Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

DNI per WhatsApp: Demanar la foto del DNI acaba en multa

per

El 5 de febrer de 2025, l’AEPD va imposar una sanció de 2.000€ a un allotjament turístic per sol·licitar l’enviament del DNI per WhatsApp

Fets

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un procediment sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. per exigir als seus clients l’enviament d’imatges completes del DNI (incloent menors) a través de WhatsApp, sense informar sobre el tractament. L’empresa va al·legar complir amb el Reial decret 933/2021 sobre registre d’hostes. No obstant això, l’AEPD va determinar que la seva pràctica excedia els requisits legals.

En primer lloc, l’exigència d’aportar la imatge completa del DNI era desproporcionada, perquè es recollia informació innecessària com el rostre, el número d’expedició o els noms de progenitors. Això va en contra del principi que exigeix limitar les dades al «adequat,pertinent i estrictament necessari» (art. 5.1.c) RGPD). 

A més, cal recordar que el RD 933/2021 només requereix dades textuals bàsiques (nom, cognoms, número de document), no còpies del document.

Així mateix, l’AEPD va subratllar que, tot i que el lloguer turístic està subjecte a obligacions de registre, (art. 4.3 RD 933/2021), «ha de complir-se sense necessitat de sol·licitar el lliurament de còpia o imatge del document d’identitat o escaneig d’aquest, perquè existeixen altres alternatives igualment vàlides que permeten realitzar aquesta comprovació de manera fiable.» És a dir, verificar la identitat no equival a emmagatzemar còpies del DNI, perquè amb mètodes menys invasius, com la transcripció manual de dades, es podria haver complert l’obligació de registre perfectament.

D’altra banda, el mètode d’enviament de la imatge del DNI sol·licitat era WhatsApp, per la qual cosa sorgeix un risc afegit, perquè aquesta xarxa social manca de xifratge i no es considera una via segura a través de la qual enviar dades tan sensibles com els continguts en el DNI.

Per tot l’exposat, l’AEPD va decidir imposar una sanció de 2.000€ que, amb el reconeixement de responsabilitat i el pagament voluntari per part de RESIDENTIAL QUALITY ENJOY, S.L., va quedar reduïda a 1.200€.

Conclusió

Aquesta resolució recorda a les empreses que no poden utilitzar la «seguretat» com a excusa per a recopilar dades excessives, perquè la imatge completa del DNI conté informació sensible irrellevant per al registre d’hostes.

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, fes clic aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Protecció de dades vs. mentides en el CV: Quan l’empresa creua la línia de la legalitat en la seva investigació

per

El 19 d’abril de 2024, el TSJ de Castella i Lleó (STSJ CL 1540/2024) declara improcedent l’acomiadament disciplinari d’una treballadora per mentir en el seu CV. L’empresa havia detectat irregularitats, i per això va demanar l’informe de vida laboral als treballadors per contrastar aquesta informació amb els seus currículums. Així és com van poder descobrir que en el d’aquesta empleada hi havia discrepàncies. No obstant això, el Tribunal ha declarat l’acomiadament com a improcedent a causa de l’ús il·lícit de les dades personals.

Fets

L’empleada, que va iniciar la seva relació laboral amb l’empresa el setembre del 2020, va aportar inicialment un currículum en el qual indicava que havia treballat com a operària de cadena al departament de soldadura a Renault. No obstant això, aquesta dada no apareixia en el currículum que va entregar el 2022; en el seu lloc, es va indicar una altra experiència professional com a operària de cadena que no es corresponia amb l’exposat al seu dia.

Aquell mateix any, arran d’un procediment intern de selecció, l’empresa va demanar als treballadors la remissió de la seva vida laboral i, en contrastar el currículum de la treballadora amb la seva vida laboral, es va observar la incongruència.

Per això, el març del 2022 l’empresa va procedir a notificar-li el seu acomiadament disciplinari, amb efectes a partir del 24 de juny i fonamentat en la seva transgressió a la bona fe contractual (article 54.2.d) de l’Estatut dels Treballadors.

No obstant això, l’empleada va impugnar l’acomiadament i va al·legar que s’ havia vulnerat el seu dret a la protecció de dades, atès que l’empresa va utilitzar el seu informe de vida laboral per justificar el seu acomiadament sense cap tipus de base legítima per a això.

