cognitiva y la autodeterminación mental implican el derecho a decidir si la propia actividad cerebral puede ser registrada o modulada, protegiendo al individuo de interferencias externas en sus procesos cognitivos (Castillo Parrilla et al., 2026, apartado 4.3). Un riesgo crítico identificado es la explotación personalizada de sesgos cognitivos (distorsiones involuntarias de la percepción o el juicio) (Castillo Parrilla et al., 2026, p. 65). Mediante el tratamiento de neurodatos, es posible detectar vulnerabilidades emocionales de forma precisa y diseñar estrategias de influencia personalizadas a escala (Castillo Parrilla et al., 2026, p. 66). Casos como el de Cambridge Analytica, que utilizó la escala OCEAN para realizar microsegmentación emocional, o el uso abusivo de redes sociales para influir en procesos electorales (como el caso de TikTok en Rumanía), demuestran cómo el perfilado psicográfico puede socavar la libertad en la toma de decisiones (Castillo Parrilla et al., 2026, p. 66-67).
6.4. El derecho a la igualdad: Acceso equitativo y prevención de la discriminación
La igualdad debe garantizarse tanto en su vertiente formal como material (Castillo Parrilla et al., 2026, apartado 4.4). La igualdad material exige que los poderes públicos aseguren el disfrute equitativo de los avances neurotecnológicos, evitando brechas sociales en el acceso a tecnologías de mejora cognitiva o sensorial (Castillo Parrilla et al., 2026, p. 68). Un ejemplo de iniciativa en este ámbito es el Proyecto Athena, que integra interfaces cerebro-computador y realidad aumentada bajo principios de no discriminación (Castillo Parrilla et al., 2026, p. 68-69). Asimismo, el derecho a la igualdad impone la prevención de sesgos en las decisiones automatizadas (Castillo Parrilla et al., 2026, apartado 4.5). Errores estadísticos, cognitivos o sociales pueden derivar en discriminaciones algorítmicas si los datos de entrenamiento son de mala calidad (principio Garbage In, Garbage Out) (Castillo Parrilla et al., 2026, p. 69-70). El cumplimiento del principio de exactitud del RGPD y de calidad de los datos del RIA es imperativo para evitar que las decisiones basadas en neurodatos resulten condicionadas por informaciones sesgadas (Castillo Parrilla et al., 2026, p. 70-71).
7. El Régimen Jurídico del Tratamiento
El tratamiento de los neurodatos se rige por un régimen de garantías reforzadas que busca compensar la asimetría informativa y la vulnerabilidad intrínseca del sujeto frente a tecnologías que acceden a su dimensión más íntima (Castillo Parrilla et al., 2026, apartado 5).
7.1. El consentimiento informado ante procesos inconscientes
El consentimiento es la base legitimadora por excelencia, pero en el ámbito de la neurotecnología se enfrenta a retos sistémicos (Castillo Parrilla et al., 2026, apartado 5.1). Para ser válido, debe ser libre, informado, expreso, específico, inequívoco y revocable en todo momento (Castillo Parrilla et al., 2026, p. 73). No obstante, surge una paradoja técnica: muchas neurotecnologías acceden a información de procesos cerebrales inconscientes de los que el propio individuo no es consciente (Castillo Parrilla et al., 2026, p. 22, 74). Esto cuestiona la capacidad del sujeto para autorizar un flujo de información que escapa a su propio control mental (Castillo Parrilla et al., 2026, p. 74). Las fuentes citan el caso Girardi vs. Emotiv Inc. como ejemplo de malas prácticas contractuales: la empresa imponía licencias irrevocables sobre los neurodatos y condicionaba el acceso del usuario a su propia información cerebral a la suscripción de una versión de pago, prácticas que vulneran frontalmente el RGPD (Castillo Parrilla et al., 2026, p. 73-74).
