Derecho digital

Albània aposta per una ministra artificial: entre la innovació i el risc

per

Albània ha fet un pas històric —i polèmic—: s’ha convertit en el primer país del món a nomenar una intel·ligència artificial com a ministra. El seu nom és Diella, inspirat en la paraula «diell» (sol, en albanès), com a símbol de transparència.

La nova «ministra» s’encarregarà d’avaluar licitacions públiques, detectar irregularitats i assistir en tràmits electrònics. La seva creació respon a un objectiu polític molt concret: convèncer a Brussel·les de la voluntat d’Albània de lluitar contra la corrupció de cara a la seva adhesió a la Unió Europea en 2030.

La posada en escena no ha pogut ser més simbòlica: en les presentacions oficials, la Diella apareix com una jove somrient, amb vestit típic albanès, saludant des de la pantalla. No obstant això, després del gest de modernitat, sorgeixen moltes incògnites.

Llums i ombres de la iniciativa

El govern albanès pretén mostrar un compromís amb la transparència en un país marcat per sospites de corrupció, favoritisme i blanqueig de capitals en les adjudicacions públiques. Però el moviment desperta més dubtes que certeses.

Delegar un càrrec ministerial en una IA podria ser problemàtic per diversos motius:

  • No s’ha aclarit si hi haurà algun tipus de supervisió humana sobre les decisions de la Diella.
  • No han informat sobre quin ha estat l’algorisme utilitzat, les dades d’entrenament i els mecanismes de validació dels seus resultats.
  • Com qualsevol IA, existeix un risc elevat de biaixos en les adjudicacions i de falta de traçabilitat en els processos.

  • S’obren vulnerabilitats de ciberseguretat en un context geopolític delicat.

A aquestes crítiques se suma un altre factor: la viabilitat. Segons estudis del MIT, el 95% dels projectes d’IA a gran escala fracassen per falta de retorn o per costos excessius. Està Albània preparada per a gestionar un sistema tan complex i delicat?

El risc de substituir en lloc de complementar

La IA pot ser un aliada poderosa per a reforçar la transparència administrativa, però la seva funció hauria de ser acompanyar i millorar el treball humà, no reemplaçar-lo. La substitució completa d’un rol polític d’alt nivell planteja un escenari inèdit i amb implicacions democràtiques profundes: qui assumeix la responsabilitat última de les decisions?

Altres països ja experimenten amb IA en l’administració: Ucraïna té un avatar portaveu, Mèxic una assistent virtual judicial, i el Brasil avança en aquesta línia. Però el cas albanès va més enllà: no és un assistent, sinó una «ministra».

Conclusió

Albània busca amb la Diella enviar un missatge clar a la Unió Europea: compromís amb la transparència i voluntat de modernització. Però l’experiment planteja seriosos dubtes de legitimitat, control i seguretat.

La innovació tecnològica és benvinguda, sempre que no substitueixi el judici crític humà ni posi en risc la confiança en les institucions. La pregunta continua oberta: la Diella és un raig de llum contra la corrupció o un salt massa arriscat en la política digital?

Com sempre, cuideu les dades i cuideu-vos!

Itàlia aprova la primera llei integral d’IA a la UE: què implica realment?

per

Itàlia s’ha convertit en el primer país de la Unió Europea a promulgar una llei integral que regula la intel·ligència artificial (IA). Aquesta normativa, alineada amb el Reglament d’Intel·ligència Artificial de la UE (RIA), pretén assegurar que l’ús de la IA sigui humà, transparent i segur, alhora que promou la innovació, la ciberseguretat i la protecció de la privacitat.

Què introdueix la nova llei italiana?

  • S’estableixen penes de presó d’1 a 5 anys per a aquells que utilitzin IA per a causar perjudici, com la difusió de deepfakes o la manipulació de contingut perjudicial.
  • Obliga a un control humà i una supervisió estricta en l’ús de la IA en àmbits com el sanitari, educatiu, la justícia, els llocs de treball, etc.
  • Per a menors de 14 anys, s’exigeix el consentiment parental per a accedir a serveis basats en IA.
  • En matèria de drets d’autor, la llei estableix que només les obres assistides per IA que provinguin d’un esforç intel·lectual humà genuí estaran protegides. Així mateix, la mineria de dades amb IA només es permetrà sobre contingut no subjecte a drets d’autor o per a fins científics autoritzats.

