Derechos y libertades digitales de las personas

2.1. El desarrollo de los derechos humanos de “cuarta generación”.
2.2. La libertad de acceso a la información en Internet: exclusiones e inclusiones digitales.
2.3. La libertad de expresión, de asociación y de pensamiento en el ciberespacio.
2.4. El asesoramiento jurídico de Social Media Managers y Community Managers.
2.5. Derecho, menores y familia en entornos digitales.
2.6. La neutralidad en la Red versus monopolios y oligopolios tecnológicos.

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l’entorn digital: la difusió d’imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l’Agència apreciés una infracció de l’article 6.1 del RGPD, al tractar-se d’un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L’article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d’elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l’infractor no obté benefici ni persegueix una fi sexual.

L’AEPD recorda que el rostre d’una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l’agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d’imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L’absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l’ús d’intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d’edat, entra en joc l’article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d’imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d’humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d’intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L’AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La nova febre digital: quant costa la teva veu al mercat de la IA?

per

Recentment, Neon s’ha convertit en una de les aplicacions més descarregades del moment. La seva proposta sembla irresistible: pagar als usuaris per gravar i vendre les seves trucades telefòniques. Fins a 30 dòlars al dia per deixar que la seva veu—i les converses que manté—s’utilitzin per a entrenar models d’intel·ligència artificial.

La idea és senzilla: Neon registra les trucades de l’usuari i, si tots dos interlocutors tenen instal·lada l’app, ambdues veus s’utilitzen per a alimentar sistemes d’IA que aprenen a reconèixer, imitar o analitzar el llenguatge humà. A canvi, l’usuari rep una petita compensació econòmica per minut gravat.

Però darrere de l’atractiu model «tecnologia a canvi de diners», sorgeixen enormes interrogants legals i ètics. Sabem realment què estem cedint quan acceptem gravar la nostra veu?

Dades biomètriques: la veu com a identitat digital

A diferència d’una simple dada personal, la veu és un identificador biomètric únic, perquè permet reconèixer, imitar i suplantar identitats. Per això, el Reglament General de Protecció de Dades (RGPD) europeu la considera dada sensible i el seu tractament requereix un consentiment explícit i informat.

El problema és que, segons els termes d’ús de Neon, l’usuari atorga a l’empresa una llicència àmplia i pràcticament il·limitada per a «reproduir, emmagatzemar, modificar i distribuir» les seves gravacions. En la pràctica, això implica cedir el control total sobre una dada que no sols revela la veu, sinó també informació contextual, emocional i de tercers.

De fet, si la trucada és amb algú que no utilitza Neon, l’app igualment grava la part de l’usuari… però inevitablement es capten fragments de l’altra persona. Això planteja dubtes seriosos en matèria de consentiment dels interlocutors i vulnera principis bàsics de minimització i finalitat del RGPD.

Entre la curiositat i el risc

L’empresa assegura que les gravacions s’anonimitzen abans de ser venudes a tercers. No obstant això, experts en seguretat digital alerten: la veu és extraordinàriament difícil d’anonimitzar. Pot utilitzar-se per a crear imitacions perfectes mitjançant IA, obrir comptes bancaris, o fins i tot suplantar a familiars en estafes telefòniques.

A més, les incongruències detectades entre les tarifes anunciades en l’App Store i les publicades en la web de Neon generen dubtes sobre la transparència real del model.

Conclusió: el preu real de la veu

L’èxit viral de Neon demostra una tendència preocupant: cada cop més usuaris estan disposats a monetitzar la seva privacitat a canvi de beneficis immediats. L’«economia de la dada» evoluciona cap a un escenari on la identitat es converteix en un actiu comercializable, sense que molts comprenguin les conseqüències a llarg termini.

Cedir la veu no és innocu, és cedir una part irrepetible de la nostra identitat digital. Per això, abans d’acceptar els «termes i condicions», convé preguntar-se: quant val realment la meva veu? I qui l’escoltarà quan ja no sigui meva?

Com sempre, cuideu les dades i cuideu-vos!

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d’implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l’ús d’empremtes dactilars per a controlar l’accés amb l’entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l’ús fraudulent d’aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l’empremta dactilar del visitant en el primer accés. Aquesta informació s’encriptava, convertint-se en una «representació matemàtica» que s’usava per a confirmar que la mateixa persona accedia després al segon parc.

L’empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s’emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l’AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s’usen per a autenticar o verificar la identitat d’un individu.

L’AEPD recorda que l’art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s’ofereix una alternativa real a l’ús de l’empremta.

A més a més, no s’havia realitzat la preceptiva Avaluació d’Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l’oci. L’AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l’usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d’alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA sota control: a partir del 2 d’agost, innovar sense complir la llei deixarà de ser una opció

per

A partir de demà 2 d’agost de 2025, el Reglament d’Intel·ligència Artificial de la Unió Europea (RIA) començarà a aplicar la majoria de les seves disposicions, marcant un abans i un després en l’ús de la intel·ligència artificial a Europa.

