Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d’implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l’ús d’empremtes dactilars per a controlar l’accés amb l’entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l’ús fraudulent d’aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l’empremta dactilar del visitant en el primer accés. Aquesta informació s’encriptava, convertint-se en una «representació matemàtica» que s’usava per a confirmar que la mateixa persona accedia després al segon parc.

L’empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s’emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l’AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s’usen per a autenticar o verificar la identitat d’un individu.

L’AEPD recorda que l’art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s’ofereix una alternativa real a l’ús de l’empremta.

A més a més, no s’havia realitzat la preceptiva Avaluació d’Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l’oci. L’AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l’usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d’alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La IA en selecció de personal, sota la lupa legal

per

En la cerca d’eficiència i objectivitat, moltes empreses estan incorporant eines d’Intel·ligència Artificial (IA) en els seus processos de selecció de personal. Des del sedàs automatitzat de currículums fins a entrevistes per vídeo analitzades per algorismes, la tecnologia ja és part habitual de l’àrea de recursos humans.

No obstant això, hem de recordar que aquest avanç ha d’anar acompanyat d’un compliment normatiu rigorós. El Reglament d’Intel·ligència Artificial de la Unió Europea, aprovat l’any passat (2024), classifica els sistemes de IA utilitzats per a prendre decisions sobre contractació com a sistemes de «alt risc» (art. 6.2). Això implica una sèrie d’obligacions legals estrictes per a empreses que els utilitzin.

Entre les principals exigències, destaquen:

  • Avaluacions de risc i conformitat prèvies al desplegament.
  • Supervisió humana significativa en tot el procés.
  • Mecanismes de transparència: el candidat ha de ser informat si és avaluat per una IA.
  • Prevenció de biaixos i discriminacions algorítmiques.
  • Registre de decisions i traçabilitat del sistema.

L’incompliment pot comportar multes de fins a 35 milions d’euros o el 7% del volum de negoci global, la qual cosa col·loca a la contractació automatitzada en el focus dels reguladors (art. 99.3).

A més, quan la IA tracta dades personals de candidats, també s’ha de tenir en compte el Reglament General de Protecció de Dades (RGPD), especialment, el dret de l’interessat a no ser objecte de decisions automatitzades sense intervenció humana (art. 22 RGPD).

En aquest nou marc, les empreses han de revisar els seus processos i eines de selecció per a garantir que no sols són eficaces, sinó també ètics, transparents i legals. La transformació digital de la selecció del talent ha d’anar de la mà de la confiança i el compliment normatiu.

Conclusió

Incorporar Intel·ligència Artificial en els processos de selecció pot aportar eficiència, agilitat i reducció de biaixos humans, però no elimina les obligacions legals. Molt al contrari: en tractar-se de sistemes d’alt impacte sobre els drets de les persones, el nou marc normatiu europeu exigeix a les organitzacions major control, transparència i diligència.

Si la teva empresa utilitza—o està valorant utilitzar—solucions basades en IA per a garbellar, avaluar o prendre decisions sobre candidats, és imprescindible que tingui en compte les previsions establertes en el Reglament d’IA.

Com sempre, cuideu les dades i cuideu-vos!

Un petó, un vídeo i una sanció: els riscos legals de gravar en públic

per
By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0,

Fa uns dies, durant un concert de la banda Coldplay, una de les càmeres de l’esdeveniment—la denominada «Kiss Cam»—va captar a dues persones abraçades de manera afectuosa entre el públic. Aquestes, quan la càmera els va enfocar i la seva imatge va aparèixer en les pantalles del recinte, es van separar immediatament. El seu comportament no va passar inadvertit pel vocalista de la banda, qui va comentar: «Guau, mireu a aquests dos! O estan tenint una aventura o són molt tímids».

En qüestió d’hores, el vídeo es va viralitzar i es va identificar públicament als protagonistes: el CEO i la directora de RH de la mateixa empresa. Tots dos estan casats, però no entre si. La repercussió no va trigar a materialitzar-se: diversos mitjans ja han confirmat que l’empresa va iniciar un expedient disciplinari i que el CEO ha estat suspès temporalment.

Més enllà de l’anècdota o el renou mediàtic, el cas suscita una reflexió jurídica rellevant: quines implicacions tindria la captació i difusió d’una imatge com aquesta si els fets haguessin ocorregut a Espanya?

