Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Transcripció de veu amb IA: la pregunta no és si funciona, sinó si la teva organització està preparada

per

La IA transcriu, però la responsabilitat continua sent humana

La creixent adopció d'eines d'intel·ligència artificial per a transcriure reunions, trucades o converses està transformant la forma en què les organitzacions gestionen la informació. Agilitat, automatització i eficiència són avantatges evidents. No obstant això, darrere d'aquesta millora operativa existeix una qüestió que moltes empreses encara no s'han plantejat: qui respon quan la tecnologia s'equivoca?

La recent reflexió de l'AEPD recorda una idea essencial: utilitzar IA per a transcriure veu no implica traslladar la responsabilitat al proveïdor tecnològic. L'organització que decideix implantar aquestes eines continua sent responsable del tractament i de les seves conseqüències.

Quan un error de transcripció deixa de ser un error menor

Els errors poden tenir un impacte molt major del que sembla. Una transcripció pot atribuir una declaració a la persona equivocada, eliminar matisos rellevants o registrar dades incorrectes. Un nom mal identificat, un càrrec erroni o una frase treta de context poden afectar la qualitat de la informació i, en determinats escenaris, generar riscos jurídics i de compliment.

La qüestió no és si la tecnologia falla—perquè pot fer-ho—, sinó si l'organització ha previst què ocorrerà quan succeeixi.

Transparència, conservació i drets: riscos que solen passar desapercebuts

La transparència també ocupa un paper central. Les persones han de conèixer de manera clara quan la seva veu està sent tractada mitjançant sistemes d'IA, amb quina finalitat i quin ús posterior pot donar-se a aquesta informació.

A més, és necessari revisar aspectes que amb freqüència passen desapercebuts: les gravacions es conserven més temps del necessari?, les dades s'utilitzen per a reentrenar models?, existeixen mecanismes senzills per a rectificar errors o exercir drets?

L'experiència demostra que moltes organitzacions incorporen solucions de transcripció automàtica com una funcionalitat més dins de plataformes col·laboratives o eines de productivitat, sense analitzar realment les implicacions de privacitat i governança que incorporen.

La veritable pregunta: ha revisat la teva organització tot el que hauria?

Potser la pregunta rellevant ja no és si utilitzar o no aquestes eines. La qüestió és una altra: la teva organització ha revisat realment tot el que hauria de revisar?

  • Ha analitzat el paper i les responsabilitats del proveïdor?
  • Existeixen protocols per a validar i corregir transcripcions errònies?
  • S'han definit períodes adequats de conservació?
  • S'informa correctament empleats, clients o participants?
  • S'han avaluat els riscos des d'una perspectiva de privacitat i compliment?

La intel·ligència artificial pot aportar un enorme avantatge competitiu, però la innovació sostenible exigeix alguna cosa més a implementar tecnologia: requereix fer-ho amb garanties.

Les organitzacions que obtindran major valor d'aquestes eines no seran necessàriament les que adoptin més IA, sinó aquelles que hagin dedicat temps a entendre les seves implicacions i a implantar-la amb garanties.

Com sempre, cuideu les dades i cuideu-vos!

XII Congrés Internacional de Privacitat i Intel·ligència Artificial de APEP·IA

per

Els passats 7 i 8 de maig l'equip de Tecnolawyer va assistir al XII Congrés Internacional de Privacitat i Intel·ligència Artificial organitzat per APEP·IA, una trobada de referència per a professionals de l'àmbit de la privacitat, la protecció de dades i la governança de la intel·ligència artificial.

Durant les diferents sessions i taules de debat, el Congrés va reunir representants institucionals, experts jurídics, acadèmics i companyies tecnològiques per a analitzar els reptes que planteja la ràpida evolució de la IA des d'una perspectiva reguladora, ètica i operativa. Al llarg de les jornades es van abordar qüestions especialment rellevants relacionades amb l'aplicació pràctica de la normativa de protecció de dades, la gestió de riscos, la transparència dels sistemes d'IA i la necessitat d'avançar cap a models de governança responsables i sostenibles.