7.2. Tratamiento en grupos vulnerables: Menores, trabajadores y personas mayores
La Guía identifica tres colectivos que requieren una protección institucional que trascienda el mero consentimiento individual (Castillo Parrilla et al., 2026, p. 75): Menores de edad: su cerebro posee una plasticidad que los hace sumamente vulnerables a la influencia tecnológica. Preocupa especialmente el uso de «neurojuegos» o neuromarketing que prioriza intereses comerciales sobre el interés superior del menor (Castillo Parrilla et al., 2026, p. 75). Trabajadores: el desequilibrio de poder en la relación laboral vicia la libertad del consentimiento. Las fuentes recuerdan que el RIA prohíbe sistemas de inferencia de emociones en el trabajo, salvo por razones médicas o de seguridad muy específicas y justificadas (Castillo Parrilla et al., 2026, p. 75, 78). Personas mayores con deterioro cognitivo: el consentimiento debe dejar de ser una evaluación binaria («puede o no puede») para ser un proceso continuo y adaptable, proporcionando apoyos humanos y tecnológicos que garanticen una decisión autónoma (Castillo Parrilla et al., 2026, p. 75-76).
7.3. Limitaciones y prohibiciones legales específicas (RIA y RGPD)
El marco normativo impone límites estrictos para evitar tratamientos abusivos. En cuanto a los Límites del RGPD, el principio de minimización es crítico, dada la capacidad de los dispositivos para recoger datos las 24 horas del día (Castillo Parrilla et al., 2026, p. 77). Asimismo, la prohibición general del artículo 9 solo puede levantarse con excepciones muy tasadas, como el consentimiento explícito (Castillo Parrilla et al., 2026, p. 77). En cuanto a las Prohibiciones del RIA, el artículo 5 del RIA prohíbe taxativamente sistemas que utilicen técnicas subliminales para distorsionar el comportamiento, sistemas que exploten vulnerabilidades y sistemas de inferencia emocional en entornos educativos o laborales (Castillo Parrilla et al., 2026, p. 78).
7.4. Interés público, investigación científica y salud pública (REEDS)
El tratamiento de neurodatos tiene un potencial extraordinario para la salud. El Reglamento del Espacio Europeo de Datos de Salud (REEDS), aprobado en 2025, facilita el uso secundario de estos datos con fines de investigación y salud pública (Castillo Parrilla et al., 2026, p. 76). En el ámbito de la investigación científica, aunque el RGPD permite cierta flexibilidad en el consentimiento (rama amplia de investigación), las fuentes recomiendan un control más estricto en el caso de los neurodatos, exigiendo finalidades bien definidas debido a su extrema sensibilidad (Castillo Parrilla et al., 2026, p. 74).
8. Responsabilidad, Supervisión y Transparencia Algorítmica
8.1. Identificación de roles: Responsables, encargados y corresponsabilidad
La determinación de las figuras de responsable y encargado en el ecosistema de los neurodatos reviste una complejidad técnica significativa debido a la pluralidad de actores intervinientes. En este escenario coexisten fabricantes de hardware, desarrolladores de software analítico, proveedores de servicios en la nube, entidades de investigación y empleadores que despliegan estas tecnologías. La correcta calificación de estos roles es imperativa para delimitar las obligaciones jurídicas y asegurar el ejercicio efectivo de los derechos de los interesados. En un contexto globalizado, la aplicación territorial del RGPD se extiende incluso a entidades no establecidas en la Unión Europea si ofrecen bienes o servicios a sujetos en la Unión o controlan su comportamiento dentro de ella. Las fuentes analizan el caso de Emotiv Inc. como ejemplo paradigmático: a pesar de ser una empresa estadounidense, la inclusión de menciones a normativas europeas en sus descargos de responsabilidad y la oferta de productos a consumidores en la UE activan la plena aplicación del RGPD en virtud de su artículo 3.2 (Castillo Parrilla et al., 2026, p. 82-83).