I no, no fa falta usar un sistema d’IA avançat per a estar afectat. Des d’aquesta data, totes les eines que utilitzin IA hauran de complir amb obligacions bàsiques, fins i tot si no es consideren d’alt risc. Per exemple, si utilitzes chatbots o altres assistents conversacionals amb IA, hauràs d’informar clarament l’usuari que està interactuant amb un sistema automatitzat; i, si generes contingut amb IA (imatges, vídeos, textos), hauràs d’advertir que ha estat creat amb intel·ligència artificial.

Així mateix, encara que no és obligatori, també es recomana explicar com funciona l’automatització, per a reforçar la transparència.

Quan es considera que un sistema és d’alt risc?

Només en determinats casos, com a sistemes d’IA que afecten a:

  • Processos de contractació o avaluació laboral.
  • Educació i avaluació d’estudiants.
  • Accés a serveis essencials o públics (salut, habitatge, crèdit, immigració).
  • Biometria, vigilància o diagnòstic mèdic.
  • Aplicació de la llei o decisions judicials.

  • Infraestructures crítiques, transport o sistemes industrials.

Si el teu sistema entra en una d’aquestes categories, les exigències legals es multipliquen: hauràs de realitzar anàlisi de riscos, garantir la supervisió humana, documentació tècnica exhaustiva, implementar mesures de ciberseguretat, registre en una base de dades europea i complir amb els requisits d’inspecció i supervisió reguladora.

Compte amb la confusió entre «model» i «sistema»

El Reglament d’IA distingeix entre models de IA (com GPT, Gemini o Claude) i sistemes d’IA, que són les eines concretes que els integren (com un chatbot, una app o una plataforma de gestió documental). Les obligacions comentades s’apliquen als sistemes, no directament als models base.

Conclusió

A partir d’aquest 2 d’agost, ja no hi ha excuses. Si la teva empresa usa intel·ligència artificial —encara que sigui de manera bàsica o puntual—, ha de conèixer i complir amb les noves regles. Perquè la innovació no està renyida amb la transparència i, en la nova era de la IA, complir la normativa serà part del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

Com un accés a ASNEF va costar el lloc a un directiu bancari: El TS equipara consultar morositat sense causa al robatori d’informació

per

La Sentència del Tribunal Suprem nº37/2025 resol un recurs de cassació presentat per Banco Sabadell SA contra una sentència que va declarar improcedent l’acomiadament disciplinari d’un empleat per accessos no autoritzats a fitxers de morositat i retrocessió irregular de comissions.

Fets provats

El treballador, que portava des del 2000 treballant per al Banc Sabadell, va consultar dades en fitxers de morositat de diverses persones i empreses sense consentiment, algunes d’elles sense relació contractual amb el banc. Per això, l’ entitat bancària li va comunicar el seu acomiadament disciplinari, fonamentat en infraccions molt greus tipificades en l‘ art.  69.1 del conveni col.lectiu del sector de Banca, relatiu a l’ art.  54.2.d) de l’ Estatut dels Treballadors.

El Banc va al·legar que el treballador va realitzar diverses consultes sense justificació de fitxers de morositat. Concretament, l’empleat va realitzar, sense cap justificació, recerques de fins a 4 persones físiques i una empresa en sis dates diferents. Una d’aquestes persones investigades va presentar una queixa al Banc per haver-se consultat les seves dades personals tenir una base legítima per a això i va reclamar que se li compensés el dany ocasionat.

Així mateix, l’actor també va realitzar retrocessions de comissions per un valor de 133’80€ a favor d’un amic que era client d’una altra oficina.

El treballador acomiadat va defensar les seves accions al·legant que va realitzar els accessos als fitxers de morositat com una mera acció comercial. D’altra banda, respecte a les retrocessions de comissions, va indicar que el va realitzar com un favor al seu amic personal.

No obstant això, el Banc va decidir executar l’acomiadament disciplinari en considerar els fets com a molt greus i constitutius de transgressió de la bona fe contractual, abús de confiança en l’acompliment del treball i frau o deslleialtat en les gestions encomanades.

Decisió del Tribunal Suprem

En aquest supòsit, el Tribunal Suprem considera provada la transgressió de bona fe contractual i abús de confiança per part de l’ ara ex-empleat i subratlla l’ ús indegut de facultats directives per beneficiar tercers sense interès empresarial. A més, destaca que els accessos realitzats en més d’ una ocasió van ser accessos a dades sensibles sense base legítima, per la qual cosa es constitueix una vulneració de l’ art. ~ ~ ~ 20 de la LOPDGDD, precepte que indica que només es pot consultar la informació dels sistemes d’ informació creditícia quan es mantingués una relació contractual amb l’ afectat.