Si bé el tribunal d’instància va declarar la procedència de l’acomiadament, la treballadora va recórrer al TSJ de Castella i Lleó, el qual ha declarat l’acomiadament com a improcedent.

Aquest TSJ ha reconegut l’ús il·lícit de les dades personals cedides per la treballadora que va realitzar l’empresa, atès que aquesta els va utilitzar per a un fi diferent al que se suposava—la treballadora havia lliurat l’informe voluntàriament per a processos de selecció, no per a una investigació disciplinària.

Així mateix, el Tribunal subratlla la il·licitud del tractament, indicant que s’ha vulnerat el dret a la protecció de dades de la treballadora, el qual considera com un dret fonamental protegit per l ‘article 18.4 de la Constitució espanyola

El Tribunal considera que aquesta vulneració és motiu suficient per afirmar la improcedència, atès que, en cas de prescindir de la informació obtinguda de la vida laboral de l’ empleada, l’ acomiadament mancaria de justificació. A més, destaca el defecte formal en la carta d’acomiadament, ja que aquesta no descrivia amb claredat la conducta sancionada i que la falta al·legada per l’empresa havia prescrit, doncs, des del coneixement de la suposada irregularitat al març de 2022 fins a l’acomiadament al juny de 2022, ja havien transcorregut més de 60 dies,  la qual cosa superava el termini legal per sancionar una falta molt greu.

El Tribunal Superior de Justícia de Castella i Lleó va condemnar l’empresa a readmetre la treballadora o abonar-li una indemnització de 5.462’42€, a més d’una indemnització addicional per danys morals de 3.000€, a causa de la vulneració del seu dret fonamental a la protecció de dades.

Conclusió

L’ empresa no va poder acreditar un interès legítim superior al dret fonamental a la protecció de dades de la treballadora, per la qual cosa la causa de l’ acomiadament va quedar invalidada. Aquesta decisió senta un precedent sobre els límits de les empreses per verificar CVs, prioritzant el compliment del RGPD fins i tot en casos de presumpta mala fe del treballador.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, faci clic aquí.

Com un accés a ASNEF va costar el lloc a un directiu bancari: El TS equipara consultar morositat sense causa al robatori d’informació

per

La Sentència del Tribunal Suprem nº37/2025 resol un recurs de cassació presentat per Banco Sabadell SA contra una sentència que va declarar improcedent l’acomiadament disciplinari d’un empleat per accessos no autoritzats a fitxers de morositat i retrocessió irregular de comissions.

Fets provats

El treballador, que portava des del 2000 treballant per al Banc Sabadell, va consultar dades en fitxers de morositat de diverses persones i empreses sense consentiment, algunes d’elles sense relació contractual amb el banc. Per això, l’ entitat bancària li va comunicar el seu acomiadament disciplinari, fonamentat en infraccions molt greus tipificades en l‘ art.  69.1 del conveni col.lectiu del sector de Banca, relatiu a l’ art.  54.2.d) de l’ Estatut dels Treballadors.

El Banc va al·legar que el treballador va realitzar diverses consultes sense justificació de fitxers de morositat. Concretament, l’empleat va realitzar, sense cap justificació, recerques de fins a 4 persones físiques i una empresa en sis dates diferents. Una d’aquestes persones investigades va presentar una queixa al Banc per haver-se consultat les seves dades personals tenir una base legítima per a això i va reclamar que se li compensés el dany ocasionat.

Així mateix, l’actor també va realitzar retrocessions de comissions per un valor de 133’80€ a favor d’un amic que era client d’una altra oficina.

El treballador acomiadat va defensar les seves accions al·legant que va realitzar els accessos als fitxers de morositat com una mera acció comercial. D’altra banda, respecte a les retrocessions de comissions, va indicar que el va realitzar com un favor al seu amic personal.

No obstant això, el Banc va decidir executar l’acomiadament disciplinari en considerar els fets com a molt greus i constitutius de transgressió de la bona fe contractual, abús de confiança en l’acompliment del treball i frau o deslleialtat en les gestions encomanades.

Decisió del Tribunal Suprem

En aquest supòsit, el Tribunal Suprem considera provada la transgressió de bona fe contractual i abús de confiança per part de l’ ara ex-empleat i subratlla l’ ús indegut de facultats directives per beneficiar tercers sense interès empresarial. A més, destaca que els accessos realitzats en més d’ una ocasió van ser accessos a dades sensibles sense base legítima, per la qual cosa es constitueix una vulneració de l’ art. ~ ~ ~ 20 de la LOPDGDD, precepte que indica que només es pot consultar la informació dels sistemes d’ informació creditícia quan es mantingués una relació contractual amb l’ afectat.