8.2. Responsabilidad civil, administrativa y penal
El marco de responsabilidad se articula en tres planos complementarios. En cuanto a la Responsabilidad Civil, basada en el artículo 82 del RGPD, reconoce el derecho a la indemnización por daños materiales e inmateriales. Las fuentes aclaran que esta responsabilidad tiene una función puramente compensatoria y no punitiva, cubriendo daños morales como el miedo derivado de una mala utilización de los datos (Castillo Parrilla et al., 2026, p. 84). En cuanto a la Responsabilidad Administrativa, las autoridades de protección de datos pueden imponer multas de hasta 20.000.000 de euros o el 4% del volumen de negocio anual. Dada la sensibilidad extrema de la información tratada, se recomienda que las infracciones que involucren neurodatos se sitúen en la franja más alta de las sanciones (Castillo Parrilla et al., 2026, p. 85). Por lo que respecta a la Responsabilidad Penal, se contempla el encuadre de accesos o manipulaciones no autorizadas en delitos contra la intimidad o la integridad, planteándose doctrinalmente la necesidad de crear tipos penales específicos para proteger la integridad neurológica como bien jurídico autónomo (Castillo Parrilla et al., 2026, p. 84).
8.3. Transparencia y explicabilidad: Del caso BOSCO a la supervisión humana
La transparencia exige que los sistemas de IA permitan la trazabilidad y que los usuarios sean conscientes de la interacción algorítmica. Por su parte, la explicabilidad requiere que el funcionamiento del modelo sea inteligible, permitiendo rastrear y cuestionar las predicciones generadas (Castillo Parrilla et al., 2026, p. 88). Un hito fundamental en el ordenamiento español es la sentencia del Tribunal Supremo en el caso BOSCO (2025), que reconoció el derecho de acceso al código fuente de algoritmos que gestionan bienes públicos. Las fuentes sostienen que este principio es aplicable con mayor rigor a los sistemas que procesan neurodatos, ya que la opacidad en este ámbito compromete la intimidad mental y el libre desarrollo de la personalidad (Castillo Parrilla et al., 2026, p. 88-89). Finalmente, la supervisión humana debe ser significativa, no rutinaria, lo que implica que el supervisor tenga competencia real para revertir decisiones automatizadas. No obstante, se advierte de que el propio supervisor humano es vulnerable a sesgos de automatización, anclaje o confirmación. Por ello, las obligaciones de transparencia deben complementarse con formación específica en alfabetización algorítmica y sistemas de alerta que detecten patrones de seguimiento acrítico de las recomendaciones del sistema (Castillo Parrilla et al., 2026, p. 90).
9. Neurodatos en el Ámbito de la Inteligencia Artificial
9.1. Uso de neurodatos en sistemas algorítmicos y perfilado cognitivo
La convergencia entre neurotecnología e inteligencia artificial permite el despliegue de sistemas algorítmicos en múltiples dominios de la vida social, extendiendo su impacto desde la esfera clínica hasta el control conductual (Castillo Parrilla et al., 2026, apartado 7.1). Las fuentes identifican aplicaciones críticas en sectores como la salud (diagnóstico y predicción de afecciones mentales), la educación (optimización del aprendizaje), el marketing (predicción del comportamiento del consumidor) y el ámbito laboral (monitorización del rendimiento) (Castillo Parrilla et al., 2026, p. 87). En estos escenarios, la IA actúa como una herramienta para descubrir patrones y decodificar la actividad cerebral, permitiendo aplicaciones como la «huella cerebral» o sistemas de detección de mentiras, cuya validez científica, no obstante, aún no ha sido plenamente demostrada (Castillo Parrilla et al., 2026, p. 87). El uso de neurodatos en sistemas de decisión automatizada intensifica el riesgo de discriminación algorítmica respecto de cualquier otra categoría de datos personales debido a la profundidad sin precedentes del perfilado que permiten (Castillo Parrilla et al., 2026, apartado 7.3). Mientras que los datos convencionales revelan lo que una persona hace, los neurodatos (tanto biométricos como neuroconductuales) permiten inferir por qué lo hace, anticipando sus acciones e identificando vulnerabilidades emocionales y cognitivas que el propio individuo no puede controlar (Castillo Parrilla et al., 2026, p. 89). Un ejemplo histórico de este riesgo es el uso de modelos de IA basados en la escala OCEAN para generar perfiles psicográficos electorales, explotando sesgos como el de «arrastre» o bandwagon (Castillo Parrilla et al., 2026, p. 66-67). Cuando estos datos alimentan algoritmos, los sesgos de diseño no solo se reproducen, sino que se amplifican al operar sobre una capa de la personalidad que escapa al acceso consciente del sujeto (Castillo Parrilla et al., 2026, p. 89).
