Derechos y libertades digitales de las personas

Ni anonimato ni IA: el RGPD se aplica incluso a las imágenes manipuladas digitalmente

por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.


Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.


Lo que dice el RGPD (y por qué importa aquí)


El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.


La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.


Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.


La IA no borra la responsabilidad


La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.


Lecciones que deja el caso


  • La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
  • Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
  • Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
  • El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones


La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.


Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.


El caso invita a un debate necesario:


  • ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
  • ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

La nueva fiebre digital: ¿cuánto cuesta tu voz en el mercado de la IA?

por

En apenas unos días, Neon se ha convertido en una de las aplicaciones más descargadas del momento. Su propuesta parece irresistible: pagar a los usuarios por grabar y vender sus llamadas telefónicas. Hasta 30 dólares al día por dejar que su voz—y las conversaciones que mantiene—se utilicen para entrenar modelos de inteligencia artificial.


La idea es sencilla: Neon registra las llamadas del usuario y, si ambos interlocutores tienen instalada la app, ambas voces se utilizan para alimentar sistemas de IA que aprenden a reconocer, imitar o analizar el lenguaje humano. A cambio, el usuario recibe una pequeña compensación económica por minuto grabado.


Pero detrás del atractivo modelo «tecnología a cambio de dinero», surgen enormes interrogantes legales y éticos. ¿Sabemos realmente qué estamos cediendo cuando aceptamos grabar nuestra voz?


Datos biométricos: la voz como identidad digital


A diferencia de un simple dato personal, la voz es un identificador biométrico único, pues permite reconocer, imitar y suplantar identidades. Por ello, el Reglamento General de Protección de Datos (RGPD) europeo la considera dato sensible y su tratamiento requiere un consentimiento explícito e informado.


El problema es que, según los términos de uso de Neon, el usuario otorga a la empresa una licencia amplia y prácticamente ilimitada para «reproducir, almacenar, modificar y distribuir» sus grabaciones. En la práctica, esto implica ceder el control total sobre un dato que no solo revela la voz, sino también información contextual, emocional y de terceros.


De hecho, si la llamada es con alguien que no utiliza Neon, la app igualmente graba la parte del usuario… pero inevitablemente se captan fragmentos de la otra persona. Esto plantea dudas serias en materia de consentimiento de los interlocutores y vulnera principios básicos de minimización y finalidad del RGPD.


Entre la curiosidad y el riesgo


La empresa asegura que las grabaciones se anonimizan antes de ser vendidas a terceros. Sin embargo, expertos en seguridad digital alertan: la voz es extraordinariamente difícil de anonimizar. Puede utilizarse para crear imitaciones perfectas mediante IA, abrir cuentas bancarias, o incluso suplantar a familiares en estafas telefónicas.


Además, las incongruencias detectadas entre las tarifas anunciadas en la App Store y las publicadas en la web de Neon generan dudas sobre la transparencia real del modelo.


Conclusión: el verdadero precio de la voz


El éxito viral de Neon demuestra una tendencia preocupante: cada vez más usuarios están dispuestos a monetizar su privacidad a cambio de beneficios inmediatos. La «economía del dato» evoluciona hacia un escenario donde la identidad se convierte en un activo comercializable, sin que muchos comprendan las consecuencias a largo plazo.


Ceder la voz no es inocuo, es ceder una parte irrepetible de nuestra identidad digital. Por eso, antes de aceptar los «términos y condiciones», conviene preguntarse: ¿cuánto vale realmente mi voz? ¿Y quién la escuchará cuando ya no sea mía?


Como siempre, cuidad los datos y ¡cuidaos!

Cuando el control de accesos sobrepasa la huella de la legalidad

por

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?


Hechos


Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.


La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.


Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.


La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.


Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.


Conclusión


Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:


  • Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
  • La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
  • El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.

Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

IA bajo control: a partir del 2 de agosto, innovar sin cumplir la ley dejará de ser una opción

por

A partir de mañana 2 de agosto de 2025, el Reglamento de Inteligencia Artificial de la Unión Europea (RIA) comenzará a aplicar la mayoría de sus disposiciones, marcando un antes y un después en el uso de la inteligencia artificial en Europa.


Y no, no hace falta usar un sistema de IA avanzado para estar afectado. Desde esa fecha, todas las herramientas que utilicen IA deberán cumplir con obligaciones básicas, incluso si no se consideran de alto riesgo. Por ejemplo, si usas chatbots u otros asistentes conversacionales con IA, deberás informar claramente al usuario de que está interactuando con un sistema automatizado; y, si generas contenido con IA (imágenes, vídeos, textos), deberás advertir que ha sido creado con inteligencia artificial.


Asimismo, aunque no es obligatorio, también se recomienda explicar cómo funciona la automatización, para reforzar la transparencia.


