Ricard Castellet

Els EE.UU endureixen el control digital a turistes: xarxes socials i privacitat en el centre del debat

per

Viatjar als Estats Units podria deixar de ser un tràmit relativament senzill per a milions de persones. L’Administració Trump ha anunciat una proposta que obligaria als viatgers que utilitzin el Visa Waiver Program (VWP) a declarar els identificadors de xarxes socials usats en els últims cinc anys com a part del procés d’autorització de viatge.

La mesura, publicada per la U.S. Customs and Border Protection (CBP), forma part d’una estratègia més àmplia destinada a reforçar el control migratori i «examinar als visitants al màxim nivell possible». Si s’aprova, entraria en vigor el 8 de febrer i afectaria ciutadans de 42 països, principalment europeus, a més d’Austràlia i altres socis tradicionals dels EE.UU

Més dades personals, més preguntes

El canvi no es limita a les xarxes socials. El formulari ESTA passaria a exigir també:

  • Totes les adreces de correu electrònic utilitzades en els últims deu anys.
  • Informació detallada sobre familiars directes (pares, germans, fills i cònjuges), incloent-hi noms, dates i llocs de naixement i domicilis.

Encara que l’avís es troba en fase de consulta pública durant 60 dies, l’abast de la informació sol·licitada ha generat inquietud immediata, tant dins com fora del país.

L’impacte en el turisme i els negocis

Des del sector turístic estatunidenc, les reaccions han estat cauteloses però preocupades. La U.S. Travel Association ha advertit que un procés d’entrada massa intrusiu pot provocar que els viatgers internacionals optin per altres destins.

Aquesta preocupació no és menor si es té en compte el context: els Estats Units serà un dels amfitrions del Mundial de Futbol de 2026, un esdeveniment que s’espera atregui a milions de visitants i contribueixi a revitalitzar el turisme internacional, que ha sofert un descens en els últims anys.

Les crítiques no s’han fet esperar. La senadora demòcrata Patty Murray ha ironitzat i indicat que «seria més fàcil prohibir directament el turisme». Des de l’àmbit acadèmic, alguns analistes han assenyalat que el nivell de control proposat resulta fins i tot més restrictiu que l’aplicat per països amb polítiques frontereres tradicionalment dures.

Aquestes comparacions han alimentat el debat sobre si la mesura és realment eficaç des del punt de vista de la seguretat o si, per contra, suposa un cost reputacional per als EE.UU.

Privacitat digital: el gran debat de fons

Des d’una perspectiva de dret digital, la proposta planteja qüestions clau sobre privacitat i tractament de dades personals. La recopilació massiva d’informació en línia i familiar contrasta amb principis com la minimització i la proporcionalitat, àmpliament consolidats en normatives com el Reglament General de Protecció de Dades (RGPD) a Europa.

Encara que aquestes normes no siguin directament aplicables als EUA, sí que influeixen en la percepció que ciutadans i empreses estrangeres tenen sobre la seguretat i l’ús de les seves dades.

Seguretat, diners i contradiccions

De manera paral·lela, l’Administració ha llançat programes com la denominada «gold card», que permetria obtenir la residència permanent als qui inverteixin un milió de dòlars, o una futura «platinum card» de cinc milions. Una dualitat que reforça la sensació que el control no s’aplica d’igual forma a tots els perfils.

En un món cada vegada més digital, les fronteres ja no sols es controlen amb passaports, sinó també amb dades. I la pregunta clau continua oberta: fins a on estem disposats a arribar en nom de la seguretat?

Com sempre, cuideu les dades i cuideu-vos!

Nano Banana Pro: el nou desafiament per a la identitat digital i la seguretat del futur

per

La irrupció del model Nano Banana Pro de Google, capaç de generar imatges sintètiques de documents d’identitat i rostres amb una precisió sense precedents, ha reobert un debat crític: com protegir la identitat digital en un entorn on la vista humana—i fins i tot uns certs sistemes automatitzats—poden ser enganyats amb una facilitat creixent?

