Dret i empresa en entorns digitals

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Transcripció de veu amb IA: la pregunta no és si funciona, sinó si la teva organització està preparada

per

La IA transcriu, però la responsabilitat continua sent humana

La creixent adopció d'eines d'intel·ligència artificial per a transcriure reunions, trucades o converses està transformant la forma en què les organitzacions gestionen la informació. Agilitat, automatització i eficiència són avantatges evidents. No obstant això, darrere d'aquesta millora operativa existeix una qüestió que moltes empreses encara no s'han plantejat: qui respon quan la tecnologia s'equivoca?

La recent reflexió de l'AEPD recorda una idea essencial: utilitzar IA per a transcriure veu no implica traslladar la responsabilitat al proveïdor tecnològic. L'organització que decideix implantar aquestes eines continua sent responsable del tractament i de les seves conseqüències.

Quan un error de transcripció deixa de ser un error menor

Els errors poden tenir un impacte molt major del que sembla. Una transcripció pot atribuir una declaració a la persona equivocada, eliminar matisos rellevants o registrar dades incorrectes. Un nom mal identificat, un càrrec erroni o una frase treta de context poden afectar la qualitat de la informació i, en determinats escenaris, generar riscos jurídics i de compliment.

La qüestió no és si la tecnologia falla—perquè pot fer-ho—, sinó si l'organització ha previst què ocorrerà quan succeeixi.

Transparència, conservació i drets: riscos que solen passar desapercebuts

La transparència també ocupa un paper central. Les persones han de conèixer de manera clara quan la seva veu està sent tractada mitjançant sistemes d'IA, amb quina finalitat i quin ús posterior pot donar-se a aquesta informació.

A més, és necessari revisar aspectes que amb freqüència passen desapercebuts: les gravacions es conserven més temps del necessari?, les dades s'utilitzen per a reentrenar models?, existeixen mecanismes senzills per a rectificar errors o exercir drets?

L'experiència demostra que moltes organitzacions incorporen solucions de transcripció automàtica com una funcionalitat més dins de plataformes col·laboratives o eines de productivitat, sense analitzar realment les implicacions de privacitat i governança que incorporen.

La veritable pregunta: ha revisat la teva organització tot el que hauria?

Potser la pregunta rellevant ja no és si utilitzar o no aquestes eines. La qüestió és una altra: la teva organització ha revisat realment tot el que hauria de revisar?

  • Ha analitzat el paper i les responsabilitats del proveïdor?
  • Existeixen protocols per a validar i corregir transcripcions errònies?
  • S'han definit períodes adequats de conservació?
  • S'informa correctament empleats, clients o participants?
  • S'han avaluat els riscos des d'una perspectiva de privacitat i compliment?

La intel·ligència artificial pot aportar un enorme avantatge competitiu, però la innovació sostenible exigeix alguna cosa més a implementar tecnologia: requereix fer-ho amb garanties.

Les organitzacions que obtindran major valor d'aquestes eines no seran necessàriament les que adoptin més IA, sinó aquelles que hagin dedicat temps a entendre les seves implicacions i a implantar-la amb garanties.

Com sempre, cuideu les dades i cuideu-vos!

Evidències digitals: el gran oblidat del compliment 

per

Moltes organitzacions han avançat en els últims anys en matèria de compliment: polítiques internes, protocols, formacions, clàusules, procediments… El problema és que, en massa casos, tot això continua vivint en documents estàtics que rares vegades es connecten amb l'operativa real de l'empresa.

I aquí apareix un dels majors riscos actuals: no poder demostrar què es va fer, quan, per qui i amb quins controls.

El compliment ja no es mesura només pel que una organització té documentat, sinó per la seva capacitat per a acreditar que realment funciona.

1. El compliment ja no és un PDF

Durant anys, moltes empreses han entès el compliance com una qüestió principalment documental: disposar de polítiques, manuals o procediments.

El context ha canviat; normatives com el RGPD, el Reglament Europeu d'IA, els requisits de ciberseguretat o els sistemes interns d'informació exigeixen alguna cosa més: traçabilitat i capacitat de prova.

No n'hi ha prou amb afirmar que existeix un control, sinó que cal poder demostrar: quan es va aplicar, qui va intervenir, quina decisió es va prendre, i quines evidències ho recolzen.