Al 2021, l’Agència Espanyola de Protecció de Dades (AEPD) va resoldre un procediment sancionador contra un establiment d’oci nocturn que havia publicat en Instagram un vídeo d’un client besant a una persona que no era la seva parella. La reclamació es va fonamentar en la difusió no consentida d’imatges clarament identificables que comprometien l’esfera personal de l’afectat.

El local va al·legar que en l’accés al recinte existia un cartell informatiu advertint de la possibilitat de ser gravat. No obstant això, l’AEPD va considerar que aquest avís no constituïa un consentiment vàlid conforme al RGPD, ja que aquest ha de ser lliure, específic, informat i inequívoc.

La resolució subratlla que la presència de cartells, condicions generals d’accés o el simple fet de trobar-se en un espai públic no supleixen la necessitat d’un consentiment exprés, especialment quan les imatges es destinen a la seva publicació en xarxes socials o altres mitjans públics.

Expectativa raonable de privacitat i protecció de la imatge

L’AEPD també va introduir una reflexió clau: fins i tot en espais oberts al públic, les persones conserven una expectativa raonable de privacitat. En altres paraules, no pot assumir-se que tot el que ocorre en un esdeveniment públic és susceptible de ser gravat i difós lliurement, especialment si la persona afectada no és conscient d’estar sent gravada i l’escena capta aspectes íntims o comprometedors.

Implicacions jurídiques i reputacionals

En el cas del concert de Coldplay, si els fets s’haguessin produït en territori espanyol, podria haver-se plantejat una reclamació davant l’AEPD per captació i difusió no autoritzada de dades personals (la imatge ho és, conforme a l’article 4.1 del RGPD). Depenent de les circumstàncies, fins i tot podria valorar-se la necessitat d’una base legítima per al tractament o l’existència d’un interès legítim degudament ponderat (art. 6.1.f RGPD), alguna cosa que difícilment seria aplicable davant la falta de consentiment clar.

A més, no han d’obviar-se les possibles conseqüències laborals derivades d’aquesta mena d’exposicions públiques, com ha ocorregut en aquest cas. Les empreses, davant aquesta mena de situacions, es veuen en la necessitat de gestionar crisis internes que poden afectar tant la reputació dels professionals implicats com a la de la pròpia organització.

Conclusió

La captació i difusió d’imatges en esdeveniments públics no està exempta de responsabilitat jurídica. L’AEPD deixa clar que la protecció de la imatge personal i el dret a la intimitat no desapareixen en entorns oberts ni queden suspesos per la mera presència de cartells informatius.

En un context en el qual els dispositius mòbils i les xarxes socials faciliten una difusió massiva i immediata de continguts, convé recordar que la protecció de dades personals és un dret fonamental, i que l’obtenció d’un consentiment vàlid és molt més que una formalitat: és un requisit legal imprescindible.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Copyright By Raph_PH – Coldplay_Glasto24_290624 (23), CC BY 2.0.

Dinamarca fa un pas valent contra els deepfakes: l’era del copyright personal ha començat?

per

En un context internacional marcat per l’auge de les tecnologies d’intel·ligència artificial generativa i la proliferació de continguts manipulats—especialment els coneguts deepfakes—, Dinamarca ha sorprès el món amb una proposta legislativa pionera: reconèixer a cada persona drets d’autor sobre la seva imatge, veu i cos. Aquest enfocament, profundament innovador, cerca dotar als ciutadans d’eines legals més efectives per a frenar l’ús no autoritzat de les seves característiques personals en entorns digitals, especialment davant l’amenaça que representa la IA generativa. 

En què consisteix aquesta proposta de llei? 

Dinamarca està disposada a modificar la seva legislació en matèria de drets d’autor per a permetre que qualsevol individu pugui reclamar la titularitat sobre l’explotació no autoritzada de la seva imatge, veu o, fins i tot, moviments corporals generats artificialment. 

La iniciativa sorgeix com a resposta a la creixent difusió de vídeos falsos creats mitjançant IA, alguns d’ells extremadament realistes, que suplanten rostres, veus i gestos de persones reals —famoses o no— sense el seu consentiment. La normativa danesa, encara en fase de desenvolupament, podria constituir una base legal sòlida per a exigir la retirada de continguts deepfake, sol·licitar indemnitzacions per danys morals o patrimonials i, en alguns casos, emprendre accions penals. 

