Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Desconnexió digital i salut mental: EL TSJ de Galícia es pronuncia

per

El Tribunal Superior de Justícia de Galícia (TSJG), en la seva recent Sentència nº2292/2025, de 25 d’abril, declara que l’empresa Greenalia S.A. va vulnerar el dret a la desconnexió digital i a la integritat moral d’una treballadora que es trobava de baixa mèdica per trastorn d’ansietat.

El Tribunal confirma que enviar-li correus laborals durant aquest període va atemptar contra la seva dignitat i li imposa el pagament d’una indemnització de 1.500 € per danys i perjudicis.

Antecedents

L’empleada, que va presentar la seva baixa voluntària a l’abril de 2024, va denunciar haver rebut comunicacions laborals mentre estava en situació d’incapacitat temporal, perquè tenia diagnosticat un trastorn d’ansietat.

Durant aquest temps, si bé no li van exigir resposta immediata, diversos companys li van remetre correus electrònics sobre qüestions de treball. No obstant això, l’empresa no va adoptar mesures per a evitar-ho.

El TSJ de Galícia subratlla la importància del dret a la desconnexió digital, recollit en l’article 88 de la Llei Orgànica 3/2018. Aquest dret no sols protegeix el treballador d’haver de respondre a missatges fora de la seva jornada, sinó que també imposa a l’empresa una obligació activa d’abstenir-se d’enviar comunicacions laborals durant el temps de descans, vacances o situacions com una baixa mèdica.

En aquest cas, la Sala argumenta que la falta de respecte a aquest dret, en un context de vulnerabilitat emocional acreditada per informes mèdics, agreuja l’estat dels empleats i suposa una intromissió en el dret fonamental a la integritat moral (art. 15 CE).

Encara que l’empresa va al·legar que no exigia resposta immediata i que els correus formaven part de fils ja iniciats, el Tribunal entén que el simple fet de rebre aquestes comunicacions, estant de baixa, representa una forma de pressió i una falta de respecte a l’espai personal i al procés de recuperació de la treballadora. Per tant, el Tribunal rebutja que la falta d’exigència de resposta obligatòria per part de la treballadora eximeixi a l’empresa de la seva responsabilitat

La sentència aclareix que el dret a la desconnexió no és una mera cortesia empresarial, sinó un component clau del benestar laboral i la salut mental. Obliga l’empresa a prevenir intrusions que comprometin la recuperació del treballador o afectin la seva vida personal.

Tot i que es revoquen parcialment altres afirmacions de la sentència anterior—no s’aprecien vulneracions del dret a la integritat física ni a l’honor—, el TSJ de Galícia manté la condemna per vulneració de la integritat moral i l’obligació d’indemnitzar a la treballadora.

Conclusió

Aquesta resolució reafirma que l’incompliment del dret a la desconnexió digital pot suposar una violació de drets fonamentals, i marca un precedent important per a empreses i treballadors.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Dades exposades per error: sanció per una greu negligència en la gestió d’informació personal

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. per una infracció greu de l’article 5.1.f) del RGPD, relacionada amb la falta de mesures adequades per a garantir la seguretat i confidencialitat de les dades personals.

Tot va començar amb una reclamació presentada a l’octubre de 2024, en la qual s’al·legava que l’empresa enviava correus a candidats incloent un formulari de Google per a recaptar les seves dades personals (nom, cognoms, DNI) i, a més a més, un enllaç a un full de càlcul amb les dades de més de 10.000 persones, accessible per a qualsevol que el tingués. La informació no estava protegida, la qual cosa suposa una vulneració clara del principi de confidencialitat.

L’empresa va admetre que l’error es va produir quan un tècnic de selecció, acabat d’incorporar, va afegir per accident un enllaç intern no controlat. Si bé l’empresa va prendre mesures correctives després de rebre el requeriment de l’AEPD—va restringir l’accés a l’enllaç, va actualitzar procediments, i va millorar el control d’accés a la informació—, l’Agència va considerar que aquestes mesures es van adoptar a posteriori, i no existien controls previs eficaços per a evitar l’incident.

Per això, l’AEPD va decidir imposar una multa de 35.000€, fonamentada en la vulneració de l’article 5.1.f) del RGPD, que exigeix tractar les dades personals amb mesures tècniques i organitzatives apropiades per a garantir la seva seguretat, inclosa la protecció enfront del tractament no autoritzat. A més, la infracció es tipifica com molt greu segons l’article 83.5.a) del RGPD i l’article 72 de la LOPDGDD.