2. El problema de veritat apareix quan hi ha un incident

La diferència entre un compliment «formal» i un realment operatiu sol aparèixer en el pitjor moment: una inspecció, una reclamació, una bretxa de seguretat o un conflicte laboral.

En aquest escenari, les preguntes canvien ràpidament:

  • pots acreditar que es va informar l'empleat?
  • existeix registre de l'autorització?
  • va quedar documentada la revisió humana?
  • es pot reconstruir què va ocórrer?

Moltes vegades la resposta és incompleta perquè l'organització tenia polítiques… però no evidències.

3. De la documentació estàtica a sistemes defensables

El repte actual no és generar més documentació, sinó construir sistemes que permetin convertir el compliment en una cosa aplicable, mesurable i defensable.

Això afecta pràcticament a totes les àrees:

  • protecció de dades,
  • ús d'intel·ligència artificial,
  • ciberseguretat,
  • canal intern de denúncies,
  • desconnexió digital,
  • controls laborals o recerques internes.

En tots aquests àmbits, l'element diferencial ja no és només «tenir normes», sinó comptar amb mecanismes que permetin acreditar com s'executen realment.

4. L'evidència digital com a element estratègic

Moltes organitzacions continuen veient les evidències digitals com un aspecte tècnic o secundari. No obstant això, cada vegada tenen més pes des del punt de vista jurídic i operatiu.

Registres d'activitat, logs, autoritzacions, revisions, traçabilitat d'accessos o validacions internes són elements que permeten demostrar diligència i control.

I això té un impacte directe:

  • redueix exposició davant sancions,
  • enforteix la posició de l'empresa davant conflictes,
  • i millora la capacitat de resposta davant incidents.

Conclusió: el compliment que no es pot provar és cada vegada menys útil

Les organitzacions ja no necessiten únicament polítiques ben redactades. Necessiten estructures que permetin demostrar que aquestes polítiques s'apliquen de manera efectiva.

Perquè el canvi de paradigma real és aquí: passar d'un compliment basat en documents a un compliment basat en evidències.

I en un entorn on conflueixen IA, protecció de dades, ciberseguretat i relacions laborals, aquesta capacitat de prova comença a convertir-se en un avantatge competitiu.

La pregunta clau: Si demà la teva organització hagués de justificar una decisió, una actuació o un control concret… podria demostrar-lo amb evidències clares i traçables, o només amb un procediment en PDF?

Com sempre, cuideu les dades i cuideu-vos!

La política d’IA que funciona: menys normes, més circuit 

per

En moltes organitzacions, la resposta a l'auge de la intel·ligència artificial ha estat immediata: redactar una política interna i distribuir-la en format PDF. El problema és que, en la pràctica, una política que no s'integra en l'operativa diària acaba sent irrellevant. 

Mentrestant, l'ús d'eines d'IA—moltes vegades fora dels canals autoritzats—continua creixent. El fenomen del Shadow AI no es corregeix amb prohibicions generals, sinó amb alternatives viables. 

L'Agència Espanyola de Protecció de Dades (AEPD), en la seva Política d'ús d'IA generativa, apunta cap a un enfocament més pràctic: no es tracta només de regular, sinó d'establir un marc operatiu que permeti l'ús segur d'aquestes eines. 

L'error habitual: polítiques que no es poden aplicar 

Moltes polítiques d'IA comparteixen un problema comú: estan ben redactades, però mal aterrades. Prohibeixen usos genèrics o imposen restriccions àmplies, sense oferir solucions concretes per al dia a dia. 

El resultat és previsible: els empleats continuen necessitant aquestes eines per a ser més eficients, i acaben utilitzant-les fos dels canals corporatius. 

Això no sols incrementa el risc, sinó que redueix la capacitat de l'organització per a controlar i supervisar l'ús real de la IA. 

El que sí que funciona: crear un circuit d'autorització 

Enfront d'aquest enfocament, l'AEPD proposa una lògica distinta: permetre l'ús de la IA, però dins d'un marc estructurat i controlat. 

Una política eficaç no és només un document, sinó un circuit d'autorització i governança que inclogui: 

  • Casos d'ús definits: què es pot fer i en quins contextos.  
  • Usuaris autoritzats: qui pot utilitzar determinades eines i per a què fins.  
  • Eines validades: quines solucions han estat avaluades des del punt de vista de protecció de dades i seguretat.  
  • Supervisió humana: revisió en aquells processos on existeixi major impacte o risc.  