Un dels aspectes més destacats de l'esdeveniment va ser l'enfocament pràctic de moltes de les intervencions, centrades en com les organitzacions poden adaptar-se al nou context tecnològic i regulador. La creixent integració d'eines d'intel·ligència artificial en processos empresarials i entorns laborals està generant nous desafiaments en matèria de privacitat, seguretat de la informació i compliment normatiu, la qual cosa exigeix una aproximació cada vegada més transversal i estratègica.

El Congrés també va posar de manifest el paper clau que està exercint Europa en la definició d'estàndards reguladors entorn de la intel·ligència artificial i la protecció de dades. Els diferents debats van reflectir la importància de trobar un equilibri entre innovació i garantia de drets fonamentals, així com la necessitat que empreses i professionals es mantinguin preparats davant un marc normatiu en constant evolució.

La nostra assistència a aquesta trobada ha suposat una excel·lent oportunitat per a conèixer de primera mà les tendències i prioritats que marcaran el desenvolupament de la IA en els pròxims anys, així com per a compartir experiències amb altres professionals del sector.

Des de la nostra signatura, continuem apostant per una visió de la innovació tecnològica alineada amb el compliment normatiu, la protecció de dades i l'adopció responsable de solucions d'intel·ligència artificial.

Agraïm a APEP·IA l'organització d'un Congrés de gran nivell tècnic i plenament connectat amb els desafiaments actuals de l'entorn digital.

Com sempre, cuideu les dades i cuideu-vos!

Píxels en email marketing: l’«invisible» que pot costar-te 100.000 €

per

L'email marketing continua sent una de les eines més rendibles per a les empreses. Però hi ha un detall tècnic que moltes organitzacions utilitzen sense qüestionar-ho—i que ja està generant sancions rellevants—: els píxels de seguiment.

Aquests petits fragments de codi que permeten saber si algú obre un correu, quan el fa o des de quin dispositiu. Útils, sí. Inofensius... no sempre.

L'Agència Espanyola de Protecció de Dades (AEPD) ja ha deixat clar el missatge: no pots rastrejar sense permís, encara que sí que puguis enviar l'email.

1. Rebre emails no significa acceptar ser monitoritzat

Un dels principals errors detectats és assumir que l'acceptació de comunicacions comercials inclou, de manera implícita, el consentiment per al seguiment de l'activitat del destinatari.

Des del punt de vista normatiu, això no és correcte.

L'ús de píxels implica accedir al terminal de l'usuari per a recaptar informació, la qual cosa situa aquesta pràctica dins de l'àmbit de l'article 22.2 de la LSSI, en línia amb el règim aplicable a cookies i tecnologies similars.

Això exigeix informació prèvia clara i consentiment específic, exprés i separat.

2. El píxel «invisible» no és neutre

Des del punt de vista tècnic, el píxel funciona com una ordre al dispositiu de l'usuari per a enviar informació a un servidor extern.

Això pot incloure:

  • si ha obert l'email,
  • a quina hora,
  • des de quin dispositiu,
  • i fins i tot patrons de comportament.

Quan aquesta recollida es produeix sense coneixement del destinatari, pot vulnerar els principis de transparència i lleialtat establerts en el RGPD.

3. Europa ho té clar: això és com una cookie

El Comitè Europeu de Protecció de Dades ha equiparat l'ús de píxels a altres tecnologies de seguiment, la qual cosa consolida l'exigència de consentiment vàlid conforme als estàndards del Tribunal de Justícia de la Unió Europea.

Això implica, entre altres qüestions: exclusió de mecanismes basats en consentiment tàcit, invalidesa de caselles premarcades i necessitat d'una acció afirmativa clara per part de l'usuari.

Per tant, el consentiment ha de ser clar, informat i verificable.

4. No és només el teu proveïdor: la responsabilitat també és teva

Un altre punt crític (i molt rellevant a nivell comercial) és que moltes empreses utilitzen eines d'email marketing sense revisar què fan exactament. No obstant això, el fet que el tracking el proporcioni una plataforma externa no elimina la responsabilitat.