9.2. Calidad de los datos y prevención de sesgos (GIGO)
La fiabilidad de las decisiones basadas en neurotecnología depende intrínsecamente de la calidad de la información procesada. Las fuentes subrayan el principio Garbage In, Garbage Out (GIGO): si los datos de entrada en un algoritmo son de mala calidad, los resultados de salida carecerán de validez y rigor técnico (Castillo Parrilla et al., 2026, p. 70). En este contexto, se identifican tres tipos de sesgos que deben prevenirse: estadísticos (desviaciones en el procedimiento analítico o de selección), cognitivos (distorsiones involuntarias en el procesamiento de la información) y sociales (reflejo de las desigualdades existentes en la sociedad) (Castillo Parrilla et al., 2026, apartado 4.5). Para mitigar estos riesgos, el marco normativo impone obligaciones estrictas: el principio de exactitud (art. 5.1.d RGPD) obliga a que los neurodatos sean exactos y estén actualizados, suprimiendo o rectificando sin dilación la información inexacta para evitar que entre «basura» en el sistema (Castillo Parrilla et al., 2026, p. 70-71); y la calidad de los datos (art. 10.3 RIA) exige que los datos de entrenamiento y validación sean pertinentes, representativos y carezcan de errores, poseyendo propiedades estadísticas adecuadas a su finalidad (Castillo Parrilla et al., 2026, p. 71). Finalmente, las fuentes advierten que la supervisión humana significativa es una garantía necesaria pero vulnerable. El decisor humano que supervisa la IA puede ser víctima de sesgos de complacencia o automatización (aceptación acrítica de la máquina), sesgos de anclaje (condicionamiento por la primera información recibida) o sesgos de confirmación (Castillo Parrilla et al., 2026, p. 90). Por ello, se recomienda que el principio de calidad de los datos se interprete bajo el derecho XXVI.1.e de la Carta de Derechos Digitales, garantizando que las decisiones no sean condicionadas por suministros de datos incompletos o sesgados (Castillo Parrilla et al., 2026, p. 71).
10. Conclusiones y Recomendaciones Operativas
10.1. Conclusiones finales sobre el estatuto de los neurodatos
La investigación realizada permite concluir que los neurodatos no pueden ser tratados como información personal convencional. Su naturaleza preconductual e inconsciente exige un cambio de paradigma en la protección de la privacidad (Castillo Parrilla et al., 2026, apartado 8). Se ha demostrado que el tratamiento de esta información afecta no solo a la intimidad, sino a la soberanía cognitiva y al libre desarrollo de la personalidad, derechos que el ordenamiento español sitúa en el núcleo de la dignidad humana (Castillo Parrilla et al., 2026, p. 91-92). Asimismo, existe una tendencia normativa internacional hacia el reconocimiento de los neurodatos como categorías de información altamente sensibles que requieren un marco protector reforzado (Castillo Parrilla et al., 2026, p. 92). La consideración de los neurodatos como res extra commercium se presenta como la solución jurídica más coherente para evitar la mercantilización de la conciencia y proteger a la sociedad de riesgos colectivos como la manipulación algorítmica a escala (Castillo Parrilla et al., 2026, p. 26, 92).
10.2. Recomendaciones para responsables del tratamiento
Los operadores que decidan tratar neurodatos deben extremar las cautelas legales y técnicas (Castillo Parrilla et al., 2026, p. 92-93). En materia de Evaluación de Impacto (EIPD), es obligatorio realizarla antes de iniciar cualquier tratamiento, presumiendo siempre la existencia de un alto riesgo para los derechos y libertades. El Principio de minimización y finalidad exige limitar la recogida estrictamente a lo necesario y establecer protocolos técnicos que impidan la revelación inadvertida de información no deseada, como estados de salud o emociones, durante el procesamiento. El Consentimiento cualificado obliga a informar al usuario de forma explícita sobre si el tratamiento permite acceder a procesos mentales inconscientes y sobre las inferencias que se derivarán de sus datos. Finalmente, en materia de Seguridad avanzada, se recomienda la implementación de protocolos de anonimización adaptados a la singularidad de los patrones cerebrales y la transición hacia la criptografía postcuántica para evitar descifrados futuros.
