Derechos y libertades digitales de las personas

2.1. El desarrollo de los derechos humanos de “cuarta generación”.
2.2. La libertad de acceso a la información en Internet: exclusiones e inclusiones digitales.
2.3. La libertad de expresión, de asociación y de pensamiento en el ciberespacio.
2.4. El asesoramiento jurídico de Social Media Managers y Community Managers.
2.5. Derecho, menores y familia en entornos digitales.
2.6. La neutralidad en la Red versus monopolios y oligopolios tecnológicos.

Els EE.UU endureixen el control digital a turistes: xarxes socials i privacitat en el centre del debat

per

Viatjar als Estats Units podria deixar de ser un tràmit relativament senzill per a milions de persones. L’Administració Trump ha anunciat una proposta que obligaria als viatgers que utilitzin el Visa Waiver Program (VWP) a declarar els identificadors de xarxes socials usats en els últims cinc anys com a part del procés d’autorització de viatge.

La mesura, publicada per la U.S. Customs and Border Protection (CBP), forma part d’una estratègia més àmplia destinada a reforçar el control migratori i «examinar als visitants al màxim nivell possible». Si s’aprova, entraria en vigor el 8 de febrer i afectaria ciutadans de 42 països, principalment europeus, a més d’Austràlia i altres socis tradicionals dels EE.UU

Més dades personals, més preguntes

El canvi no es limita a les xarxes socials. El formulari ESTA passaria a exigir també:

  • Totes les adreces de correu electrònic utilitzades en els últims deu anys.
  • Informació detallada sobre familiars directes (pares, germans, fills i cònjuges), incloent-hi noms, dates i llocs de naixement i domicilis.

Encara que l’avís es troba en fase de consulta pública durant 60 dies, l’abast de la informació sol·licitada ha generat inquietud immediata, tant dins com fora del país.

L’impacte en el turisme i els negocis

Des del sector turístic estatunidenc, les reaccions han estat cauteloses però preocupades. La U.S. Travel Association ha advertit que un procés d’entrada massa intrusiu pot provocar que els viatgers internacionals optin per altres destins.

Aquesta preocupació no és menor si es té en compte el context: els Estats Units serà un dels amfitrions del Mundial de Futbol de 2026, un esdeveniment que s’espera atregui a milions de visitants i contribueixi a revitalitzar el turisme internacional, que ha sofert un descens en els últims anys.

Les crítiques no s’han fet esperar. La senadora demòcrata Patty Murray ha ironitzat i indicat que «seria més fàcil prohibir directament el turisme». Des de l’àmbit acadèmic, alguns analistes han assenyalat que el nivell de control proposat resulta fins i tot més restrictiu que l’aplicat per països amb polítiques frontereres tradicionalment dures.

Aquestes comparacions han alimentat el debat sobre si la mesura és realment eficaç des del punt de vista de la seguretat o si, per contra, suposa un cost reputacional per als EE.UU.

Privacitat digital: el gran debat de fons

Des d’una perspectiva de dret digital, la proposta planteja qüestions clau sobre privacitat i tractament de dades personals. La recopilació massiva d’informació en línia i familiar contrasta amb principis com la minimització i la proporcionalitat, àmpliament consolidats en normatives com el Reglament General de Protecció de Dades (RGPD) a Europa.

Encara que aquestes normes no siguin directament aplicables als EUA, sí que influeixen en la percepció que ciutadans i empreses estrangeres tenen sobre la seguretat i l’ús de les seves dades.

Seguretat, diners i contradiccions

De manera paral·lela, l’Administració ha llançat programes com la denominada «gold card», que permetria obtenir la residència permanent als qui inverteixin un milió de dòlars, o una futura «platinum card» de cinc milions. Una dualitat que reforça la sensació que el control no s’aplica d’igual forma a tots els perfils.

En un món cada vegada més digital, les fronteres ja no sols es controlen amb passaports, sinó també amb dades. I la pregunta clau continua oberta: fins a on estem disposats a arribar en nom de la seguretat?

Com sempre, cuideu les dades i cuideu-vos!

Biometria en turbulències: què revela la sanció milionària de l’AEPD a AENA

per

L’Agència Espanyola de Protecció de Dades ha imposat a AENA la multa més elevada de la seva història: 10.043.002 € per la utilització de sistemes de reconeixement facial en diversos aeroports sense haver dut a terme una Avaluació d’Impacte en Protecció de Dades (EIPD) completa i vàlida, conforme a l’exigit per l’article 35 del RGPD. La resolució, extensa i detallada, ofereix una anàlisi exhaustiva de les deficiències detectades en el disseny i la documentació del tractament de dades biomètriques per part de l’entitat.

