Derecho digital

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

E-mails en periode de baixa: ¿intrusió digital o comunicació innòcua?

per

Què és el dret a la desconnexió digital?

Aquest dret està reconegut en l’article 88 de la nostra Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garanties dels Drets Digitals (LOPDGDD) i es disposa com un requisit indispensable en una relació laboral per respectar el temps de descans, permisos i vacances, així com de la intimitat personal i familiar dels empleats.

Amb la incorporació del teletreball i les noves tecnologies, que no són més que eines que faciliten la comunicació a distància, els límits de la comunicació en l’àmbit laboral es tornen més difusos. Tanmateix, és important respectar l’ horari laboral dels empleats i vetllar pel dret a la desconnexió digital.

Comentari de la STSJ de Madrid 534/2024, del 26 de juny de 2024

El passat 26 de juny, el Tribunal Superior de Justícia de Madrid va dictaminar que l’enviament de correus electrònics corporatius a una persona en situació d’incapacitat temporal no vulnera el dret a la desconnexió digital.

En aquest supòsit, el centre educatiu en el qual l’ empleada estava de baixa li va enviar correus electrònics durant el seu període d’ incapacitat temporal. Aquest fet planteja qüestions sobre el dret a la desconnexió digital dels treballadors, especialment durant períodes de baixa mèdica.

Cal destacar que la demandant va comunicar en reiterades ocasions que no contactessin amb ella i que, arran d’aquest fet, es van deixar d’enviar comunicacions. Per tant, el centre educatiu va respectar la sol·licitud de la treballadora de no ser contactada, en alineació amb el dret a la desconnexió digital.

En el seu recurs, la demandant va al·legar la vulneració de diversos articles relacionats amb la protecció de dades i el dret al descans, incloent-hi l’article 88 de la LOPDGDD i l ‘article 18 de la Constitució Espanyola. Va argumentar que l’enviament d’emails durant la seva incapacitat temporal entorpia la seva recuperació i constituïa una intromissió en els seus drets.

La part demandada va al·legar que els correus electrònics van ser enviats  al compte corporatiu de la demandant com a membre de l’equip docent i que, a més, van ser enviats de manera automàtica en formar part del llistat de treballadors del centre, per la qual cosa la treballadora no tenia obligació d’obrir o llegir aquests correus durant el seu període d’incapacitat temporal.

A més, s’esmenta que, després de la sol·licitud de la demandant al juny de 2023, el seu compte va ser retirat dels grups de treball. Això indica una resposta positiva a la petició de desconnexió per part del centre educatiu.

Conclusió

La sentència distingeix entre els correus enviats des del compte del centre i els enviats per un individu des del seu compte personal. Això planteja qüestions sobre la responsabilitat institucional davant les accions individuals en matèria de desconnexió digital.

Aquest cas il·lustra la complexitat d’equilibrar la comunicació laboral amb el dret al descans i la desconnexió, especialment durant períodes d’incapacitat temporal. La sentència suggereix que, si bé inicialment hi va haver comunicacions no desitjades, el centre educatiu finalment va respectar la sol·licitud de desconnexió de la treballadora, per la qual cosa no hi va haver cap vulneració.

Podeu llegir la sentència aquí

Com sempre, cuideu les dades i cuideu-vos!

Entre likes i difamacions: El delicat equilibri de l’honor en l’era digital

per

Les xarxes socials han esdevingut un fòrum públic amb gran presència en la nostra societat, en el qual freqüentment es produeixen intromissions que poden vulnerar el dret a l’ honor d’ individus i organitzacions. Aquest escenari planteja un desafiament legal i ètic en l’era digital, en què l’equilibri entre la llibertat d’expressió i la protecció de la reputació es torna cada vegada més complex.

El dret a l’honor està protegit a Espanya per la Llei Orgànica 1/1982, de 5 de maig, de protecció civil del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge. Aquesta llei defineix la intromissió il·legítima com aquella que afecta la reputació, fama o estimació social d’una persona, considerant la gravetat del dany produït i la difusió o potencial audiència del mitjà emprat.

