Drets i llibertats digitals de les persones

2.1. El desarrollo de los derechos humanos de “cuarta generación”.
2.2. La libertad de acceso a la información en Internet: exclusiones e inclusiones digitales.
2.3. La libertad de expresión, de asociación y de pensamiento en el ciberespacio.
2.4. El asesoramiento jurídico de Social Media Managers y Community Managers.
2.5. Derecho, menores y familia en entornos digitales.
2.6. La neutralidad en la Red versus monopolios y oligopolios tecnológicos.

Minimització mal entesa: 1’2 milions d’euros per destruir dades de salut

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha imposat una multa d'1.200.000 euros a IDCQ Hospitals i Sanitat, SLU (Quirón Salud Madrid) per l'eliminació indeguda de proves mèdiques aportades per un pacient. El cas posa el focus en un aspecte crític—i sovint mal entès—de la protecció de dades en l'àmbit sanitari: la conservació de la documentació clínica, fins i tot quan no ha estat generada pel propi centre.

Els fets: un CD que mai va tornar

Al novembre de 2021, un pacient va lliurar a l'hospital un CD amb ressonàncies magnètiques realitzades entre 2018 i 2020 a altres centres, amb l'objectiu que fossin comparades clínicament amb una nova prova abans de sotmetre's al seu tractament assistencial a l'hospital. Mesos després, en sol·licitar la devolució del suport, l'hospital li va comunicar que les imatges ja no estaven disponibles a causa de la seva política interna d'eliminació d'arxius per falta d'espai.

La resposta va ser clara: el suport havia estat destruït després de no ser recollit en el termini d'un mes.

La defensa de l'hospital: minimització i criteri mèdic

L'hospital va al·legar que el CD no formava part de la història clínica oficial al ser una prova provinent d’altres centres, que la informació rellevant ja havia estat incorporada a l'informe mèdic i que conservar les imatges originals seria contrari al principi de minimització de dades. A més, va sostenir que el pacient havia estat informat del termini de recollida, pel que la seva falta d'acció durant aquest termini legitimava la destrucció del suport.

Un plantejament que, sobre el paper, semblava alinear-se amb uns certs principis del RGPD. Però que no va convèncer a l'AEPD.

El criteri de l'AEPD: documentació clínica no és només història clínica

L'Agència rebutja de manera categòrica aquestes al·legacions. Secundant-se en la Llei 41/2002, d'autonomia del pacient, recorda que existeix una diferència clau entre història clínica i documentació clínica.

Aquesta última inclou qualsevol suport que contingui informació assistencial, amb independència del seu origen o de qui l'hagi generat. És a dir, la llei no diferència entre si la documentació clínica ha estat aportada pel pacient o generada pel centre.

Per tant, aquí està el punt central: les proves aportades pel pacient també són documentació clínica, i consegüentment, han de conservar-se durant almenys cinc anys (art. 17 de la Llei 41/2002), precisament per a garantir la continuïtat assistencial i la seguretat del pacient.

Les infraccions: un error que va més enllà d'un error puntual

L'AEPD aprecia tres infraccions greus del RGPD:

  • Article 9 RGPD (100.000 €): supressió de dades de salut—categoria especial—sense que concorregués cap de les excepcions de l'article 9.2.
  • Article 6 RGPD (100.000 €): tractament (en aquest cas, eliminació) sense base jurídica vàlida.
  • Article 25 RGPD (1.000.000 €): absència de privacitat des del disseny i per defecte, en evidenciar-se un problema estructural en la gestió de suports amb dades de salut.

L'Agència subratlla que no es tracta d'un descuit aïllat, sinó d'una deficiència sistèmica en els procediments interns.

Conclusions

Entre els factors agreujants destaquen l'elevat volum de negoci de l’empresa, l'extrema sensibilitat de les dades, la naturalesa sanitària de la seva activitat i el dany irreversible causat al pacient, que podria afectar estudis mèdics futurs.

La resolució deixa un missatge clar per al sector sanitari: la minimització de dades no pot convertir-se en una excusa per a suprimir informació que la llei obliga a conservar. I encara menys quan parlem de dades de salut.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Un Nadal … massa intel·ligent? Els perills ocults de les joguines amb IA per a nens

per

La nova estrella dels regals nadalencs

Aquest Nadal, les joguines amb intel·ligència artificial integrada s'han convertit en un dels productes més destacats del mercat. Robots interactius, peluixos «conversacionals» i figures animades prometen parlar amb els nens, respondre preguntes, contar històries i fins i tot «aprendre» de cada interacció.

Encara que joguines parlants existeixen des de fa dècades—basta recordar als Furbies—, la diferència ara és substancial: molts d'aquests productes estan connectats a models avançats d’IA, similars als chatbots que utilitzen els adults. I aquí és on comencen els problemes.

Tecnologia nova, efectes desconeguts

Una recent investigació de l'U.S. Public Interest Research Group (PIRG) i proves independents realitzades per la NBC News han encès les alarmes. Els experts adverteixen de què es tracta d'una tecnologia poc provada en menors, els efectes de les quals a mitjà i llarg termini es desconeixen.

La pregunta clau, segons els investigadors, és inquietant: estem «experimentant» amb nens utilitzant tecnologies que ni tan sols els adults comprenem del tot?

Respostes perilloses i inapropiades

Les proves de la NBC News realitzades a diverses joguines populars van revelar comportaments preocupants. Alguns peluixos i robots van ser capaços de:

  • Donar instruccions detallades per a encendre llumins o esmolar ganivets.
  • Respondre de manera explícita a preguntes sobre sexe, drogues o pràctiques sexuals.
  • Oferir continguts ideològics o polítics sense cap mena de context.

En converses prolongades, les anomenades «barreres de seguretat» de seguretat—dissenyades per a evitar continguts inapropiats—fallaven amb freqüència, deixant passar respostes clarament incompatibles amb un públic infantil.

Privacitat infantil: el gran oblidat

Més enllà del contingut, la protecció de dades és un altre dels grans riscos. Alguns d'aquestes joguines recullen i emmagatzemen:

  • Gravacions de veu.
  • Converses completes.
  • Dades biomètriques com el rostre, to emocional o patrons d'ús.

En uns certs casos, aquestes informacions poden conservar-se durant anys i compartir-se amb tercers, malgrat que la pròpia joguina asseguri verbalment al nen que «no comptarà res a ningú». Una contradicció especialment greu quan parlem de menors.

Dependència emocional i vincle artificial

Els experts en desenvolupament infantil alerten també del risc d’afecció emocional. Moltes d'aquestes joguines estan dissenyades per a fomentar interaccions prolongades, fer preguntes constants i «recompensar» al nen per continuar jugant.

El problema és que, a edats primerenques, aquest tipus de vincle amb una IA pot afectar el desenvolupament del llenguatge, la socialització i la capacitat de relacionar-se amb persones reals. No és casualitat que pediatres i associacions infantils recomanin limitar el temps d'exposició a pantalles i dispositius intel·ligents.

Què haurien de tenir en compte les famílies aquest Nadal?

La intel·ligència artificial no és, en si mateixa, l'enemic. Però, aplicada sense suficient regulació, transparència ni estudis previs, pot convertir-se en un risc real per als nens.

Aquest Nadal, abans de col·locar una joguina «intel·ligent» sota l'arbre, convé fer-se algunes preguntes bàsiques: quines dades recull?, qui els controla?, quin tipus de respostes pot donar?, poden els pares limitar el seu ús?

A vegades, el millor regal no és el més tecnològic, sinó aquell que fomenta el joc compartit, la creativitat i la connexió familiar. Perquè no tot el que parla… hauria de fer-ho.

Com sempre, cuideu les dades i cuideu-vos!

Els EE.UU endureixen el control digital a turistes: xarxes socials i privacitat en el centre del debat

per

Viatjar als Estats Units podria deixar de ser un tràmit relativament senzill per a milions de persones. L'Administració Trump ha anunciat una proposta que obligaria als viatgers que utilitzin el Visa Waiver Program (VWP) a declarar els identificadors de xarxes socials usats en els últims cinc anys com a part del procés d'autorització de viatge.

La mesura, publicada per la U.S. Customs and Border Protection (CBP), forma part d'una estratègia més àmplia destinada a reforçar el control migratori i «examinar als visitants al màxim nivell possible». Si s'aprova, entraria en vigor el 8 de febrer i afectaria ciutadans de 42 països, principalment europeus, a més d'Austràlia i altres socis tradicionals dels EE.UU

Més dades personals, més preguntes

El canvi no es limita a les xarxes socials. El formulari ESTA passaria a exigir també:

  • Totes les adreces de correu electrònic utilitzades en els últims deu anys.
  • Informació detallada sobre familiars directes (pares, germans, fills i cònjuges), incloent-hi noms, dates i llocs de naixement i domicilis.