D’altra banda, s’identifica també una vulneració de l’ article 5.1.f) RGPD, el qual preveu que les dades personals han de ser tractades garantint una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit (principi de confidencialitat).

Conclusió

Aquesta sentència senti precedent sobre l’ abast del deure de lleialtat en el maneig de dades personals, establint que l’ ús no autoritzat de sistemes d’ informació creditícia per directius bancaris, encara que sigui puntual, justifica l’ extinció contractual per risc substancial per als interessos empresarials.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

DNI vs RGPD: La prima línia entre identificació legal i vulneració de dades

per

El Document Nacional d’Identitat (DNI) no està classificat com a dada de categoria especial sota el RGPD (no inclou informació sobre salut, origen ètnic o orientació sexual). No obstant això, el seu tractament genera un debat legal i pràctic pel seu potencial per identificar inequívocament una persona i el seu ús massiu en processos empresarials. D’ altra banda, les estafes, les suplantacions d’ identitat i els perjudicis econòmics derivats de les dues situacions anteriors estan a l’ ordre del dia, per la qual cosa realment es tracta d’ una dada d’ un risc i rellevància vital.

L‘Agència Espanyola de Protecció de Dades (AEPD) s’ha pronunciat al respecte i indica que el DNI conté dades especialment sensibles i susceptibles d’un mal ús, sobretot amb la seva recopilació o emmagatzematge indegut, atès que un tercer que tingui accés a aquests pot suplantar la identitat del titular del DNI amb total facilitat i perpetrar conductes que suposin un alt risc per a la privacitat,  l’ honor i el patrimoni del suplantat.

Així ho ha reflectit en sancionar amb 100.000€ una companyia per sol·licitar una fotocòpia del DNI per correu electrònic per acreditar la identitat d’una persona sense informar adequadament sobre el tractament de les seves dades (article 13. RGPD) i sense complir amb les mesures de seguretat adequades.

En aquest cas, l’AEPD qüestiona l’enviament del DNI per correu electrònic, ja que no ho considera una via segura per a la transmissió d’unes dades tan sensibles com les que figuren en el DNI.

Per la seva banda, la reclamada no va presentar l’anàlisi de riscos ni tenia implementades mesures de seguretat adequades per garantir que l’enviament d’aquesta informació fos segur, per la qual cosa l’AEPD ha decidit sancionar-la amb 50.000€ per l’absència de mesures de seguretat i altres 50.000€ per no facilitar informació sobre el tractament.

Conclusió

L’AEPD ha enviat un missatge contundent: gestionar el DNI amb negligència no només vulnera la privacitat, sinó que obre la porta a conseqüències legals i econòmiques. La pròxima vegada que sol·licites una còpia del DNI, recorda: identificar no és sinònim d’exposar.

Per llegir la resolució, feu clic aquí.

Com sempre, cuida les dades i ¡cuideu-vos!

Treballes o et vigilen? La CNIL multa amb 40.000€ una empresa per controlar fins al segon d’inactivitat dels seus empleats

per

El 19 de desembre de 2024, l’autoritat de protecció de dades francesa (CNIL) va imposar una sanció de 40.000€ a una empresa del sector immobiliari per controlar els seus empleats sense informar, sense adoptar mesures de seguretat adequades i sense haver realitzat una EIPD.

Fets

Arran de diverses denúncies, la CNIL va realitzar una inspecció en la qual va observar que l’empresa filmava constantment els seus empleats i captava la imatge i el so, a més de mesurar el seu temps de treball i avaluar el seu rendiment de forma molt precisa gràcies al programa informàtic instal·lat als seus ordinadors.

El sistema de videovigilància captava constantment imatges i sons dels empleats del local, tant en els seus llocs de treball com en els espais de descans. A més, aquestes imatges podien ser visualitzades pels supervisors mitjançant una aplicació mòbil. Aquesta mesura no va ser justificada de cap manera, la qual cosa suposa una clara vulneració excessiva dels drets dels treballadors, així com del principi de minimització de dades (art. 5.1.c) RGPD).