Mentre alguns experts adverteixen que aquesta tecnologia permet fabricar passaports, permisos de conduir o identificacions universitàries falses amb un realisme alarmant, uns altres recorden que els sistemes moderns de verificació no es basen exclusivament en anàlisis visuals. Totes dues perspectives són vàlides i, de fet, subratllen la conclusió més important: el model tradicional d’identificació està sota una tensió sense precedents.

Identitats sintètiques: un risc que ja no és teòric

El gran salt qualitatiu del Nano Banana Pro és la seva capacitat per a replicar patrons visuals amb un nivell de fidelitat que supera el que fa a penes uns mesos semblava plausible. Això suposa un risc real per a processos que continuen secundant-se, parcial o totalment, en proves fotogràfiques o en la correspondència entre «persona en càmera» i «foto en document».

Alguns casos especialment sensibles són:

  • Verificació d’edat mitjançant documents físics o imatges.
  • Monitoratge d’exàmens amb validació puntual d’identitat.
  • Alta d’usuaris en plataformes bancàries o fintech mitjançant una foto del document.
  • Processos de on-boarding en empreses, telemedicina o voluntariat.

El fenomen del face swapping aplicat sobre una identitat verificable amplifica encara més el problema: l’atacant ja no necessita manipular un document, sinó superposar un rostre fals sobre un usuari real durant la verificació.

No tot és apocalipsi: els sistemes seriosos ja no depenen només d’imatges

És cert que els documents actuals—especialment a Europa—incorporen múltiples capes de seguretat físiques i electròniques: hologrames dinàmics, microimpressions, filigranes, MRZ, xips NFC i signatures criptogràfiques. Cap IA pot replicar aquests elements a través d’una simple imatge generada, i els processos robustos d’on-boarding exigeixen lectura de xip, validació criptogràfica i proves de vida avançades.

Dit d’una altra manera: les organitzacions que ja usen mètodes moderns no estan desprotegides, però l’ecosistema global sí que enfronta un repte important, perquè encara hi ha multitud de serveis que es basen en captures de pantalla, fotos o verificacions visuals bàsiques.

Què han de fer les organitzacions ara?

  1. Abandonar la foto com a única prova d’identitat. La imatge és un factor, però ja no pot ser el factor decisiu.
  2. Adoptar models de confiança en capes. Verificació contínua, senyals de comportament, lectura de xip, biometria dinàmica i metadades de procedència.
  3. Tractar la governança de la IA com una àrea operativa. La supervisió passiva no serveix enfront d’amenaces que evolucionen a gran velocitat.
  4. Preparar un pla de resposta per a frau sintètic. Qualsevol institució que gestioni identitats ha d’anticipar escenaris de suplantació avançada.

Conclusió: un avís i un full de ruta

El Nano Banana Pro no destrueix d’un dia per a un altre la identificació digital, però sí que marca un abans i un després. L’autenticitat ja no pot recolzar-se únicament en el visual. La seguretat—en privacitat, identitat i ciberseguretat—dependrà de la nostra capacitat per a evolucionar cap a models on la verificació no sigui un instant, sinó un procés continu i resilient.

Com sempre, cuideu les dades i cuideu-vos!

Arriba el canal europeu de denúncies sobre IA: què suposa per a les empreses i com preparar-se

per

La governança de la intel·ligència artificial a Europa fa un pas decisiu amb el llançament de l’AI Act Whistleblower Tool, el nou canal europeu per a denunciar infraccions relacionades amb l’ús i desenvolupament de sistemes de IA. L’eina, impulsada per l’Oficina Europea d’Intel·ligència Artificial, introdueix una capa addicional de vigilància en un moment clau: el Reglament d’Intel·ligència Artificial (RIA o AI Act) avança cap a la seva plena aplicació, i les empreses tecnològiques hauran de reforçar la seva cultura de compliment normatiu.

Encara que moltes obligacions del RIA encara no són exigibles, Brussel·les vol anticipar-se a possibles incompliments i converteix a empleats, col·laboradors i socis comercials en aliats estratègics per a detectar riscos. Aquest enfocament se suma al marc ja existent a Espanya, compost per l’Autoritat Independent de Protecció de l’Informant (AIPI), l’Agència Espanyola de Supervisió d’Intel·ligència Artificial (AESIA) i els sistemes interns d’informació obligatoris sota la Llei 2/2023.