10.3. Recomendaciones para Delegados de Protección de Datos (DPD)
El DPD debe actuar como garante de la ética algorítmica en la organización (Castillo Parrilla et al., 2026, p. 93-94). En cuanto a la Verificación de la clasificación, debe auditar que la clasificación de los datos (biométricos o neuroconductuales) responda al tipo de tratamiento real y no solo a la naturaleza del dato recabado. En cuanto a la Protección de colectivos vulnerables, debe prestar especial atención a los tratamientos que afecten a menores, trabajadores o personas mayores, asegurando que existan salvaguardas institucionales que complementen el consentimiento individual.
10.4. Recomendaciones para autoridades de supervisión y el legislador
Dada la asimetría técnica, las autoridades deben adoptar una postura de control estricto (Castillo Parrilla et al., 2026, p. 94). En materia de Sanciones disuasorias, las infracciones que involucren neurodatos deben sancionarse en la franja más alta de la horquilla prevista en el artículo 83 del RGPD. Respecto a la Transparencia reforzada, se debe exigir una explicabilidad total de los sistemas que procesen información emocional o cognitiva, garantizando que el usuario comprenda las decisiones adoptadas sobre su base. En cuanto a la Evolución normativa, el legislador debe avanzar hacia un marco normativo que reconozca la singularidad de los neurodatos, ya sea mediante leyes específicas o mediante una interpretación reforzada de las normas vigentes, siguiendo la estela de la Recomendación de la UNESCO.
11. Anexo: Herramientas Prácticas (Listas de verificación)
Para garantizar la aplicación efectiva del marco de protección analizado, las fuentes proporcionan un conjunto de listas de verificación diseñadas para los distintos operadores jurídicos implicados en el tratamiento de neurodatos (Castillo Parrilla et al., 2026, Anexo, p. 95-101). Estas herramientas permiten sistematizar el cumplimiento normativo y mitigar los riesgos identificados.
11.1. Lista de verificación para el Responsable del Tratamiento
El responsable debe asegurar el cumplimiento desde el diseño y por defecto: Identificación y Clasificación: determinar si los datos son neurodatos en sentido estricto o datos neuroconductuales (apartado 2.1). Verificar si constituyen categorías especiales atendiendo no solo al origen, sino a la capacidad inferencial del tratamiento (apartado 2.2). Gestión de Riesgos: realizar obligatoriamente una Evaluación de Impacto (EIPD) antes de iniciar el tratamiento (apartado 5.3.1). Evaluar el riesgo de reidentificación en datos anonimizados dada la singularidad de los patrones cerebrales (apartado 2.3). Principios de Tratamiento: aplicar con rigor la minimización, limitando la recogida a lo estrictamente necesario y estableciendo protocolos para evitar la captura de información no buscada (estados de salud, emociones) (apartado 5.3.1). Transparencia y Consentimiento: garantizar un consentimiento libre, informado, expreso, específico y revocable. Informar explícitamente sobre el acceso a procesos mentales inconscientes y las inferencias resultantes (apartado 5.1). Garantías Contractuales: rechazar cláusulas de licencias irrevocables, el condicionamiento del acceso a los propios datos mediante pagos o la cesión no especificada a terceros (apartado 5.1). Seguridad y Tecnología: implementar protocolos de anonimización dinámicos y considerar la transición a la criptografía postcuántica frente a estrategias de descifrado futuro (apartado 2.3). Asegurar la supervisión humana significativa en sistemas de IA (apartado 7.3).
11.2. Lista de verificación para el Delegado de Protección de Datos (DPD)
El DPD supervisa la integridad del sistema de protección: Auditoría de Clasificación: utilizar el árbol de decisión (Diagrama 2) para verificar que la clasificación responde al tratamiento real (apartado 2). Supervisión de Vulnerabilidades: identificar si se tratan datos de menores, trabajadores o personas mayores, comprobando la existencia de salvaguardias institucionales reforzadas (apartado 5.1.1). Control de Roles y Normativa: identificar a todos los actores en la cadena (fabricantes, proveedores de nube) (apartado 6.1). Verificar el cumplimiento de las prohibiciones del artículo 5 del RIA, especialmente en inferencia emocional (apartado 5.3.2). Calidad y Ética Algorítmica: comprobar la exactitud y calidad de los datos para prevenir sesgos (art. 10.3 RIA) (apartado 4.5).