Encara que l'avís es troba en fase de consulta pública durant 60 dies, l'abast de la informació sol·licitada ha generat inquietud immediata, tant dins com fora del país.

L'impacte en el turisme i els negocis

Des del sector turístic estatunidenc, les reaccions han estat cauteloses però preocupades. La U.S. Travel Association ha advertit que un procés d'entrada massa intrusiu pot provocar que els viatgers internacionals optin per altres destins.

Aquesta preocupació no és menor si es té en compte el context: els Estats Units serà un dels amfitrions del Mundial de Futbol de 2026, un esdeveniment que s'espera atregui a milions de visitants i contribueixi a revitalitzar el turisme internacional, que ha sofert un descens en els últims anys.

Les crítiques no s'han fet esperar. La senadora demòcrata Patty Murray ha ironitzat i indicat que «seria més fàcil prohibir directament el turisme». Des de l'àmbit acadèmic, alguns analistes han assenyalat que el nivell de control proposat resulta fins i tot més restrictiu que l'aplicat per països amb polítiques frontereres tradicionalment dures.

Aquestes comparacions han alimentat el debat sobre si la mesura és realment eficaç des del punt de vista de la seguretat o si, per contra, suposa un cost reputacional per als EE.UU.

Privacitat digital: el gran debat de fons

Des d'una perspectiva de dret digital, la proposta planteja qüestions clau sobre privacitat i tractament de dades personals. La recopilació massiva d'informació en línia i familiar contrasta amb principis com la minimització i la proporcionalitat, àmpliament consolidats en normatives com el Reglament General de Protecció de Dades (RGPD) a Europa.

Encara que aquestes normes no siguin directament aplicables als EUA, sí que influeixen en la percepció que ciutadans i empreses estrangeres tenen sobre la seguretat i l'ús de les seves dades.

Seguretat, diners i contradiccions

De manera paral·lela, l'Administració ha llançat programes com la denominada «gold card», que permetria obtenir la residència permanent als qui inverteixin un milió de dòlars, o una futura «platinum card» de cinc milions. Una dualitat que reforça la sensació que el control no s'aplica d'igual forma a tots els perfils.

En un món cada vegada més digital, les fronteres ja no sols es controlen amb passaports, sinó també amb dades. I la pregunta clau continua oberta: fins a on estem disposats a arribar en nom de la seguretat?

Com sempre, cuideu les dades i cuideu-vos!

Biometria en turbulències: què revela la sanció milionària de l’AEPD a AENA

per

L'Agència Espanyola de Protecció de Dades ha imposat a AENA la multa més elevada de la seva història: 10.043.002 € per la utilització de sistemes de reconeixement facial en diversos aeroports sense haver dut a terme una Avaluació d'Impacte en Protecció de Dades (EIPD) completa i vàlida, conforme a l'exigit per l'article 35 del RGPD. La resolució, extensa i detallada, ofereix una anàlisi exhaustiva de les deficiències detectades en el disseny i la documentació del tractament de dades biomètriques per part de l'entitat.

L'expedient deixa clar que el problema no va ser l'adopció de tecnologia biomètrica com a concepte, sinó com es va dissenyar i es va justificar la seva implantació. L'Agència conclou que AENA no va acreditar adequadament la necessitat, proporcionalitat ni els riscos del sistema, aspectes que constitueixen el nucli d'una EIPD robusta i prèvia.

Un tractament d'alt risc sense una EIPD adequada

Al llarg de la resolució, l'AEPD identifica diverses mancances estructurals en l'avaluació presentada per AENA:

  • Insuficiència en l'anàlisi de necessitat i proporcionalitat. Les EIPD no demostraven per què era imprescindible recórrer a un sistema d'identificació 1:N, basat en comparació contra bases de dades centralitzades, quan existien mètodes menys invasius que podien complir la mateixa finalitat operativa.
  • Anàlisi de riscos incomplet i desalineat amb el projecte inicial. La documentació aportada no incloïa l'anàlisi de riscos original de 2021; en el seu lloc, es va presentar un elaborat en 2023, desconnectat del disseny previ i, per tant, incapaç de justificar el tractament des de la seva concepció.
  • Metodologia inadequada per a un projecte d'alta complexitat. L'Agència subratlla que es van utilitzar eines orientades a organitzacions més petites, no adequades per a un sistema implantat en diversos aeroports i que tractava dades de categoria especial.
  • Falta de coherència entre els advertiments rebuts i la continuïtat del projecte. AENA havia plantejat consultes prèvies en les quals reconeixia dificultats per a reduir el risc a nivells acceptables, però, tot i així, va avançar cap a fases pilot i operatives sense disposar d'una EIPD completa.

Un matís important: l'AEPD no rebutja la biometria en aeroports

Encara que la sanció sigui contundent, l'Agència no qüestiona que la biometria pugui utilitzar-se legítimament en aeroports. De fet, la pròpia resolució al·ludeix al Dictamen 11/2024 del Comitè Europeu de Protecció de Dades, que descriu models d'ús compatibles amb el RGPD.

La clau està en el disseny. Existeixen escenaris en els quals la tecnologia biomètrica es basa en:

  • Plantilles emmagatzemades únicament en el dispositiu del passatger.
  • Comparacions 1:1 locals i efímeres.
  • Absència d'emmagatzematge centralitzat per part de l'operador.

Aquest tipus de solucions, menys intrusives i més contingudes, podrien superar el judici de necessitat i proporcionalitat que exigeix el RGPD i que l'AEPD ha trobat a faltar en el cas d'AENA.

Conclusió: un avís i un full de ruta

La sanció no tanca la porta a la biometria, però sí que marca un estàndard clar: qualsevol tractament d'aquest tipus exigeix justificació sòlida, metodologia adequada i una EIPD exhaustiva, prèvia i ben fonamentada. La innovació i l'eficiència operativa són compatibles amb la protecció de dades, sempre que s'integrin des del disseny les garanties necessàries.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l'entorn digital: la difusió d'imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l'Agència apreciés una infracció de l'article 6.1 del RGPD, al tractar-se d'un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L'article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d'elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l'infractor no obté benefici ni persegueix una fi sexual.

L'AEPD recorda que el rostre d'una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l'agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d'imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L'absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l'ús d'intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d'edat, entra en joc l'article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d'imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d'humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d'intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L'AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La nova febre digital: quant costa la teva veu al mercat de la IA?

per

Recentment, Neon s'ha convertit en una de les aplicacions més descarregades del moment. La seva proposta sembla irresistible: pagar als usuaris per gravar i vendre les seves trucades telefòniques. Fins a 30 dòlars al dia per deixar que la seva veu—i les converses que manté—s'utilitzin per a entrenar models d'intel·ligència artificial.

La idea és senzilla: Neon registra les trucades de l'usuari i, si tots dos interlocutors tenen instal·lada l'app, ambdues veus s'utilitzen per a alimentar sistemes d’IA que aprenen a reconèixer, imitar o analitzar el llenguatge humà. A canvi, l'usuari rep una petita compensació econòmica per minut gravat.

Però darrere de l'atractiu model «tecnologia a canvi de diners», sorgeixen enormes interrogants legals i ètics. Sabem realment què estem cedint quan acceptem gravar la nostra veu?

Dades biomètriques: la veu com a identitat digital

A diferència d'una simple dada personal, la veu és un identificador biomètric únic, perquè permet reconèixer, imitar i suplantar identitats. Per això, el Reglament General de Protecció de Dades (RGPD) europeu la considera dada sensible i el seu tractament requereix un consentiment explícit i informat.

El problema és que, segons els termes d'ús de Neon, l'usuari atorga a l'empresa una llicència àmplia i pràcticament il·limitada per a «reproduir, emmagatzemar, modificar i distribuir» les seves gravacions. En la pràctica, això implica cedir el control total sobre una dada que no sols revela la veu, sinó també informació contextual, emocional i de tercers.

De fet, si la trucada és amb algú que no utilitza Neon, l'app igualment grava la part de l'usuari… però inevitablement es capten fragments de l'altra persona. Això planteja dubtes seriosos en matèria de consentiment dels interlocutors i vulnera principis bàsics de minimització i finalitat del RGPD.