En què consisteix l’AI Act Whistleblower Tool?

Es tracta d’un canal de denúncia extern, segur, confidencial i totalment independent dels sistemes interns de les companyies. Permet comunicar presumptes infraccions del RIA, tant en obligacions ja actives com en àmbits connexos afectats pel desplegament de IA:

  • Seguretat de productes.
  • Protecció del consumidor.
  • Privacitat i seguretat de les dades.
  • Pràctiques internes que puguin posar en risc drets fonamentals o la confiança pública.

No obstant això, els experts adverteixen que el seu abast encara és limitat: algunes obligacions—com la transparència sobre les dades d’entrenament—no seran exigibles fins a fases posteriors, i la protecció plena dels denunciants no serà aplicable fins al 2 d’agost de 2026.

Un ecosistema de canals que conviurà i se solaparà

El nou canal europeu no substitueix als mecanismes nacionals. Les denúncies podran presentar-se tant per via interna com externa, sense necessitat d’esgotar cap via prèviament. Això obre la porta a investigacions paral·leles i, potencialment, a un solapament de sancions si concorren diferents supervisors.

Davant aquesta falta de claredat pràctica, els especialistes en compliance recomanen reforçar els sistemes interns per a millorar la seva eficàcia i capacitat de resposta. La Llei 2/2023 exigeix que el sistema intern sigui accessible, garanteixi l’anonimat i la confidencialitat, protegeixi enfront de represàlies i compti amb una gestió independent, encara que l’operació pugui externalitzar-se.

A més, les empreses han d’informar no sols del seu canal intern, sinó també dels canals externs disponibles, inclosos els europeus.

Què han de fer ara les tecnològiques?

Amb la posada en marxa del canal europeu, les organitzacions que desenvolupen o integren IA deurien:

  1. Revisar i actualitzar els seus programes de compliance, incorporant obligacions del RIA i protocols específics de IA.
  2. Auditar els seus sistemes interns d’informació per a garantir la seva eficiència, accessibilitat i alineació amb la Llei 2/2023.
  3. Capacitar als equips sobre obligacions de l’AI Act, riscos legals i funcionament dels diferents canals.
  4. Avaluar l’impacte de possibles recerques simultànies i preparar plans de resposta coordinats.

En un entorn regulador cada vegada més complex, la prevenció i la transparència seran claus per a evitar riscos sancionadors i reputacionals. El missatge és clar: l’era de la supervisió reforçada de la IA ja ha començat, i les empreses han d’estar preparades.

Com sempre, cuideu les dades i cuideu-vos!

 

 

Biometria en turbulències: què revela la sanció milionària de l’AEPD a AENA

per

L’Agència Espanyola de Protecció de Dades ha imposat a AENA la multa més elevada de la seva història: 10.043.002 € per la utilització de sistemes de reconeixement facial en diversos aeroports sense haver dut a terme una Avaluació d’Impacte en Protecció de Dades (EIPD) completa i vàlida, conforme a l’exigit per l’article 35 del RGPD. La resolució, extensa i detallada, ofereix una anàlisi exhaustiva de les deficiències detectades en el disseny i la documentació del tractament de dades biomètriques per part de l’entitat.

L’expedient deixa clar que el problema no va ser l’adopció de tecnologia biomètrica com a concepte, sinó com es va dissenyar i es va justificar la seva implantació. L’Agència conclou que AENA no va acreditar adequadament la necessitat, proporcionalitat ni els riscos del sistema, aspectes que constitueixen el nucli d’una EIPD robusta i prèvia.