L’expedient deixa clar que el problema no va ser l’adopció de tecnologia biomètrica com a concepte, sinó com es va dissenyar i es va justificar la seva implantació. L’Agència conclou que AENA no va acreditar adequadament la necessitat, proporcionalitat ni els riscos del sistema, aspectes que constitueixen el nucli d’una EIPD robusta i prèvia.

Un tractament d’alt risc sense una EIPD adequada

Al llarg de la resolució, l’AEPD identifica diverses mancances estructurals en l’avaluació presentada per AENA:

  • Insuficiència en l’anàlisi de necessitat i proporcionalitat. Les EIPD no demostraven per què era imprescindible recórrer a un sistema d’identificació 1:N, basat en comparació contra bases de dades centralitzades, quan existien mètodes menys invasius que podien complir la mateixa finalitat operativa.
  • Anàlisi de riscos incomplet i desalineat amb el projecte inicial. La documentació aportada no incloïa l’anàlisi de riscos original de 2021; en el seu lloc, es va presentar un elaborat en 2023, desconnectat del disseny previ i, per tant, incapaç de justificar el tractament des de la seva concepció.
  • Metodologia inadequada per a un projecte d’alta complexitat. L’Agència subratlla que es van utilitzar eines orientades a organitzacions més petites, no adequades per a un sistema implantat en diversos aeroports i que tractava dades de categoria especial.
  • Falta de coherència entre els advertiments rebuts i la continuïtat del projecte. AENA havia plantejat consultes prèvies en les quals reconeixia dificultats per a reduir el risc a nivells acceptables, però, tot i així, va avançar cap a fases pilot i operatives sense disposar d’una EIPD completa.

Un matís important: l’AEPD no rebutja la biometria en aeroports

Encara que la sanció sigui contundent, l’Agència no qüestiona que la biometria pugui utilitzar-se legítimament en aeroports. De fet, la pròpia resolució al·ludeix al Dictamen 11/2024 del Comitè Europeu de Protecció de Dades, que descriu models d’ús compatibles amb el RGPD.

La clau està en el disseny. Existeixen escenaris en els quals la tecnologia biomètrica es basa en:

  • Plantilles emmagatzemades únicament en el dispositiu del passatger.
  • Comparacions 1:1 locals i efímeres.
  • Absència d’emmagatzematge centralitzat per part de l’operador.

Aquest tipus de solucions, menys intrusives i més contingudes, podrien superar el judici de necessitat i proporcionalitat que exigeix el RGPD i que l’AEPD ha trobat a faltar en el cas d’AENA.

Conclusió: un avís i un full de ruta

La sanció no tanca la porta a la biometria, però sí que marca un estàndard clar: qualsevol tractament d’aquest tipus exigeix justificació sòlida, metodologia adequada i una EIPD exhaustiva, prèvia i ben fonamentada. La innovació i l’eficiència operativa són compatibles amb la protecció de dades, sempre que s’integrin des del disseny les garanties necessàries.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l’entorn digital: la difusió d’imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l’Agència apreciés una infracció de l’article 6.1 del RGPD, al tractar-se d’un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L’article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d’elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l’infractor no obté benefici ni persegueix una fi sexual.

L’AEPD recorda que el rostre d’una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l’agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d’imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L’absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l’ús d’intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d’edat, entra en joc l’article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d’imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d’humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d’intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L’AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La nova febre digital: quant costa la teva veu al mercat de la IA?

per

Recentment, Neon s’ha convertit en una de les aplicacions més descarregades del moment. La seva proposta sembla irresistible: pagar als usuaris per gravar i vendre les seves trucades telefòniques. Fins a 30 dòlars al dia per deixar que la seva veu—i les converses que manté—s’utilitzin per a entrenar models d’intel·ligència artificial.

La idea és senzilla: Neon registra les trucades de l’usuari i, si tots dos interlocutors tenen instal·lada l’app, ambdues veus s’utilitzen per a alimentar sistemes d’IA que aprenen a reconèixer, imitar o analitzar el llenguatge humà. A canvi, l’usuari rep una petita compensació econòmica per minut gravat.