Aquest enfocament permet canalitzar l'ús de la IA en lloc d'intentar bloquejar-lo. 

Menys prohibició, més alternativa segura 

Un dels missatges clau és que prohibir eines poques vegades funciona. Quan no existeix una alternativa clara, els usuaris buscaran solucions pel seu compte. 

Per contra, quan l'organització ofereix un «camí fàcil i segur»—eines aprovades, criteris clars i suport intern—l'ús no autoritzat disminueix de manera natural. 

Aquest canvi d'enfocament transforma el problema: el Shadow AI deixa de ser una qüestió disciplinària per a convertir-se en un problema de disseny organitzatiu. 

Governança d'IA: control sense fricció 

El repte per a les empreses no és triar entre control o productivitat, sinó integrar tots dos elements. Una política ben dissenyada permet mantenir el control sobre les dades i els riscos; garantir el compliment del RGPD; i, al mateix temps, facilitar el treball diari dels equips.  

La clau està a construir un sistema on l'ús correcte de la IA sigui més senzill que l'ús no autoritzat. 

Conclusió: la política útil és la que s'usa 

En el context actual, tenir una política d'IA ja no és suficient. El rellevant és que aquesta política sigui operativa, comprensible i aplicable. 

Les organitzacions que entenen això deixen de veure la IA com un risc que cal limitar i comencen a gestionar-la com una capacitat que cal governar. 

Perquè, en la pràctica, la millor política no és la més restrictiva, sinó la que aconsegueix una cosa molt més difícil: ordenar l'ús de la IA sense frenar la productivitat. 

Com sempre, cuideu les dades i cuideu-vos! 

Shadow AI en el treball: com supervisar sense travessar la línia de la vigilància

per

L'ús d'eines d'intel·ligència artificial en l'entorn laboral—moltes vegades fora dels canals oficials—està obligant les empreses a replantejar els seus mecanismes de control. El fenomen del Shadow AI planteja un dilema clar: les organitzacions necessiten supervisió, però un enfocament excessiu pot derivar en conflictes laborals i riscos legals. 

L'Agència Espanyola de Protecció de Dades (AEPD), a la seva Guia sobre protecció de dades en les relacions laborals, ofereix un marc clar: el control és legítim, però ha de respectar els principis de proporcionalitat, transparència i minimització. 

El punt de partida: el control empresarial és legítim 

L'Estatut dels Treballadors reconeix la facultat de l'empresa per a adoptar mesures de vigilància i control amb la finalitat de verificar el compliment de les obligacions laborals. Aquest control inclou l'ús d'eines digitals i, per extensió, l'ús que els empleats fan de tecnologies com la intel·ligència artificial. 

Ara bé, com recorda l'AEPD, aquest control ha d'exercir-se dins dels límits del RGPD i la LOPDGDD. És a dir, no tot val: qualsevol mesura ha de ser proporcionada, justificada i respectuosa amb els drets fonamentals dels treballadors. 

El risc de la «vigilància total» 

Davant l'auge del Shadow AI, algunes organitzacions poden caure en la temptació d'implantar sistemes de monitoratge intensiu: registre d'activitat, anàlisi de comportament, captura d'ús d'eines o supervisió contínua. 

El problema és que aquest enfocament pot ser contraproduent. L'AEPD adverteix que les mesures de control excessives poden vulnerar drets com la intimitat o el secret de les comunicacions, especialment si no estan degudament justificades. 

A més, un sistema de vigilància desproporcionat pot generar: 

  • conflictes laborals i pèrdua de confiança, 
  • incompliments en matèria de protecció de dades, 
  • i, en cas d'incident, proves febles o impugnables per haver-se obtingut sense garanties. 

La clau: supervisió proporcional i amb garanties 

L'equilibri està a dissenyar un model de control basat en tres pilars fonamentals: 

Proporcionalitat 

Les mesures han de ser adequades al risc. No és el mateix controlar accessos a informació sensible que monitorar de forma generalitzada tota l'activitat digital. L'empresa ha d'optar per solucions menys intrusives quan siguin suficients. 

Informació prèvia i transparència 

Els treballadors han de conèixer de manera clara quines eines s'utilitzen, quines dades es recullen i amb quina finalitat. L'AEPD insisteix en la importància de polítiques internes ben definides i comunicades. 