Beneficis clau d’aquesta regulació

  • Dóna seguretat jurídica a empreses i usuaris en definir clarament quins usos de la IA són acceptables i quins no.
  • Reforça la privacitat dels ciutadans, limitant abusos tecnològics com els deepfakes o l’ús indegut de les dades.
  • Promou la innovació responsable, ja que obliga les empreses a adoptar estàndards més alts de transparència, supervisió i ètica.
  • Fomenta la confiança: els usuaris poden tenir més certesa que els seus drets estan protegits en interactuar amb IA.

Reptes pràctics per a la seva implementació

  • Cal adaptar tecnologies existents per a complir amb els requisits de supervisió humana, traçabilitat i transparència.
  • Les empreses hauran de revisar els seus models de negoci, els procediments de protecció de dades i la seva responsabilitat legal.
  • Probablement hi haurà costos elevats per a complir amb les noves obligacions, tant en desenvolupament com en auditoria interna.
  • Vigilaran agències com l’Agència per la Itàlia digital i la Agència Nacional per la Seguretat Informàtica, cosa que implica més controls i possibles sancions en cas d’incompliments.

En què canvia la IA després d’aquesta llei

  • La IA deixa de ser un camp regulat únicament a nivell europeu; Itàlia ja l’implementa amb força jurídica local.
  • Augmenta el pes del dret dels usuaris enfront dels fabricants o proveïdors de serveis d’IA.
  • Es reforcen els límits legals sobre continguts generats per IA, especialment quan tenen impacte social, educatiu o sobre menors.
  • S’estableix un estàndard que podria influir en com altres països de la UE regulin la IA localment.

Conclusió

Itàlia fa un pas pioner en la regulació de la IA, marcant un precedent a Europa. Serà fonamental com les empreses adoptin aquesta llei per a convertir l’obligació en valor afegit, no només per evitar sancions, sinó per construir confiança en l’ús ètic de la IA.

Com sempre, cuideu les dades i cuideu-vos!

EU Data Act: Estem preparats per a la nova era de les dades?

per

12 de setembre de 2025

Des d’avui s’aplica l’EU Data Act, una normativa que canvia les regles del joc en l’accés i ús de les dades generades per dispositius connectats. Però, què implica exactament i com afectarà empreses i usuaris?

Què és l’EU Data Act?

És una llei de la Unió Europea que atorga als usuaris —ja siguin consumidors o empreses— el dret d’accedir i compartir les dades generades pels seus dispositius connectats (IoT – termostats intel·ligents o vehicles connectats –) de manera estructurada, en temps real i en formats llegibles per màquina.

Per què és tan important aquesta data?

Perquè a partir del 12 de setembre de 2025, els fabricants han de garantir que aquestes dades no quedin sota el seu control exclusiu. Els usuaris tindran llibertat per reutilitzar-les o compartir-les amb tercers, fomentant la innovació i la competència lleial al mercat digital europeu.

Quins beneficis aporta als usuaris?

  • Transparència total: accés immediat a la informació generada pels seus dispositius.
  • Innovació oberta: possibilitat que noves empreses desenvolupin serveis basats en aquestes dades.
  • Major control: els usuaris ja no dependran del fabricant per aprofitar la seva informació.

I què implica per a les empreses?

Aquí arriben els reptes:

  • Adaptació tecnològica: sistemes preparats per exportar dades de manera segura i estandarditzada.
  • Desenvolupament  de clàusules contractuals justes.
  • Compliment legal: alineació amb el RGPD i amb la ciberseguretat.
  • Costos i processos: inversió en infraestructura i formació per adequar-se a la norma.
  • Penalitzacions per incompliments

Estem davant d’un canvi cultural?

Sí. La propietat i el control de les dades ja no resideix només en els fabricants. Europa aposta per una economia digital més oberta, transparent i centrada en l’usuari, on compartir dades no sigui una excepció, sinó una pràctica habitual i segura.

Conclusió

L’EU Data Act és molt més que una norma tècnica: és un pas ferm cap a un mercat digital europeu més competitiu i equilibrat. La pregunta ara és: convertiran les empreses aquesta obligació en una oportunitat real?