Però darrere de l’atractiu model «tecnologia a canvi de diners», sorgeixen enormes interrogants legals i ètics. Sabem realment què estem cedint quan acceptem gravar la nostra veu?

Dades biomètriques: la veu com a identitat digital

A diferència d’una simple dada personal, la veu és un identificador biomètric únic, perquè permet reconèixer, imitar i suplantar identitats. Per això, el Reglament General de Protecció de Dades (RGPD) europeu la considera dada sensible i el seu tractament requereix un consentiment explícit i informat.

El problema és que, segons els termes d’ús de Neon, l’usuari atorga a l’empresa una llicència àmplia i pràcticament il·limitada per a «reproduir, emmagatzemar, modificar i distribuir» les seves gravacions. En la pràctica, això implica cedir el control total sobre una dada que no sols revela la veu, sinó també informació contextual, emocional i de tercers.

De fet, si la trucada és amb algú que no utilitza Neon, l’app igualment grava la part de l’usuari… però inevitablement es capten fragments de l’altra persona. Això planteja dubtes seriosos en matèria de consentiment dels interlocutors i vulnera principis bàsics de minimització i finalitat del RGPD.

Entre la curiositat i el risc

L’empresa assegura que les gravacions s’anonimitzen abans de ser venudes a tercers. No obstant això, experts en seguretat digital alerten: la veu és extraordinàriament difícil d’anonimitzar. Pot utilitzar-se per a crear imitacions perfectes mitjançant IA, obrir comptes bancaris, o fins i tot suplantar a familiars en estafes telefòniques.

A més, les incongruències detectades entre les tarifes anunciades en l’App Store i les publicades en la web de Neon generen dubtes sobre la transparència real del model.

Conclusió: el preu real de la veu

L’èxit viral de Neon demostra una tendència preocupant: cada cop més usuaris estan disposats a monetitzar la seva privacitat a canvi de beneficis immediats. L’«economia de la dada» evoluciona cap a un escenari on la identitat es converteix en un actiu comercializable, sense que molts comprenguin les conseqüències a llarg termini.

Cedir la veu no és innocu, és cedir una part irrepetible de la nostra identitat digital. Per això, abans d’acceptar els «termes i condicions», convé preguntar-se: quant val realment la meva veu? I qui l’escoltarà quan ja no sigui meva?

Com sempre, cuideu les dades i cuideu-vos!

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d’implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l’ús d’empremtes dactilars per a controlar l’accés amb l’entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l’ús fraudulent d’aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l’empremta dactilar del visitant en el primer accés. Aquesta informació s’encriptava, convertint-se en una «representació matemàtica» que s’usava per a confirmar que la mateixa persona accedia després al segon parc.

L’empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s’emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l’AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s’usen per a autenticar o verificar la identitat d’un individu.

L’AEPD recorda que l’art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s’ofereix una alternativa real a l’ús de l’empremta.

A més a més, no s’havia realitzat la preceptiva Avaluació d’Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l’oci. L’AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l’usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d’alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA sota control: a partir del 2 d’agost, innovar sense complir la llei deixarà de ser una opció

per

A partir de demà 2 d’agost de 2025, el Reglament d’Intel·ligència Artificial de la Unió Europea (RIA) començarà a aplicar la majoria de les seves disposicions, marcant un abans i un després en l’ús de la intel·ligència artificial a Europa.

I no, no fa falta usar un sistema d’IA avançat per a estar afectat. Des d’aquesta data, totes les eines que utilitzin IA hauran de complir amb obligacions bàsiques, fins i tot si no es consideren d’alt risc. Per exemple, si utilitzes chatbots o altres assistents conversacionals amb IA, hauràs d’informar clarament l’usuari que està interactuant amb un sistema automatitzat; i, si generes contingut amb IA (imatges, vídeos, textos), hauràs d’advertir que ha estat creat amb intel·ligència artificial.

Així mateix, encara que no és obligatori, també es recomana explicar com funciona l’automatització, per a reforçar la transparència.

Quan es considera que un sistema és d’alt risc?

Només en determinats casos, com a sistemes d’IA que afecten a:

  • Processos de contractació o avaluació laboral.
  • Educació i avaluació d’estudiants.
  • Accés a serveis essencials o públics (salut, habitatge, crèdit, immigració).
  • Biometria, vigilància o diagnòstic mèdic.
  • Aplicació de la llei o decisions judicials.

  • Infraestructures crítiques, transport o sistemes industrials.