Finalitat i minimització 

Les dades recollides han de limitar-se a l'estrictament necessari per a la finalitat perseguida. No es justifica recopilar informació excessiva «per si de cas». 

Shadow AI: del control tècnic a la governança 

Controlar l'ús d'IA en l'empresa no és només una qüestió tecnològica. És, sobretot, una qüestió de governança de la dada i cultura organitzativa. 

Les organitzacions més madures estan optant per enfocaments combinats: 

  • polítiques clares sobre ús d'IA, 
  • formació a empleats sobre riscos, 
  • eines autoritzades i segures, 
  • i controls selectius orientats a riscos concrets. 

Aquest enfocament no elimina el risc, però el gestiona sense envair innecessàriament l'espai del treballador. 

Conclusió: controlar sí, però amb disseny jurídic 

El Shadow AI no se soluciona amb més vigilància, sinó amb millor disseny. La clau està a trobar un equilibri entre control i drets, entre seguretat i confiança. 

Les empreses que optin per mesures desproporcionades no solament s'exposen a sancions, sinó també a un problema més subtil: perdre la validesa dels seus propis mecanismes de control. 

Perquè en l'entorn laboral digital, no n'hi ha prou amb supervisar. Cal fer-ho de manera que, arribat el moment, pugui sostenir-se jurídica i provatòriament. 

 Com sempre, cuideu les dades i cuideu-vos! 

Subcontractació en cadena i RGPD: 15.000 € per oblidar que el control no es delega 

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a DYNAMIC EXPRESS COURIER S.L. amb 15.000 euros per incompliments de l'article 28 del RGPD en el marc d'un servei de recollida documental per a ING. La resolució ofereix una lliçó clara per a qualsevol organització que actuï com a encarregat del tractament i recorri a tercers en la prestació del servei. 

Més enllà de l'extraviament de documentació bancària amb dades altament sensibles, el focus de l'AEPD se situa en una cosa estructural: la gestió de la cadena de subcontractació i el compliment formal—i material—de les exigències de l'article 28 RGPD. 

Els fets: una cadena de subencàrrecs sense control efectiu 

ING, com a responsable del tractament, va contractar a DYNAMIC com a encarregat per a la recollida de documentació de clients. Durant la vigència del contracte (1 de setembre de 2022 a 28 de febrer de 2023), DYNAMIC va recórrer a SENDING com subencarregat. 

Al seu torn, SENDING va subcontractar a AUTORADIO per a executar materialment la recollida de la documentació. El problema no va ser només operatiu (la documentació mai va arribar a destí), sinó jurídic: 

  • No constava autorització prèvia i per escrit d'ING per a comptar amb SENDING com a subencarregat. 
  • Tampoc es va acreditar que ING hagués estat informada de la intervenció d’AUTORADIO. 
  • Els contractes de subencàrrec aportats no complien plenament amb les exigències del RGPD. 

L'AEPD declara provat que DYNAMIC tenia coneixement de la intervenció d’AUTORADIO i que no ho va comunicar al responsable. 

Article 28.2 RGPD: l'autorització no és un formalisme 

L'article 28.2 RGPD estableix que l'encarregat no podrà recórrer a un altre encarregat sense l'autorització prèvia, específica o general, del responsable. 

En aquest cas, el contracte entre ING i DYNAMIC exigia autorització prèvia i expressa per a subcontractar. No obstant això, no constava autorització per a SENDING ni comunicació relativa a AUTORADIO. 

L'AEPD aprecia dues infraccions de l'article 28.2 RGPD: 

  • Subencarregar sense autorització prèvia i per escrit. 
  • No informar el responsable sobre canvis en la cadena de subcontractació. 

El missatge és clar: el responsable ha de poder conèixer, controlar i, si és el cas, oposar-se als subencarregats que intervenen en el tractament. 

 Article 28.4 RGPD: el contracte de subencargo ha de ser adequat 

La resolució també analitza l'article 28.4 RGPD, que exigeix que el subencarregat assumeixi les mateixes obligacions en matèria de protecció de dades que les establertes entre responsable i encarregat. 

Els contractes entre DYNAMIC i SENDING presentaven deficiències rellevants: no identificaven correctament al responsable (ING) i no reflectien adequadament el marc contractual específic. 

L'AEPD conclou que no n'hi ha prou amb tenir «algun contracte» de protecció de dades. El contingut ha d'ajustar-se al RGPD i a les instruccions concretes del responsable. 