Per què és revolucionària? 

Tradicionalment, els sistemes jurídics occidentals no han reconegut drets d’autor sobre l’aparença o la veu d’una persona, atès que el copyright està reservat a «obres» amb originalitat i autoria. Les persones físiques disposen de mecanismes com el dret a la pròpia imatge o a l’honor, però aquests drets no tenen la mateixa força automàtica ni vocació preventiva que el copyright. 

Dinamarca proposa fusionar l’enfocament dels drets de la personalitat amb la lògica del dret d’autor i, així, permetre que un individu pugui actuar com si fos titular d’una obra quan s’explota la seva identitat digital. Això obriria la porta a mecanismes de takedown similars als que ja existeixen en plataformes com YouTube per a protegir obres musicals o audiovisuals. 

Què passa en altres països? 

  • Als Estats Units, alguns estats com Califòrnia o Illinois han aprovat lleis específiques per a protegir la «veu» o l’«aspecte» de les persones, però des de l’òptica del dret civil i no del copyright. 
  • A la Unió Europea, els drets a la imatge i a la protecció de dades (com l’article 8 de la Carta de Drets Fonamentals de la UE) ofereixen una certa cobertura, però no atorguen un control automàtic ni un dret d’explotació patrimonial. 
  • A Espanya, el dret a la pròpia imatge (LO 1/1982, de 5 de maig) i la protecció de dades (RGPD i LOPDGDD) són les eines disponibles, però no permeten reclamar una «autoria» sobre la nostra veu o cos. Seria necessària una reforma legal de gran importància per a incorporar aquesta perspectiva. 

Un camí cap a la sobirania digital individual? 

La proposta danesa obre un nou paradigma jurídic, que reconeix que a l’era digital l’individu no solament necessita protegir la seva intimitat, sinó també exercir control econòmic i moral sobre la seva identitat digital. Si prospera, podria marcar l’inici d’un nou enfocament europeu per a enfrontar els reptes que planteja la IA generativa, els deepfakes i la manipulació de continguts. 

El debat està servit: hauríem de tenir copyright sobre nosaltres mateixos? 

Com sempre, cuideu les dades i cuideu-vos! 

 Per llegir la notícia, fes clic aquí. 

Multa per reincidència: una altra oportunitat perduda per a complir el RGPD

per

Es revela una preocupant reincidència en l’incompliment de les obligacions legals en matèria de protecció de dades establertes en la LOPDGDD i el RGPD per part d’una empresa que ja va ser sancionada amb anterioritat pel mateix motiu.

Antecedents

En una resolució prèvia, l’AEPD ja va sancionar a l’empresa i li va ordenar adoptar mesures correctores—entre elles, adequar la seva política de privacitat en la web i els contractes als requisits de l’article 13 del RGPD. No obstant això, l’empresa no sols no va executar aquestes mesures, sinó que a més va ignorar múltiples requeriments de l’AEPD—alguns notificats electrònicament i altres retornats per Correus— demostrant una conducta clarament negligent i fins i tot evasiva.

Aquesta falta de resposta va donar peu a l’obertura d’un nou procediment per incompliment de la resolució dictada per l’AEPD (article 58.2.d) del RGPD), que faculta a les autoritats de control a ordenar el compliment de la normativa en un termini determinat. La reiterada omissió d’aquestes ordres constitueix una infracció molt greu segons l’article 72.1.m) de la LOPDGDD, sancionable amb multes que poden aconseguir els 20 milions d’euros o el 4% del volum de negoci global.

A pesar que la sanció imposada finalment va ascendir a 900 euros—reduïda a 540 euros després del reconeixement de responsabilitat i el pagament voluntari conforme a l’article 85 de la LPACAP—, el fet més significatiu no és l’import econòmic, sinó la reiteració de l’incompliment i l’actitud obstruccionista de l’empresa.

L’historial reflecteix una falta de diligència en les seves obligacions com a responsable del tractament de dades, la qual cosa incrementa el seu nivell de responsabilitat segons els criteris de l’article 83.2 del RGPD, especialment en quant a la intencionalitat, reincidència i falta de cooperació amb l’autoritat.

