Derecho digital

EU Data Act: Estem preparats per a la nova era de les dades?

per

12 de setembre de 2025

Des d’avui s’aplica l’EU Data Act, una normativa que canvia les regles del joc en l’accés i ús de les dades generades per dispositius connectats. Però, què implica exactament i com afectarà empreses i usuaris?

Què és l’EU Data Act?

És una llei de la Unió Europea que atorga als usuaris —ja siguin consumidors o empreses— el dret d’accedir i compartir les dades generades pels seus dispositius connectats (IoT – termostats intel·ligents o vehicles connectats –) de manera estructurada, en temps real i en formats llegibles per màquina.

Per què és tan important aquesta data?

Perquè a partir del 12 de setembre de 2025, els fabricants han de garantir que aquestes dades no quedin sota el seu control exclusiu. Els usuaris tindran llibertat per reutilitzar-les o compartir-les amb tercers, fomentant la innovació i la competència lleial al mercat digital europeu.

Quins beneficis aporta als usuaris?

  • Transparència total: accés immediat a la informació generada pels seus dispositius.
  • Innovació oberta: possibilitat que noves empreses desenvolupin serveis basats en aquestes dades.
  • Major control: els usuaris ja no dependran del fabricant per aprofitar la seva informació.

I què implica per a les empreses?

Aquí arriben els reptes:

  • Adaptació tecnològica: sistemes preparats per exportar dades de manera segura i estandarditzada.
  • Desenvolupament  de clàusules contractuals justes.
  • Compliment legal: alineació amb el RGPD i amb la ciberseguretat.
  • Costos i processos: inversió en infraestructura i formació per adequar-se a la norma.
  • Penalitzacions per incompliments

Estem davant d’un canvi cultural?

Sí. La propietat i el control de les dades ja no resideix només en els fabricants. Europa aposta per una economia digital més oberta, transparent i centrada en l’usuari, on compartir dades no sigui una excepció, sinó una pràctica habitual i segura.

Conclusió

L’EU Data Act és molt més que una norma tècnica: és un pas ferm cap a un mercat digital europeu més competitiu i equilibrat. La pregunta ara és: convertiran les empreses aquesta obligació en una oportunitat real?

Avalua el teu compliment avui per convertir els reptes en avantatges competitives.

Com sempre, cuideu les dades i cuideu-vos!

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l’incompliment empresarial en matèria de desconnexió digital posa l’accent en la necessitat urgent que les companyies passin de les bones intencions a l’acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de “complir i poder demostrar-ho” marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l’entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l’obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L’increment de controls el 2025 ha fet aflorar pràctiques com l’enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l’absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s’ha d’adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L’ experiència europea ho confirma: la desconnexió s’ integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l’ ús de dispositius i canals fora d’ horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només “de cara a la galeria” han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l’estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l’Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n’hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d’ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

Dinamarca fa un pas valent contra els deepfakes: l’era del copyright personal ha començat?

per

En un context internacional marcat per l’auge de les tecnologies d’intel·ligència artificial generativa i la proliferació de continguts manipulats—especialment els coneguts deepfakes—, Dinamarca ha sorprès el món amb una proposta legislativa pionera: reconèixer a cada persona drets d’autor sobre la seva imatge, veu i cos. Aquest enfocament, profundament innovador, cerca dotar als ciutadans d’eines legals més efectives per a frenar l’ús no autoritzat de les seves característiques personals en entorns digitals, especialment davant l’amenaça que representa la IA generativa. 

En què consisteix aquesta proposta de llei? 

Dinamarca està disposada a modificar la seva legislació en matèria de drets d’autor per a permetre que qualsevol individu pugui reclamar la titularitat sobre l’explotació no autoritzada de la seva imatge, veu o, fins i tot, moviments corporals generats artificialment. 

La iniciativa sorgeix com a resposta a la creixent difusió de vídeos falsos creats mitjançant IA, alguns d’ells extremadament realistes, que suplanten rostres, veus i gestos de persones reals —famoses o no— sense el seu consentiment. La normativa danesa, encara en fase de desenvolupament, podria constituir una base legal sòlida per a exigir la retirada de continguts deepfake, sol·licitar indemnitzacions per danys morals o patrimonials i, en alguns casos, emprendre accions penals. 

