Derechos y libertades digitales de las personas

2.1. El desarrollo de los derechos humanos de “cuarta generación”.
2.2. La libertad de acceso a la información en Internet: exclusiones e inclusiones digitales.
2.3. La libertad de expresión, de asociación y de pensamiento en el ciberespacio.
2.4. El asesoramiento jurídico de Social Media Managers y Community Managers.
2.5. Derecho, menores y familia en entornos digitales.
2.6. La neutralidad en la Red versus monopolios y oligopolios tecnológicos.

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d’implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l’ús d’empremtes dactilars per a controlar l’accés amb l’entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l’ús fraudulent d’aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l’empremta dactilar del visitant en el primer accés. Aquesta informació s’encriptava, convertint-se en una «representació matemàtica» que s’usava per a confirmar que la mateixa persona accedia després al segon parc.

L’empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s’emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l’AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s’usen per a autenticar o verificar la identitat d’un individu.

L’AEPD recorda que l’art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s’ofereix una alternativa real a l’ús de l’empremta.

A més a més, no s’havia realitzat la preceptiva Avaluació d’Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l’oci. L’AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l’usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d’alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA sota control: a partir del 2 d’agost, innovar sense complir la llei deixarà de ser una opció

per

A partir de demà 2 d’agost de 2025, el Reglament d’Intel·ligència Artificial de la Unió Europea (RIA) començarà a aplicar la majoria de les seves disposicions, marcant un abans i un després en l’ús de la intel·ligència artificial a Europa.

I no, no fa falta usar un sistema d’IA avançat per a estar afectat. Des d’aquesta data, totes les eines que utilitzin IA hauran de complir amb obligacions bàsiques, fins i tot si no es consideren d’alt risc. Per exemple, si utilitzes chatbots o altres assistents conversacionals amb IA, hauràs d’informar clarament l’usuari que està interactuant amb un sistema automatitzat; i, si generes contingut amb IA (imatges, vídeos, textos), hauràs d’advertir que ha estat creat amb intel·ligència artificial.

Així mateix, encara que no és obligatori, també es recomana explicar com funciona l’automatització, per a reforçar la transparència.

Quan es considera que un sistema és d’alt risc?

Només en determinats casos, com a sistemes d’IA que afecten a:

  • Processos de contractació o avaluació laboral.
  • Educació i avaluació d’estudiants.
  • Accés a serveis essencials o públics (salut, habitatge, crèdit, immigració).
  • Biometria, vigilància o diagnòstic mèdic.
  • Aplicació de la llei o decisions judicials.

  • Infraestructures crítiques, transport o sistemes industrials.

Si el teu sistema entra en una d’aquestes categories, les exigències legals es multipliquen: hauràs de realitzar anàlisi de riscos, garantir la supervisió humana, documentació tècnica exhaustiva, implementar mesures de ciberseguretat, registre en una base de dades europea i complir amb els requisits d’inspecció i supervisió reguladora.

Compte amb la confusió entre «model» i «sistema»

El Reglament d’IA distingeix entre models de IA (com GPT, Gemini o Claude) i sistemes d’IA, que són les eines concretes que els integren (com un chatbot, una app o una plataforma de gestió documental). Les obligacions comentades s’apliquen als sistemes, no directament als models base.

Conclusió

A partir d’aquest 2 d’agost, ja no hi ha excuses. Si la teva empresa usa intel·ligència artificial —encara que sigui de manera bàsica o puntual—, ha de conèixer i complir amb les noves regles. Perquè la innovació no està renyida amb la transparència i, en la nova era de la IA, complir la normativa serà part del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

Com un accés a ASNEF va costar el lloc a un directiu bancari: El TS equipara consultar morositat sense causa al robatori d’informació

per

La Sentència del Tribunal Suprem nº37/2025 resol un recurs de cassació presentat per Banco Sabadell SA contra una sentència que va declarar improcedent l’acomiadament disciplinari d’un empleat per accessos no autoritzats a fitxers de morositat i retrocessió irregular de comissions.

Fets provats

El treballador, que portava des del 2000 treballant per al Banc Sabadell, va consultar dades en fitxers de morositat de diverses persones i empreses sense consentiment, algunes d’elles sense relació contractual amb el banc. Per això, l’ entitat bancària li va comunicar el seu acomiadament disciplinari, fonamentat en infraccions molt greus tipificades en l‘ art.  69.1 del conveni col.lectiu del sector de Banca, relatiu a l’ art.  54.2.d) de l’ Estatut dels Treballadors.