Es van tenir en compte diversos factors agreujants per a determinar la quantia:

  • La gravetat de l’incident, en afectar 10.837 persones i comprometre dades especialment sensibles com el DNI.
  • La negligència, al no haver-se previst mecanismes que evitessin aquest tipus d’errors, sent una empresa amb un volum de negoci elevat i dedicada precisament al tractament de dades de tercers.
  • La falta de mesures preventives prèvies, la qual cosa va evidenciar una cultura de compliment deficient en el maneig d’informació personal.

Conclusió

Aquest cas demostra que un simple error en el maneig d’enllaços pot derivar en una greu infracció del RGPD. La protecció de dades exigeix mesures preventives reals, no sols reaccions a posteriori. Amb aquesta sanció, l’AEPD reforça la importància de garantir la confidencialitat des del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El dret a desconnectar no es negocia: sanció a LVMH per ús indegut del mòbil d’una empleada

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 70.000€ a LVMH Iberia per obligar una empleada a usar el seu telèfon mòbil personal per a finalitats laborals, fins i tot en contra de la seva voluntat. Aquesta actuació constitueix una vulneració tant del Reglament General de Protecció de Dades (RGPD) com del dret a la desconnexió digital previst en la LOPDGDD.

L’afectada es va veure forçada a utilitzar el seu número de telèfon personal per a participar en grups de WhatsApp corporatius, a l’espera d’un telèfon d’empresa que mai se li va lliurar. Un dia abans d’iniciar les seves vacances, va comunicar per escrit i verbalment la seva intenció de deixar d’usar el seu mòbil personal per a temes de treball, es va sortir de diversos grups i va reiterar que esperava disposar del dispositiu corporatiu promès.

No obstant això, al dia següent, mentre gaudia del seu dia lliure, va ser inclosa sense consentiment en un nou grup de WhatsApp de l’empresa, en el qual va romandre fins al seu acomiadament. Davant aquesta situació, va presentar una reclamació davant l’AEPD.

L’empresa, per part seva, va justificar la seva actuació assegurant que va adoptar una «postura garantista» i que els grups només incloïen a empleats, la qual cosa consideraven una mesura adequada i necessària per a l’operativa diària. També van al·legar que, en general, els treballadors accedeixen a aquests grups amb dispositius corporatius i que l’ús del telèfon personal és una cosa «excepcional i transitòria».

No obstant això, l’AEPD va considerar que va haver-hi una doble infracció:

  • Violació de l’ 6.1 RGPD, per utilitzar dades personals (el número de telèfon privat) sense base legal vàlida ni consentiment explícit.
  • Vulneració del dret a la desconnexió digital ( 88 LOPDGDD), per obligar l’empleada a participar en comunicacions laborals fins i tot durant les seves vacances, sense respectar els límits del descans personal.

Com a conseqüència, l’AEPD va imposar una multa inicial de 70.000€, que va quedar reduïda a 42.000€, després del reconeixement de responsabilitat i al pagament voluntari per part de l’empresa.

Conclusió

Aquest cas marca un precedent important en l’àmbit laboral digital: les empreses no poden imposar l’ús de dispositius personals per al treball sense consentiment clar i revocable, i han de respectar el dret a la desconnexió digital, especialment fora de l’horari laboral o en períodes de descans.

Cal recordar a totes les organitzacions que la gestió de grups de WhatsApp o altres eines informals no eximeix del compliment del RGPD, i que la comoditat operativa no justifica la invasió de la vida privada dels empleats.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

El teu chatbot compleix la llei? Riscos legals d’automatitzar l’atenció al client amb IA.

per

En plena era de la digitalització, cada vegada més empreses opten per automatitzar la seva atenció al client mitjançant xatbots i intel·ligència artificial (IA). Aquesta tecnologia permet respondre als usuaris en temps real, reduir costos operatius i millorar la disponibilitat del servei. No obstant això, si bé té els seus beneficis, el seu ús planteja riscos legals significatius, especialment en quant a la protecció de dades personals respecta. 

Bots i dades personals: Quines obligacions legals existeixen? 

Els xatbots que interactuen amb usuaris solen recollir dades com a nom, correu electrònic, número de telèfon, preferències de consum o fins i tot informació sensible. Això els converteix en sistemes de tractament de dades personals, la qual cosa s’ha d’aplicar el Reglament General de Protecció de Dades (RGPD) i la Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). 

Per tant, si la teva empresa utilitza un bot, ha d’assegurar-se de: 

  • Informar l’usuari de manera clara i visible sobre la identitat del responsable del tractament, la finalitat, la base jurídica i els drets que pot exercir (art. 13 RGPD). 
  • Comptar amb una base legal vàlida per a tractar les dades. En molts casos, serà el consentiment, però també podria aplicar-se l’execució d’un contracte o l’interès legítim, sempre que s’hagi realitzat una anàlisi prèvia de ponderació. 
  • Garantir la possibilitat d’exercir drets com l’accés, oposició o supressió, fins i tot quan el contacte s’hagi produït a través d’un sistema automatitzat. 