¿Cuándo se considera que un sistema es de alto riesgo?


Solo en determinados casos, como sistemas de IA que afectan a:


  • Procesos de contratación o evaluación laboral.
  • Educación y evaluación de estudiantes.
  • Acceso a servicios esenciales o públicos (salud, vivienda, crédito, inmigración).
  • Biometría, vigilancia o diagnóstico médico.
  • Aplicación de la ley o decisiones judiciales.
  • Infraestructuras críticas, transporte o sistemas industriales.

Si tu sistema entra en una de estas categorías, las exigencias legales se multiplican: tendrás que realizar análisis de riesgos, garantizar la supervisión humana, documentación técnica exhaustiva, implementar medidas de ciberseguridad, registro en una base de datos europea y cumplir con los requisitos de inspección y supervisión regulatoria.


Cuidado con la confusión entre «modelo» y «sistema»


El Reglamento de IA distingue entre modelos de IA (como GPT, Gemini o Claude) y sistemas de IA, que son las herramientas concretas que los integran (como un chatbot, una app o una plataforma de gestión documental). Las obligaciones comentadas se aplican a los sistemas, no directamente a los modelos base.


Conclusión


A partir de este 2 de agosto, ya no hay excusas. Si tu empresa usa inteligencia artificial —aunque sea de forma básica o puntual—, debe conocer y cumplir con las nuevas reglas. Porque la innovación no está reñida con la transparencia y, en la nueva era de la IA, cumplir la normativa será parte del diseño.


Como siempre, cuidad los datos y ¡cuidaos!

Revolución Legal: Nuevas Medidas Contra el Abuso Digital Infantil

por

El Gobierno español ha aprobado un proyecto de Ley Orgánica innovador para proteger a los menores en entornos digitales, abordando problemas como el grooming, las deepfakes sexuales y el acceso indiscriminado a contenido inapropiado. Presentada por los ministros Félix Bolaños y Sira Rego, esta norma busca posicionar a España como referente en la regulación del entorno digital para menores. El texto incluye reformas legales, controles tecnológicos y medidas educativas y sanitarias.


Entre los puntos más destacados está la reforma del Código Penal, que introduce nuevas figuras delictivas y agrava penas existentes. Por ejemplo, se tipifica como delito el uso de inteligencia artificial para crear deepfakes sexuales o vejatorios, con penas de prisión de hasta dos años. También se regula el grooming (práctica en la que adultos engañan a menores para obtener material pornográfico) y se considera como un agravante en delitos contra la libertad sexual. Además, se crean las órdenes de alejamiento digital, que prohíben a los agresores interactuar con sus víctimas en redes sociales u otras plataformas virtuales.


La ley también obligará a fabricantes de dispositivos digitales a incluir controles parentales gratuitos y fáciles de usar desde fábrica. Estos controles estarán disponibles en móviles, tabletas, televisores inteligentes y ordenadores. Asimismo, se eleva de 14 a 16 años la edad mínima para que los menores puedan dar su consentimiento al tratamiento de datos personales en redes sociales.


En el ámbito educativo, se impulsarán programas de alfabetización digital para enseñar a los menores a identificar riesgos y combatir desinformación. Los centros educativos tendrán autonomía para regular el uso de dispositivos electrónicos en sus instalaciones.


Por otro lado, en el sector sanitario, se implementarán pruebas en atención primaria para detectar problemas asociados al uso excesivo o inadecuado de tecnologías entre los jóvenes.


La norma también afecta a plataformas digitales y creadores de contenido con gran alcance, exigiéndoles implementar sistemas efectivos de verificación de edad y etiquetado claro sobre contenido potencialmente dañino. Además, prohíbe el acceso de menores a prácticas como las cajas de recompensa (loot boxes) en videojuegos.


Por último, se anuncia una Estrategia Nacional liderada por el Ministerio de Juventud e Infancia, que incluirá campañas informativas y una escuela para padres sobre entornos digitales. Con esta ley, España busca no solo proteger a los menores frente a riesgos actuales, sino también anticiparse a futuros desafíos tecnológicos.


Conclusión


La aprobación del proyecto de ley para proteger a menores en entornos digitales marca un hito en la regulación tecnológica en España. Con medidas como controles parentales obligatorios, reformas del Código Penal y programas educativos, el país busca liderar la protección infantil en el ámbito digital. Esta norma no solo aborda problemas actuales como el grooming y las deepfakes, sino que también establece un marco legal pionero para enfrentar futuros desafíos tecnológicos.


Como siempre, cuidad los datos y ¡cuidaos!