Si es decideix usar aquestes mètriques, es defineixen els seus paràmetres o s'obtenen beneficis d'elles, s'està participant en el tractament de dades, per la qual cosa això et converteix en responsable (o corresponsable) del tractament.

Aquest aspecte resulta especialment rellevant en contextos d'auditoria o inspecció.

5. El precedent: 100.000 € per rastrejar sense informar

L'AEPD ja ha sancionat aquest tipus de pràctiques en casos en els quals no s'informava adequadament l'usuari, no existia una base jurídica vàlida, i el tractament es realitzava de manera opaca.

En un dels seus últims expedients (PS/00328/2022), la sanció ha arribat a la suma total de 100.000 €. En aquest sentit, l'AEPD ha subratllat que la utilitat comercial d'aquestes eines no justifica el seu ús sense garanties adequades. Aquesta sanció ha estat ratificada posteriorment en el recurs de reposició.

Conclusió: el problema no és mesurar, és com es fa

Mesurar resultats en màrqueting és necessari, però fer-ho sense control pot sortir car.

El veritable risc no està a usar tecnologia d'analítica, sinó a fer-ho:

  • sense consentiment adequat,
  • sense transparència,
  • i sense entendre quines dades s'estan tractant realment.

Aquí és on moltes empreses fallen: no en l'eina, sinó en la configuració.

En un context de creixent exigència reguladora, resulta imprescindible que les organitzacions puguin respondre amb claredat a una qüestió bàsica: quines dades s'estan recollint en les nostres campanyes d'email i sota quina legitimació?

Quan aquesta resposta no està clarament definida, el risc deixa de ser teòric i passa a ser operatiu.

Com sempre, cuideu les dades i cuideu-vos!

De la IA al control biomètric: quan la tecnologia es passa de frenada

per

En els últims posts del blog hem parlat molt d'intel·ligència artificial: automatització, eficiència, presa de decisions… Però hi ha un altre fenomen que avança en paral·lel i planteja reptes igual de rellevants: l'ús de tecnologies cada vegada més intrusives en l'entorn laboral.

Perquè no tot passa per la IA. A vegades, el problema està en una cosa més quotidiana: com controlem l'accés o l'activitat dels empleats.

La recent sentència de l'Audiència Nacional nº59/2026 ho deixa clar: no tot el tècnicament possible és jurídicament vàlid, especialment quan parlem de dades biomètriques.

El cas: control excessiu per a un problema menor

L'assumpte analitzat part d'una mesura que, en aparença, buscava millorar la seguretat: utilitzar sistemes d'identificació biomètrica (com l'empremta dactilar) per a controlar l'accés d'empleats a zones com a vestuaris o lavabos.

El problema no va ser la finalitat, sinó el mitjà triat.

L'Audiència Nacional conclou que la mesura no superava l'anàlisi exigida en protecció de dades:

  • no era necessària,
  • no era proporcional,
  • i existien alternatives menys invasives.

En altres paraules: es va utilitzar una solució desproporcionada per a un problema que podia resoldre's de forma més senzilla.

Dades biomètriques: un nivell d'exigència més alt

No estem davant dades qualsevol. Les dades biomètriques—com l’empremta dactilar o el reconeixement facial—tenen una protecció reforçada en el RGPD.

Per què? Perquè permeten identificar de manera única a una persona i, a més, són dades que no es poden canviar.

Això implica que el seu ús ha de ser excepcional i estar especialment justificat. No n'hi ha prou que sigui útil o còmode per a l'empresa.

El criteri clau: de veritat no hi ha una altra alternativa?

La sentència posa el focus en una idea molt pràctica que moltes organitzacions passen per alt: abans d'implantar una mesura intrusiva, cal preguntar-se si existeix una altra menys invasiva.

En aquest cas, la resposta era clara: sí, existien alternatives (targetes, codis, controls físics…). I, quan existeixen, l'ús de biometria deixa d'estar justificat.

