Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Els EE.UU endureixen el control digital a turistes: xarxes socials i privacitat en el centre del debat

per

Viatjar als Estats Units podria deixar de ser un tràmit relativament senzill per a milions de persones. L’Administració Trump ha anunciat una proposta que obligaria als viatgers que utilitzin el Visa Waiver Program (VWP) a declarar els identificadors de xarxes socials usats en els últims cinc anys com a part del procés d’autorització de viatge.

La mesura, publicada per la U.S. Customs and Border Protection (CBP), forma part d’una estratègia més àmplia destinada a reforçar el control migratori i «examinar als visitants al màxim nivell possible». Si s’aprova, entraria en vigor el 8 de febrer i afectaria ciutadans de 42 països, principalment europeus, a més d’Austràlia i altres socis tradicionals dels EE.UU

Més dades personals, més preguntes

El canvi no es limita a les xarxes socials. El formulari ESTA passaria a exigir també:

  • Totes les adreces de correu electrònic utilitzades en els últims deu anys.
  • Informació detallada sobre familiars directes (pares, germans, fills i cònjuges), incloent-hi noms, dates i llocs de naixement i domicilis.

Encara que l’avís es troba en fase de consulta pública durant 60 dies, l’abast de la informació sol·licitada ha generat inquietud immediata, tant dins com fora del país.

L’impacte en el turisme i els negocis

Des del sector turístic estatunidenc, les reaccions han estat cauteloses però preocupades. La U.S. Travel Association ha advertit que un procés d’entrada massa intrusiu pot provocar que els viatgers internacionals optin per altres destins.

Aquesta preocupació no és menor si es té en compte el context: els Estats Units serà un dels amfitrions del Mundial de Futbol de 2026, un esdeveniment que s’espera atregui a milions de visitants i contribueixi a revitalitzar el turisme internacional, que ha sofert un descens en els últims anys.

Les crítiques no s’han fet esperar. La senadora demòcrata Patty Murray ha ironitzat i indicat que «seria més fàcil prohibir directament el turisme». Des de l’àmbit acadèmic, alguns analistes han assenyalat que el nivell de control proposat resulta fins i tot més restrictiu que l’aplicat per països amb polítiques frontereres tradicionalment dures.

Aquestes comparacions han alimentat el debat sobre si la mesura és realment eficaç des del punt de vista de la seguretat o si, per contra, suposa un cost reputacional per als EE.UU.

Privacitat digital: el gran debat de fons

Des d’una perspectiva de dret digital, la proposta planteja qüestions clau sobre privacitat i tractament de dades personals. La recopilació massiva d’informació en línia i familiar contrasta amb principis com la minimització i la proporcionalitat, àmpliament consolidats en normatives com el Reglament General de Protecció de Dades (RGPD) a Europa.

Encara que aquestes normes no siguin directament aplicables als EUA, sí que influeixen en la percepció que ciutadans i empreses estrangeres tenen sobre la seguretat i l’ús de les seves dades.

Seguretat, diners i contradiccions

De manera paral·lela, l’Administració ha llançat programes com la denominada «gold card», que permetria obtenir la residència permanent als qui inverteixin un milió de dòlars, o una futura «platinum card» de cinc milions. Una dualitat que reforça la sensació que el control no s’aplica d’igual forma a tots els perfils.

En un món cada vegada més digital, les fronteres ja no sols es controlen amb passaports, sinó també amb dades. I la pregunta clau continua oberta: fins a on estem disposats a arribar en nom de la seguretat?

Com sempre, cuideu les dades i cuideu-vos!

Nano Banana Pro: el nou desafiament per a la identitat digital i la seguretat del futur

per

La irrupció del model Nano Banana Pro de Google, capaç de generar imatges sintètiques de documents d’identitat i rostres amb una precisió sense precedents, ha reobert un debat crític: com protegir la identitat digital en un entorn on la vista humana—i fins i tot uns certs sistemes automatitzats—poden ser enganyats amb una facilitat creixent?

Mentre alguns experts adverteixen que aquesta tecnologia permet fabricar passaports, permisos de conduir o identificacions universitàries falses amb un realisme alarmant, uns altres recorden que els sistemes moderns de verificació no es basen exclusivament en anàlisis visuals. Totes dues perspectives són vàlides i, de fet, subratllen la conclusió més important: el model tradicional d’identificació està sota una tensió sense precedents.