11.3. Lista de verificación para la Autoridad de Supervisión
Las autoridades deben ejercer un control estricto: Aplicación Territorial: verificar que empresas fuera de la UE cumplen el RGPD si ofrecen servicios en la Unión (art. 3.2 RGPD) (apartado 6.1). Régimen Sancionador: aplicar sanciones en la franja más alta por infracciones con neurodatos dada su sensibilidad (apartado 6.2). Mercantilización: vigilar prácticas basadas en la venta de neurodatos, alineándose con la tesis de los neurodatos como res extra commercium (apartado 1.4).
11.4. Lista de verificación para Investigadores y Comités de Ética
La investigación científica debe ser ejemplar en sus garantías: Especificidad: el consentimiento debe referirse a aplicaciones bien definidas y no a ramas indeterminadas (apartado 5.1.1). Uso Secundario: en caso de uso secundario (REEDS), asegurar que se ha realizado la EIPD y la consulta previa a la autoridad (apartado 5.2). Transferencia de Datos: evaluar el riesgo de reidentificación antes de compartir datos y rechazar cualquier lucro comercial derivado de la investigación (apartados 1.4 y 2.3).
12. Referencias
12.1. Bibliografía
Alarcón Cabrera, C. (1987). Reflexiones sobre la igualdad material. Anuario de filosofía del derecho, (4), 31-42.
Arellano Toledo, W. (2022). Derechos Digitales: especial referencia a los neuroderechos. Derecho digital e innovación, (13).
Bardají Ortiz, S. (2023). La naturaleza jurídica de los neurodatos en las interfaces cerebro-ordenador. Anuario Jurídico Secciones del ICAM 2023, 311-322.
Barocas, S., & Nissenbaum, H. (2014). Big data's end run around anonymity and consent. En J. Lane, V. Stodden, S. Bender, & H. Nissenbaum (Eds.), Privacy, big data and the public good. Framework for engagement (pp. 44-75). Cambridge University Press.
Bastidas Cid, Y. V. (2022). Neurotecnología: Interfaz cerebro-computador y protección de datos cerebrales o neurodatos en el contexto del tratamiento de datos personales en la Unión Europea. Informática y Derecho: Revista Iberoamericana de Derecho informático, (11), 101-175.
Bastidas Cid, Y. V. (2024). Los datos cerebrales o neurodatos como datos de carácter personal en la Unión Europea: Un análisis científico, jurídico y práctico. Informática y Derecho: Revista Iberoamericana de Derecho Informático, 15(2), 19-41.
Bastidas Cid, Y. (2025). La protección de datos cerebrales o neurodatos: análisis jurídico de una nueva categoría especial de datos personales a la luz del Reglamento General de Protección de Datos de la Unión Europea. J. M. Bosch.
Beltrán de Heredia Ruiz, I. (2023). Inteligencia artificial y reconocimiento biométrico de emociones: una valoración a la luz de las enmiendas del Parlamento europeo a la Ley de Inteligencia Artificial. Una Mirada Crítica a las Relaciones Laborales.
Civio. (2025, 17 de septiembre). Civio abre camino en la transparencia algorítmica: el Supremo condena al Gobierno a entregar el código fuente de BOSCO. Civio.
Cornejo Plaza, M. I. (2024). Metaverso y neurodatos en la era de los neuroderechos: desafíos para la justicia predictiva civil. En Sistemas predictivos en la justicia civil (pp. 171-190). Tirant lo Blanch.
Cruz Carrillo, J. P. (2025). Neuro-derechos y su recepción constitucional. ASCE MAGAZINE, 4(4), 388-417.
De Asís, R. (2022). Sobre la propuesta de neuroderechos. Derechos y Libertades, (47, época II), 51-70.
De la Quadra Salcedo y Fernández del Castillo, T. (2023). Derechos y libertades y neurotecnologías convergentes aplicadas a la actividad cerebral. Derecho digital e innovación, (18).