Un tractament d’alt risc sense una EIPD adequada

Al llarg de la resolució, l’AEPD identifica diverses mancances estructurals en l’avaluació presentada per AENA:

  • Insuficiència en l’anàlisi de necessitat i proporcionalitat. Les EIPD no demostraven per què era imprescindible recórrer a un sistema d’identificació 1:N, basat en comparació contra bases de dades centralitzades, quan existien mètodes menys invasius que podien complir la mateixa finalitat operativa.
  • Anàlisi de riscos incomplet i desalineat amb el projecte inicial. La documentació aportada no incloïa l’anàlisi de riscos original de 2021; en el seu lloc, es va presentar un elaborat en 2023, desconnectat del disseny previ i, per tant, incapaç de justificar el tractament des de la seva concepció.
  • Metodologia inadequada per a un projecte d’alta complexitat. L’Agència subratlla que es van utilitzar eines orientades a organitzacions més petites, no adequades per a un sistema implantat en diversos aeroports i que tractava dades de categoria especial.
  • Falta de coherència entre els advertiments rebuts i la continuïtat del projecte. AENA havia plantejat consultes prèvies en les quals reconeixia dificultats per a reduir el risc a nivells acceptables, però, tot i així, va avançar cap a fases pilot i operatives sense disposar d’una EIPD completa.

Un matís important: l’AEPD no rebutja la biometria en aeroports

Encara que la sanció sigui contundent, l’Agència no qüestiona que la biometria pugui utilitzar-se legítimament en aeroports. De fet, la pròpia resolució al·ludeix al Dictamen 11/2024 del Comitè Europeu de Protecció de Dades, que descriu models d’ús compatibles amb el RGPD.

La clau està en el disseny. Existeixen escenaris en els quals la tecnologia biomètrica es basa en:

  • Plantilles emmagatzemades únicament en el dispositiu del passatger.
  • Comparacions 1:1 locals i efímeres.
  • Absència d’emmagatzematge centralitzat per part de l’operador.

Aquest tipus de solucions, menys intrusives i més contingudes, podrien superar el judici de necessitat i proporcionalitat que exigeix el RGPD i que l’AEPD ha trobat a faltar en el cas d’AENA.

Conclusió: un avís i un full de ruta

La sanció no tanca la porta a la biometria, però sí que marca un estàndard clar: qualsevol tractament d’aquest tipus exigeix justificació sòlida, metodologia adequada i una EIPD exhaustiva, prèvia i ben fonamentada. La innovació i l’eficiència operativa són compatibles amb la protecció de dades, sempre que s’integrin des del disseny les garanties necessàries.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Reglament Òmnibus Digital: simplificació o gir de rumb en la regulació europea?

per

La Comissió Europea ha presentat l’esperada Proposta de Reglament Òmnibus Digital, un paquet ambiciós que pretén harmonitzar, actualitzar i «desburocratitzar» diversos pilars de l’ecosistema normatiu europeu: protecció de dades, intel·ligència artificial, ciberseguretat, cookies i accés a dades. El seu objectiu declarat és clar: facilitar la innovació, reduir càrregues a les empreses i garantir coherència entre normes. Però… estem davant una modernització necessària o una revisió que pot alterar equilibris fonamentals?

Un RGPD més flexible, però també més permeable

Un dels punts més destacables és la reobertura del RGPD, alguna cosa que fa a penes uns anys semblava impensable. La proposta introdueix canvis que, si bé busquen claredat jurídica, poden tenir efectes profunds:

  • Nova definició de dades personals, que incorpora doctrina del TJUE: si la reidentificació no és raonablement possible per a qui tracta les dades, deixa de considerar-se dada personal.
  • Noves excepcions de l’article 9.2, que permeten tractar dades biomètriques per a verificació quan estiguin sota control de l’interessat, o per al desenvolupament i funcionament de models de IA.
  • Interès legítim per a IA, tret que el dret nacional exigeixi consentiment.
  • Deure d’informació més lax, que permet ometre informació «si ja es presumeix coneguda per l’interessat».
  • Bretxes de seguretat: notificació solament quan existeixi «alt risc» i ampliació a 96 hores.

La lectura optimista parla de reducció de càrregues i major claredat. La lectura crítica, no obstant això, alerta d’un risc d’erosió progressiva de la protecció: dades inferides menys protegides, major marge per a entrenar sistemes de IA, i opacitat reforçada per noves excepcions informatives.

Ciberseguretat i notificacions: un únic punt d’accés

En l’àmbit de la ciberseguretat, la proposta crea un punt únic de notificació d’incidents, simplificant un dels processos més fragmentats del marc NIS2. Aquesta mesura pot aportar eficiència real per a empreses multinacionals i sectors amb múltiples obligacions reguladores.

Cookies i ePrivacy: cap a menys bàners (i més canvis estructurals)

L’Òmnibus introdueix modificacions rellevants sobre cookies i ePrivacy:

  • Reducció de bàners mitjançant preferències centralitzades en navegador o sistema operatiu.
  • Nou article 88 a) sobre consentiment per a accés/emmagatzematge en terminals.
  • Un 88 b) que fixa el respecte obligatori de senyals automatitzats de preferències.

Encara que el discurs oficial parla de «millorar l’experiència de l’usuari», alguns experts alerten que l’efecte combinat podria debilitar el marc ePrivacy en integrar-lo parcialment en el RGPD modificat.

IA i accés a dades: alineació amb la Llei de IA

El paquet vincula l’aplicació de normes de IA d’alt risc a la disponibilitat d’eines de suport (estàndards, guies, metodologies) i també impulsa l’accés a dades com a motor d’innovació, buscant coherència amb la Data Act i l’Estratègia Europea de Dades.

Què ve ara?

La Comissió ha obert la segona fase del procés, amb una Avaluació d’Aptitud Digital (Fitness Check) fins a març de 2026. Serà un moment clau: les empreses, administracions i societat civil hauran de posicionar-se sobre si l’Òmnibus representa una simplificació necessària o una reforma que modifica l’essència del RGPD i ePrivacy.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la Proposta, feu clic aquí.

Shadow AI: quan la innovació es converteix en vulnerabilitat legal

per

La intel·ligència artificial va arribar per quedar-se, però la seva adopció descontrolada pot convertir-se en el major risc legal i reputacional de la teva organització. La coneguda com Shadow AI —l’ús no autoritzat d’eines d’intel·ligència artificial per part d’empleats sense supervisió del departament de TI o compliance— està exposant a milers d’empreses a multes milionàries, filtracions de dades confidencials i greus incompliments normatius.

Les dades són alarmants: una recerca recent de Microsoft revela que el 71% dels empleats al Regne Unit han utilitzat eines d’IA no aprovades en el treball, i el 51% continua fent-ho setmanalment. A Espanya, el 67% de les organitzacions se senten incapaces de detectar implementacions d’IA no controlades, i més del 80% de les companyies espanyoles han sofert incidents de seguretat relacionats amb l’IA. El problema no és menor: un de cada cinc incidents de Shadow AI implica dades sensibles, i només el 32% dels treballadors expressen preocupació per la privacitat de les dades corporatives o de clients introduïdes en eines d’IA de consum.

El veritable risc: vulnerabilitats legals i operatives

Quan un empleat introdueix dades corporatives, informació de clients o estratègies empresarials en eines públiques com ChatGPT, Claude o Gemini sense autorització, genera múltiples vulnerabilitats simultàniament. Els treballadors recurren a aquestes eines per redactar comunicacions laborals (49%), elaborar informes i presentacions (40%) i fins i tot realitzar tasques financeres (22%), però amb una preocupant falta de consciència sobre els riscos: només el 29% es preocupa per la seguretat dels sistemes de TI de la seva organització.

La fuga d’informació confidencial és immediata: les eines d’IA generativa emmagatzemen i reutilitzen la informació introduïda en els seus prompts. Noms de clients, informació de projectes estratègics i codi font propietari són filtrats sense control. Simultàniament, s’incompleixen obligacions del Reglament General de Protecció de Dades (RGPD), que exigeix consentiment explícit, minimització de dades i transparència en el tractament d’informació personal. Les multes poden assolir 20 milions d’euros o el 4% de la facturació global.

El Reglament d’Intel·ligència Artificial (AI Act), les primeres obligacions del qual van entrar en vigor el 2 d’agost de 2025, estableix sancions encara més severes: fins a 35 milions d’euros o el 7% del volum de negoci global. Les organitzacions han de garantir traçabilitat, transparència i supervisió humana en els sistemes d’IA, cosa impossible quan s’utilitzen eines no autoritzades.​

Mesures essencials per a empreses

Prohibir l’ús d’IA no és viable: el 41% dels empleats utilitza aquestes eines perquè hi estan acostumats en la seva vida personal, i el 28% perquè la seva empresa no proporciona una alternativa aprovada. L’estratègia correcta passa per gestionar la Shadow AI mitjançant un marc de governança clar, transparent i auditable.

Realitzar una auditoria interna d’IA: Identificar totes les eines d’IA utilitzades a l’organització, tant autoritzades com no controlades.

Implementar una Política d’Ús Responsable d’IA: Document que estableixi regles, principis i procediments sobre usos permesos, procediments d’aprovació, obligacions de confidencialitat i mesures de seguretat.

Establir controls tècnics de prevenció: Solucions de Prevenció de Pèrdua de Dades (DLP) per examinar informació sensible enviada a plataformes d’IA.

Formar i conscienciar la plantilla: El 87% dels empleats no comprèn els riscos reals de l’ús inadequat d’IA. La formació ha de ser específica per perfil professional.

Designar responsables de governança: Crear un Comitè d’IA amb representació d’àrees clau que supervisi implementació, avaluï noves eines i gestioni incidents.

Conclusió

En un context normatiu cada vegada més exigent, amb el RGPD plenament consolidat, l’AI Act en fase d’implementació i l’AEPD exercint competències sancionadores, les organitzacions no es poden permetre ignorar la Shadow AI.
Com adverteix Darren Hardman, CEO de Microsoft UK & Ireland: “Només l’IA de nivell empresarial ofereix la funcionalitat que els empleats desitgen, envoltada en la privacitat i seguretat que tota organització exigeix”.
La clau està en governar: establir marcs clars, formar equips i implementar controls tècnics. Només així la innovació es converteix en avantatge competitiu sostenible i responsable.

Com sempre, cuideu les dades i cuideu-vos!

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l’entorn laboral. En un context marcat per la cautela de l’Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l’empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l’hospital

El conflicte enfrontava al comitè d’empresa i a la Confederació Intersindical Galega enfront de l’Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l’ús obligatori d’un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l’article 34.9 de l’Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l’excepció de l’article 9.2.i) del RGPD, relativa al tractament necessari per raons d’interès públic en l’àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l’hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d’accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l’absència d’una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l’AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d’ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l’empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d’interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

XXV Congrés ASNALA a Sevilla: passió laboralista i compromís digital

per

El XXV Congrés d’ASNALA, celebrat a Sevilla sota el lema Laborium 2025, ha estat molt més que un punt de trobada: una demostració del vigor i la comunitat que defineixen el Dret Laboral a Espanya. Durant tres dies, la capital andalusa va reunir centenars de professionals de l’àmbit jurídic-laboral, convertits en protagonistes d’un esdeveniment que va combinar coneixement, innovació i bones relacions.

Tecnolawyer va tenir el privilegi de participar com a patrocinador d’aquesta edició especial, reafirmant el nostre compromís amb l’impuls del Dret Digital Laboral. En el nostre estand presentem dues eines especialment pensades per als laboralistes que volen anticipar-se als reptes tecnològics que ja estan transformant la seva pràctica: l ‘Índex Digital Laboral, que permet conèixer el nivell de maduresa digital de cada professional i comparar-lo de forma anònima amb el dels seus col·legues, i la Guia ràpida “IA: què ha de saber un advocat laboralista avui”, un material de consulta àgil que resumeix els aspectes clau de l’ús responsable i ètic de la intel·ligència artificial en l’àmbit laboral.

El congrés va ser també una oportunitat única per escoltar i comprendre les inquietuds del sector. Molts assistents van compartir les seves experiències al voltant de dues qüestions que van centrar bona part del debat: la irrupció de la IA en els recursos humans —amb el seu potencial, però també amb els seus dilemes jurídics— i la implantació efectiva i demostrable de la Desconnexió Digital a les empreses, un dret que segueix evolucionant en paral·lel a la digitalització del treball. Aquestes converses van confirmar la necessitat d’acompanyar les pimes i els despatxos en l’adopció de bones pràctiques digitals, un objectiu central en la nostra tasca diària.