Identitats sintètiques: un risc que ja no és teòric

El gran salt qualitatiu del Nano Banana Pro és la seva capacitat per a replicar patrons visuals amb un nivell de fidelitat que supera el que fa a penes uns mesos semblava plausible. Això suposa un risc real per a processos que continuen secundant-se, parcial o totalment, en proves fotogràfiques o en la correspondència entre «persona en càmera» i «foto en document».

Alguns casos especialment sensibles són:

  • Verificació d’edat mitjançant documents físics o imatges.
  • Monitoratge d’exàmens amb validació puntual d’identitat.
  • Alta d’usuaris en plataformes bancàries o fintech mitjançant una foto del document.
  • Processos de on-boarding en empreses, telemedicina o voluntariat.

El fenomen del face swapping aplicat sobre una identitat verificable amplifica encara més el problema: l’atacant ja no necessita manipular un document, sinó superposar un rostre fals sobre un usuari real durant la verificació.

No tot és apocalipsi: els sistemes seriosos ja no depenen només d’imatges

És cert que els documents actuals—especialment a Europa—incorporen múltiples capes de seguretat físiques i electròniques: hologrames dinàmics, microimpressions, filigranes, MRZ, xips NFC i signatures criptogràfiques. Cap IA pot replicar aquests elements a través d’una simple imatge generada, i els processos robustos d’on-boarding exigeixen lectura de xip, validació criptogràfica i proves de vida avançades.

Dit d’una altra manera: les organitzacions que ja usen mètodes moderns no estan desprotegides, però l’ecosistema global sí que enfronta un repte important, perquè encara hi ha multitud de serveis que es basen en captures de pantalla, fotos o verificacions visuals bàsiques.

Què han de fer les organitzacions ara?

  1. Abandonar la foto com a única prova d’identitat. La imatge és un factor, però ja no pot ser el factor decisiu.
  2. Adoptar models de confiança en capes. Verificació contínua, senyals de comportament, lectura de xip, biometria dinàmica i metadades de procedència.
  3. Tractar la governança de la IA com una àrea operativa. La supervisió passiva no serveix enfront d’amenaces que evolucionen a gran velocitat.
  4. Preparar un pla de resposta per a frau sintètic. Qualsevol institució que gestioni identitats ha d’anticipar escenaris de suplantació avançada.

Conclusió: un avís i un full de ruta

El Nano Banana Pro no destrueix d’un dia per a un altre la identificació digital, però sí que marca un abans i un després. L’autenticitat ja no pot recolzar-se únicament en el visual. La seguretat—en privacitat, identitat i ciberseguretat—dependrà de la nostra capacitat per a evolucionar cap a models on la verificació no sigui un instant, sinó un procés continu i resilient.

Com sempre, cuideu les dades i cuideu-vos!

Biometria en turbulències: què revela la sanció milionària de l’AEPD a AENA

per

L’Agència Espanyola de Protecció de Dades ha imposat a AENA la multa més elevada de la seva història: 10.043.002 € per la utilització de sistemes de reconeixement facial en diversos aeroports sense haver dut a terme una Avaluació d’Impacte en Protecció de Dades (EIPD) completa i vàlida, conforme a l’exigit per l’article 35 del RGPD. La resolució, extensa i detallada, ofereix una anàlisi exhaustiva de les deficiències detectades en el disseny i la documentació del tractament de dades biomètriques per part de l’entitat.

L’expedient deixa clar que el problema no va ser l’adopció de tecnologia biomètrica com a concepte, sinó com es va dissenyar i es va justificar la seva implantació. L’Agència conclou que AENA no va acreditar adequadament la necessitat, proporcionalitat ni els riscos del sistema, aspectes que constitueixen el nucli d’una EIPD robusta i prèvia.

Un tractament d’alt risc sense una EIPD adequada

Al llarg de la resolució, l’AEPD identifica diverses mancances estructurals en l’avaluació presentada per AENA:

  • Insuficiència en l’anàlisi de necessitat i proporcionalitat. Les EIPD no demostraven per què era imprescindible recórrer a un sistema d’identificació 1:N, basat en comparació contra bases de dades centralitzades, quan existien mètodes menys invasius que podien complir la mateixa finalitat operativa.
  • Anàlisi de riscos incomplet i desalineat amb el projecte inicial. La documentació aportada no incloïa l’anàlisi de riscos original de 2021; en el seu lloc, es va presentar un elaborat en 2023, desconnectat del disseny previ i, per tant, incapaç de justificar el tractament des de la seva concepció.
  • Metodologia inadequada per a un projecte d’alta complexitat. L’Agència subratlla que es van utilitzar eines orientades a organitzacions més petites, no adequades per a un sistema implantat en diversos aeroports i que tractava dades de categoria especial.
  • Falta de coherència entre els advertiments rebuts i la continuïtat del projecte. AENA havia plantejat consultes prèvies en les quals reconeixia dificultats per a reduir el risc a nivells acceptables, però, tot i així, va avançar cap a fases pilot i operatives sense disposar d’una EIPD completa.