D’altra banda, pel que fa al programari instal·lat als ordinadors dels empleats per monitorar la seva activitat, la CNIL va considerar que aquesta mesura era totalment desproporcionada i una vigilància especialment intrusiva. Aquest programari permetia, a més de comptar les hores de treball, saber si l’empleat no escrivia al teclat ni movia el ratolí en un període d’entre 3 i 15 minuts, en el qual també podien prendre’s captures de pantalla periòdiques. En cas de detectar aquests períodes d’ inactivitat, si no es justificaven o compensaven, s’ aplicava una deducció de salari.

La CNIL va indicar que aquest programa no era fiable, atès que els períodes d’aparent inactivitat podien correspondre a temps de treball efectiu en el marc de les seves funcions (com reunions o trucades telefòniques), per la qual cosa no hi havia una garantia que el programari complís amb la seva finalitat de forma correcta.

A més, el sistema, en permetre la captura de dades potencialment privades (com correus electrònics personals, converses de missatgeria instantània o contrasenyes confidencials), constituïa una vulneració desproporcionada de la privacitat, interessos i drets fonamentals dels treballadors, i el tractament de les dades mancava de fonamentació legal (art. 6 RGPD).

Així mateix, l’ empresa tampoc va proporcionar informació escrita suficient sobre el tractament que realitzava el programari de monitoratge, ni en documents d’ informació interns de l’ empresa ni en els contractes de treball i d’ estudi dels empleats, la qual cosa constitueix una infracció de l’ article 13 del RGPD.

En últim lloc, l’empresa tampoc va realitzar una avaluació d’impacte sobre la protecció de dades (EIPD) per al tractament que va realitzar en implementar el programa de monitoratge, la qual era necessària en haver-hi un alt risc per als drets i llibertats dels empleats.

Conclusió

El monitoratge excessiu i el control laboral sense prendre les mesures tècniques i organitzatives necessàries transgredeixen els drets dels empleats a nivells excessius. Cal recordar que sempre que es realitza un tractament de dades que afecta drets sensibles, s’ ha de realitzar amb cautela i actuant en el marc de la normativa de protecció de dades.

Com sempre, cuideu les dades i ¡cuideu-vos!

Per llegir la resolució, faci clic aquí.

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

E-mails en periode de baixa: ¿intrusió digital o comunicació innòcua?

per

Què és el dret a la desconnexió digital?

Aquest dret està reconegut en l’article 88 de la nostra Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garanties dels Drets Digitals (LOPDGDD) i es disposa com un requisit indispensable en una relació laboral per respectar el temps de descans, permisos i vacances, així com de la intimitat personal i familiar dels empleats.

Amb la incorporació del teletreball i les noves tecnologies, que no són més que eines que faciliten la comunicació a distància, els límits de la comunicació en l’àmbit laboral es tornen més difusos. Tanmateix, és important respectar l’ horari laboral dels empleats i vetllar pel dret a la desconnexió digital.

Comentari de la STSJ de Madrid 534/2024, del 26 de juny de 2024

El passat 26 de juny, el Tribunal Superior de Justícia de Madrid va dictaminar que l’enviament de correus electrònics corporatius a una persona en situació d’incapacitat temporal no vulnera el dret a la desconnexió digital.

En aquest supòsit, el centre educatiu en el qual l’ empleada estava de baixa li va enviar correus electrònics durant el seu període d’ incapacitat temporal. Aquest fet planteja qüestions sobre el dret a la desconnexió digital dels treballadors, especialment durant períodes de baixa mèdica.

Cal destacar que la demandant va comunicar en reiterades ocasions que no contactessin amb ella i que, arran d’aquest fet, es van deixar d’enviar comunicacions. Per tant, el centre educatiu va respectar la sol·licitud de la treballadora de no ser contactada, en alineació amb el dret a la desconnexió digital.

En el seu recurs, la demandant va al·legar la vulneració de diversos articles relacionats amb la protecció de dades i el dret al descans, incloent-hi l’article 88 de la LOPDGDD i l ‘article 18 de la Constitució Espanyola. Va argumentar que l’enviament d’emails durant la seva incapacitat temporal entorpia la seva recuperació i constituïa una intromissió en els seus drets.

La part demandada va al·legar que els correus electrònics van ser enviats  al compte corporatiu de la demandant com a membre de l’equip docent i que, a més, van ser enviats de manera automàtica en formar part del llistat de treballadors del centre, per la qual cosa la treballadora no tenia obligació d’obrir o llegir aquests correus durant el seu període d’incapacitat temporal.