Per què és revolucionària? 

Tradicionalment, els sistemes jurídics occidentals no han reconegut drets d’autor sobre l’aparença o la veu d’una persona, atès que el copyright està reservat a «obres» amb originalitat i autoria. Les persones físiques disposen de mecanismes com el dret a la pròpia imatge o a l’honor, però aquests drets no tenen la mateixa força automàtica ni vocació preventiva que el copyright. 

Dinamarca proposa fusionar l’enfocament dels drets de la personalitat amb la lògica del dret d’autor i, així, permetre que un individu pugui actuar com si fos titular d’una obra quan s’explota la seva identitat digital. Això obriria la porta a mecanismes de takedown similars als que ja existeixen en plataformes com YouTube per a protegir obres musicals o audiovisuals. 

Què passa en altres països? 

  • Als Estats Units, alguns estats com Califòrnia o Illinois han aprovat lleis específiques per a protegir la «veu» o l’«aspecte» de les persones, però des de l’òptica del dret civil i no del copyright. 
  • A la Unió Europea, els drets a la imatge i a la protecció de dades (com l’article 8 de la Carta de Drets Fonamentals de la UE) ofereixen una certa cobertura, però no atorguen un control automàtic ni un dret d’explotació patrimonial. 
  • A Espanya, el dret a la pròpia imatge (LO 1/1982, de 5 de maig) i la protecció de dades (RGPD i LOPDGDD) són les eines disponibles, però no permeten reclamar una «autoria» sobre la nostra veu o cos. Seria necessària una reforma legal de gran importància per a incorporar aquesta perspectiva. 

Un camí cap a la sobirania digital individual? 

La proposta danesa obre un nou paradigma jurídic, que reconeix que a l’era digital l’individu no solament necessita protegir la seva intimitat, sinó també exercir control econòmic i moral sobre la seva identitat digital. Si prospera, podria marcar l’inici d’un nou enfocament europeu per a enfrontar els reptes que planteja la IA generativa, els deepfakes i la manipulació de continguts. 

El debat està servit: hauríem de tenir copyright sobre nosaltres mateixos? 

Com sempre, cuideu les dades i cuideu-vos! 

 Per llegir la notícia, fes clic aquí. 

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

E-mails en periode de baixa: ¿intrusió digital o comunicació innòcua?

per

Què és el dret a la desconnexió digital?

Aquest dret està reconegut en l’article 88 de la nostra Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garanties dels Drets Digitals (LOPDGDD) i es disposa com un requisit indispensable en una relació laboral per respectar el temps de descans, permisos i vacances, així com de la intimitat personal i familiar dels empleats.

Amb la incorporació del teletreball i les noves tecnologies, que no són més que eines que faciliten la comunicació a distància, els límits de la comunicació en l’àmbit laboral es tornen més difusos. Tanmateix, és important respectar l’ horari laboral dels empleats i vetllar pel dret a la desconnexió digital.

Comentari de la STSJ de Madrid 534/2024, del 26 de juny de 2024

El passat 26 de juny, el Tribunal Superior de Justícia de Madrid va dictaminar que l’enviament de correus electrònics corporatius a una persona en situació d’incapacitat temporal no vulnera el dret a la desconnexió digital.

En aquest supòsit, el centre educatiu en el qual l’ empleada estava de baixa li va enviar correus electrònics durant el seu període d’ incapacitat temporal. Aquest fet planteja qüestions sobre el dret a la desconnexió digital dels treballadors, especialment durant períodes de baixa mèdica.

Cal destacar que la demandant va comunicar en reiterades ocasions que no contactessin amb ella i que, arran d’aquest fet, es van deixar d’enviar comunicacions. Per tant, el centre educatiu va respectar la sol·licitud de la treballadora de no ser contactada, en alineació amb el dret a la desconnexió digital.

En el seu recurs, la demandant va al·legar la vulneració de diversos articles relacionats amb la protecció de dades i el dret al descans, incloent-hi l’article 88 de la LOPDGDD i l ‘article 18 de la Constitució Espanyola. Va argumentar que l’enviament d’emails durant la seva incapacitat temporal entorpia la seva recuperació i constituïa una intromissió en els seus drets.