El Banc va al·legar que el treballador va realitzar diverses consultes sense justificació de fitxers de morositat. Concretament, l’empleat va realitzar, sense cap justificació, recerques de fins a 4 persones físiques i una empresa en sis dates diferents. Una d’aquestes persones investigades va presentar una queixa al Banc per haver-se consultat les seves dades personals tenir una base legítima per a això i va reclamar que se li compensés el dany ocasionat.

Així mateix, l’actor també va realitzar retrocessions de comissions per un valor de 133’80€ a favor d’un amic que era client d’una altra oficina.

El treballador acomiadat va defensar les seves accions al·legant que va realitzar els accessos als fitxers de morositat com una mera acció comercial. D’altra banda, respecte a les retrocessions de comissions, va indicar que el va realitzar com un favor al seu amic personal.

No obstant això, el Banc va decidir executar l’acomiadament disciplinari en considerar els fets com a molt greus i constitutius de transgressió de la bona fe contractual, abús de confiança en l’acompliment del treball i frau o deslleialtat en les gestions encomanades.

Decisió del Tribunal Suprem

En aquest supòsit, el Tribunal Suprem considera provada la transgressió de bona fe contractual i abús de confiança per part de l’ ara ex-empleat i subratlla l’ ús indegut de facultats directives per beneficiar tercers sense interès empresarial. A més, destaca que els accessos realitzats en més d’ una ocasió van ser accessos a dades sensibles sense base legítima, per la qual cosa es constitueix una vulneració de l’ art. ~ ~ ~ 20 de la LOPDGDD, precepte que indica que només es pot consultar la informació dels sistemes d’ informació creditícia quan es mantingués una relació contractual amb l’ afectat.

D’altra banda, s’identifica també una vulneració de l’ article 5.1.f) RGPD, el qual preveu que les dades personals han de ser tractades garantint una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit (principi de confidencialitat).

Conclusió

Aquesta sentència senti precedent sobre l’ abast del deure de lleialtat en el maneig de dades personals, establint que l’ ús no autoritzat de sistemes d’ informació creditícia per directius bancaris, encara que sigui puntual, justifica l’ extinció contractual per risc substancial per als interessos empresarials.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d’ un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l’empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l’ empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d’ acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d’empresa ni d’un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l’escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l’accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l’ art. 20.3 ET s’ atribueix a l’ empresari la facultat d’ adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d’aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l’organització productiva en què s’integra, s’ha afirmat que manifestacions de l’exercici d’aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d’ Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d’instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l’empresa li ha d’abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Drets digitals dels menors i màrqueting responsable

per

En un món cada vegada més digitalitzat, el màrqueting dirigit a menors ha cobrat una rellevància significativa, ja que la tecnologia està a l’abast de les persones cada vegada a una edat més primerenca. Per això, s’ ha manifestat la necessitat d’ implementar regulacions estrictes i estratègies responsables per protegir aquest grup vulnerable. Les noves normatives i pràctiques busquen equilibrar la influència del màrqueting digital mentre s’assegura el benestar i la seguretat dels menors.

Regulacions recents en màrqueting dirigit a menors

La Unió Europea ha estat pionera a establir regulacions que protegeixen els menors en l’entorn digital. La Llei de Serveis Digitals (DSA, per les seves sigles en anglès) és un exemple clau, ja que prohibeix la publicitat basada en perfils per a menors i obliga les plataformes en línia a avaluar els riscos sistèmics que puguin afectar els drets i el benestar mental dels infants.

D’altra banda, a Espanya, s’ha aprovat justament aquest any el Reial Decret d’«Usuaris d’Especial Rellevància», que obliga els influencers a etiquetar contingut per edats i prohibeix la promoció de productes com tabac o alcohol, assegurant que no es causi dany psicològic o físic als menors.

Estratègies de màrqueting responsable

1. Transparència i veracitat

L’ètica en la publicitat exigeix que les marques siguin transparents i veraços en les seves comunicacions. Això implica presentar informació precisa sobre productes i serveis, evitant afirmacions enganyoses que puguin erosionar la confiança del consumidor. Les campanyes han de ser clares sobre la seva naturalesa publicitària, especialment quan s’ adrecin a menors.