L’equip d’ASNALA, encapçalat per Ana Gómez, presidenta, i Paloma Ausín, gerent, va oferir una organització impecable que va combinar el rigor professional amb una hospitalitat exemplar. L’agenda de Laborium 2025 no només va brillar per la qualitat de les seves ponències i taules rodones, sinó també per la seva cuidada vessant social: la visita guiada als Reals Alcázares i  el Sopar de Gala van ser moments memorables que van segellar la complicitat entre col·legues de tot Espanya.

Des de Tecnolawyer, tornem de Sevilla amb la satisfacció d’haver compartit coneixement, generat converses valuoses i reforçat vincles amb una comunitat professional apassionada i en plena transformació digital. Aquest Congrés ha deixat clar que el futur del Dret Laboral serà, necessàriament, també digital. I aquí estarem, acompanyant els laboralistes amb solucions jurídic-tecnològiques que els ajudin a liderar aquest canvi.

 

L'equip de Tecnolawyer en el photocall del Sopar de Gala del Congrés d'ASNALA 2025.
L’equip de Tecnolawyer, desplaçat al Congrés, en el photocall del Sopar de Gala del Congrés d’ASNALA 2025.

Un simple clic, un gran problema: l’error humà darrere de la fallada de la CNMC

per

El 29 d’octubre, la Comissió Nacional dels Mercats i la Competència (CNMC) va protagonitzar un incident que ha generat una àmplia polèmica entorn de la protecció de dades personals i la responsabilitat institucional. L’error, aparentment simple, va consistir a enviar un correu electrònic a 378 influencers espanyols, coneguts oficialment com a Usuaris d’Especial Rellevància (UER), sense utilitzar la còpia oculta (CCO), exposant així les adreces de correu electrònic de tots els destinataris.

Entre els afectats es trobaven figures públiques com Risto Mejide o Ibai Llanos, els qui ràpidament van donar visibilitat al succés en xarxes socials. Més enllà del renou mediàtic, l’incident planteja serioses implicacions legals i ètiques sobre la privacitat i el compliment del Reglament General de Protecció de Dades (RGPD) i la Llei orgànica 3/2018, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD).

La importància de la privacitat de les dades

Segons l’article 32 del RGPD, els responsables del tractament han de garantir la seguretat de les dades personals mitjançant mesures tècniques i organitzatives adequades. Enviar un correu massiu amb còpia visible a tots els destinataris és, sens dubte, una vulneració d’aquest principi, ja que permet la divulgació no autoritzada d’informació personal. Encara que l’error hagi estat humà, el RGPD deixa clar que les organitzacions—siguin públiques o privades—han d’adoptar procediments que minimitzin el risc d’aquestes fallades.

Aquest cas posa de manifest que els organismes públics estan subjectes a les mateixes obligacions que les empreses privades. La CNMC, com a autoritat administrativa independent, actua com a responsable del tractament de les dades dels influencers inscrits en el seu registre. Per tant, té l’obligació de protegir aquestes dades, garantir la seva confidencialitat i aplicar protocols de seguretat que evitin incidents com aquest.

No es tracta només d’una qüestió tècnica, sinó també de cultura de protecció de dades. Els errors humans—com confondre «CC» amb «CCO»—poden tenir conseqüències greus si no existeixen controls interns o sistemes automàtics que detectin aquest tipus de riscos abans que ocorri l’enviament.

A més, l’incident podria donar lloc a una investigació per part de l’Agència Espanyola de Protecció de Dades (AEPD), que ja ha sancionat casos similars en els quals es van difondre adreces de correu electrònic sense consentiment.

Conclusió

Aquest succés ha de servir com a recordatori i advertiment: la protecció de dades no és una formalitat, sinó una responsabilitat compartida. Tant les empreses com les institucions públiques han de revisar els seus procediments interns, formar al seu personal i adoptar mesures tecnològiques que evitin que un simple clic acabi comprometent la privacitat de centenars de persones.

Perquè, en matèria de dades personals, un petit error humà pot convertir-se en una gran fallada institucional.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web