La sanció: tres infraccions, 15.000 euros 

Finalment, l'AEPD imposa: 

  • 5.000 € per subencarregar a SENDING sense autorització (art. 28.2 RGPD). 
  • 5.000 € per no informar sobre la intervenció d’AUTORADIO (art. 28.2 RGPD). 
  • 5.000 € per no comptar amb un contracte de subencàrrec vàlid amb SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 

Conclusió: la responsabilitat en cadena també és responsabilitat jurídica 

Aquesta resolució recorda que l'article 28 RGPD no és una clàusula estàndard que es copia i enganxa en els contractes. És un mecanisme essencial per a garantir que els drets dels interessats es preservin al llarg de tota la cadena de tractament. 

Per a responsables i encarregats, la lliçó és evident: 

  • Identificar i documentar tots els subencarregats. 
  • Exigir autorització prèvia quan així s'estableixi. 
  • Formalitzar contractes plenament alineats amb el RGPD. 
  • Mantenir traçabilitat i control real sobre la cadena de proveïdors. 

En protecció de dades, delegar la prestació del servei no implica delegar la responsabilitat. I quan el control es dilueix en la cadena de subcontractació, el risc—jurídic i reputacional—es multiplica. 

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, feu clic aquí. 

Arriba el canal europeu de denúncies sobre IA: què suposa per a les empreses i com preparar-se

per

La governança de la intel·ligència artificial a Europa fa un pas decisiu amb el llançament de l'AI Act Whistleblower Tool, el nou canal europeu per a denunciar infraccions relacionades amb l'ús i desenvolupament de sistemes de IA. L'eina, impulsada per l'Oficina Europea d'Intel·ligència Artificial, introdueix una capa addicional de vigilància en un moment clau: el Reglament d'Intel·ligència Artificial (RIA o AI Act) avança cap a la seva plena aplicació, i les empreses tecnològiques hauran de reforçar la seva cultura de compliment normatiu.

Encara que moltes obligacions del RIA encara no són exigibles, Brussel·les vol anticipar-se a possibles incompliments i converteix a empleats, col·laboradors i socis comercials en aliats estratègics per a detectar riscos. Aquest enfocament se suma al marc ja existent a Espanya, compost per l'Autoritat Independent de Protecció de l'Informant (AIPI), l'Agència Espanyola de Supervisió d'Intel·ligència Artificial (AESIA) i els sistemes interns d'informació obligatoris sota la Llei 2/2023.

En què consisteix l'AI Act Whistleblower Tool?

Es tracta d'un canal de denúncia extern, segur, confidencial i totalment independent dels sistemes interns de les companyies. Permet comunicar presumptes infraccions del RIA, tant en obligacions ja actives com en àmbits connexos afectats pel desplegament de IA:

  • Seguretat de productes.
  • Protecció del consumidor.
  • Privacitat i seguretat de les dades.
  • Pràctiques internes que puguin posar en risc drets fonamentals o la confiança pública.

No obstant això, els experts adverteixen que el seu abast encara és limitat: algunes obligacions—com la transparència sobre les dades d'entrenament—no seran exigibles fins a fases posteriors, i la protecció plena dels denunciants no serà aplicable fins al 2 d'agost de 2026.

Un ecosistema de canals que conviurà i se solaparà

El nou canal europeu no substitueix als mecanismes nacionals. Les denúncies podran presentar-se tant per via interna com externa, sense necessitat d'esgotar cap via prèviament. Això obre la porta a investigacions paral·leles i, potencialment, a un solapament de sancions si concorren diferents supervisors.

Davant aquesta falta de claredat pràctica, els especialistes en compliance recomanen reforçar els sistemes interns per a millorar la seva eficàcia i capacitat de resposta. La Llei 2/2023 exigeix que el sistema intern sigui accessible, garanteixi l'anonimat i la confidencialitat, protegeixi enfront de represàlies i compti amb una gestió independent, encara que l'operació pugui externalitzar-se.

A més, les empreses han d'informar no sols del seu canal intern, sinó també dels canals externs disponibles, inclosos els europeus.

Què han de fer ara les tecnològiques?