Si el teu sistema entra en una d’aquestes categories, les exigències legals es multipliquen: hauràs de realitzar anàlisi de riscos, garantir la supervisió humana, documentació tècnica exhaustiva, implementar mesures de ciberseguretat, registre en una base de dades europea i complir amb els requisits d’inspecció i supervisió reguladora.

Compte amb la confusió entre «model» i «sistema»

El Reglament d’IA distingeix entre models de IA (com GPT, Gemini o Claude) i sistemes d’IA, que són les eines concretes que els integren (com un chatbot, una app o una plataforma de gestió documental). Les obligacions comentades s’apliquen als sistemes, no directament als models base.

Conclusió

A partir d’aquest 2 d’agost, ja no hi ha excuses. Si la teva empresa usa intel·ligència artificial —encara que sigui de manera bàsica o puntual—, ha de conèixer i complir amb les noves regles. Perquè la innovació no està renyida amb la transparència i, en la nova era de la IA, complir la normativa serà part del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

Com un accés a ASNEF va costar el lloc a un directiu bancari: El TS equipara consultar morositat sense causa al robatori d’informació

per

La Sentència del Tribunal Suprem nº37/2025 resol un recurs de cassació presentat per Banco Sabadell SA contra una sentència que va declarar improcedent l’acomiadament disciplinari d’un empleat per accessos no autoritzats a fitxers de morositat i retrocessió irregular de comissions.

Fets provats

El treballador, que portava des del 2000 treballant per al Banc Sabadell, va consultar dades en fitxers de morositat de diverses persones i empreses sense consentiment, algunes d’elles sense relació contractual amb el banc. Per això, l’ entitat bancària li va comunicar el seu acomiadament disciplinari, fonamentat en infraccions molt greus tipificades en l‘ art.  69.1 del conveni col.lectiu del sector de Banca, relatiu a l’ art.  54.2.d) de l’ Estatut dels Treballadors.

El Banc va al·legar que el treballador va realitzar diverses consultes sense justificació de fitxers de morositat. Concretament, l’empleat va realitzar, sense cap justificació, recerques de fins a 4 persones físiques i una empresa en sis dates diferents. Una d’aquestes persones investigades va presentar una queixa al Banc per haver-se consultat les seves dades personals tenir una base legítima per a això i va reclamar que se li compensés el dany ocasionat.

Així mateix, l’actor també va realitzar retrocessions de comissions per un valor de 133’80€ a favor d’un amic que era client d’una altra oficina.

El treballador acomiadat va defensar les seves accions al·legant que va realitzar els accessos als fitxers de morositat com una mera acció comercial. D’altra banda, respecte a les retrocessions de comissions, va indicar que el va realitzar com un favor al seu amic personal.

No obstant això, el Banc va decidir executar l’acomiadament disciplinari en considerar els fets com a molt greus i constitutius de transgressió de la bona fe contractual, abús de confiança en l’acompliment del treball i frau o deslleialtat en les gestions encomanades.

Decisió del Tribunal Suprem

En aquest supòsit, el Tribunal Suprem considera provada la transgressió de bona fe contractual i abús de confiança per part de l’ ara ex-empleat i subratlla l’ ús indegut de facultats directives per beneficiar tercers sense interès empresarial. A més, destaca que els accessos realitzats en més d’ una ocasió van ser accessos a dades sensibles sense base legítima, per la qual cosa es constitueix una vulneració de l’ art. ~ ~ ~ 20 de la LOPDGDD, precepte que indica que només es pot consultar la informació dels sistemes d’ informació creditícia quan es mantingués una relació contractual amb l’ afectat.

D’altra banda, s’identifica també una vulneració de l’ article 5.1.f) RGPD, el qual preveu que les dades personals han de ser tractades garantint una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit (principi de confidencialitat).

Conclusió

Aquesta sentència senti precedent sobre l’ abast del deure de lleialtat en el maneig de dades personals, establint que l’ ús no autoritzat de sistemes d’ informació creditícia per directius bancaris, encara que sigui puntual, justifica l’ extinció contractual per risc substancial per als interessos empresarials.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d’ un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l’empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l’ empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d’ acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d’empresa ni d’un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l’escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l’accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l’ art. 20.3 ET s’ atribueix a l’ empresari la facultat d’ adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d’aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l’organització productiva en què s’integra, s’ha afirmat que manifestacions de l’exercici d’aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d’ Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d’instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l’empresa li ha d’abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web