A més, s’esmenta que, després de la sol·licitud de la demandant al juny de 2023, el seu compte va ser retirat dels grups de treball. Això indica una resposta positiva a la petició de desconnexió per part del centre educatiu.

Conclusió

La sentència distingeix entre els correus enviats des del compte del centre i els enviats per un individu des del seu compte personal. Això planteja qüestions sobre la responsabilitat institucional davant les accions individuals en matèria de desconnexió digital.

Aquest cas il·lustra la complexitat d’equilibrar la comunicació laboral amb el dret al descans i la desconnexió, especialment durant períodes d’incapacitat temporal. La sentència suggereix que, si bé inicialment hi va haver comunicacions no desitjades, el centre educatiu finalment va respectar la sol·licitud de desconnexió de la treballadora, per la qual cosa no hi va haver cap vulneració.

Podeu llegir la sentència aquí

Com sempre, cuideu les dades i cuideu-vos!

Netflix: privadesa primer, si us plau!

per

Com deia Tim Cook, CEO d’Apple, en una declaració de 2018, La nostra informació personal, des del quotidià fins al més íntim, s’ha convertit en una arma que s’utilitza contra nosaltres mateixos amb precisió militar. (…) Cada dia, es mouen milers de milions de dòlars i es prenen innombrables decisions sobre la base dels nostres gustos, amics i familiars, relacions i converses, desitjos i pors, esperances i somnis (…) Aquestes dades, inofensives per separat, són acuradament combinades, sintetitzades, analitzades, comercialitzades i venuts. Portat a l’extrem, aquest procés crea un perfil digital permanent de cadascun de nosaltres i permet a les empreses conèixer-nos millor de el que ens coneixem a nosaltres mateixos.” (1)

Ja fa anys que es parla de l’economia de dades i dels nous models de negoci denominats “privacy-first“, es a dir, aquells que avantposen la privacitat i que no requereixen de l’extracció de dades, ja que no monetitzen les dades personals. Ja sabem que no és fàcil per moltes empreses però no tenir molt present la privacitat té consequències.

La DDPA (Dutch Data Protection Authority), Agència neerlandesa de Protecció de Dades, ha proposat una sanció de 4’75M€ a Netflix a causa de la vulneració de certs principis del RGPD.

Arran d’una investigació iniciada el 2019 pel Centre Europeu per a Drets Digitals (NOYB, per les seves sigles en anglès de None Of Your Business), la DDPA ha conclòs que Netflix no oferia als clients informació suficient sobre el tractament de les seves dades personals entre el 2018 i el 2020 i la informació oferta no era transparent.

El Centre Europeu per a Drets Digitals, que és una organització sense ànim de lucre fundada a Viena el 2017, va ser el que va identificar les vulneracions del RGPD de Netflix—en especial, l’article 15—i va advertir l’Autoritat de Protecció de Dades austríaca, la qual va traslladar l’expedient a la neerlandesa, atès que Netflix té la seva seu europea a Països Baixos.

Segons l’Agència neerlandesa, la companyia de streaming no era prou clara en els següents punts:

  1. Base de legitimació per recollir i tractar les dades personals ( 6 RGPD).
  2. Comunicació de dades a tercers.
  3. Període de conservació de dades.
  4. Mesures de seguretat en transferències internacionals de dades.

D’altra banda, quan els usuaris es posaven en contacte amb Netflix per exercir els seus drets en l’àmbit de la protecció de dades, la companyia no oferia respostes clares al respecte.

Si bé la decisió de la DDPA ha estat celebrada per NOYB, Stefano Rosetti, advocat del Centre ha criticat el llarg període de temps—cinc anys—que ha transcorregut per adoptar una postura tenint en compte que «era un cas molt clar».

Netflix va actualitzar la seva política de privacitat el 2020 i ha ampliat la informació oferta als usuaris, però, s’ha oposat a la multa.

NOYB ha iniciat reclamacions similars contra Amazon, Apple Music, Spotify i Youtube. En el cas de Spotify, la IMY (Autoritat de Protecció de Dades sueca) va imposar una multa de 5M€ per vulnerar l’article 15 RGPD.

Per llegir la Resolució, feu clic aquí.

Recordeu, cuideu les dades i cuideu-vos!

(1)  Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats