Jurídic

Després de dures negociacions, el Parlament europeu ha aprovat finalment aquest passat dia 13 de març amb aclaparadora majoria un Reglament europeu sobre intel·ligència artificial (IA), el qual pretén ser un marc de regulació referent amb vocació internacional. Pendent encara de diversos tràmits, es preveu que entri en aplicació al cap de dos anys a partir de la seva pròxima publicació.

Entre altres qüestions, el Reglament prohibeix i regula un seguit de conductes que es podrien dur a terme mitjançant una IA, preveu un règim sancionador específic i conté també la previsió de la creació d’una agència de supervisió a cadascun dels Estats membres. En el cas de l’Estat espanyol, però, ja s’ha creat l’Agència Espanyola de Supervisió de la IA.

A partir de l’entrada en aplicació d’aquest Reglament, molts dispositius de vigilància biomètrica només es podran fer servir de forma temporal i en casos específics sota autorització judicial i supervisió de l’autoritat de protecció de dades.

Algunes de les conductes que el nou Reglament prohibeix de manera general i que podria dur a terme una IA són les següents:

• Categorització biomètrica de persones.
• Captura indiscriminada d’imatges facials d’internet.
• Gravació amb càmeres de videovigilància que permeti crear bases de dades de reconeixement facial.
• Reconeixement d’emocions al lloc de treball o a les escoles.
• Establir sistemes de puntuació ciutadana.
• Actuació policial prospectiva.
• IA que manipuli el comportament humà o exploti vulnerabilitats de persones.

Totes aquestes conductes que es plantegen prohibir no són evidentment supòsits de ciència-ficció en una societat futura i distòpica, sinó que són possibilitats reals que la tecnologia de la IA ja permet actualment. En qualsevol cas, tal com comentàvem anteriorment, encara haurem d’esperar com a mínim dos anys a què el Reglament entri en aplicació. Com sempre la tecnologia corre més que el legislador, i en dos anys encara poden passar moltes coses; en qualsevol cas, el Reglament sobre la IA és una bona notícia d’abast internacional.

En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

• Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
• Insuficiència de recursos del DPO.
• Manca d’expertesa i experiència del DPO.
• No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
• Situacions de conflicte d’interès o de manca d’independència del DPO.
• Absència de reporting del DPO al més alt nivell de l’entitat.
• Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

• L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
• L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
• L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Avui en dia, les cookies són una eina essencial de la societat de la informació, ja que permeten als prestadors de serveis obtenir dades dels usuaris i emprar-les amb diferents finalitats, com pot ser, per exemple, per prestar-li un servei en concret o facilitar-li publicitat ajustada als seus gustos i costums de navegació.

Donada l’afectació de les cookies en la privacitat de les persones, resulta ineludible la implementació d’un sistema d’informació que permeti als usuaris ser plenament coneixedors dels usos que es donarà a les seves dades i decidir sobre els mateixos, mitjançant l’atorgament del seu consentiment.

Per tal de garantir aquests paràmetres, el passat mes de febrer de 2023, el Comitè Europeu de Protecció de Dades (CEPD), va emetre les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials. I, per tal d’ajudar als prestadors de serveis a seguir les indicacions de les citades directrius, l’Agència Espanyola de Protecció de Dades va actualitzar la seva Guia sobre l’ús de les cookies. Aquests nous criteris han d’implementar-se abans de l’11 de gener de 2024.

La guia inclou un conjunt de recomanacions que resultaran d’aplicació en aquells casos en què la utilització de les cookies impliqui el tractament de dades personals. I, per tant, els responsables del tractament hauran d’assegurar-se de complir tant amb les exigències pròpies que regula la LSSI, així com també la normativa vigent en matèria de protecció de dades.

Un dels primers aspectes al que fa referència la guia, és a la necessitat d’identificar quines són les cookies emprades al lloc web i quina és la seva finalitat. Es tracta d’un pas essencial per tal de poder complir amb les principals obligacions de les cookies, que són l’obligació de transparència i l’obligació d’obtenció del consentiment.

També caldrà tenir present que aquestes obligacions no aplicaran a totes les cookies, sinó que algunes queden exceptuades. Per exemple, en el cas de les cookies de personalització, quan el propi usuari pren decisions sobre elles com pot ser l’opció de l’idioma, són cookies tècniques que no precisen consentiment, sense que puguin ser utilitzades per a altres finalitats.

Quan parlem de l’obligació de transparència, estem fent referència a la necessitat d’informar als usuaris de forma clara i complera sobre l’ús de les seves dades. És per això que caldrà informar sobre quina és la funció genèrica de les cookies, quin tipus de cookies es recullen i quina és la seva finalitat, qui les utilitza, com s’ha d’acceptar, denegar o revocar el consentiment per l’ús de les cookies, com es transferiran a tercers països, si implica l’elaboració de perfils, el període de conservació i la resta d’informació relativa al tractament de dades que ens determina l’article 13 del RGPD, com per exemple l’exercici de drets dels interessats.

