Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Reglament Òmnibus Digital: simplificació o gir de rumb en la regulació europea?

per

La Comissió Europea ha presentat l'esperada Proposta de Reglament Òmnibus Digital, un paquet ambiciós que pretén harmonitzar, actualitzar i «desburocratitzar» diversos pilars de l'ecosistema normatiu europeu: protecció de dades, intel·ligència artificial, ciberseguretat, cookies i accés a dades. El seu objectiu declarat és clar: facilitar la innovació, reduir càrregues a les empreses i garantir coherència entre normes. Però… estem davant una modernització necessària o una revisió que pot alterar equilibris fonamentals?

Un RGPD més flexible, però també més permeable

Un dels punts més destacables és la reobertura del RGPD, alguna cosa que fa a penes uns anys semblava impensable. La proposta introdueix canvis que, si bé busquen claredat jurídica, poden tenir efectes profunds:

  • Nova definició de dades personals, que incorpora doctrina del TJUE: si la reidentificació no és raonablement possible per a qui tracta les dades, deixa de considerar-se dada personal.
  • Noves excepcions de l'article 9.2, que permeten tractar dades biomètriques per a verificació quan estiguin sota control de l'interessat, o per al desenvolupament i funcionament de models de IA.
  • Interès legítim per a IA, tret que el dret nacional exigeixi consentiment.
  • Deure d'informació més lax, que permet ometre informació «si ja es presumeix coneguda per l'interessat».
  • Bretxes de seguretat: notificació solament quan existeixi «alt risc» i ampliació a 96 hores.

La lectura optimista parla de reducció de càrregues i major claredat. La lectura crítica, no obstant això, alerta d'un risc d'erosió progressiva de la protecció: dades inferides menys protegides, major marge per a entrenar sistemes de IA, i opacitat reforçada per noves excepcions informatives.

Ciberseguretat i notificacions: un únic punt d'accés

En l'àmbit de la ciberseguretat, la proposta crea un punt únic de notificació d'incidents, simplificant un dels processos més fragmentats del marc NIS2. Aquesta mesura pot aportar eficiència real per a empreses multinacionals i sectors amb múltiples obligacions reguladores.

Cookies i ePrivacy: cap a menys bàners (i més canvis estructurals)

L'Òmnibus introdueix modificacions rellevants sobre cookies i ePrivacy:

  • Reducció de bàners mitjançant preferències centralitzades en navegador o sistema operatiu.
  • Nou article 88 a) sobre consentiment per a accés/emmagatzematge en terminals.
  • Un 88 b) que fixa el respecte obligatori de senyals automatitzats de preferències.

Encara que el discurs oficial parla de «millorar l'experiència de l'usuari», alguns experts alerten que l'efecte combinat podria debilitar el marc ePrivacy en integrar-lo parcialment en el RGPD modificat.

IA i accés a dades: alineació amb la Llei de IA

El paquet vincula l'aplicació de normes de IA d'alt risc a la disponibilitat d'eines de suport (estàndards, guies, metodologies) i també impulsa l'accés a dades com a motor d'innovació, buscant coherència amb la Data Act i l'Estratègia Europea de Dades.

Què ve ara?

La Comissió ha obert la segona fase del procés, amb una Avaluació d'Aptitud Digital (Fitness Check) fins a març de 2026. Serà un moment clau: les empreses, administracions i societat civil hauran de posicionar-se sobre si l'Òmnibus representa una simplificació necessària o una reforma que modifica l'essència del RGPD i ePrivacy.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la Proposta, feu clic aquí.

Seguretat o privacitat: el pols judicial pel fitxatge amb empremta digital

per

La recent Sentència núm. 370/2025 del Jutjat social núm. 3 de la Corunya ha reobert el debat sobre la legalitat del registre de jornada mitjançant sistemes biomètrics en l'entorn laboral. En un context marcat per la cautela de l'Agència Espanyola de Protecció de Dades (AEPD) i la tendència empresarial a abandonar aquests sistemes, la fallada avala la utilització de l'empremta digital com a mecanisme de control horari en un hospital públic, qualificant-la de «poc invasiva» i «proporcionada».

Un cas amb implicacions més enllà de l'hospital

El conflicte enfrontava al comitè d'empresa i a la Confederació Intersindical Galega enfront de l'Institut Policlínic Santa Teresa S.A. Els representants sindicals al·legaven vulneració dels drets fonamentals a la intimitat, la salut i la llibertat sindical per l'ús obligatori d'un sistema de fitxatge mitjançant empremta dactilar.