Cómo un acceso a ASNEF costó el puesto a un directivo bancario: El TS equipara consultar morosidad sin causa al robo de información

por

La Sentencia del Tribunal Supremo nº37/2025 resuelve un recurso de casación presentado por Banco Sabadell SA contra una sentencia que declaró improcedente el despido disciplinario de un empleado por accesos no autorizados a ficheros de morosidad y retrocesión irregular de comisiones.

Hechos probados

El trabajador, que llevaba desde el 2000 trabajando para el Banco Sabadell, consultó datos en ficheros de morosidad de varias personas y empresas sin consentimiento, algunas de ellas sin relación contractual con el banco. Por ello, la entidad bancaria le comunicó su despido disciplinario, fundamentado en infracciones muy graves tipificadas en el art. 69.1 del convenio colectivo del sector de Banca, relativo al art. 54.2.d) del Estatuto de los Trabajadores.

El Banco alegó que el trabajador realizó varias consultas sin justificación de ficheros de morosidad. Concretamente, el empleado realizó, sin justificación alguna, búsquedas de hasta 4 personas físicas y una empresa en seis fechas distintas. Una de estas personas investigadas presentó una queja al Banco por haberse consultado sus datos personales tener una base legítima para ello y reclamó que se le compensara el daño ocasionado.

Asimismo, el actor también realizó retrocesiones de comisiones por un valor de 133’80€ a favor de un amigo que era cliente de otra oficina.

El trabajador despedido defendió sus acciones alegando que realizó los accesos a los ficheros de morosidad como una mera acción comercial. Por otro lado, respecto a las retrocesiones de comisiones, indicó que lo realizó como un favor a su amigo personal.

No obstante, el Banco decidió ejecutar el despido disciplinario al considerar los hechos como muy graves y constitutivos de transgresión de la buena fe contractual, abuso de confianza en el desempeño del trabajo y fraude o deslealtad en las gestiones encomendadas.

Decisión del Tribunal Supremo

En este supuesto, el Tribunal Supremo considera probada la transgresión de buena fe contractual y abuso de confianza por parte del ahora ex-empleado y subraya el uso indebido de facultades directivas para beneficiar a terceros sin interés empresarial. Además, destaca que los accesos realizados en más de una ocasión fueron accesos a datos sensibles sin base legítima, por lo que se constituye una vulneración del art. 20 de la LOPDGDD, precepto que indica que solo se puede consultar la información de los sistemas de información crediticia cuando se mantuviese una relación contractual con el afectado.

Por otro lado, se identifica también una vulneración del art. 5.1.f) RGPD, el cual prevé que los datos personales deben ser tratados garantizando una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito (principio de confidencialidad).

Conclusión

Esta sentencia sienta precedente sobre el alcance del deber de lealtad en el manejo de datos personales, estableciendo que el uso no autorizado de sistemas de información crediticia por directivos bancarios, aunque sea puntual, justifica la extinción contractual por riesgo sustancial para los intereses empresariales.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la sentencia, haga clic aquí.

Límites del control empresarial: Cuando registrar un despacho se convierte en delito

por

El Tribunal Superior de Justicia de Madrid declara que el registro del despacho de un trabajador despedido, sin su presencia ni la de representantes legales ni notario, constituye una vulneración de los derechos fundamentales a la intimidad y a la dignidad.

En la STSJM 383/2024, el Tribunal considera que la empresa realizó un registro del despacho de la trabajadora sin las debidas garantías, empezando por el hecho de que se llevó a cabo el 22 de diciembre de 2022, mismo día de su despido.

Si bien la empresa ofreció a la trabajadora la devolución de sus objetos personales, el mismo día procedió al registro de su despacho, sin esperarse a su respuesta y sin cerciorarse de que la trabajadora hubiese recibido la carta de despido. Además, aparte de realizarse sin la presencia de la trabajadora ni de ningún miembro del comité de empresa ni de otro empleado que pudiera actuar como testigo, se forzó un armario cerrado con llave y se accedió a la cajonera de la mesa del escritorio, en la que había enseres personales y material de trabajo.

La parte demandada alega que «el acceso al despacho de la demandante fue idóneo, necesario y proporcionado, para recuperar la documentación confidencial que la trabajadora decía guardaba en el mismo». El Tribunal, sin embargo, indica que «esta afirmación no se corresponde con las afirmaciones declaradas probadas, como afirmar que la demandada guardaba documentación confidencial y jurídica de su propiedad en el despacho de la trabajadora».

El Tribunal recuerda que, si bien el art. 20.3 ET se atribuye al empresario la facultad de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana, hay que tener en cuenta que, en aplicación de «esta necesaria adaptabilidad de los derechos del trabajador a los razonables requerimientos de la organización productiva en que se integra, se ha afirmado que manifestaciones del ejercicio de aquellos que en otro contexto serían legítimas, no lo son cuando su ejercicio se valora en el marco de la relación laboral

En consecuencia, el Tribunal Superior respalda la valoración de la Juzgadora de Instancia y dictamina que estas acciones no superan el test de proporcionalidad ni idoneidad exigido por la doctrina del Tribunal Constitucional.