Més enllà de la sanció: el risc real

Encara que, en aquest cas, la sanció econòmica es va substituir per una advertència, el missatge és rellevant. El problema no va ser una mala intenció, sinó un mal disseny.

I això és clau per a les empreses: molts riscos en protecció de dades no venen de decisions deliberades, sinó de no analitzar bé l'impacte de les mesures que s'implanten.

A més, el context agreuja la situació: estem parlant d'espais com a vestuaris o zones de descans, en els quals l'expectativa de privacitat és major.

Conclusió: més tecnologia no sempre és millor control

La tecnologia ofereix cada vegada més possibilitats per a controlar accessos, mesurar activitat o reforçar la seguretat. Però això no significa que totes hagin d'utilitzar-se.

Igual que ocorre amb la intel·ligència artificial, la clau no està en el que la tecnologia permet fer, sinó en el que és adequat fer en cada context.

Abans d'implantar sistemes biomètrics—o qualsevol mesura intensiva—convé fer-se una pregunta senzilla: estic resolent el problema… o complicant-lo innecessàriament?

Perquè en protecció de dades, triar l'eina més potent no sempre és la millor decisió. A vegades, és just el contrari.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

L’error més comú en utilitzar IA en emails (i per què pot costar-te car) 

per

La intel·ligència artificial s'ha convertit en una aliada habitual per a redactar emails: respostes ràpides, textos més clars, millor to… Tot sembla una millora evident en productivitat. 

Però hi ha un error que es repeteix constantment en empreses de totes les grandàries: copiar dades reals en el prompt perquè la IA «millori» l'email. 

El que sembla un gest innocent pot convertir-se en una fuga d'informació amb implicacions legals i reputacionals. L'Agència Espanyola de Protecció de Dades (AEPD), en les seves recomanacions sobre l'ús d'IA, insisteix precisament en aquest punt: el risc no està en la resposta, sinó en la informació que s'introdueix. 

El gest més habitual (i més perillós) 

L'escenari és molt comú: 

  • «Milloraré aquest email a un client»  
  • «Que el faci més professional»  
  • «Que resumeixi aquest fil»  

I per a això, es copia el contingut complet del correu en l'eina d'IA. 

El problema és que aquest contingut pot incloure: 

  • dades personals de clients o empleats,  
  • informació contractual,  
  • dades financeres,  
  • fins i tot, converses sensibles.  

En aquest moment, aquesta informació surt de l'entorn controlat de l'empresa. 

Què passa realment amb aquestes dades? 

No totes les eines d'IA funcionen igual, però l'AEPD adverteix d'un aspecte clau: quan s’introdueix informació en aquests sistemes, es pot perdre el control sobre ella. 

Depenent del proveïdor, les dades poden: 

  • emmagatzemar-se temporalment,  
  • generar registres (logs),  
  • utilitzar-se per a millorar el servei.  

Això no significa que sempre passi, però sí que no es pot assumir que la dada desapareix després d'obtenir la resposta. 

El problema no és tècnic, és d'ús 

Aquí està la clau: la majoria dels riscos no venen de la tecnologia, sinó de com s'utilitza. 

L'ús d'IA en emails no és problemàtic per si mateix. El problemàtic és introduir informació que no hauria de sortir del perímetre de l'organització. 

Per això, l'AEPD recomana aplicar un principi bàsic: minimitzar les dades que s'introdueixen en eines d'IA. 

Com evitar l'error (sense deixar d’utiltizar IA) 

No es tracta de deixar d'usar aquestes eines, sinó d'usar-les millor. Algunes bones pràctiques: 

  • Evitar copiar dades reals: substituir noms, xifres o referències per exemples ficticis.  
  • Treballar amb plantilles: demanar a la IA estructures o millores generals, no sobre casos reals.  
  • Revisar condicions del proveïdor: entendre què passa amb les dades introduïdes.  
  • Formar als equips: molts errors venen del desconeixement, no de la mala fe.  

L'objectiu és clar: aprofitar la IA sense comprometre la informació. 