2. Inclusió i diversitat

Les estratègies de màrqueting responsable també promouen la inclusió i diversitat. Per això, és fonamental que les campanyes reflecteixin una varietat de cultures i contextos perquè tots els infants se sentin representats. Això no només millora la percepció de marca, sinó que també fomenta un entorn més inclusiu.

3. Ús ètic dels influencers

L’ ús d‘ influencers infantils requereix un enfocament ètic. Les marques s’ han d’ assegurar que aquests influencers promoguin productes adequats per a la seva audiència i compleixin amb les regulacions pertinents. A més, han d’ evitar qualsevol contingut que pugui explotar la inexperiència o credulitat dels menors.

4. Contingut educatiu i entretingut

El contingut adreçat a menors ha de ser tant educatiu com entretingut. Les campanyes efectives utilitzen elements lúdics per captar l’atenció mentre transmeten missatges positius o educatius. Això no només ajuda a mantenir l’interès de l’infant, sinó que també contribueix al desenvolupament cognitiu.

Reptes actuals

Malgrat les regulacions i estratègies responsables, hi ha desafiaments significatius:

  1. Adaptació tecnològica: La ràpida evolució tecnològica requereix una constant actualització de les normatives per abordar noves formes de publicitat digital.
  2. Compliment global: Les diferències entre les legislacions nacionals i internacionals compliquen el compliment uniforme per part de les empreses globals.
  3. Equilibri entre creativitat i regulació: Les marques han de trobar un equilibri entre ser creatives i innovadores en les seves campanyes mentre compleixen amb les regulacions estrictes.

Conclusió

El màrqueting dirigit a menors és un camp delicat que requereix una atenció meticulosa tant des del punt de vista legal com ètic. Les recents regulacions busquen protegir els menors mentre permeten que les marques continuïn interactuant amb aquest públic de manera responsable. A mesura que avança la tecnologia, serà crucial que les empreses continuïn adaptant-se per garantir pràctiques publicitàries segures i efectives. En fer-ho, no només compliran amb les normatives vigents, sinó que també contribuiran al desenvolupament positiu de l’ entorn digital per a les generacions futures.

Com sempre, cuideu les dades i cuideu-vos!

La protecció de dades personals i la publicitat dirigida: la decisió del TJUE contra Meta

per

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Més enllà del “Cosmetic compliance”

per

A l’àmbit empresarial, complir amb les normatives i regulacions és fonamental no només per evitar sancions, sinó també per construir una reputació sòlida i confiable. No obstant això, existeix un fenomen preocupant conegut com a “cosmetic compliance” o “compliment cosmètic“, que es refereix a pràctiques superficials destinades a aparentar conformitat amb les lleis i regulacions sense realment adherir-s’hi. Aquest concepte, prestat dels programes de Compliance Penal, és especialment rellevant també en l’àrea de protecció de dades, on el compliment efectiu és crucial per protegir la privacitat i la seguretat de la informació personal.

En el context de la protecció de dades, el “cosmetic compliance” pot manifestar-se de diverses formes. Per exemple, una empresa pot dissenyar polítiques de privacitat detallades i completes, però si no s’implementen de manera efectiva o si els empleats no estan adequadament capacitats per seguir aquestes polítiques, la conformitat és només superficial.

Una altra manifestació d’ aquesta pràctica és la utilització de tecnologies avançades per a la protecció de dades, sense configurar correctament aquestes eines o sense integrar-les adequadament en els processos operatius de l’ empresa. Això pot crear una falsa sensació de seguretat tant per a l’empresa com per als clients, quan en realitat les dades poden estar en risc.

Com detectar el “Cosmetic Compliance” en Protecció de Dades

Textos Legals Web “copiats i enganxats”

Un dels exemples més comuns de “cosmetic compliance” és l’ ús de textos legals copiats i enganxats d’altres fonts. Moltes empreses copien polítiques de privacitat, termes i condicions, o avisos legals d’altres pàgines web sense adaptar aquests documents a la seva pròpia realitat operativa i regulatòria. Això no només és una infracció de drets d’ autor, sinó que també pot portar a un incompliment real, ja que aquests textos poden no reflectir les pràctiques i necessitats específiques de l’ empresa.

Política de Cookies Irreal

Una altra pràctica comuna és la implementació de polítiques de cookies que no reflecteixen la realitat de les cookies que s’instal·len al navegador del client. Algunes empreses publiquen polítiques detallades sobre l’ús de cookies, però a la pràctica instal·len més cookies de les declarades, o cookies amb finalitats diferents a les anunciades.