El tribunal, no obstant això, va desestimar íntegrament la demanda i va considerar que el sistema biomètric empleat—basat en plantilles no identificatives i amb mesures de seguretat avançades—respectava els principis del RGPD i la LOPDGDD, resultant idoni per a garantir el registre horari exigit per l'article 34.9 de l'Estatut dels Treballadors.

Un argument jurídic polèmic

El punt més controvertit radica en la base jurídica triada pel jutjat per a legitimar el tractament de dades biomètriques: l'excepció de l'article 9.2.i) del RGPD, relativa al tractament necessari per raons d'interès públic en l'àmbit de la salut pública.

Aplicar aquesta excepció—concebuda per a amenaces sanitàries o seguretat assistencial—al simple registre de jornada laboral resulta, com menys, discutible. El tribunal justifica la seva decisió en considerar l'hospital una infraestructura crítica (Llei 8/2011), on la verificació biomètrica contribuiria a la seguretat de pacients, medicaments i personal. No obstant això, aquest raonament confon dos tractaments distints: el control d'accés (més defensable des de la perspectiva de la seguretat) i el registre horari, la finalitat del qual és purament laboral.

Falta de doctrina unificada

El cas reflecteix l'absència d'una doctrina consolidada entorn del fitxatge biomètric.

Mentre que l'AEPD, en la seva Guia sobre ús de dades biomètriques (novembre de 2023), insisteix que aquests sistemes són altament intrusius i d'ús excepcional, alguns tribunals i organismes tècnics—com el CNPIC o el Consell Espanyol per al Registre de Jornada—mantenen posicions més permissives, especialment en contextos de seguretat reforçada.

El resultat és un panorama fragmentat en el que la mateixa pràctica pot considerar-se il·lícita o proporcional segons que la valori.

Una sentència que convida a la reflexió

El Jutjat de la Corunya ha anat més enllà de la postura majoritària en qualificar l'empremta digital com menys intrusiva que alternatives com les apps amb geolocalització o els lectors de targetes NFC.

Aquesta valoració, no obstant això, sembla minimitzar la naturalesa sensible de les dades biomètriques i el risc inherent al seu tractament. Més que un pas cap a la modernització tecnològica, la fallada pot interpretar-se com un retrocés en la cultura de protecció de dades laborals.

En definitiva, aquesta sentència ens convida a una reflexió urgent: Estem davant un canvi de tendència judicial o davant un excés d'interpretació que desdibuixa els límits del RGPD? La veritat és que, avui dia, la seguretat jurídica en matèria de fitxatge biomètric segueix tan difusa com les empremtes que pretén registrar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l'entorn digital: la difusió d'imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l'Agència apreciés una infracció de l'article 6.1 del RGPD, al tractar-se d'un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L'article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d'elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l'infractor no obté benefici ni persegueix una fi sexual.

L'AEPD recorda que el rostre d'una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l'agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d'imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L'absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l'ús d'intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d'edat, entra en joc l'article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d'imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d'humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d'intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L'AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La nova febre digital: quant costa la teva veu al mercat de la IA?

per

Recentment, Neon s'ha convertit en una de les aplicacions més descarregades del moment. La seva proposta sembla irresistible: pagar als usuaris per gravar i vendre les seves trucades telefòniques. Fins a 30 dòlars al dia per deixar que la seva veu—i les converses que manté—s'utilitzin per a entrenar models d'intel·ligència artificial.

La idea és senzilla: Neon registra les trucades de l'usuari i, si tots dos interlocutors tenen instal·lada l'app, ambdues veus s'utilitzen per a alimentar sistemes d’IA que aprenen a reconèixer, imitar o analitzar el llenguatge humà. A canvi, l'usuari rep una petita compensació econòmica per minut gravat.

Però darrere de l'atractiu model «tecnologia a canvi de diners», sorgeixen enormes interrogants legals i ètics. Sabem realment què estem cedint quan acceptem gravar la nostra veu?

Dades biomètriques: la veu com a identitat digital

A diferència d'una simple dada personal, la veu és un identificador biomètric únic, perquè permet reconèixer, imitar i suplantar identitats. Per això, el Reglament General de Protecció de Dades (RGPD) europeu la considera dada sensible i el seu tractament requereix un consentiment explícit i informat.

El problema és que, segons els termes d'ús de Neon, l'usuari atorga a l'empresa una llicència àmplia i pràcticament il·limitada per a «reproduir, emmagatzemar, modificar i distribuir» les seves gravacions. En la pràctica, això implica cedir el control total sobre una dada que no sols revela la veu, sinó també informació contextual, emocional i de tercers.