Conclusió: la productivitat no pot anar per davant del control 

La IA pot ajudar-te a escriure millors emails en menys temps. Però aquest benefici no pot venir a costa de perdre el control sobre les dades. 

L'error més comú no és utilitzar l'eina, sinó fer-ho sense criteri. 

Perquè al dia a dia, una simple acció com «copiar i pegar» pot semblar insignificant… fins que deixa de ser-ho. 

I, en protecció de dades, aquest moment sol arribar massa tard. 

 Com sempre, cuideu les dades i cuideu-vos! 

Utilitzes IA per a contractar? Això és el que has de revisar abans de decidir

per

La intel·ligència artificial ha arribat amb força als processos de selecció: filtrat de CVs, anàlisi de candidats, entrevistes automatitzades… La promesa és clara: més eficiència, menys biaixos i decisions més ràpides. 

Però hi ha una pregunta que moltes organitzacions encara no es fan: estem utilitzant la IA en selecció de manera legal i controlada? 

Recordem que el Reglament Europeu d'Intel·ligència Artificial (AI Act/RIA, Reglament (UE) 2024/1689) introdueix regles molt clares, especialment, quan la IA afecta a decisions laborals. 

I aquí el nivell d'exigència puja. Ja vam introduir aquest tema al blog (pots rellegir-lo aquí), però avui parlarem de l'ús específic de la IA en processos de selecció. 

La IA en selecció és «alt risc» (i no és una etiqueta menor) 

El RIA classifica com a sistemes d'alt risc aquells que s'utilitzen per a: 

  • selecció de candidats, 
  • avaluació de CVs,  
  • presa de decisions en contractació o promoció.  

Això significa que no estem davant una eina més, sinó davant un sistema subjecte a obligacions estrictes. 

Per què? Perquè aquestes decisions tenen un impacte directe en la vida de les persones. 

No n'hi ha prou que l'eina funcioni: cal controlar-la 

Un dels missatges clau del Reglament és clar: utiltizar IA no implica delegar la decisió. 

Les empreses han de garantir: 

  • supervisió humana real 
  • comprensió del funcionament del sistema,  
  • i capacitat d'intervenir o corregir decisions.  

És a dir, la IA pot ajudar… però no substituir completament el criteri humà. 

El risc invisible: biaixos i decisions automatitzades 

Molts sistemes d'IA aprenen de dades històriques. I aquí està el problema: 

si les dades estan esbiaixades, la IA pot reproduir—o, fins i tot, amplificar—aquests biaixos. 

En selecció, això pot traduir-se en: 

  • discriminació indirecta,  
  • exclusió sistemàtica d'uns certs perfils,  
  • decisions difícils d'explicar.  

El RIA obliga les organitzacions a avaluar i mitigar aquests riscos, no a ignorar-los. 

Transparència: el candidat ha de saber-ho 

Un altre punt clau: si utilitzes IA en processos de selecció, has d'informar-ho. 

Els candidats tenen dret a saber: 

  • que estan sent avaluats mitjançant sistemes automatitzats,  
  • com influeix això en la decisió,  
  • i quin paper té la intervenció humana.  

No és només una qüestió legal, també ho és de confiança. 

Revisar el procés, no sols l'eina 

Un error habitual és centrar-se únicament en la tecnologia: «l'eina compleix?» 

Però la pregunta correcta és una altra: compleix tot el procés de selecció? 

El risc no està només en el programari, sinó en com s'integra en la presa de decisions. 

Això implica revisar: 

  • com s'utilitza l'eina,  
  • qui pren la decisió final,  
  • i quines evidències pots aportar si algú qüestiona el procés.  

Conclusió: la IA no elimina la responsabilitat, l'augmenta 

La intel·ligència artificial pot millorar els processos de selecció, però també introdueix nous riscos. 

El RIA no prohibeix el seu ús, però sí que deixa clar una cosa fonamental: qui decideix continua sent responsable, encara que utilitzi IA. 

Per això, més enllà de l'eficiència, la clau està en el control. Perquè en selecció de personal, no solament importa triar bé, sinó que també importa poder demostrar que s'ha fet correctament.. 