Un matís important: l’AEPD no rebutja la biometria en aeroports

Encara que la sanció sigui contundent, l’Agència no qüestiona que la biometria pugui utilitzar-se legítimament en aeroports. De fet, la pròpia resolució al·ludeix al Dictamen 11/2024 del Comitè Europeu de Protecció de Dades, que descriu models d’ús compatibles amb el RGPD.

La clau està en el disseny. Existeixen escenaris en els quals la tecnologia biomètrica es basa en:

  • Plantilles emmagatzemades únicament en el dispositiu del passatger.
  • Comparacions 1:1 locals i efímeres.
  • Absència d’emmagatzematge centralitzat per part de l’operador.

Aquest tipus de solucions, menys intrusives i més contingudes, podrien superar el judici de necessitat i proporcionalitat que exigeix el RGPD i que l’AEPD ha trobat a faltar en el cas d’AENA.

Conclusió: un avís i un full de ruta

La sanció no tanca la porta a la biometria, però sí que marca un estàndard clar: qualsevol tractament d’aquest tipus exigeix justificació sòlida, metodologia adequada i una EIPD exhaustiva, prèvia i ben fonamentada. La innovació i l’eficiència operativa són compatibles amb la protecció de dades, sempre que s’integrin des del disseny les garanties necessàries.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Reglament Òmnibus Digital: simplificació o gir de rumb en la regulació europea?

per

La Comissió Europea ha presentat l’esperada Proposta de Reglament Òmnibus Digital, un paquet ambiciós que pretén harmonitzar, actualitzar i «desburocratitzar» diversos pilars de l’ecosistema normatiu europeu: protecció de dades, intel·ligència artificial, ciberseguretat, cookies i accés a dades. El seu objectiu declarat és clar: facilitar la innovació, reduir càrregues a les empreses i garantir coherència entre normes. Però… estem davant una modernització necessària o una revisió que pot alterar equilibris fonamentals?

Un RGPD més flexible, però també més permeable

Un dels punts més destacables és la reobertura del RGPD, alguna cosa que fa a penes uns anys semblava impensable. La proposta introdueix canvis que, si bé busquen claredat jurídica, poden tenir efectes profunds:

  • Nova definició de dades personals, que incorpora doctrina del TJUE: si la reidentificació no és raonablement possible per a qui tracta les dades, deixa de considerar-se dada personal.
  • Noves excepcions de l’article 9.2, que permeten tractar dades biomètriques per a verificació quan estiguin sota control de l’interessat, o per al desenvolupament i funcionament de models de IA.
  • Interès legítim per a IA, tret que el dret nacional exigeixi consentiment.
  • Deure d’informació més lax, que permet ometre informació «si ja es presumeix coneguda per l’interessat».
  • Bretxes de seguretat: notificació solament quan existeixi «alt risc» i ampliació a 96 hores.

La lectura optimista parla de reducció de càrregues i major claredat. La lectura crítica, no obstant això, alerta d’un risc d’erosió progressiva de la protecció: dades inferides menys protegides, major marge per a entrenar sistemes de IA, i opacitat reforçada per noves excepcions informatives.

Ciberseguretat i notificacions: un únic punt d’accés

En l’àmbit de la ciberseguretat, la proposta crea un punt únic de notificació d’incidents, simplificant un dels processos més fragmentats del marc NIS2. Aquesta mesura pot aportar eficiència real per a empreses multinacionals i sectors amb múltiples obligacions reguladores.

Cookies i ePrivacy: cap a menys bàners (i més canvis estructurals)

L’Òmnibus introdueix modificacions rellevants sobre cookies i ePrivacy:

  • Reducció de bàners mitjançant preferències centralitzades en navegador o sistema operatiu.
  • Nou article 88 a) sobre consentiment per a accés/emmagatzematge en terminals.
  • Un 88 b) que fixa el respecte obligatori de senyals automatitzats de preferències.

Encara que el discurs oficial parla de «millorar l’experiència de l’usuari», alguns experts alerten que l’efecte combinat podria debilitar el marc ePrivacy en integrar-lo parcialment en el RGPD modificat.

IA i accés a dades: alineació amb la Llei de IA

El paquet vincula l’aplicació de normes de IA d’alt risc a la disponibilitat d’eines de suport (estàndards, guies, metodologies) i també impulsa l’accés a dades com a motor d’innovació, buscant coherència amb la Data Act i l’Estratègia Europea de Dades.

Què ve ara?

La Comissió ha obert la segona fase del procés, amb una Avaluació d’Aptitud Digital (Fitness Check) fins a març de 2026. Serà un moment clau: les empreses, administracions i societat civil hauran de posicionar-se sobre si l’Òmnibus representa una simplificació necessària o una reforma que modifica l’essència del RGPD i ePrivacy.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la Proposta, feu clic aquí.

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l’entorn laboral. En un context marcat per la cautela de l’Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l’empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l’hospital

El conflicte enfrontava al comitè d’empresa i a la Confederació Intersindical Galega enfront de l’Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l’ús obligatori d’un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l’article 34.9 de l’Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l’excepció de l’article 9.2.i) del RGPD, relativa al tractament necessari per raons d’interès públic en l’àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l’hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d’accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l’absència d’una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l’AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d’ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l’empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d’interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l’entorn digital: la difusió d’imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l’Agència apreciés una infracció de l’article 6.1 del RGPD, al tractar-se d’un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L’article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d’elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l’infractor no obté benefici ni persegueix una fi sexual.

L’AEPD recorda que el rostre d’una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l’agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d’imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L’absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l’ús d’intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d’edat, entra en joc l’article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d’imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d’humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d’intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L’AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La nova febre digital: quant costa la teva veu al mercat de la IA?

per

Recentment, Neon s’ha convertit en una de les aplicacions més descarregades del moment. La seva proposta sembla irresistible: pagar als usuaris per gravar i vendre les seves trucades telefòniques. Fins a 30 dòlars al dia per deixar que la seva veu—i les converses que manté—s’utilitzin per a entrenar models d’intel·ligència artificial.

La idea és senzilla: Neon registra les trucades de l’usuari i, si tots dos interlocutors tenen instal·lada l’app, ambdues veus s’utilitzen per a alimentar sistemes d’IA que aprenen a reconèixer, imitar o analitzar el llenguatge humà. A canvi, l’usuari rep una petita compensació econòmica per minut gravat.

Però darrere de l’atractiu model «tecnologia a canvi de diners», sorgeixen enormes interrogants legals i ètics. Sabem realment què estem cedint quan acceptem gravar la nostra veu?

Dades biomètriques: la veu com a identitat digital

A diferència d’una simple dada personal, la veu és un identificador biomètric únic, perquè permet reconèixer, imitar i suplantar identitats. Per això, el Reglament General de Protecció de Dades (RGPD) europeu la considera dada sensible i el seu tractament requereix un consentiment explícit i informat.

El problema és que, segons els termes d’ús de Neon, l’usuari atorga a l’empresa una llicència àmplia i pràcticament il·limitada per a «reproduir, emmagatzemar, modificar i distribuir» les seves gravacions. En la pràctica, això implica cedir el control total sobre una dada que no sols revela la veu, sinó també informació contextual, emocional i de tercers.

De fet, si la trucada és amb algú que no utilitza Neon, l’app igualment grava la part de l’usuari… però inevitablement es capten fragments de l’altra persona. Això planteja dubtes seriosos en matèria de consentiment dels interlocutors i vulnera principis bàsics de minimització i finalitat del RGPD.

Entre la curiositat i el risc

L’empresa assegura que les gravacions s’anonimitzen abans de ser venudes a tercers. No obstant això, experts en seguretat digital alerten: la veu és extraordinàriament difícil d’anonimitzar. Pot utilitzar-se per a crear imitacions perfectes mitjançant IA, obrir comptes bancaris, o fins i tot suplantar a familiars en estafes telefòniques.

A més, les incongruències detectades entre les tarifes anunciades en l’App Store i les publicades en la web de Neon generen dubtes sobre la transparència real del model.