De fet, si la trucada és amb algú que no utilitza Neon, l'app igualment grava la part de l'usuari… però inevitablement es capten fragments de l'altra persona. Això planteja dubtes seriosos en matèria de consentiment dels interlocutors i vulnera principis bàsics de minimització i finalitat del RGPD.

Entre la curiositat i el risc

L'empresa assegura que les gravacions s'anonimitzen abans de ser venudes a tercers. No obstant això, experts en seguretat digital alerten: la veu és extraordinàriament difícil d'anonimitzar. Pot utilitzar-se per a crear imitacions perfectes mitjançant IA, obrir comptes bancaris, o fins i tot suplantar a familiars en estafes telefòniques.

A més, les incongruències detectades entre les tarifes anunciades en l'App Store i les publicades en la web de Neon generen dubtes sobre la transparència real del model.

Conclusió: el preu real de la veu

L'èxit viral de Neon demostra una tendència preocupant: cada cop més usuaris estan disposats a monetitzar la seva privacitat a canvi de beneficis immediats. L'«economia de la dada» evoluciona cap a un escenari on la identitat es converteix en un actiu comercializable, sense que molts comprenguin les conseqüències a llarg termini.

Cedir la veu no és innocu, és cedir una part irrepetible de la nostra identitat digital. Per això, abans d'acceptar els «termes i condicions», convé preguntar-se: quant val realment la meva veu? I qui l'escoltarà quan ja no sigui meva?

Com sempre, cuideu les dades i cuideu-vos!

Albània aposta per una ministra artificial: entre la innovació i el risc

per

Albània ha fet un pas històric —i polèmic—: s'ha convertit en el primer país del món a nomenar una intel·ligència artificial com a ministra. El seu nom és Diella, inspirat en la paraula «diell» (sol, en albanès), com a símbol de transparència.

La nova «ministra» s'encarregarà d'avaluar licitacions públiques, detectar irregularitats i assistir en tràmits electrònics. La seva creació respon a un objectiu polític molt concret: convèncer a Brussel·les de la voluntat d'Albània de lluitar contra la corrupció de cara a la seva adhesió a la Unió Europea en 2030.

La posada en escena no ha pogut ser més simbòlica: en les presentacions oficials, la Diella apareix com una jove somrient, amb vestit típic albanès, saludant des de la pantalla. No obstant això, després del gest de modernitat, sorgeixen moltes incògnites.

Llums i ombres de la iniciativa

El govern albanès pretén mostrar un compromís amb la transparència en un país marcat per sospites de corrupció, favoritisme i blanqueig de capitals en les adjudicacions públiques. Però el moviment desperta més dubtes que certeses.

Delegar un càrrec ministerial en una IA podria ser problemàtic per diversos motius:

  • No s'ha aclarit si hi haurà algun tipus de supervisió humana sobre les decisions de la Diella.
  • No han informat sobre quin ha estat l'algorisme utilitzat, les dades d'entrenament i els mecanismes de validació dels seus resultats.
  • Com qualsevol IA, existeix un risc elevat de biaixos en les adjudicacions i de falta de traçabilitat en els processos.

  • S'obren vulnerabilitats de ciberseguretat en un context geopolític delicat.

A aquestes crítiques se suma un altre factor: la viabilitat. Segons estudis del MIT, el 95% dels projectes d’IA a gran escala fracassen per falta de retorn o per costos excessius. Està Albània preparada per a gestionar un sistema tan complex i delicat?

El risc de substituir en lloc de complementar

La IA pot ser un aliada poderosa per a reforçar la transparència administrativa, però la seva funció hauria de ser acompanyar i millorar el treball humà, no reemplaçar-lo. La substitució completa d'un rol polític d'alt nivell planteja un escenari inèdit i amb implicacions democràtiques profundes: qui assumeix la responsabilitat última de les decisions?

Altres països ja experimenten amb IA en l'administració: Ucraïna té un avatar portaveu, Mèxic una assistent virtual judicial, i el Brasil avança en aquesta línia. Però el cas albanès va més enllà: no és un assistent, sinó una «ministra».

Conclusió

Albània busca amb la Diella enviar un missatge clar a la Unió Europea: compromís amb la transparència i voluntat de modernització. Però l'experiment planteja seriosos dubtes de legitimitat, control i seguretat.