Incompliments comuns detectats  

Alguns dels diversos incompliments freqüents relacionats amb l’ús de xatbots: 

  • Falta de transparència: molts bots no informen adequadament l’usuari sobre quines dades estan recollint ni amb quina fi. 
  • Absència de mecanismes per a exercir drets: si el bot no permet redirigir a l’usuari a un canal d’atenció humana o formular sol·licituds de drets ARCOPOL, s’infringeix el RGPD. 
  • Gravació de converses sense justificació: emmagatzemar les interaccions sense una finalitat clara ni límit temporal constitueix una infracció dels principis de limitació i minimització del tractament (art. 5 RGPD). 

A més, si el xatbot pren decisions automatitzades amb efectes significatius sobre l’usuari (per exemple, denegar un servei o prioritzar atenció), és necessari aplicar garanties addicionals segons l’art. 22.3 RGPD, com la intervenció humana i el dret a obtenir una explicació. 

I si el bot utilitza IA generativa o models predictius? 

La integració de models de llenguatge avançats (com els que permeten respostes naturals o personalitzades) pot requerir una Avaluació d’Impacte relativa a la Protecció de Dades (AIPD), especialment si es tracta de tractaments innovadors, massius o potencialment intrusius. 

 Actualment, també haurà de tenir-se en compte el Reglament Europeu d’Intel·ligència Artificial (RIA), que classifica els sistemes d’IA segons el seu nivell de risc i exigeix requisits específics de transparència i supervisió. 

Bones pràctiques per a usar bots amb garanties legals 

  • Implementar una política de privacitat específica per al canal d’atenció automatitzada. 
  • Habilitar sempre la possibilitat d’escalat a un agent humà. 
  • Assegurar la minimització de dades i la retenció limitada. 
  • Registrar el tractament en el Registre d’Activitats i revisar contractes amb proveïdors externs. 

En definitiva, automatitzar l’atenció al client amb xatbots és una decisió estratègica encertada, però només si va acompanyada d’un compliment normatiu sòlid i proactiu. No fer-ho pot suposar sancions, pèrdua de confiança i riscos reputacionals. Com sempre en Dret Digital: tecnologia, sí, però amb garanties. 

Com sempre, cuideu les dades i cuideu-vos! 

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

Privacitat en perill: sancionen una immobiliària per espiar bústies sense consentiment

per

Un ex-treballador d’ESTUDI ALCAZAR DEL GENIL 2022, S.L va denunciar a la immobiliària davant l’AEPD per haver estat obligat a prendre fotos de bústies de comunitats de veïns per a crear una base de dades de possibles clients, sense permís ni informació prèvia als afectats. En negar-se, va ser acomiadat.

Durant la recerca, l’AEPD va confirmar que es van recopilar dades personals (noms, direccions, portes i plantes) sense consentiment i que es van pujar a una base de dades utilitzada amb finalitats comercials.

Fonaments Jurídics Clau

Què es considera una dada personal?

Segons el Reglament General de Protecció de Dades (RGPD), qualsevol informació que identifiqui o pugui identificar a una persona, com el nom, la direcció o fins i tot les dades d’una bústia, es considera dada personal.

Què s’entén como tractament de dades?

El tractament de dades implica qualsevol acció sobre aquestes dades: recollir-los, emmagatzemar-los, usar-los, etc.

Es pot fer el que va fer l’empresa?

No. L’article 6 del RGPD exigeix una base legal per a tractar dades personals. Per exemple, el consentiment de l’afectat, un contracte, una obligació legal o un interès legítim que no danyi els drets del ciutadà.

En aquest cas, l’empresa no tenia cap base legal, ja que no va demanar permís ni va informar els veïns, i tampoc es tractava d’una font pública ni hi havia un altre motiu que el justifiqués.

Infracció

L’AEPD conclou que Estudio Alcázar va cometre una infracció molt greu per tractar dades personals sense base legal (art. 6 RGPD), a més de ser conscient de la infracció (art. 83.2.b) RGPD), perquè la supervisora de l’ex-treballador li va reconèixer que aquesta pràctica formava part de la metodologia implementada per a la gestió de zones.

A més, la immobiliària no va informar els titulars de les dades recaptades cap mena d’informació sobre aquest tractament. Això suposa una vulneració de l’art. 14 RGPD, el qual estableix l’obligació del responsable del tractament de proporcionar informació clara i accessible a l’interessat quan les dades personals no han estat obtinguts directament d’ell.

Sanció

L’AEPD va imposar una sanció de 20.000€, que, després del reconeixement de la seva responsabilitat i pagament voluntari, va quedar reduïda a 12.000€.

Conclusió

Aquest cas posa en evidència una cosa fonamental: el nom de la bústia és una dada protegida per llei. Ningú pot recopilar aquesta informació sense el permís del titular per a usar-la amb finalitats comercials. Les empreses tenen l’obligació de respectar la seva privacitat i només poden usar les seves dades quan tenen una base legal clara. Si no és així, s’enfronten a sancions com aquesta.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Responsabilitat civil en l’era digital: el Suprem confirma la condemna a Gamboa Automoción per una estafa informàtica

per
La sentència del Tribunal Suprem nº136/2025 resol un recurs de cassació presentat per GAMBOA AUTOMOCIÓN S.A., condemnat com a responsable civil subsidiari per una estafa informàtica que va afectar l’empresa CYASA (Comerç i Assistència S.A.).
L’estafa es va produir a l’abril de 2018 quan tercers van suplantar el correu d’un empleat de Gamboa per a induir a CYASA a realitzar una transferència per més de 32.000 euros a un compte fraudulent. El Tribunal confirma la responsabilitat subsidiària de Gamboa per ometre mesures de prevenció després d’una bretxa de seguretat detectada el dia anterior als fets.
La qüestió clau que analitza el Suprem gira entorn de si els requisits de l’article 120.3 del Codi Penal es compleixen per a imposar aquesta responsabilitat civil. Aquest article exigeix que: el delicte es cometi en un «establiment» de l’entitat; existeixi infracció de normes reglamentàries o disposicions de l’autoritat atribuïble als seus administradors o empleats; i que aquesta infracció estigui relacionada causalment amb el delicte.
El Tribunal assenyala que el sistema informàtic—com mitjà habitual i necessari—forma part de l’entorn funcional del negoci, per la qual cosa, malgrat que el delicte no va ocórrer físicament en un local, sí que va ocórrer en un «entorn operatiu» de l’empresa.
Així mateix, l’empresa va incórrer en una omissió rellevant, doncs, malgrat a haver detectat un incident similar amb una altra empresa (Romauto Motion S.A.) el matí del 10 d’abril de 2018, Gamboa no va avisar als seus altres socis comercials ni va prendre mesures per a prevenir un nou atac.
Per tot l’exposat, el Tribunal va considerar provat que va haver-hi una bretxa de seguretat en el seu sistema informàtic i que la falta de comunicació i inacció de l’empresa va ser clau perquè el frau a CYASA es consumés.

Lliçons clau per a les empreses

Aquesta sentència marca un precedent important:
  • No actuar davant una bretxa de seguretat equival a assumir riscos legals.
  • Les empreses tenen un deure proactiu de protecció i de comunicació quan detecten vulnerabilitats que poden afectar tercers.
  • No és necessari identificar a l’empleat culpable perquè s’imposi responsabilitat civil a l’empresa.
  • Les mesures preventives no són opcionals. Són una obligació legal i operativa.

Conclusió

Aquesta sentència és un advertiment clar per a totes les empreses: si una empresa detecta una incidència de seguretat i no informa ni actua amb rapidesa, pot acabar condemnada, encara que no hagi participat en el delicte.
Avui més que mai, la gestió de riscos digitals és part essencial del compliment legal i del deure de diligència empresarial. I quan aquest deure s’incompleix, els costos van molt més allà del tecnològic: impacten en la reputació, les finances i la responsabilitat jurídica de l’empresa.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Confidencialitat Vulnerada: La Importància del Deure de Confidencialitat en Canals de Denúncies

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l’àmbit laboral.

La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d’assetjament laboral. L’empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d’ansietat i exposició pública en l’entorn laboral.

Si bé tot va iniciar amb l’activació del protocol d’assetjament laboral, l’Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s’exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.

Com a conseqüència, un dels denunciats, a través d’un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d’un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d’ansietat, pel qual es va acollir a la baixa mèdica.

Per part seva, l’empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l’anonimat no va ser sol·licitat expressament i que, a més, el Comitè d’Empresa que va dur a terme el protocol tampoc el va demanar.

És necessari recordar que l’article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d’integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d’evitar-se l’accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.

En aquest cas, l’empresa va vulnerar aquest principi en permetre l’accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.

Per tot l’exposat, l’AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l’empresa reconegués la seva responsabilitat i procedís al pagament voluntari.

Conclusió

La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d’implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web