Avalua el teu compliment avui per convertir els reptes en avantatges competitives.

Com sempre, cuideu les dades i cuideu-vos!

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l’incompliment empresarial en matèria de desconnexió digital posa l’accent en la necessitat urgent que les companyies passin de les bones intencions a l’acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de “complir i poder demostrar-ho” marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l’entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l’obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L’increment de controls el 2025 ha fet aflorar pràctiques com l’enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l’absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s’ha d’adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L’ experiència europea ho confirma: la desconnexió s’ integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l’ ús de dispositius i canals fora d’ horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només “de cara a la galeria” han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l’estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l’Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n’hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d’ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

Dinamarca fa un pas valent contra els deepfakes: l’era del copyright personal ha començat?

per

En un context internacional marcat per l’auge de les tecnologies d’intel·ligència artificial generativa i la proliferació de continguts manipulats—especialment els coneguts deepfakes—, Dinamarca ha sorprès el món amb una proposta legislativa pionera: reconèixer a cada persona drets d’autor sobre la seva imatge, veu i cos. Aquest enfocament, profundament innovador, cerca dotar als ciutadans d’eines legals més efectives per a frenar l’ús no autoritzat de les seves característiques personals en entorns digitals, especialment davant l’amenaça que representa la IA generativa. 

En què consisteix aquesta proposta de llei? 

Dinamarca està disposada a modificar la seva legislació en matèria de drets d’autor per a permetre que qualsevol individu pugui reclamar la titularitat sobre l’explotació no autoritzada de la seva imatge, veu o, fins i tot, moviments corporals generats artificialment. 

La iniciativa sorgeix com a resposta a la creixent difusió de vídeos falsos creats mitjançant IA, alguns d’ells extremadament realistes, que suplanten rostres, veus i gestos de persones reals —famoses o no— sense el seu consentiment. La normativa danesa, encara en fase de desenvolupament, podria constituir una base legal sòlida per a exigir la retirada de continguts deepfake, sol·licitar indemnitzacions per danys morals o patrimonials i, en alguns casos, emprendre accions penals. 

Per què és revolucionària? 

Tradicionalment, els sistemes jurídics occidentals no han reconegut drets d’autor sobre l’aparença o la veu d’una persona, atès que el copyright està reservat a «obres» amb originalitat i autoria. Les persones físiques disposen de mecanismes com el dret a la pròpia imatge o a l’honor, però aquests drets no tenen la mateixa força automàtica ni vocació preventiva que el copyright. 

Dinamarca proposa fusionar l’enfocament dels drets de la personalitat amb la lògica del dret d’autor i, així, permetre que un individu pugui actuar com si fos titular d’una obra quan s’explota la seva identitat digital. Això obriria la porta a mecanismes de takedown similars als que ja existeixen en plataformes com YouTube per a protegir obres musicals o audiovisuals. 

Què passa en altres països? 

  • Als Estats Units, alguns estats com Califòrnia o Illinois han aprovat lleis específiques per a protegir la «veu» o l’«aspecte» de les persones, però des de l’òptica del dret civil i no del copyright. 
  • A la Unió Europea, els drets a la imatge i a la protecció de dades (com l’article 8 de la Carta de Drets Fonamentals de la UE) ofereixen una certa cobertura, però no atorguen un control automàtic ni un dret d’explotació patrimonial. 
  • A Espanya, el dret a la pròpia imatge (LO 1/1982, de 5 de maig) i la protecció de dades (RGPD i LOPDGDD) són les eines disponibles, però no permeten reclamar una «autoria» sobre la nostra veu o cos. Seria necessària una reforma legal de gran importància per a incorporar aquesta perspectiva. 

Un camí cap a la sobirania digital individual? 

La proposta danesa obre un nou paradigma jurídic, que reconeix que a l’era digital l’individu no solament necessita protegir la seva intimitat, sinó també exercir control econòmic i moral sobre la seva identitat digital. Si prospera, podria marcar l’inici d’un nou enfocament europeu per a enfrontar els reptes que planteja la IA generativa, els deepfakes i la manipulació de continguts. 

El debat està servit: hauríem de tenir copyright sobre nosaltres mateixos? 

Com sempre, cuideu les dades i cuideu-vos! 

 Per llegir la notícia, fes clic aquí. 

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web