La innovació tecnològica és benvinguda, sempre que no substitueixi el judici crític humà ni posi en risc la confiança en les institucions. La pregunta continua oberta: la Diella és un raig de llum contra la corrupció o un salt massa arriscat en la política digital?

Com sempre, cuideu les dades i cuideu-vos!

Quan el control d’accessos sobrepassa l’empremta de la legalitat

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha resolt un cas que il·lustra perfectament els riscos d'implantar sistemes biomètrics sense una base legal sòlida ni una anàlisi de proporcionalitat. La sanció de 250.000 euros a Loro Parque, S. A. per l'ús d'empremtes dactilars per a controlar l'accés amb l'entrada «Twin Ticket» (TT) obre un debat crític: fins a on poden arribar les empreses al verificar la identitat dels seus clients, i amb quines salvaguardes?

Fets

Loro Parque i Siam Park, tots dos a Tenerife, oferien una entrada combinada TT que permetia visitar ambdós recintes a preu reduït. Per a evitar l'ús fraudulent d'aquesta oferta, el parc va implantar un sistema de verificació basat en captura de 10 punts de coincidència de l'empremta dactilar del visitant en el primer accés. Aquesta informació s'encriptava, convertint-se en una «representació matemàtica» que s'usava per a confirmar que la mateixa persona accedia després al segon parc.

L'empresa ha al·legat que el tractament no implicava dades personals segons el RGPD perquè no s'emmagatzemaven imatges de l’empremta dactilar i la plantilla biomètrica no permetia identificar a una persona de manera directa ni realitzar enginyeria inversa.

No obstant això, l'AEPD ha conclòs el contrari: les plantilles biomètriques derivades d’empremtes dactilars sí que són dades personals quan s'usen per a autenticar o verificar la identitat d'un individu.

L'AEPD recorda que l'art. 9 RGPD prohibeix tractar dades biomètriques excepte en supòsits taxats i, en aquest cas, no existia consentiment vàlid ni una altra base legal aplicable. En aquest sentit, subratlla que el consentiment no pot considerar-se lliure quan no s'ofereix una alternativa real a l'ús de l’empremta.

A més a més, no s'havia realitzat la preceptiva Avaluació d'Impacte en Protecció de Dades (AIPD) ni una anàlisi documentada de proporcionalitat.

Conclusió

Aquest cas marca un precedent important per a qualsevol empresa que utilitzi sistemes biomètrics, especialment en contextos no essencials com l'oci. L'AEPD ha estat clara:

  • Les plantilles biomètriques són dades personals si permeten autenticació, encara que estiguin xifrades i desvinculades de noms o altres dades.
  • La proporcionalitat és clau: ha de demostrar-se que no hi ha mètodes menys intrusius per a aconseguir la mateixa fi.
  • El consentiment ha de ser lliure i amb alternatives, la qual cosa implica oferir un altre mètode de verificació sense penalització per a l'usuari.

Per al sector, el missatge és evident: la implementació de biometria requereix un sòlid suport legal, una AIPD completa i una avaluació d'alternatives menys invasives. En cas contrari, el cost en sancions —i en reputació— pot ser molt més alt que el frau que es pretenia evitar.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

La IA en selecció de personal, sota la lupa legal

per

En la cerca d'eficiència i objectivitat, moltes empreses estan incorporant eines d'Intel·ligència Artificial (IA) en els seus processos de selecció de personal. Des del sedàs automatitzat de currículums fins a entrevistes per vídeo analitzades per algorismes, la tecnologia ja és part habitual de l'àrea de recursos humans.

No obstant això, hem de recordar que aquest avanç ha d'anar acompanyat d'un compliment normatiu rigorós. El Reglament d'Intel·ligència Artificial de la Unió Europea, aprovat l'any passat (2024), classifica els sistemes de IA utilitzats per a prendre decisions sobre contractació com a sistemes de «alt risc» (art. 6.2). Això implica una sèrie d'obligacions legals estrictes per a empreses que els utilitzin.

Entre les principals exigències, destaquen:

  • Avaluacions de risc i conformitat prèvies al desplegament.
  • Supervisió humana significativa en tot el procés.
  • Mecanismes de transparència: el candidat ha de ser informat si és avaluat per una IA.
  • Prevenció de biaixos i discriminacions algorítmiques.
  • Registre de decisions i traçabilitat del sistema.

L'incompliment pot comportar multes de fins a 35 milions d'euros o el 7% del volum de negoci global, la qual cosa col·loca a la contractació automatitzada en el focus dels reguladors (art. 99.3).