Conclusión

El Tribunal Superior de Justicia de Madrid confirma la sentencia de instancia que declaró la vulneración del derecho a la intimidad personal de la trabajadora y mantiene la indemnización de 8.000€ que la empresa le debe abonar por dicha vulneración. Esta decisión subraya la importancia de respetar los procedimientos adecuados y las garantías legales al realizar registros en los espacios de trabajo de los empleados, especialmente en situaciones sensibles como un despido.

Puede leer la sentencia aquí.

Como siempre, ¡cuidad los datos y cuidaos!

Derechos digitales de los menores y marketing responsable

por

En un mundo cada vez más digitalizado, el marketing dirigido a menores ha cobrado una relevancia significativa, pues la tecnología está al alcance de las personas cada vez a una edad más temprana. Por ello, se ha manifestado la necesidad de implementar regulaciones estrictas y estrategias responsables para proteger a este grupo vulnerable. Las nuevas normativas y prácticas buscan equilibrar la influencia del marketing digital mientras se asegura el bienestar y la seguridad de los menores.

Regulaciones recientes en marketing dirigido a menores

La Unión Europea ha sido pionera en establecer regulaciones que protegen a los menores en el entorno digital. La Ley de Servicios Digitales (DSA, por sus siglas en inglés) es un ejemplo clave, ya que prohíbe la publicidad basada en perfiles para menores y obliga a las plataformas en línea a evaluar los riesgos sistémicos que puedan afectar los derechos y el bienestar mental de los niños.

Por otro lado, en España, se ha aprobado justamente este año el Real Decreto de «Usuarios de Especial Relevancia», que obliga a los influencers a etiquetar contenido por edades y prohíbe la promoción de productos como tabaco o alcohol, asegurando que no se cause daño psicológico o físico a los menores.

Estrategias de marketing responsable

1. Transparencia y veracidad

La ética en la publicidad exige que las marcas sean transparentes y veraces en sus comunicaciones. Esto implica presentar información precisa sobre productos y servicios, evitando afirmaciones engañosas que puedan erosionar la confianza del consumidor. Las campañas deben ser claras sobre su naturaleza publicitaria, especialmente cuando se dirigen a menores.

2. Inclusión y diversidad

Las estrategias de marketing responsable también promueven la inclusión y diversidad. Por ello, es fundamental que las campañas reflejen una variedad de culturas y contextos para que todos los niños se sientan representados. Esto no solo mejora la percepción de marca, sino que también fomenta un entorno más inclusivo.

3. Uso ético de influencers

El uso de influencers infantiles requiere un enfoque ético. Las marcas deben asegurarse de que estos influencers promuevan productos adecuados para su audiencia y cumplan con las regulaciones pertinentes. Además, deben evitar cualquier contenido que pueda explotar la inexperiencia o credulidad de los menores.

4. Contenido educativo y entretenido

El contenido dirigido a menores debe ser tanto educativo como entretenido. Las campañas efectivas utilizan elementos lúdicos para captar la atención mientras transmiten mensajes positivos o educativos. Esto no solo ayuda a mantener el interés del niño, sino que también contribuye al desarrollo cognitivo.

Retos actuales

A pesar de las regulaciones y estrategias responsables, existen desafíos significativos:

  • Adaptación tecnológica: La rápida evolución tecnológica requiere una constante actualización de las normativas para abordar nuevas formas de publicidad digital.
  • Cumplimiento global: Las diferencias entre las legislaciones nacionales e internacionales complican el cumplimiento uniforme por parte de las empresas globales.
  • Equilibrio entre creatividad y regulación: Las marcas deben encontrar un equilibrio entre ser creativas e innovadoras en sus campañas mientras cumplen con las regulaciones estrictas.

Conclusión

El marketing dirigido a menores es un campo delicado que requiere una atención meticulosa tanto desde el punto de vista legal como ético. Las recientes regulaciones buscan proteger a los menores mientras permiten que las marcas continúen interactuando con este público de manera responsable. A medida que avanza la tecnología, será crucial que las empresas sigan adaptándose para garantizar prácticas publicitarias seguras y efectivas. Al hacerlo, no solo cumplirán con las normativas vigentes, sino que también contribuirán al desarrollo positivo del entorno digital para las generaciones futuras.

Como siempre, cuidad los datos y ¡cuidaos!

La protección de datos personales y la publicidad dirigida: el fallo del TJUE contra Meta

por

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Revisión Textos Legales Web