En el context de les xarxes socials, la vulneració del dret a l’ honor pot ocórrer a través de publicacions difamatòries. No obstant això, no qualsevol contingut és considerat una vulneració; ha de tenir un impacte quantificable en termes de visualitzacions, «m’agrada» o compartits.

La jurisprudència ha establert criteris per avaluar aquestes situacions. El Tribunal Suprem, en la seva Sentència nº 476/2018, de 20 de juliol, va ponderar el dret a la llibertat d’expressió davant el dret a l’honor. La sentència va establir la inexistència d’intromissió il·legítima en el dret a l’honor quan es tracta d‘opinions i comentaris sarcàstics sobre fets veraços que presenten un cert interès general, sempre que no s’emprin expressions insultants o vexatòries.

No obstant això, la mateixa sentència va reconèixer que pot existir una intromissió il·legítima en el dret a la intimitat quan es difon informació sobre situacions personals, com una baixa laboral, especialment si aquesta informació s’obté a través de l’activitat professional.

És important destacar que el Tribunal Suprem ha descartat l’admissió del «dret a l’insult», excloent les expressions vexatòries i les crítiques excessivament ofensives. Això estableix un límit clar a la llibertat d’expressió a les xarxes socials.

D’altra banda, la Sentència nº747/2022, del 3 de novembre de 2022, va subratllar que les expressions han de ser valorades en el seu context, no de forma aïllada. Si bé aquest criteri contradiu les resolucions d’instàncies inferiors, el Tribunal Suprem va concloure que hi ha situacions en què, una vegada analitzades en la seva totalitat, no s’aprecia intromissió il·legítima a l’honor realment.

En el cas de les persones jurídiques, també es reconeix el seu dret a l’ honor en l’ ordenament jurídic espanyol. La via civil es considera la més efectiva per a la seva protecció, ja que el dret penal en aquest àmbit s’ aplica com a última ràtio.

Així mateix, la responsabilitat de les plataformes de xarxes socials en la protecció del dret a l’ honor és un tema de creixent importància. La Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI) i la Llei de Serveis Digitals de la Unió Europea (DSA) aborden la responsabilitat dels intermediaris en aquests casos.

En conclusió, la protecció del dret a l’ honor a les xarxes socials requereix una acurada ponderació entre la llibertat d’ expressió i el dret a la reputació. Els tribunals han establert criteris per avaluar cada cas, considerant factors com la veracitat de la informació, l’ interès públic i l’ absència d’ expressions insultants.

Tant individus com organitzacions han de ser conscients d’ aquests límits en expressar-se a les xarxes socials, mentre que les plataformes tenen una creixent responsabilitat en la moderació de continguts potencialment difamatoris.

Com sempre, cuideu les dades i cuideu-vos!

Màrqueting conversacional i chatbots impulsats per IA (aspectes legals)

per
Chatbot IA

El màrqueting conversacional, que inclou l’ús de chatbots impulsats per intel·ligència artificial (IA), està revolucionant la forma en què les empreses interactuen amb els seus clients. Tanmateix, aquest enfocament també planteja diversos desafiaments legals que han de ser abordats per assegurar el compliment de la normativa i la protecció dels drets dels consumidors.

Transparència i consentiment

Identificació de l’emissor

És fonamental identificar clarament l’ emissor del missatge o contingut. Les comunicacions comercials han de revelar qui és el remitent, està prohibit ocultar-ho.

Consentiment previ

Abans d’ enviar missatges promocionals, cal obtenir el consentiment previ i explícit dels usuaris. Això inclou demanar autorització formal i demostrar-la, així com evitar l’enviament de spam a usuaris que no han sol·licitat la informació.

Informació sobre la Naturalesa dels Chatbots

El Reglament d’IA a la UE exigeix que s’informi adequadament els usuaris quan interactuen amb un chatbot i no amb un ésser humà. S’ha de ser transparent sobre el fet que estan interactuant amb una màquina; d’aquesta manera, els permet prendre decisions informades.