A més, l’AEPD ha reiterat que el reconeixement de la infracció no eximeix a Cubillo Gallego, S.L. de complir efectivament les mesures correctores, la qual cosa reflecteix el caràcter persistent i estructural de l’obligació de compliment normatiu en aquesta matèria.

Conclusió

Aquest cas és un clar recordatori que la falta de compliment continuat pot implicar sancions successives, i que l’AEPD no cessarà en la seva labor supervisora fins que les entitats infractores s’alineïn amb el marc normatiu europeu. Ignorar les resolucions de l’autoritat supervisora no sols genera conseqüències legals immediates, sinó que a més afebleix la confiança dels ciutadans en la protecció de les seves dades personals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Desconnexió digital i salut mental: EL TSJ de Galícia es pronuncia

per

El Tribunal Superior de Justícia de Galícia (TSJG), en la seva recent Sentència nº2292/2025, de 25 d’abril, declara que l’empresa Greenalia S.A. va vulnerar el dret a la desconnexió digital i a la integritat moral d’una treballadora que es trobava de baixa mèdica per trastorn d’ansietat.

El Tribunal confirma que enviar-li correus laborals durant aquest període va atemptar contra la seva dignitat i li imposa el pagament d’una indemnització de 1.500 € per danys i perjudicis.

Antecedents

L’empleada, que va presentar la seva baixa voluntària a l’abril de 2024, va denunciar haver rebut comunicacions laborals mentre estava en situació d’incapacitat temporal, perquè tenia diagnosticat un trastorn d’ansietat.

Durant aquest temps, si bé no li van exigir resposta immediata, diversos companys li van remetre correus electrònics sobre qüestions de treball. No obstant això, l’empresa no va adoptar mesures per a evitar-ho.

El TSJ de Galícia subratlla la importància del dret a la desconnexió digital, recollit en l’article 88 de la Llei Orgànica 3/2018. Aquest dret no sols protegeix el treballador d’haver de respondre a missatges fora de la seva jornada, sinó que també imposa a l’empresa una obligació activa d’abstenir-se d’enviar comunicacions laborals durant el temps de descans, vacances o situacions com una baixa mèdica.

En aquest cas, la Sala argumenta que la falta de respecte a aquest dret, en un context de vulnerabilitat emocional acreditada per informes mèdics, agreuja l’estat dels empleats i suposa una intromissió en el dret fonamental a la integritat moral (art. 15 CE).

Encara que l’empresa va al·legar que no exigia resposta immediata i que els correus formaven part de fils ja iniciats, el Tribunal entén que el simple fet de rebre aquestes comunicacions, estant de baixa, representa una forma de pressió i una falta de respecte a l’espai personal i al procés de recuperació de la treballadora. Per tant, el Tribunal rebutja que la falta d’exigència de resposta obligatòria per part de la treballadora eximeixi a l’empresa de la seva responsabilitat

La sentència aclareix que el dret a la desconnexió no és una mera cortesia empresarial, sinó un component clau del benestar laboral i la salut mental. Obliga l’empresa a prevenir intrusions que comprometin la recuperació del treballador o afectin la seva vida personal.

Tot i que es revoquen parcialment altres afirmacions de la sentència anterior—no s’aprecien vulneracions del dret a la integritat física ni a l’honor—, el TSJ de Galícia manté la condemna per vulneració de la integritat moral i l’obligació d’indemnitzar a la treballadora.

Conclusió

Aquesta resolució reafirma que l’incompliment del dret a la desconnexió digital pot suposar una violació de drets fonamentals, i marca un precedent important per a empreses i treballadors.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Dades exposades per error: sanció per una greu negligència en la gestió d’informació personal

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. per una infracció greu de l’article 5.1.f) del RGPD, relacionada amb la falta de mesures adequades per a garantir la seguretat i confidencialitat de les dades personals.

Tot va començar amb una reclamació presentada a l’octubre de 2024, en la qual s’al·legava que l’empresa enviava correus a candidats incloent un formulari de Google per a recaptar les seves dades personals (nom, cognoms, DNI) i, a més a més, un enllaç a un full de càlcul amb les dades de més de 10.000 persones, accessible per a qualsevol que el tingués. La informació no estava protegida, la qual cosa suposa una vulneració clara del principi de confidencialitat.