Entre la curiositat i el risc

L'empresa assegura que les gravacions s'anonimitzen abans de ser venudes a tercers. No obstant això, experts en seguretat digital alerten: la veu és extraordinàriament difícil d'anonimitzar. Pot utilitzar-se per a crear imitacions perfectes mitjançant IA, obrir comptes bancaris, o fins i tot suplantar a familiars en estafes telefòniques.

A més, les incongruències detectades entre les tarifes anunciades en l'App Store i les publicades en la web de Neon generen dubtes sobre la transparència real del model.

Conclusió: el preu real de la veu

L'èxit viral de Neon demostra una tendència preocupant: cada cop més usuaris estan disposats a monetitzar la seva privacitat a canvi de beneficis immediats. L'«economia de la dada» evoluciona cap a un escenari on la identitat es converteix en un actiu comercializable, sense que molts comprenguin les conseqüències a llarg termini.

Cedir la veu no és innocu, és cedir una part irrepetible de la nostra identitat digital. Per això, abans d'acceptar els «termes i condicions», convé preguntar-se: quant val realment la meva veu? I qui l'escoltarà quan ja no sigui meva?

Com sempre, cuideu les dades i cuideu-vos!

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d'implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l'ús d'empremtes dactilars per a controlar l'accés amb l'entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l'ús fraudulent d'aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l'empremta dactilar del visitant en el primer accés. Aquesta informació s'encriptava, convertint-se en una «representació matemàtica» que s'usava per a confirmar que la mateixa persona accedia després al segon parc.

L'empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s'emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l'AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s'usen per a autenticar o verificar la identitat d'un individu.

L'AEPD recorda que l'art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s'ofereix una alternativa real a l'ús de l’empremta.

A més a més, no s'havia realitzat la preceptiva Avaluació d'Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l'oci. L'AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l'usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d'alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA sota control: a partir del 2 d’agost, innovar sense complir la llei deixarà de ser una opció

per

A partir de demà 2 d'agost de 2025, el Reglament d'Intel·ligència Artificial de la Unió Europea (RIA) començarà a aplicar la majoria de les seves disposicions, marcant un abans i un després en l'ús de la intel·ligència artificial a Europa.

I no, no fa falta usar un sistema d’IA avançat per a estar afectat. Des d'aquesta data, totes les eines que utilitzin IA hauran de complir amb obligacions bàsiques, fins i tot si no es consideren d'alt risc. Per exemple, si utilitzes chatbots o altres assistents conversacionals amb IA, hauràs d'informar clarament l'usuari que està interactuant amb un sistema automatitzat; i, si generes contingut amb IA (imatges, vídeos, textos), hauràs d'advertir que ha estat creat amb intel·ligència artificial.

Així mateix, encara que no és obligatori, també es recomana explicar com funciona l'automatització, per a reforçar la transparència.

Quan es considera que un sistema és d'alt risc?

Només en determinats casos, com a sistemes d’IA que afecten a:

  • Processos de contractació o avaluació laboral.
  • Educació i avaluació d’estudiants.
  • Accés a serveis essencials o públics (salut, habitatge, crèdit, immigració).
  • Biometria, vigilància o diagnòstic mèdic.
  • Aplicació de la llei o decisions judicials.

  • Infraestructures crítiques, transport o sistemes industrials.

Si el teu sistema entra en una d'aquestes categories, les exigències legals es multipliquen: hauràs de realitzar anàlisi de riscos, garantir la supervisió humana, documentació tècnica exhaustiva, implementar mesures de ciberseguretat, registre en una base de dades europea i complir amb els requisits d'inspecció i supervisió reguladora.

Compte amb la confusió entre «model» i «sistema»

El Reglament d’IA distingeix entre models de IA (com GPT, Gemini o Claude) i sistemes d’IA, que són les eines concretes que els integren (com un chatbot, una app o una plataforma de gestió documental). Les obligacions comentades s'apliquen als sistemes, no directament als models base.

Conclusió

A partir d'aquest 2 d'agost, ja no hi ha excuses. Si la teva empresa usa intel·ligència artificial —encara que sigui de manera bàsica o puntual—, ha de conèixer i complir amb les noves regles. Perquè la innovació no està renyida amb la transparència i, en la nova era de la IA, complir la normativa serà part del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web