Protecció de dades i privacitat

El tractament de dades personals recopilades a través de chatbots està subjecte al Reglament General de Protecció de Dades (RGPD). Les empreses, doncs, s’han d’ assegurar d’ obtenir el consentiment explícit, implementar mesures de seguretat robustes i respectar els drets dels usuaris, com ara l‘accés, rectificació, supressió i portabilitat de les seves dades.

Així mateix, la recopilació i ús de dades personals per part dels chatbots impulsats per IA han de ser responsables i respectuosos amb la privacitat. Per això, les empreses han d’ avaluar l’ impacte en la protecció de dades abans d’ implementar qualsevol sistema d’ IA i garantir que es compleixin les obligacions de transparència i seguretat.

Normativa de consumidors i usuaris

D’ altra banda, les empreses que utilitzen chatbots han de complir amb la normativa comercial i de protecció del consumidor. Això inclou proporcionar informació clara i precisa sobre els productes i serveis, així com garantir que els usuaris no siguin enganyats per respostes generades per la IA.

A més, s’han de preveure i comunicar les limitacions dels chatbots i les circumstàncies en què es recomana cercar assessorament addicional. Per exemple, si un chatbot no pot resoldre una consulta complexa, ha de dirigir l’usuari a un assessor humà.

Conclusió

El màrqueting conversacional i l’ús de chatbots impulsats per IA ofereixen grans beneficis en termes d’interacció personalitzada i en temps real amb els clients. Tanmateix, és cabdal abordar els aspectes legals associats amb aquestes tecnologies per assegurar el compliment de les normatives i la protecció dels drets dels consumidors. La transparència, el consentiment previ, la protecció de dades i l’ emplenament de la normativa comercial i de consumidors són fonamentals. A més, la regulació de la IA i les obligacions específiques per a les aplicacions d’ alt risc han de ser acuradament considerades. En implementar aquestes mesures, les empreses poden aprofitar els beneficis del màrqueting conversacional i la IA mentre mantenen una pràctica responsable i respectuosa amb els drets dels usuaris.

Com sempre, cuideu les dades i cuideu-vos!

L’AEPD frena a SEAT: Lliçons d’una política de cookies defectuosa

per

L’AEPD ha proposat una sanció de 20.000€ a SEAT, S.A. per incompliments relacionats amb la protecció de dades personals, concretament, en la gestió inadequada de les cookies.

En una inspecció d’ofici duta a terme per l’Agència, sense mediar reclamació prèvia, es va observar que la pàgina web de SEAT utilitzava cookies la naturalesa de les quals no era tècnica i sense consentiment de l’usuari. La pàgina web activava cookies de funcionalitat i segmentació (com cookies de YouTube per a seguiment de preferències de vídeo i publicitat) sense que l’usuari hagués donat el seu consentiment explícit, la qual cosa incompleix l’exigència de recaptar el consentiment de l’usuari abans d’instal·lar qualsevol cookie no tècnica.

D’altra banda, tot i que les cookies sí que es podien gestionar des de l’accés a la política de cookies instal·lada al web de SEAT, no podien eliminar-se, si es desitjava, un cop acceptades.

«No és possible modificar el consentiment prestat a la utilització de cookies de naturalesa no tècniques o necessàries. Doncs, encara que s’opti per rebutjar ara totes les cookies, es comprova que les cookies instal·lades quan es va prestar el consentiment segueixen presents al navegador», indica l’AEPD.

Com que la revocació del consentiment no era efectiva, ja que les cookies no tècniques romanien actives i seguien enviant informació després que l’usuari intentava desactivar-les, l’AEPD va determinar una sanció de 20.000€, que va quedar reduïda a 12.000€ per reconeixement de la infracció i pagament voluntari.

Quines mesures hem de tenir implementades a la nostra pàgina web per assegurar-nos que no ens passa el mateix?