No únicament és important la informació que s’ha de traslladar a l’usuari, sinó que cal prestar especial atenció també a com es facilita. És per això que cal assegurar-se que la informació sigui concisa, transparent i intel·ligible, mitjançant l’ús d’un llenguatge clar i senzill que pugi ser entès per l’usuari.

Altre aspecte a tenir en compte és la forma d’accés a la informació, ja que ha de ser clarament visible per l’usuari sense que impliqui un esforç per ell. Amb l’objectiu d’evitar la fatiga informativa, es pot oferir la informació mitjançant capes. De manera que, des de la primera capa informativa es pugui accedir a un enllaç o es pugui accedir a la informació completa de les cookies.

Tota aquesta informació ha de ser facilitada per tal que l’usuari atorgui el seu consentiment sent plenament coneixedor sobre com s’utilitzaran les seves dades personals.

Per l’obtenció del consentiment caldrà tindre present que es dugui a terme mitjançant fórmules que impliquin una inequívoca acció afirmativa per part de l’usuari. De manera que caldrà presentar-li les accions d’acceptar o rebutjar les cookies en lloc i format destacats, fàcilment visibles.

Un altre aspecte rellevant és que l’accés al servei web i a les seves funcionalitats, no podran condicionar-se a què l’usuari consenti l’ús de cookies. Podent-se presentar situacions en les quals la no acceptació de la utilització de cookies pot impedir l’accés al lloc web o a la utilització total o parcial del servei, sempre que s’informi a l’usuari i s’ofereixi per part de l’editor una alternativa d’accés al servei sense necessitat d’acceptar l’ús de cookies, la qual no ha de ser necessàriament gratuïta.

Es tracta d’un conjunt de directrius que permeten ajudar a traslladar la informació sobre l’ús de les cookies als usuaris, però fugin de l’estandardització de textos, ja que ha de ser plenament adequat a les característiques particulars de cada pàgina web. I, d’acord amb tot l’anterior, hauran de ser revistes els textos web.

Es pot consultar el text complet de l’informe del Guia sobre l’ús de les cookies de l’Agència Espanyola de Protecció de Dades al següent enllaç: https://www.aepd.es/guias/guia-cookies.pdf

I, les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials, del Comitè Europeu de Protecció de dades (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia sobre tractament de control de presència mitjançant sistemes biomètrics. Aquesta nova guia ve, d’una banda, motivada pel fet que els sistemes biomètrics i el tractament de dades obtingudes a partir d’aquests estan evolucionant molt ràpidament i, d’altra banda, a conseqüència de canvis que s’han produït en el context normatiu, social i tecnològic. A més, se subratlla que, a vegades, mitjançant l’anàlisi biomètrica, es poden inferir i recollir més categories especials de dades, en particular, dades relatives a la salut, o dades que revelen l’origen racial o ètnic, entre d’altres.

En un tractament de control de presència que usi sistemes biomètrics, ja sigui pel registre de jornada com pel control d’accés, podrien existir diferents alternatives en la implementació: que estigués basada en dues operacions d’identificació, en una d’autenticació i una altra d’identificació, o en una única operació d’autenticació. Sigui com sigui, però, en aquesta guia es reafirma que la dada biomètrica constitueix en tot cas una categoria especial de dada, segons interpretació de les Directrius 05/2022 del Comitè Europeu de Protecció de Dades (CEPD), de 26 d’abril de 2023, que modifica el criteri sostingut fins a la data per l’AEPD en diversos informes jurídics i en la guia La Protecció de Dades en les Relacions Laborals de 2021. (more…)

Les principals novetats de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de persones que informin sobre infraccions normatives i de lluita contra la corrupció ja foren resumides en un article de l’Alba Torres publicat en la newsletter del passat mes de febrer. Ara tornem a pronunciar-nos sobre aquesta llei per un doble motiu: el primer, atès que des d’aquest mes de desembre qualsevol entitat que tingui 50 treballadors o més, així com tot municipi amb menys de 10.000 habitants, ja té obligació de tenir implementat un sistema intern d’informació (SII). (more…)

L’Autoritat Catalana de Protecció de Dades (APDCAT) ja va constatar en la seva Memòria de 2022 que la gran majoria de delegats de protecció de dades (DPD) nomenats al sector públic són externs, cosa que implica que, en molts casos, s’han contractat a través de processos de contractació pública. Ara, a través de la Recomanació 2/2023, publicada recentment, l’APDCAT recorda que el DPD és una figura d’obligat nomenament a l’administració pública i que aquest nomenament ha de tenir en compte determinats aspectes qualitatius, com ara la necessitat que tingui coneixements jurídics, sobretot relatius a protecció de dades, o el fet que ha de poder dur a terme determinades funcions d’informació, assessorament, supervisió i cooperació.