Manca de Signatura d’ Acords de Confidencialitat o de Contractes d’ Encarregat de Tractament

L’absència d’acords de confidencialitat o contractes d’encarregat de tractament adequats és un altre senyal de “cosmetic compliance”. Les empreses han d’assegurar que qualsevol tercer que manegi dades personals en el seu nom (com a proveïdors de serveis) estigui legalment obligat a protegir aquesta informació, sense excepció. La manca d’ aquests acords pot posar en risc la seguretat de les dades i contravenir les normatives de protecció de dades.

Manca d’ Implementació de Mesures de Seguretat Efectives

L’ adquisició d’ eines avançades de seguretat sense una integració adequada en els processos operatius és un altre indici. Si una empresa inverteix en tecnologia de protecció de dades, però no configura aquestes eines correctament o no les utilitza de manera coherent amb les seves polítiques, està simplement aparentant compliment.

Auditories Internes Inadequades

Les auditories internes que són infreqüents, superficials o realitzades per personal no qualificat poden ser un signe de “cosmetic compliance”. Les auditories efectives han d’ ésser exhaustives i dutes a terme per professionals capacitats que puguin identificar i corregir deficiències en les pràctiques de protecció de dades.

Conclusió

El “cosmetic compliance” és una pràctica que pot tenir greus conseqüències per a les empreses, tant en termes de sancions econòmiques com de pèrdua de confiança dels clients, entre d’altres.

És molt important que l’ empresa implanti una cultura interna de compliment, no només pel que fa a privacitat, sinó també en les altres àrees de responsabilitat. Això requereix tenir una estratègia i, des de la responsabilitat proactiva i partint dels principis del RGPD de protecció des del disseny i per defecte, la protecció de dades es prepari abans d’ iniciar les activitats i que el tractament estigui configurat per utilitzar únicament les dades personals estrictament necessàries.

I la direcció ha d’ implicar tota l’ empresa en el compliment.

I, com sempre, cuideu les dades i ¡cuideu-vos!

La Lliga (LFP) sota Vigilància

per

En una era on la tecnologia s’entrellaça cada vegada més amb la vida quotidiana, la privacitat de les dades s’ha convertit en un tema de discussió fonamental. Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha posat el focus en La Lliga de Futbol Professional (LFP) per l’ús de sistemes de reconeixement facial als estadis. Aquest avís no només ressalta els desafiaments que enfronten les grans organitzacions, sinó que també envia un missatge crucial a les empreses en general sobre la importància de navegar amb cura en el complex món de la biometria i la protecció de dades.

De fet, ja ens referim al tema setmanes enrere quan l’AEDP va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La publicació va suposar un important canvi de postura de l’ Agència respecte a l’ ús de la biometria en l’ accés i el control laboral.

Reconeixement Facial i Privacitat

El reconeixement facial, una forma de biometria, s’ha utilitzat cada vegada més per millorar la seguretat en llocs públics, incloent estadis esportius. Tot i que aquestes tecnologies ofereixen beneficis significatius en termes de seguretat, també generen preocupacions considerables sobre la privacitat i els drets individuals. L’AEPD ha cridat l’atenció sobre aquest equilibri delicat, emfatitzant la necessitat de complir amb regulacions estrictes, com el RGPD.

La resposta de La Lliga (LFP)

Davant les advertències de l’AEPD, La Lliga ha defensat el seu ús de sistemes de reconeixement facial, argumentant que el seu principal objectiu és garantir la seguretat als estadis.

La Lliga sosté que aquesta tecnologia ajuda a identificar individus que puguin representar una amenaça, com aquells amb prohibicions d’accés o implicats en actes violents previs. Aquesta justificació es basa en la premissa que la seguretat col·lectiva pot requerir mesures més robustes, tot i que intrusives.

 Tanmateix, aquesta posició planteja un important debat: fins on pot arribar una organització en la implementació de tecnologies de vigilància sota la premissa de la seguretat, sense vulnerar els drets individuals de privacitat?

I aquest debat afecta també totes les empreses i organitzacions.