Mesures a implementar

  1. Obtenció del consentiment previ
  2. Mecanisme efectiu de retirada del consentiment
  3. Revisió de la classificació de cookies
  4. Millora del panell de control de cookies
  5. Actualització de la política de cookies

Implementació tècnica

  • Bloqueig de cookies no essencials
  • Sistema de gestió de consentiment
  • Eliminació efectiva de cookies

Consideracions addicionals

  • Realitzar auditories periòdiques per assegurar el compliment continu de la normativa.
  • Formar el personal tècnic i legal sobre els requisits de la LSSI en matèria de cookies.
  • Considerar la implementació d’una solució de Consent Management Platform (CMP) que compleixi amb els estàndards actuals de privacitat.

En implementar aquestes mesures, complirem amb l’ article 22.2 de a LSSI-CE i evitarem possibles sancions.

 Per llegir la Resolució, feu clic aquí.

Com sempre, cuideu les dades i ¡cuideu-vos!

Realitat Virtual i Augmentada en publicitat: oportunitats i reptes legals

per

La integració de la realitat virtual (RV) i la realitat augmentada (RA) en l’àmbit publicitari està revolucionant la forma en què les marques interactuen amb els consumidors. Aquestes tecnologies immersives ofereixen experiències úniques i personalitzades, però també plantegen nous desafiaments legals que requereixen una atenció acurada.

Transformació del panorama publicitari

La RV i la RA estan redefinint les estratègies publicitàries tradicionals. Les marques ara poden crear entorns virtuals complets o superposar elements digitals en el món real, la qual cosa permet als consumidors interactuar amb productes i serveis de maneres abans inimaginables.

Per exemple, IKEA utilitza la RA per permetre als clients visualitzar mobles a les seves pròpies llars abans de comprar-los, mentre que Volvo ha implementat experiències de RV per simular proves de conducció dels seus vehicles.

Desafiaments legals emergents

Si bé aquestes tecnologies ofereixen nombrosos avantatges per a les marques, com engagement millorat, major retenció de marca, personalització avançada i innovació i diferenciació, l’ús de RV i RA en publicitat també presenta diversos reptes legals.

Propietat intel·lectual

La creació d’entorns virtuals i elements de RA planteja qüestions sobre la propietat intel·lectual. Qui posseeix els drets dels elements creats en aquests espais virtuals? Com es protegeixen les marques registrades en entorns de RV? Aquestes preguntes requereixen una revisió de les lleis de propietat intel·lectual existents i possiblement la creació de noves normatives que s’adaptin a aquest nou context.

Privacitat i protecció de dades

Una cosa comuna amb aquestes tecnologies és la recopilació de dades biomètriques i de comportament dels usuaris. Això planteja serioses preocupacions sobre la privacitat i el compliment de regulacions com el RGPD a Europa. Les empreses han de ser transparents sobre quines dades recopilen i com les utilitzen, a més d’obtenir el consentiment explícit dels usuaris.

Seguretat del consumidor

Si bé no és una cosa en què es pensi de primeres, l’ús de RV i RA pot arribar a presentar riscos físics per als usuaris, com desorientació o accidents. Per això, les marques haurien de considerar la seva responsabilitat legal en cas de lesions relacionades amb l’ ús de les seves aplicacions de RV o RA.

Publicitat enganyosa

La naturalesa immersiva d’ aquestes tecnologies pot fer que sigui més difícil per als consumidors distingir entre la realitat i la publicitat. Això planteja preocupacions sobre la publicitat enganyosa i la necessitat d’una divulgació clara de contingut publicitari en entorns de RV i RA.

Conclusions

La RV i la RA ofereixen oportunitats emocionants per a la publicitat, permetent experiències immersives i personalitzades que poden enfortir significativament la connexió entre marques i consumidors. No obstant això, aquestes tecnologies també presenten desafiaments legals complexos que requereixen una acurada consideració i regulació. A mesura que aquestes tecnologies continuen evolucionant, és crucial que les marques, els legisladors i els consumidors treballin junts per desenvolupar un marc legal que fomenti la innovació mentre protegeix els drets i la seguretat dels usuaris. El futur de la publicitat en RV i RA promet ser emocionant, però requerirà un equilibri acurat entre creativitat, ètica i compliment legal.