Aquesta recomanació ve per la constatació que, en molts processos de licitació pública d’un contracte de serveis de DPD extern, només s’ha tingut en compte el factor preu o s’ha estimat un valor de preu molt baix, sense tenir en compte la dedicació real i els aspectes qualitatius que ha de tenir necessàriament la figura del DPD i la seva feina. (more…)

El passat 9 de maig de 2023 es va publicar en el BOE, la Llei 11/2023, de 8 de maig de transposició de Directives de la Unió Europea que regula, entre altres matèries, la digitalització d’actuacions notarials i registrals.

La llei 11/2023, de 8 de maig, de transposició de Directives de la Unió Europea en matèria d’accessibilitat de determinats productes i serveis, migració de persones altament qualificades, tributària i digitalització d’actuacions notarials i registrals i per la que es modifica la Llei 12/2011, de 27 de maig, sobre la responsabilitat civil per danys nuclears o produïts per materials radioactius, conté modificacions de diferents normatives de l’àmbit mercantil: la Llei del Notariat; el Codi de Comerç; la Llei de Societats de Capital;  Llei hipotecària i les Lleis de mesures fiscals, administratives i de l’ordre social. (more…)

El 16 de febrer de 2023 el Congrés dels Diputats, va aprovar la denominada “Llei reguladora de la protecció de les persones que informen sobre infraccions normatives i la lluita contra la corrupció” publicada en el BOE de 21 de febrer. Amb l’aprovació de la Llei s’incorpora al Dret espanyol la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell, de 23 d’octubre de 2019. La normativa entrarà en vigor 20 dies després de la seva publicació al BOE. En la normativa s’incorporen els dos objectius clars de la Directiva europea: protegir als informants i establir les normes mínimes dels canals d’informació. A continuació identifiquem els principals aspectes de la normativa: (more…)

El passat mes de desembre es va publicar al BOE la Llei 31/2022 de pressupostos generals de l’estat per l’any 2023 (LGPE 2023), la qual va incloure diverses modificacions a la Llei 9/2017, de Contractes del Sector Públic (LCSP). 

Una d’aquestes modificacions es troba directament relacionada amb l’obligació de disposar d’un pla d’igualtat. Fins ara, s’establia la prohibició en el marc dels contractes del sector públic de contractar empreses licitadores de 250 o més treballadors que no disposessin de pla d’igualtat. Doncs bé, amb la nova redacció, en vigor des de l’1 de gener de 2023, es redueix el llindar quant a nombre de treballadors, tot establint que no es podrà contractar amb empreses de 50 o més treballadors que no disposin de pla d’igualtat. (more…)

El passat 1 de desembre es publicava en el Diari Oficial de la Generalitat de Catalunya la Resolució JUS/3741/2022, de 28 de novembre, per la qual s’aproven els criteris que han de regir el Pla d’actuació inspectora de fundacions i d’associacions declarades d’utilitat pública per a l’any 2023.

D’acord amb l’article 336.2.1 del llibre tercer del Codi Civil de Catalunya, relatiu a les persones jurídiques, i l’article 7 de la Llei 21/2014, del 29 de desembre, del protectorat de les fundacions i de verificació de l’activitat de les associacions declarades d’utilitat pública, el Protectorat ha de vetllar perquè es compleixin les finalitats fundacionals, les disposicions legals i els estatuts de les fundacions i perquè s’observi la voluntat fundacional respectant l’autonomia de gestió i de funcionament de les fundacions. Aquesta funció bàsica es desglossa en un seguit de funcions específiques, entre les quals l’article 10, lletra a, de la Llei 21/2014, del 29 de desembre, inclou la de vetllar pel compliment efectiu de la voluntat fundacional, de les disposicions legals i dels estatuts, mitjançant la verificació dels comptes anuals i els altres instruments que estableixen les lleis.

L’article 23.1 de la Llei 21/2014, del 29 de desembre, confereix al Protectorat i a l’Òrgan de Supervisió de les associacions declarades d’utilitat pública l’exercici de la potestat inspectora. En concret, l’article 23.2 enumera una sèrie de causes d’inspecció i l’article 24.1 disposa que el Protectorat i l’Òrgan de Supervisió de les associacions declarades d’utilitat pública han d’aprovar anualment un pla d’actuacions inspectores formulat d’acord amb uns criteris objectius que han de fer públics. (more…)