Com sempre, cuideu les dades i cuideu-vos! 

Copiar i enganxar en IA generativa: el risc no és la resposta, és la dada

per

Les eines d'intel·ligència artificial generativa s'han convertit en un aliat quotidià en el treball: resumir documents, redactar correus o analitzar informació en segons. El gest és simple i cada vegada més habitual: copiar un text, enganxar-lo a una eina d'IA i demanar un resultat.

No obstant això, darrere d'aquesta aparent innocuïtat s'amaga un dels principals riscos actuals en protecció de dades i seguretat de la informació. El problema no acostuma ser la resposta que genera la IA, sinó les dades que introduïm en ella.

L'Agència Espanyola de Protecció de Dades (AEPD) ho ha recordat recentment en el seu Decàleg de recomanacions per a protegir la privacitat en usar intel·ligència artificial, en el qual adverteix dels riscos de compartir informació sensible amb aquesta mena d'eines sense analitzar prèviament el seu impacte.

1. L'origen de molts incidents: un simple «copiar i enganxar»

Gran part dels incidents vinculats a l'anomenat Shadow AI—ús d'eines d'IA fora dels canals autoritzats per l'organització—comencen amb una acció aparentment trivial.

Un empleat necessita ajuda per a revisar un text, resumir un contracte o entendre un informe. Copia el contingut i l’enganxa a una eina d'IA generativa per a obtenir una resposta ràpida. En aquest moment, sense ser plenament conscient, pot estar introduint en un sistema extern informació confidencial, dades personals o informació estratègica de l'empresa.

Segons l'AEPD, abans d'utilitzar aquestes eines és fonamental avaluar quin tipus d'informació s'està compartint i si el servei garanteix un ús adequat de les dades.

2. La pèrdua de control de la dada

Quan s'introdueix informació en una eina d'IA generativa, l'usuari pot perdre visibilitat sobre com es gestiona aquest contingut. Depenent del proveïdor i de la seva configuració, les dades poden:

  • Emmagatzemar-se temporalment o durant més temps de l'esperat.
  • Utilitzar-se per a millorar o entrenar models.
  • Generar registres d'ús o metadades.
  • Processar-se en infraestructures situades fora de l'Espai Econòmic Europeu.

Això no significa que totes les eines utilitzin les dades amb aquests fins, però sí que el control sobre la informació pot diluir-se si no s'analitzen prèviament les condicions d'ús del servei.

Per això, l'AEPD insisteix que l'ús responsable de la IA implica conèixer què passa amb les dades introduïdes i quines garanties ofereix el proveïdor.

3. Una llista breu del que mai hauria de sortir del perímetre

Per a reduir riscos, una bona pràctica consisteix a establir regles clares sobre quin tipus d'informació no ha d'introduir-se en eines d'IA generativa. Entre els exemples més habituals es troben:

  • Dades personals de clients o empleats.
  • Documents contractuals confidencials.
  • Informació financera o estratègica de l'empresa.
  • Credencials, claus o informació d'accés a sistemes.
  • Bases de dades internes o llistats de clients.

Aquest tipus d'informació forma part del perímetre de seguretat de l'organització, i la seva exposició en plataformes externes pot generar riscos legals, reputacionals o de seguretat.

Conclusió: el problema no és utilitzar IA, sinó com s’utilitza

La intel·ligència artificial generativa pot aportar grans beneficis en termes de productivitat i innovació. El repte està a utilitzar-la amb criteris clars de governança de la dada.

El major risc no acostuma a ser la resposta que produeix l'eina, sinó el contingut que s'introdueix en ella sense una avaluació prèvia. Per això, les organitzacions necessiten polítiques internes, formació i criteris clars sobre l'ús d'aquestes tecnologies.

Perquè en l'era de la IA generativa, la pregunta clau ja no és si utilitzem aquestes eines, sinó quina informació estem disposats a compartir amb elles.

Com sempre, cuideu les dades i cuideu-vos!