Com sempre, cuideu les dades i cuideu-vos!

Llei de Serveis Digitals (DSA) i marketing digital

per

La coneguda com Llei de Serveis Digitals (DSA) de la Unió Europea (Reglament UE), en vigor des de febrer de 2024, marca un abans i un després en el panorama del màrqueting digital. Aquesta normativa, dissenyada per crear un entorn en línia més segur i transparent, porta amb si canvis significatius que afecten directament les estratègies de màrqueting d’ empreses de totes les mides. En aquest article, explorarem com la DSA està transformant el màrqueting digital i què poden fer les empreses per adaptar-se a aquest nou escenari.

Principals canvis introduïts per la DSA

Més transparència en la publicitat

La DSA exigeix una major transparència en la publicitat online. Això implica:

  • Identificació clara dels anuncis i qui els patrocina
  • Explicació de per què un usuari està veient un anunci específic
  • Prohibició de publicitat dirigida basada en dades sensibles

Aquests canvis obliguen les empreses a repensar les seves estratègies de segmentació i a ser més transparents en les seves pràctiques publicitàries.

Restriccions en la publicitat adreçada a menors

Una de les mesures més significatives és la prohibició de la publicitat dirigida a menors basada en perfils. Això suposa:

  • Necessitat de desenvolupar estratègies de màrqueting alternatives per arribar al públic jove
  • Major èmfasi en el màrqueting de continguts i la publicitat contextual

Control de l’ usuari sobre les recomanacions

La llei atorga als usuaris més control sobre com se’ls mostren recomanacions:

  • Opció de no rebre recomanacions basades en perfils
  • Més transparència sobre com funcionen els sistemes de recomanació

Això implica que les empreses hauran d’ adaptar les seves estratègies de personalització i trobar noves formes d’ oferir contingut rellevant.

Adaptació de les estratègies de màrqueting

Enfocament en dades pròpies (first-party data)

Amb les restriccions en l’ ús de dades de tercers, les empreses han de:

  • Enfortir les seves estratègies de recopilació de dades pròpies
  • Millorar la qualitat i l’ anàlisi de les dades recopilades directament dels usuaris
  • Implementar sistemes robustos de gestió de consentiment

Auge del màrqueting contextual

El màrqueting contextual guanya rellevància com a alternativa a la publicitat basada en perfils:

  • Desenvolupament d’ estratègies publicitàries basades en el context del contingut
  • Major èmfasi en la rellevància i qualitat del contingut publicitari

Innovació en el mesurament i atribució

Les empreses necessitaran:

  • Desenvolupar nous mètodes de mesurament de l’ eficàcia publicitària
  • Implementar models d’atribució alternatius que no depenguin de cookies de tercers

Oportunitats emergents

Malgrat els desafiaments, la DSA també presenta oportunitats:

  • Millora de la confiança del consumidor a través de pràctiques més transparents
  • Impuls a la innovació en tecnologies de màrqueting respectuoses amb la privacitat
  • Possibilitat de destacar davant la competència mitjançant pràctiques ètiques i transparents

Conclusió

La Llei de Serveis Digitals representa un canvi de paradigma en el màrqueting digital. Tot i que planteja desafiaments significatius, també ofereix l’oportunitat de construir relacions més sòlides i confiables amb els consumidors. Les empreses que s’adaptin ràpidament a aquest nou entorn, prioritzant la transparència, l’ètica i la innovació, estaran més ben posicionades per tenir èxit en l’era post-DSA.

Està la teva estratègia de màrqueting preparada per a l’era DSA? No esperis més per adaptar les teves pràctiques i assegurar el compliment normatiu. Contacta amb el nostre equip d’experts en dret digital per a una avaluació personalitzada i descobreix com podem ajudar a navegar aquest nou panorama legal mantenint l’efectivitat de les teves campanyes.

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web