Conclusió: el preu real de la veu

L’èxit viral de Neon demostra una tendència preocupant: cada cop més usuaris estan disposats a monetitzar la seva privacitat a canvi de beneficis immediats. L’«economia de la dada» evoluciona cap a un escenari on la identitat es converteix en un actiu comercializable, sense que molts comprenguin les conseqüències a llarg termini.

Cedir la veu no és innocu, és cedir una part irrepetible de la nostra identitat digital. Per això, abans d’acceptar els «termes i condicions», convé preguntar-se: quant val realment la meva veu? I qui l’escoltarà quan ja no sigui meva?

Com sempre, cuideu les dades i cuideu-vos!

Albània aposta per una ministra artificial: entre la innovació i el risc

per

Albània ha fet un pas històric —i polèmic—: s’ha convertit en el primer país del món a nomenar una intel·ligència artificial com a ministra. El seu nom és Diella, inspirat en la paraula «diell» (sol, en albanès), com a símbol de transparència.

La nova «ministra» s’encarregarà d’avaluar licitacions públiques, detectar irregularitats i assistir en tràmits electrònics. La seva creació respon a un objectiu polític molt concret: convèncer a Brussel·les de la voluntat d’Albània de lluitar contra la corrupció de cara a la seva adhesió a la Unió Europea en 2030.

La posada en escena no ha pogut ser més simbòlica: en les presentacions oficials, la Diella apareix com una jove somrient, amb vestit típic albanès, saludant des de la pantalla. No obstant això, després del gest de modernitat, sorgeixen moltes incògnites.

Llums i ombres de la iniciativa

El govern albanès pretén mostrar un compromís amb la transparència en un país marcat per sospites de corrupció, favoritisme i blanqueig de capitals en les adjudicacions públiques. Però el moviment desperta més dubtes que certeses.

Delegar un càrrec ministerial en una IA podria ser problemàtic per diversos motius:

  • No s’ha aclarit si hi haurà algun tipus de supervisió humana sobre les decisions de la Diella.
  • No han informat sobre quin ha estat l’algorisme utilitzat, les dades d’entrenament i els mecanismes de validació dels seus resultats.
  • Com qualsevol IA, existeix un risc elevat de biaixos en les adjudicacions i de falta de traçabilitat en els processos.

  • S’obren vulnerabilitats de ciberseguretat en un context geopolític delicat.

A aquestes crítiques se suma un altre factor: la viabilitat. Segons estudis del MIT, el 95% dels projectes d’IA a gran escala fracassen per falta de retorn o per costos excessius. Està Albània preparada per a gestionar un sistema tan complex i delicat?

El risc de substituir en lloc de complementar

La IA pot ser un aliada poderosa per a reforçar la transparència administrativa, però la seva funció hauria de ser acompanyar i millorar el treball humà, no reemplaçar-lo. La substitució completa d’un rol polític d’alt nivell planteja un escenari inèdit i amb implicacions democràtiques profundes: qui assumeix la responsabilitat última de les decisions?

Altres països ja experimenten amb IA en l’administració: Ucraïna té un avatar portaveu, Mèxic una assistent virtual judicial, i el Brasil avança en aquesta línia. Però el cas albanès va més enllà: no és un assistent, sinó una «ministra».

Conclusió

Albània busca amb la Diella enviar un missatge clar a la Unió Europea: compromís amb la transparència i voluntat de modernització. Però l’experiment planteja seriosos dubtes de legitimitat, control i seguretat.

La innovació tecnològica és benvinguda, sempre que no substitueixi el judici crític humà ni posi en risc la confiança en les institucions. La pregunta continua oberta: la Diella és un raig de llum contra la corrupció o un salt massa arriscat en la política digital?

Com sempre, cuideu les dades i cuideu-vos!

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d’implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l’ús d’empremtes dactilars per a controlar l’accés amb l’entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l’ús fraudulent d’aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l’empremta dactilar del visitant en el primer accés. Aquesta informació s’encriptava, convertint-se en una «representació matemàtica» que s’usava per a confirmar que la mateixa persona accedia després al segon parc.

L’empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s’emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l’AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s’usen per a autenticar o verificar la identitat d’un individu.

L’AEPD recorda que l’art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s’ofereix una alternativa real a l’ús de l’empremta.

A més a més, no s’havia realitzat la preceptiva Avaluació d’Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l’oci. L’AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l’usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d’alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Revisió Texts legals web