Amb la posada en marxa del canal europeu, les organitzacions que desenvolupen o integren IA deurien:

  1. Revisar i actualitzar els seus programes de compliance, incorporant obligacions del RIA i protocols específics de IA.
  2. Auditar els seus sistemes interns d'informació per a garantir la seva eficiència, accessibilitat i alineació amb la Llei 2/2023.
  3. Capacitar als equips sobre obligacions de l'AI Act, riscos legals i funcionament dels diferents canals.
  4. Avaluar l'impacte de possibles recerques simultànies i preparar plans de resposta coordinats.

En un entorn regulador cada vegada més complex, la prevenció i la transparència seran claus per a evitar riscos sancionadors i reputacionals. El missatge és clar: l'era de la supervisió reforçada de la IA ja ha començat, i les empreses han d'estar preparades.

Com sempre, cuideu les dades i cuideu-vos!

 

 

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l'entorn laboral. En un context marcat per la cautela de l'Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l'empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l'hospital

El conflicte enfrontava al comitè d'empresa i a la Confederació Intersindical Galega enfront de l'Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l'ús obligatori d'un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l'article 34.9 de l'Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l'excepció de l'article 9.2.i) del RGPD, relativa al tractament necessari per raons d'interès públic en l'àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l'hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d'accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l'absència d'una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l'AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d'ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l'empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d'interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l'incompliment empresarial en matèria de desconnexió digital posa l'accent en la necessitat urgent que les companyies passin de les bones intencions a l'acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de "complir i poder demostrar-ho" marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l'entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l'obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L'increment de controls el 2025 ha fet aflorar pràctiques com l'enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l'absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s'ha d'adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L' experiència europea ho confirma: la desconnexió s' integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l' ús de dispositius i canals fora d' horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només "de cara a la galeria" han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l'estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l'Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n'hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d'ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

El dret a desconnectar no es negocia: sanció a LVMH per ús indegut del mòbil d’una empleada

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 70.000€ a LVMH Iberia per obligar una empleada a usar el seu telèfon mòbil personal per a finalitats laborals, fins i tot en contra de la seva voluntat. Aquesta actuació constitueix una vulneració tant del Reglament General de Protecció de Dades (RGPD) com del dret a la desconnexió digital previst en la LOPDGDD.

L'afectada es va veure forçada a utilitzar el seu número de telèfon personal per a participar en grups de WhatsApp corporatius, a l'espera d'un telèfon d'empresa que mai se li va lliurar. Un dia abans d'iniciar les seves vacances, va comunicar per escrit i verbalment la seva intenció de deixar d'usar el seu mòbil personal per a temes de treball, es va sortir de diversos grups i va reiterar que esperava disposar del dispositiu corporatiu promès.

No obstant això, al dia següent, mentre gaudia del seu dia lliure, va ser inclosa sense consentiment en un nou grup de WhatsApp de l'empresa, en el qual va romandre fins al seu acomiadament. Davant aquesta situació, va presentar una reclamació davant l'AEPD.

L'empresa, per part seva, va justificar la seva actuació assegurant que va adoptar una «postura garantista» i que els grups només incloïen a empleats, la qual cosa consideraven una mesura adequada i necessària per a l'operativa diària. També van al·legar que, en general, els treballadors accedeixen a aquests grups amb dispositius corporatius i que l'ús del telèfon personal és una cosa «excepcional i transitòria».

No obstant això, l'AEPD va considerar que va haver-hi una doble infracció:

  • Violació de l' 6.1 RGPD, per utilitzar dades personals (el número de telèfon privat) sense base legal vàlida ni consentiment explícit.
  • Vulneració del dret a la desconnexió digital ( 88 LOPDGDD), per obligar l'empleada a participar en comunicacions laborals fins i tot durant les seves vacances, sense respectar els límits del descans personal.

Com a conseqüència, l'AEPD va imposar una multa inicial de 70.000€, que va quedar reduïda a 42.000€, després del reconeixement de responsabilitat i al pagament voluntari per part de l'empresa.

Conclusió

Aquest cas marca un precedent important en l'àmbit laboral digital: les empreses no poden imposar l'ús de dispositius personals per al treball sense consentiment clar i revocable, i han de respectar el dret a la desconnexió digital, especialment fora de l'horari laboral o en períodes de descans.

Cal recordar a totes les organitzacions que la gestió de grups de WhatsApp o altres eines informals no eximeix del compliment del RGPD, i que la comoditat operativa no justifica la invasió de la vida privada dels empleats.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Revisió Texts legals web