Subcontractació en cadena i RGPD: 15.000 € per oblidar que el control no es delega 

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a DYNAMIC EXPRESS COURIER S.L. amb 15.000 euros per incompliments de l'article 28 del RGPD en el marc d'un servei de recollida documental per a ING. La resolució ofereix una lliçó clara per a qualsevol organització que actuï com a encarregat del tractament i recorri a tercers en la prestació del servei. 

Més enllà de l'extraviament de documentació bancària amb dades altament sensibles, el focus de l'AEPD se situa en una cosa estructural: la gestió de la cadena de subcontractació i el compliment formal—i material—de les exigències de l'article 28 RGPD. 

Els fets: una cadena de subencàrrecs sense control efectiu 

ING, com a responsable del tractament, va contractar a DYNAMIC com a encarregat per a la recollida de documentació de clients. Durant la vigència del contracte (1 de setembre de 2022 a 28 de febrer de 2023), DYNAMIC va recórrer a SENDING com subencarregat. 

Al seu torn, SENDING va subcontractar a AUTORADIO per a executar materialment la recollida de la documentació. El problema no va ser només operatiu (la documentació mai va arribar a destí), sinó jurídic: 

  • No constava autorització prèvia i per escrit d'ING per a comptar amb SENDING com a subencarregat. 
  • Tampoc es va acreditar que ING hagués estat informada de la intervenció d’AUTORADIO. 
  • Els contractes de subencàrrec aportats no complien plenament amb les exigències del RGPD. 

L'AEPD declara provat que DYNAMIC tenia coneixement de la intervenció d’AUTORADIO i que no ho va comunicar al responsable. 

Article 28.2 RGPD: l'autorització no és un formalisme 

L'article 28.2 RGPD estableix que l'encarregat no podrà recórrer a un altre encarregat sense l'autorització prèvia, específica o general, del responsable. 

En aquest cas, el contracte entre ING i DYNAMIC exigia autorització prèvia i expressa per a subcontractar. No obstant això, no constava autorització per a SENDING ni comunicació relativa a AUTORADIO. 

L'AEPD aprecia dues infraccions de l'article 28.2 RGPD: 

  • Subencarregar sense autorització prèvia i per escrit. 
  • No informar el responsable sobre canvis en la cadena de subcontractació. 

El missatge és clar: el responsable ha de poder conèixer, controlar i, si és el cas, oposar-se als subencarregats que intervenen en el tractament. 

 Article 28.4 RGPD: el contracte de subencargo ha de ser adequat 

La resolució també analitza l'article 28.4 RGPD, que exigeix que el subencarregat assumeixi les mateixes obligacions en matèria de protecció de dades que les establertes entre responsable i encarregat. 

Els contractes entre DYNAMIC i SENDING presentaven deficiències rellevants: no identificaven correctament al responsable (ING) i no reflectien adequadament el marc contractual específic. 

L'AEPD conclou que no n'hi ha prou amb tenir «algun contracte» de protecció de dades. El contingut ha d'ajustar-se al RGPD i a les instruccions concretes del responsable. 

La sanció: tres infraccions, 15.000 euros 

Finalment, l'AEPD imposa: 

  • 5.000 € per subencarregar a SENDING sense autorització (art. 28.2 RGPD). 
  • 5.000 € per no informar sobre la intervenció d’AUTORADIO (art. 28.2 RGPD). 
  • 5.000 € per no comptar amb un contracte de subencàrrec vàlid amb SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 

Conclusió: la responsabilitat en cadena també és responsabilitat jurídica 

Aquesta resolució recorda que l'article 28 RGPD no és una clàusula estàndard que es copia i enganxa en els contractes. És un mecanisme essencial per a garantir que els drets dels interessats es preservin al llarg de tota la cadena de tractament. 

Per a responsables i encarregats, la lliçó és evident: 

  • Identificar i documentar tots els subencarregats. 
  • Exigir autorització prèvia quan així s'estableixi. 
  • Formalitzar contractes plenament alineats amb el RGPD. 
  • Mantenir traçabilitat i control real sobre la cadena de proveïdors. 