La part demandada va al·legar que els correus electrònics van ser enviats  al compte corporatiu de la demandant com a membre de l’equip docent i que, a més, van ser enviats de manera automàtica en formar part del llistat de treballadors del centre, per la qual cosa la treballadora no tenia obligació d’obrir o llegir aquests correus durant el seu període d’incapacitat temporal.

A més, s’esmenta que, després de la sol·licitud de la demandant al juny de 2023, el seu compte va ser retirat dels grups de treball. Això indica una resposta positiva a la petició de desconnexió per part del centre educatiu.

Conclusió

La sentència distingeix entre els correus enviats des del compte del centre i els enviats per un individu des del seu compte personal. Això planteja qüestions sobre la responsabilitat institucional davant les accions individuals en matèria de desconnexió digital.

Aquest cas il·lustra la complexitat d’equilibrar la comunicació laboral amb el dret al descans i la desconnexió, especialment durant períodes d’incapacitat temporal. La sentència suggereix que, si bé inicialment hi va haver comunicacions no desitjades, el centre educatiu finalment va respectar la sol·licitud de desconnexió de la treballadora, per la qual cosa no hi va haver cap vulneració.

Podeu llegir la sentència aquí

Com sempre, cuideu les dades i cuideu-vos!

Entre likes i difamacions: El delicat equilibri de l’honor en l’era digital

per

Les xarxes socials han esdevingut un fòrum públic amb gran presència en la nostra societat, en el qual freqüentment es produeixen intromissions que poden vulnerar el dret a l’ honor d’ individus i organitzacions. Aquest escenari planteja un desafiament legal i ètic en l’era digital, en què l’equilibri entre la llibertat d’expressió i la protecció de la reputació es torna cada vegada més complex.

El dret a l’honor està protegit a Espanya per la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge. Aquesta llei defineix la intromissió il·legítima com aquella que afecta la reputació, fama o estimació social d’una persona, considerant la gravetat del dany produït i la difusió o potencial audiència del mitjà emprat.

En el context de les xarxes socials, la vulneració del dret a l’ honor pot ocórrer a través de publicacions difamatòries. No obstant això, no qualsevol contingut és considerat una vulneració; ha de tenir un impacte quantificable en termes de visualitzacions, «m’agrada» o compartits.

La jurisprudència ha establert criteris per avaluar aquestes situacions. El Tribunal Suprem, en la seva Sentència nº 476/2018, de 20 de juliol, va ponderar el dret a la llibertat d’expressió davant el dret a l’honor. La sentència va establir la inexistència d’intromissió il·legítima en el dret a l’honor quan es tracta d‘opinions i comentaris sarcàstics sobre fets veraços que presenten un cert interès general, sempre que no s’emprin expressions insultants o vexatòries.

No obstant això, la mateixa sentència va reconèixer que pot existir una intromissió il·legítima en el dret a la intimitat quan es difon informació sobre situacions personals, com una baixa laboral, especialment si aquesta informació s’obté a través de l’activitat professional.

És important destacar que el Tribunal Suprem ha descartat l’admissió del «dret a l’insult», excloent les expressions vexatòries i les crítiques excessivament ofensives. Això estableix un límit clar a la llibertat d’expressió a les xarxes socials.

D’altra banda, la Sentència nº747/2022, del 3 de novembre de 2022, va subratllar que les expressions han de ser valorades en el seu context, no de forma aïllada. Si bé aquest criteri contradiu les resolucions d’instàncies inferiors, el Tribunal Suprem va concloure que hi ha situacions en què, una vegada analitzades en la seva totalitat, no s’aprecia intromissió il·legítima a l’honor realment.

En el cas de les persones jurídiques, també es reconeix el seu dret a l’ honor en l’ ordenament jurídic espanyol. La via civil es considera la més efectiva per a la seva protecció, ja que el dret penal en aquest àmbit s’ aplica com a última ràtio.

Així mateix, la responsabilitat de les plataformes de xarxes socials en la protecció del dret a l’ honor és un tema de creixent importància. La Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI) i la Llei de Serveis Digitals de la Unió Europea (DSA) aborden la responsabilitat dels intermediaris en aquests casos.