L’empresa va admetre que l’error es va produir quan un tècnic de selecció, acabat d’incorporar, va afegir per accident un enllaç intern no controlat. Si bé l’empresa va prendre mesures correctives després de rebre el requeriment de l’AEPD—va restringir l’accés a l’enllaç, va actualitzar procediments, i va millorar el control d’accés a la informació—, l’Agència va considerar que aquestes mesures es van adoptar a posteriori, i no existien controls previs eficaços per a evitar l’incident.

Per això, l’AEPD va decidir imposar una multa de 35.000€, fonamentada en la vulneració de l’article 5.1.f) del RGPD, que exigeix tractar les dades personals amb mesures tècniques i organitzatives apropiades per a garantir la seva seguretat, inclosa la protecció enfront del tractament no autoritzat. A més, la infracció es tipifica com molt greu segons l’article 83.5.a) del RGPD i l’article 72 de la LOPDGDD.

Es van tenir en compte diversos factors agreujants per a determinar la quantia:

  • La gravetat de l’incident, en afectar 10.837 persones i comprometre dades especialment sensibles com el DNI.
  • La negligència, al no haver-se previst mecanismes que evitessin aquest tipus d’errors, sent una empresa amb un volum de negoci elevat i dedicada precisament al tractament de dades de tercers.
  • La falta de mesures preventives prèvies, la qual cosa va evidenciar una cultura de compliment deficient en el maneig d’informació personal.

Conclusió

Aquest cas demostra que un simple error en el maneig d’enllaços pot derivar en una greu infracció del RGPD. La protecció de dades exigeix mesures preventives reals, no sols reaccions a posteriori. Amb aquesta sanció, l’AEPD reforça la importància de garantir la confidencialitat des del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El dret a desconnectar no es negocia: sanció a LVMH per ús indegut del mòbil d’una empleada

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 70.000€ a LVMH Iberia per obligar una empleada a usar el seu telèfon mòbil personal per a finalitats laborals, fins i tot en contra de la seva voluntat. Aquesta actuació constitueix una vulneració tant del Reglament General de Protecció de Dades (RGPD) com del dret a la desconnexió digital previst en la LOPDGDD.

L’afectada es va veure forçada a utilitzar el seu número de telèfon personal per a participar en grups de WhatsApp corporatius, a l’espera d’un telèfon d’empresa que mai se li va lliurar. Un dia abans d’iniciar les seves vacances, va comunicar per escrit i verbalment la seva intenció de deixar d’usar el seu mòbil personal per a temes de treball, es va sortir de diversos grups i va reiterar que esperava disposar del dispositiu corporatiu promès.

No obstant això, al dia següent, mentre gaudia del seu dia lliure, va ser inclosa sense consentiment en un nou grup de WhatsApp de l’empresa, en el qual va romandre fins al seu acomiadament. Davant aquesta situació, va presentar una reclamació davant l’AEPD.

L’empresa, per part seva, va justificar la seva actuació assegurant que va adoptar una «postura garantista» i que els grups només incloïen a empleats, la qual cosa consideraven una mesura adequada i necessària per a l’operativa diària. També van al·legar que, en general, els treballadors accedeixen a aquests grups amb dispositius corporatius i que l’ús del telèfon personal és una cosa «excepcional i transitòria».

No obstant això, l’AEPD va considerar que va haver-hi una doble infracció:

  • Violació de l’ 6.1 RGPD, per utilitzar dades personals (el número de telèfon privat) sense base legal vàlida ni consentiment explícit.
  • Vulneració del dret a la desconnexió digital ( 88 LOPDGDD), per obligar l’empleada a participar en comunicacions laborals fins i tot durant les seves vacances, sense respectar els límits del descans personal.

Com a conseqüència, l’AEPD va imposar una multa inicial de 70.000€, que va quedar reduïda a 42.000€, després del reconeixement de responsabilitat i al pagament voluntari per part de l’empresa.

Conclusió

Aquest cas marca un precedent important en l’àmbit laboral digital: les empreses no poden imposar l’ús de dispositius personals per al treball sense consentiment clar i revocable, i han de respectar el dret a la desconnexió digital, especialment fora de l’horari laboral o en períodes de descans.