De Montalvo, F. (2025). Los neuroderechos como instrumento de protección del individuo frente a los avances de la neurociencia y neurotecnología cuando más puede ser peor. Revista de Derecho Político, (123), 41-82.
De Nadal, E., Agustinoy, A., & Sala, M. (2025, 3 de noviembre). Caso BOSCO: acceso al código fuente de aplicaciones públicas. Cuatrecasas.
Díaz, V. (2023). Retos sobre el tratamiento de los neurodatos. En Derecho, Ética e Inteligencia Artificial (pp. 101-138). Tirant lo Blanch.
Elizalde Carranza, M. A. (2025). Reflexiones sobre el potencial de protección internacional de los derechos humanos en la era de la neurotecnología. Anales de derecho, (42), 131-179.
12.2. Jurisprudencia
Tribunal Supremo (España), Sala de lo Contencioso-Administrativo. (2025). Sentencia sobre acceso al código fuente del algoritmo BOSCO [caso BOSCO].
12.3. Referencias normativas
Reglamento (CE) nº 765/2008, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos.
Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD).
Reglamento (UE) 2017/745, de 5 de abril de 2017, sobre productos sanitarios.
Reglamento de Ejecución (UE) 2022/2346, de 1 de diciembre de 2022, por el que se establecen especificaciones comunes para productos sin finalidad médica.
Reglamento (UE) 2023/988, de 10 de mayo de 2023, relativo a la seguridad general de los productos.
Reglamento (UE) 2024/1689, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (RIA).
Reglamento (UE) 2025/327, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud (REEDS).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines penales (LOPDP).
Ley 14/2007, de 3 de julio, de Investigación biomédica.
Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación.
Real Decreto Legislativo 1/2007, de 16 de noviembre, Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Real Decreto 53/2023, de 31 de enero, por el que se aprueba el Reglamento del Comité Español de Ética de la Investigación.
Real Decreto 192/2023, de 21 de marzo, por el que se regulan los productos sanitarios.
Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA).
Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas (sandbox) para la IA.
Carta de Derechos Digitales, de 14 de julio de 2021.
Anteproyecto de Ley de Salud Digital de Cantabria (2025).
Francia: Loi n° 2021-1017 du 2 août 2021 relative à la bioéthique.
Argentina: Proyecto de Ley (Exp. 2446/23) y Proyecto de Ley (Exp. 2815-D-2025) (Habeas Cogitationem).
Brasil: Proyecto de Ley n.º 522/2022.
Chile: Proyecto de Ley (Boletín 13.828-19) y Ley n.º 21.383 de reforma constitucional sobre neuroderechos.
Colombia: Proyecto de Ley n.º 395 de 2025.
Costa Rica: Proyecto de Ley de Protección de los Neuroderechos (Exp. 24.419).
Estados Unidos (Colorado): House Bill 24-1058 (2024).
Estados Unidos (California): Senate Bill No. 1223 (2024).
México: Iniciativa con Proyecto de Decreto de Ley General de Neuroderechos y Neurotecnologías (2024).
Artículos relacionados
Directrices 1/2026 CEPD: Investigación científica y RGPD — análisis completo
Análisis doctrinal de las Directrices 1/2026 del CEPD sobre el tratamiento de datos personales con fines de investigación científica: seis factores indicativos, presunción de compatibilidad, consentimiento amplio y salvaguardas del art. 89 RGPD.
Genoma como mercancía: privacidad, propiedad y ADN en procedimiento penal
Análisis comparado Estados Unidos-UE sobre regulación de empresas DTC-GT, genealogía forense, RGPD y responsabilidad civil por filtraciones de datos genéticos tras hackeo de 23andMe.
Neuroderechos en el trabajo: la nueva frontera de la privacidad mental (marzo 2026)
Análisis de la Recomendación de la UNESCO sobre Neurotecnología y su impacto en el Derecho Laboral. El consentimiento, la desconexión neuronal y los límites a la vigilancia cognitiva.
Worldcoin y datos biométricos: AEPD y BayLDA contra el iris digital
La AEPD paralizó Worldcoin en España en 2024 por captar iris a cambio de criptomonedas. Análisis del RGPD, el consentimiento viciado y las órdenes correctivas de la BayLDA.