En conclusió, la protecció del dret a l’ honor a les xarxes socials requereix una acurada ponderació entre la llibertat d’ expressió i el dret a la reputació. Els tribunals han establert criteris per avaluar cada cas, considerant factors com la veracitat de la informació, l’ interès públic i l’ absència d’ expressions insultants.

Tant individus com organitzacions han de ser conscients d’ aquests límits en expressar-se a les xarxes socials, mentre que les plataformes tenen una creixent responsabilitat en la moderació de continguts potencialment difamatoris.

Com sempre, cuideu les dades i cuideu-vos!

Màrqueting conversacional i chatbots impulsats per IA (aspectes legals)

per
Chatbot IA

El màrqueting conversacional, que inclou l’ús de chatbots impulsats per intel·ligència artificial (IA), està revolucionant la forma en què les empreses interactuen amb els seus clients. Tanmateix, aquest enfocament també planteja diversos desafiaments legals que han de ser abordats per assegurar el compliment de la normativa i la protecció dels drets dels consumidors.

Transparència i consentiment

Identificació de l’emissor

És fonamental identificar clarament l’ emissor del missatge o contingut. Les comunicacions comercials han de revelar qui és el remitent, està prohibit ocultar-ho.

Consentiment previ

Abans d’ enviar missatges promocionals, cal obtenir el consentiment previ i explícit dels usuaris. Això inclou demanar autorització formal i demostrar-la, així com evitar l’enviament de spam a usuaris que no han sol·licitat la informació.

Informació sobre la Naturalesa dels Chatbots

El Reglament d’IA a la UE exigeix que s’informi adequadament els usuaris quan interactuen amb un chatbot i no amb un ésser humà. S’ha de ser transparent sobre el fet que estan interactuant amb una màquina; d’aquesta manera, els permet prendre decisions informades.

Protecció de dades i privacitat

El tractament de dades personals recopilades a través de chatbots està subjecte al Reglament General de Protecció de Dades (RGPD). Les empreses, doncs, s’han d’ assegurar d’ obtenir el consentiment explícit, implementar mesures de seguretat robustes i respectar els drets dels usuaris, com ara l‘accés, rectificació, supressió i portabilitat de les seves dades.

Així mateix, la recopilació i ús de dades personals per part dels chatbots impulsats per IA han de ser responsables i respectuosos amb la privacitat. Per això, les empreses han d’ avaluar l’ impacte en la protecció de dades abans d’ implementar qualsevol sistema d’ IA i garantir que es compleixin les obligacions de transparència i seguretat.

Normativa de consumidors i usuaris

D’ altra banda, les empreses que utilitzen chatbots han de complir amb la normativa comercial i de protecció del consumidor. Això inclou proporcionar informació clara i precisa sobre els productes i serveis, així com garantir que els usuaris no siguin enganyats per respostes generades per la IA.

A més, s’han de preveure i comunicar les limitacions dels chatbots i les circumstàncies en què es recomana cercar assessorament addicional. Per exemple, si un chatbot no pot resoldre una consulta complexa, ha de dirigir l’usuari a un assessor humà.

Conclusió

El màrqueting conversacional i l’ús de chatbots impulsats per IA ofereixen grans beneficis en termes d’interacció personalitzada i en temps real amb els clients. Tanmateix, és cabdal abordar els aspectes legals associats amb aquestes tecnologies per assegurar el compliment de les normatives i la protecció dels drets dels consumidors. La transparència, el consentiment previ, la protecció de dades i l’ emplenament de la normativa comercial i de consumidors són fonamentals. A més, la regulació de la IA i les obligacions específiques per a les aplicacions d’ alt risc han de ser acuradament considerades. En implementar aquestes mesures, les empreses poden aprofitar els beneficis del màrqueting conversacional i la IA mentre mantenen una pràctica responsable i respectuosa amb els drets dels usuaris.

Com sempre, cuideu les dades i cuideu-vos!

No et quedis enrere!

Converteix la IA en la teva avantatge de Recursos Humans

Accedeix a continguts exclusius sobre Dret Digital Laboral i Intel·ligència Artificial a RRHH: alertes crítiques, guies pràctiques, checklists i més, que la teva empresa necessita avui per protegir-se i créixer.

Revisió Texts legals web