A més, quan la IA tracta dades personals de candidats, també s'ha de tenir en compte el Reglament General de Protecció de Dades (RGPD), especialment, el dret de l'interessat a no ser objecte de decisions automatitzades sense intervenció humana (art. 22 RGPD).

En aquest nou marc, les empreses han de revisar els seus processos i eines de selecció per a garantir que no sols són eficaces, sinó també ètics, transparents i legals. La transformació digital de la selecció del talent ha d'anar de la mà de la confiança i el compliment normatiu.

Conclusió

Incorporar Intel·ligència Artificial en els processos de selecció pot aportar eficiència, agilitat i reducció de biaixos humans, però no elimina les obligacions legals. Molt al contrari: en tractar-se de sistemes d'alt impacte sobre els drets de les persones, el nou marc normatiu europeu exigeix a les organitzacions major control, transparència i diligència.

Si la teva empresa utilitza—o està valorant utilitzar—solucions basades en IA per a garbellar, avaluar o prendre decisions sobre candidats, és imprescindible que tingui en compte les previsions establertes en el Reglament d’IA.

Com sempre, cuideu les dades i cuideu-vos!

Un petó, un vídeo i una sanció: els riscos legals de gravar en públic

per
By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0,

Fa uns dies, durant un concert de la banda Coldplay, una de les càmeres de l'esdeveniment—la denominada «Kiss Cam»—va captar a dues persones abraçades de manera afectuosa entre el públic. Aquestes, quan la càmera els va enfocar i la seva imatge va aparèixer en les pantalles del recinte, es van separar immediatament. El seu comportament no va passar inadvertit pel vocalista de la banda, qui va comentar: «Guau, mireu a aquests dos! O estan tenint una aventura o són molt tímids».

En qüestió d'hores, el vídeo es va viralitzar i es va identificar públicament als protagonistes: el CEO i la directora de RH de la mateixa empresa. Tots dos estan casats, però no entre si. La repercussió no va trigar a materialitzar-se: diversos mitjans ja han confirmat que l'empresa va iniciar un expedient disciplinari i que el CEO ha estat suspès temporalment.

Més enllà de l'anècdota o el renou mediàtic, el cas suscita una reflexió jurídica rellevant: quines implicacions tindria la captació i difusió d'una imatge com aquesta si els fets haguessin ocorregut a Espanya?

Al 2021, l'Agència Espanyola de Protecció de Dades (AEPD) va resoldre un procediment sancionador contra un establiment d'oci nocturn que havia publicat en Instagram un vídeo d'un client besant a una persona que no era la seva parella. La reclamació es va fonamentar en la difusió no consentida d'imatges clarament identificables que comprometien l'esfera personal de l'afectat.

El local va al·legar que en l'accés al recinte existia un cartell informatiu advertint de la possibilitat de ser gravat. No obstant això, l'AEPD va considerar que aquest avís no constituïa un consentiment vàlid conforme al RGPD, ja que aquest ha de ser lliure, específic, informat i inequívoc.

La resolució subratlla que la presència de cartells, condicions generals d'accés o el simple fet de trobar-se en un espai públic no supleixen la necessitat d'un consentiment exprés, especialment quan les imatges es destinen a la seva publicació en xarxes socials o altres mitjans públics.

Expectativa raonable de privacitat i protecció de la imatge

L'AEPD també va introduir una reflexió clau: fins i tot en espais oberts al públic, les persones conserven una expectativa raonable de privacitat. En altres paraules, no pot assumir-se que tot el que ocorre en un esdeveniment públic és susceptible de ser gravat i difós lliurement, especialment si la persona afectada no és conscient d'estar sent gravada i l'escena capta aspectes íntims o comprometedors.

Implicacions jurídiques i reputacionals

En el cas del concert de Coldplay, si els fets s'haguessin produït en territori espanyol, podria haver-se plantejat una reclamació davant l'AEPD per captació i difusió no autoritzada de dades personals (la imatge ho és, conforme a l'article 4.1 del RGPD). Depenent de les circumstàncies, fins i tot podria valorar-se la necessitat d'una base legítima per al tractament o l'existència d'un interès legítim degudament ponderat (art. 6.1.f RGPD), alguna cosa que difícilment seria aplicable davant la falta de consentiment clar.

A més, no han d'obviar-se les possibles conseqüències laborals derivades d'aquesta mena d'exposicions públiques, com ha ocorregut en aquest cas. Les empreses, davant aquesta mena de situacions, es veuen en la necessitat de gestionar crisis internes que poden afectar tant la reputació dels professionals implicats com a la de la pròpia organització.