Implicacions per les empreses

A falta de veure com es resol el contenciós entre La Lliga i l’AEPD, i a l’espera de veure si La Lliga és capaç de trobar suport jurídic per a les seves pretensions, les empreses han de ser conscients que qualsevol tecnologia intrusiva, especialment aquelles que processen dades biomètriques, requereix una anàlisi exhaustiva en termes de compliment normatiu, previ a la seva aplicació. És fonamental que les empreses avaluïn no només els beneficis de seguretat i eficiència que aquestes tecnologies poden oferir, sinó també l’ impacte en la confiança i la privacitat dels individus. Adoptar un enfocament transparent i responsable, alineat amb les directrius de l’ AEPD i el RGPD, és essencial per evitar sancions i preservar la reputació de l’empresa.

Conclusió

L’advertència de l’AEPD a La Lliga per l’ús de reconeixement facial en estadis és un recordatori oportú per a les empreses sobre la importància d’equilibrar la innovació tecnològica amb el respecte a la privacitat i la normativa de protecció de dades. Aquest cas subratlla la necessitat d’ un maneig acurat i ètic de tecnologies potencialment intrusives, instant les empreses a considerar no només els avantatges operatius, sinó també les implicacions legals i socials de la seva implementació.

Som a les portes d’una nova edició del Mobile World Congress (MWC) a celebrar a Barcelona. L’any passat van fer un ús intensiu del reconeixement facial per a la gestió de l’accés dels visitants. Veurem quina solució apliquen aquest any.

Mentrestant, cuideu-vos molt!

Fi de l’ús de l’empremta dactilar per l’accés al centre de treball?

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment una Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La Guia representa tot un repte per a l’ adopció de sistemes d’ identificació biomètrica, ja que l’ AEPD ha revisat els seus criteris i aclarit els requisits essencials per al tractament de dades. I no posa gens fàcil.

Segons el Reglament General de Protecció de Dades (RGPD), les dades biomètriques es consideren una categoria especial de dades quan s’utilitzen per identificar de manera única a una persona. L’AEPD ha aclarit que aquestes dades només es poden processar en circumstàncies excepcionals, com ara amb el consentiment explícit de la persona o si és necessari per al compliment de les lleis laborals o els drets de protecció social i hi ha una base legal per fer-ho.

La Guia indica que les disposicions legals anteriors que es pensava que legitimaven aquests sistemes biomètrics són insuficients, ja que no esmenten expressament el processament de dades biomètriques ni proporcionen les proteccions de privacitat necessàries per als empleats. A més, el consentiment dels empleats tampoc es considera una base vàlida per a la legitimació a causa del desequilibri de poder inherent entre empresaris i empleats.

La conclusió és que esdevé extremadament difícil, si no impossible, utilitzar sistemes d’identificació biomètrica per a aquests propòsits en les empreses, sense una regulació específica europea o espanyola o un acord de negociació col·lectiva que proporcioni normes clares i garanties.

Com a alternatives als controls biomètrics, les solucions podrien incloure mètodes tradicionals com fulls de signatura manuals, targetes clau electròniques, codis PIN o aplicacions mòbils que permeten registres basats en la ubicació. Aquestes alternatives es preveuen menys invasives per a la privacitat, s’alineen amb el principi de minimització de dades del RGPD i encara complir amb els requisits operacionals del lloc de treball.

L’impacte per a les empreses dels nous criteris de l’AEPD en reconèixer la biometria com mancada de legitimació per al tractament de dades és significatiu. Les empreses hauran de reconsiderar l’ús de sistemes de control biomètric, ja que la Guia limita fortament aquestes pràctiques. Sense una base legal específica, consentiment explícit (molt complicat de fer servir en la pràctica per el desequilibri entre empresa i treballador i tenir que superar el judici d’idoneïtat) o acords col·lectius amb garanties adequades, les empreses no podran utilitzar dades biomètriques per a controls de presència o accés.

Tot això pot requerir canvis operatius significatius i, com dèiem, la implementació de mètodes alternatius de control de presència que respectin la privacitat i la protecció de dades dels empleats.  L’Agència, fins i tot, recomana explorar opcions que ni siguin tecnològiques com, per exemple, la utilització de recursos humans. Vaja, posar un vigilant a la porta, com s’ha fet tota la vida. En fi …

D’ara en endavant, no poseu el dit enlloc i cuideu-vos!

No et quedis enrere!

Converteix la IA en la teva avantatge de Recursos Humans

Accedeix a continguts exclusius sobre Dret Digital Laboral i Intel·ligència Artificial a RRHH: alertes crítiques, guies pràctiques, checklists i més, que la teva empresa necessita avui per protegir-se i créixer.

Revisió Texts legals web