Cal recordar a totes les organitzacions que la gestió de grups de WhatsApp o altres eines informals no eximeix del compliment del RGPD, i que la comoditat operativa no justifica la invasió de la vida privada dels empleats.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El teu chatbot compleix la llei? Riscos legals d’automatitzar l’atenció al client amb IA.

per

En plena era de la digitalització, cada vegada més empreses opten per automatitzar la seva atenció al client mitjançant xatbots i intel·ligència artificial (IA). Aquesta tecnologia permet respondre als usuaris en temps real, reduir costos operatius i millorar la disponibilitat del servei. No obstant això, si bé té els seus beneficis, el seu ús planteja riscos legals significatius, especialment en quant a la protecció de dades personals respecta. 

Bots i dades personals: Quines obligacions legals existeixen? 

Els xatbots que interactuen amb usuaris solen recollir dades com a nom, correu electrònic, número de telèfon, preferències de consum o fins i tot informació sensible. Això els converteix en sistemes de tractament de dades personals, la qual cosa s’ha d’aplicar el Reglament General de Protecció de Dades (RGPD) i la Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). 

Per tant, si la teva empresa utilitza un bot, ha d’assegurar-se de: 

  • Informar l’usuari de manera clara i visible sobre la identitat del responsable del tractament, la finalitat, la base jurídica i els drets que pot exercir (art. 13 RGPD). 
  • Comptar amb una base legal vàlida per a tractar les dades. En molts casos, serà el consentiment, però també podria aplicar-se l’execució d’un contracte o l’interès legítim, sempre que s’hagi realitzat una anàlisi prèvia de ponderació. 
  • Garantir la possibilitat d’exercir drets com l’accés, oposició o supressió, fins i tot quan el contacte s’hagi produït a través d’un sistema automatitzat. 

Incompliments comuns detectats  

Alguns dels diversos incompliments freqüents relacionats amb l’ús de xatbots: 

  • Falta de transparència: molts bots no informen adequadament l’usuari sobre quines dades estan recollint ni amb quina fi. 
  • Absència de mecanismes per a exercir drets: si el bot no permet redirigir a l’usuari a un canal d’atenció humana o formular sol·licituds de drets ARCOPOL, s’infringeix el RGPD. 
  • Gravació de converses sense justificació: emmagatzemar les interaccions sense una finalitat clara ni límit temporal constitueix una infracció dels principis de limitació i minimització del tractament (art. 5 RGPD). 

A més, si el xatbot pren decisions automatitzades amb efectes significatius sobre l’usuari (per exemple, denegar un servei o prioritzar atenció), és necessari aplicar garanties addicionals segons l’art. 22.3 RGPD, com la intervenció humana i el dret a obtenir una explicació. 

I si el bot utilitza IA generativa o models predictius? 

La integració de models de llenguatge avançats (com els que permeten respostes naturals o personalitzades) pot requerir una Avaluació d’Impacte relativa a la Protecció de Dades (AIPD), especialment si es tracta de tractaments innovadors, massius o potencialment intrusius. 

 Actualment, també haurà de tenir-se en compte el Reglament Europeu d’Intel·ligència Artificial (RIA), que classifica els sistemes d’IA segons el seu nivell de risc i exigeix requisits específics de transparència i supervisió. 

Bones pràctiques per a usar bots amb garanties legals 

  • Implementar una política de privacitat específica per al canal d’atenció automatitzada. 
  • Habilitar sempre la possibilitat d’escalat a un agent humà. 
  • Assegurar la minimització de dades i la retenció limitada. 
  • Registrar el tractament en el Registre d’Activitats i revisar contractes amb proveïdors externs. 

En definitiva, automatitzar l’atenció al client amb xatbots és una decisió estratègica encertada, però només si va acompanyada d’un compliment normatiu sòlid i proactiu. No fer-ho pot suposar sancions, pèrdua de confiança i riscos reputacionals. Com sempre en Dret Digital: tecnologia, sí, però amb garanties. 

Com sempre, cuideu les dades i cuideu-vos! 

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

No et quedis enrere!

Converteix la IA en la teva avantatge de Recursos Humans

Accedeix a continguts exclusius sobre Dret Digital Laboral i Intel·ligència Artificial a RRHH: alertes crítiques, guies pràctiques, checklists i més, que la teva empresa necessita avui per protegir-se i créixer.

Revisió Texts legals web