Conclusió

La captació i difusió d'imatges en esdeveniments públics no està exempta de responsabilitat jurídica. L'AEPD deixa clar que la protecció de la imatge personal i el dret a la intimitat no desapareixen en entorns oberts ni queden suspesos per la mera presència de cartells informatius.

En un context en el qual els dispositius mòbils i les xarxes socials faciliten una difusió massiva i immediata de continguts, convé recordar que la protecció de dades personals és un dret fonamental, i que l'obtenció d'un consentiment vàlid és molt més que una formalitat: és un requisit legal imprescindible.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Copyright By Raph_PH - Coldplay_Glasto24_290624 (23), CC BY 2.0.

Dinamarca fa un pas valent contra els deepfakes: l’era del copyright personal ha començat?

per

En un context internacional marcat per l'auge de les tecnologies d'intel·ligència artificial generativa i la proliferació de continguts manipulats—especialment els coneguts deepfakes—, Dinamarca ha sorprès el món amb una proposta legislativa pionera: reconèixer a cada persona drets d'autor sobre la seva imatge, veu i cos. Aquest enfocament, profundament innovador, cerca dotar als ciutadans d'eines legals més efectives per a frenar l'ús no autoritzat de les seves característiques personals en entorns digitals, especialment davant l'amenaça que representa la IA generativa. 

En què consisteix aquesta proposta de llei? 

Dinamarca està disposada a modificar la seva legislació en matèria de drets d'autor per a permetre que qualsevol individu pugui reclamar la titularitat sobre l'explotació no autoritzada de la seva imatge, veu o, fins i tot, moviments corporals generats artificialment. 

La iniciativa sorgeix com a resposta a la creixent difusió de vídeos falsos creats mitjançant IA, alguns d'ells extremadament realistes, que suplanten rostres, veus i gestos de persones reals —famoses o no— sense el seu consentiment. La normativa danesa, encara en fase de desenvolupament, podria constituir una base legal sòlida per a exigir la retirada de continguts deepfake, sol·licitar indemnitzacions per danys morals o patrimonials i, en alguns casos, emprendre accions penals. 

Per què és revolucionària? 

Tradicionalment, els sistemes jurídics occidentals no han reconegut drets d'autor sobre l'aparença o la veu d'una persona, atès que el copyright està reservat a «obres» amb originalitat i autoria. Les persones físiques disposen de mecanismes com el dret a la pròpia imatge o a l'honor, però aquests drets no tenen la mateixa força automàtica ni vocació preventiva que el copyright. 

Dinamarca proposa fusionar l'enfocament dels drets de la personalitat amb la lògica del dret d'autor i, així, permetre que un individu pugui actuar com si fos titular d'una obra quan s'explota la seva identitat digital. Això obriria la porta a mecanismes de takedown similars als que ja existeixen en plataformes com YouTube per a protegir obres musicals o audiovisuals. 

Què passa en altres països? 

  • Als Estats Units, alguns estats com Califòrnia o Illinois han aprovat lleis específiques per a protegir la «veu» o l'«aspecte» de les persones, però des de l'òptica del dret civil i no del copyright. 
  • A la Unió Europea, els drets a la imatge i a la protecció de dades (com l'article 8 de la Carta de Drets Fonamentals de la UE) ofereixen una certa cobertura, però no atorguen un control automàtic ni un dret d'explotació patrimonial. 
  • A Espanya, el dret a la pròpia imatge (LO 1/1982, de 5 de maig) i la protecció de dades (RGPD i LOPDGDD) són les eines disponibles, però no permeten reclamar una «autoria» sobre la nostra veu o cos. Seria necessària una reforma legal de gran importància per a incorporar aquesta perspectiva. 

Un camí cap a la sobirania digital individual? 

La proposta danesa obre un nou paradigma jurídic, que reconeix que a l'era digital l'individu no solament necessita protegir la seva intimitat, sinó també exercir control econòmic i moral sobre la seva identitat digital. Si prospera, podria marcar l'inici d'un nou enfocament europeu per a enfrontar els reptes que planteja la IA generativa, els deepfakes i la manipulació de continguts. 

El debat està servit: hauríem de tenir copyright sobre nosaltres mateixos? 

Com sempre, cuideu les dades i cuideu-vos! 

 Per llegir la notícia, fes clic aquí. 

Revisió Texts legals web