D’altra banda, s’identifica també una vulneració de l’ article 5.1.f) RGPD, el qual preveu que les dades personals han de ser tractades garantint una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit (principi de confidencialitat).

Conclusió

Aquesta sentència senti precedent sobre l’ abast del deure de lleialtat en el maneig de dades personals, establint que l’ ús no autoritzat de sistemes d’ informació creditícia per directius bancaris, encara que sigui puntual, justifica l’ extinció contractual per risc substancial per als interessos empresarials.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d’ un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l’empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l’ empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d’ acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d’empresa ni d’un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l’escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l’accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l’ art. 20.3 ET s’ atribueix a l’ empresari la facultat d’ adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d’aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l’organització productiva en què s’integra, s’ha afirmat que manifestacions de l’exercici d’aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d’ Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d’instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l’empresa li ha d’abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Drets digitals dels menors i màrqueting responsable

per

En un món cada vegada més digitalitzat, el màrqueting dirigit a menors ha cobrat una rellevància significativa, ja que la tecnologia està a l’abast de les persones cada vegada a una edat més primerenca. Per això, s’ ha manifestat la necessitat d’ implementar regulacions estrictes i estratègies responsables per protegir aquest grup vulnerable. Les noves normatives i pràctiques busquen equilibrar la influència del màrqueting digital mentre s’assegura el benestar i la seguretat dels menors.

Regulacions recents en màrqueting dirigit a menors

La Unió Europea ha estat pionera a establir regulacions que protegeixen els menors en l’entorn digital. La Llei de Serveis Digitals (DSA, per les seves sigles en anglès) és un exemple clau, ja que prohibeix la publicitat basada en perfils per a menors i obliga les plataformes en línia a avaluar els riscos sistèmics que puguin afectar els drets i el benestar mental dels infants.

D’altra banda, a Espanya, s’ha aprovat justament aquest any el Reial Decret d’«Usuaris d’Especial Rellevància», que obliga els influencers a etiquetar contingut per edats i prohibeix la promoció de productes com tabac o alcohol, assegurant que no es causi dany psicològic o físic als menors.

Estratègies de màrqueting responsable

1. Transparència i veracitat

L’ètica en la publicitat exigeix que les marques siguin transparents i veraços en les seves comunicacions. Això implica presentar informació precisa sobre productes i serveis, evitant afirmacions enganyoses que puguin erosionar la confiança del consumidor. Les campanyes han de ser clares sobre la seva naturalesa publicitària, especialment quan s’ adrecin a menors.

2. Inclusió i diversitat

Les estratègies de màrqueting responsable també promouen la inclusió i diversitat. Per això, és fonamental que les campanyes reflecteixin una varietat de cultures i contextos perquè tots els infants se sentin representats. Això no només millora la percepció de marca, sinó que també fomenta un entorn més inclusiu.

3. Ús ètic dels influencers

L’ ús d‘ influencers infantils requereix un enfocament ètic. Les marques s’ han d’ assegurar que aquests influencers promoguin productes adequats per a la seva audiència i compleixin amb les regulacions pertinents. A més, han d’ evitar qualsevol contingut que pugui explotar la inexperiència o credulitat dels menors.

4. Contingut educatiu i entretingut

El contingut adreçat a menors ha de ser tant educatiu com entretingut. Les campanyes efectives utilitzen elements lúdics per captar l’atenció mentre transmeten missatges positius o educatius. Això no només ajuda a mantenir l’interès de l’infant, sinó que també contribueix al desenvolupament cognitiu.

Reptes actuals

Malgrat les regulacions i estratègies responsables, hi ha desafiaments significatius:

  1. Adaptació tecnològica: La ràpida evolució tecnològica requereix una constant actualització de les normatives per abordar noves formes de publicitat digital.
  2. Compliment global: Les diferències entre les legislacions nacionals i internacionals compliquen el compliment uniforme per part de les empreses globals.
  3. Equilibri entre creativitat i regulació: Les marques han de trobar un equilibri entre ser creatives i innovadores en les seves campanyes mentre compleixen amb les regulacions estrictes.

Conclusió

El màrqueting dirigit a menors és un camp delicat que requereix una atenció meticulosa tant des del punt de vista legal com ètic. Les recents regulacions busquen protegir els menors mentre permeten que les marques continuïn interactuant amb aquest públic de manera responsable. A mesura que avança la tecnologia, serà crucial que les empreses continuïn adaptant-se per garantir pràctiques publicitàries segures i efectives. En fer-ho, no només compliran amb les normatives vigents, sinó que també contribuiran al desenvolupament positiu de l’ entorn digital per a les generacions futures.

Com sempre, cuideu les dades i cuideu-vos!

La protecció de dades personals i la publicitat dirigida: la decisió del TJUE contra Meta

per

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Revisió Texts legals web