En protecció de dades, delegar la prestació del servei no implica delegar la responsabilitat. I quan el control es dilueix en la cadena de subcontractació, el risc—jurídic i reputacional—es multiplica. 

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, feu clic aquí. 

El veritable preu de les caricatures creades amb IA: quan el producte ets tu

per

Una tendència viral que sembla inofensiva

En les últimes setmanes, moltes persones han demanat a ChatGPT la generació d'una caricatura que els representi i, especialment, la seva professió. El resultat: imatges divertides, virals i perfectament dissenyades per a circular en xarxes socials. A simple vista, sembla un joc innocent.  

No obstant això, darrere d'aquesta tendència s'amaga una realitat molt més complexa que mereix una reflexió pausada, especialment des del punt de vista de la protecció de dades i l'estratègia digital. 

Quines dades estem lliurant realment

En pujar una fotografia personal a una plataforma de IA, no es comparteix únicament una imatge. S'estan lliurant dades biomètriques, considerats pel Reglament General de Protecció de Dades (RGPD) com una categoria especial de dades personals. A això se suma el context que envolta a la imatge: professió, interessos, entorn social o xarxa de contactes, especialment quan la caricatura es comparteix en perfils professionals. 

A més, les imatges contenen metadades que poden revelar informació sobre el dispositiu utilitzat, la ubicació aproximada o el moment en què va ser presa la fotografia. El valor del conjunt no està en una dada aïllada, sinó en la seva capacitat de ser correlacionat. 

El veritable mecanisme: ego, validació i màrqueting

OpenAI—com moltes altres empreses tecnològiques—no ha necessitat demanar explícitament aquestes dades. Els usuaris els han lliurat voluntàriament, impulsats per un mecanisme molt ben conegut en el màrqueting digital: la validació socialLikes, comentaris i visibilitat funcionen com una piràmide de dopamina perfectament dissenyada. L'estratègia no consisteix a demanar dades, sinó a aconseguir que els usuaris els lliurin amb entusiasme. 

Aquest enfocament elimina la fricció legal i emocional. No hi ha sensació de cessió de dades, sinó de participació en una experiència compartida. Des del punt de vista estratègic, és una jugada especialment eficaç. 

Entrenament de models i riscos emergents

Cada caricatura generada contribueix a l'entrenament de models d'intel·ligència artificial cada vegada més precisos per a associar rostres amb contextos específics. Avui s'utilitza per a crear il·lustracions; demà, per a generar deepfakes hiperpersonalitzats, suplantacions d'identitat o fraus en entorns professionals, com a videotrucades o processos de verificació. 

No parlem d'un escenari hipotètic. Aquests riscos ja existeixen i estan sent explotats, la qual cosa planteja desafiaments rellevants en matèria de ciberseguretat, protecció de dades i responsabilitat empresarial. 

Dades: el veritable actiu en l'economia de la IA

La pregunta incòmoda és evident: per què una empresa amb una valoració de centenars de milers de milions necessita que milions de persones lliurin gratuïtament la seva imatge i el seu context professional? Perquè, en l'economia digital, les dades són l'actiu estratègic per excel·lència. 

En aquest model, el producte visible—la caricatura—és només l'ham. El veritable valor resideix en la informació que permet millorar algoritmes, crear noves aplicacions i consolidar avantatges competitius. 

Conclusió: d'usuaris passius a decisions informades 

La intel·ligència artificial no és el problema. El problema és la falta de consciència sobre el valor de les dades personals i l'impacte del seu ús massiu. En l'era de la IA, el veritable producte rares vegades és el servei gratuït que s'ofereix, sinó les persones que l'utilitzen. 

Com a professionals, empreses i ciutadans digitals, el repte no és deixar de participar en tendències, sinó entendre què estem lliurant i amb quines conseqüències. La pròxima vegada que una moda viral ens convidi a «jugar», convé fer-se una pregunta clau: estic guanyant només una imatge… o estic pagant amb una cosa molt més valuosa? 

Com sempre, cuideu les dades i cuideu-vos! 

Revisió Texts legals web