El judici de proporcionalitat en relació amb els recursos corporatius que poden contenir informació personal dels treballadors continua sent un focus habitual de conflicte quan una entitat necessita accedir-hi per motius operatius o de seguretat.

En aquest context, resulta especialment oportuna la nova resolució d’arxivament de la informació prèvia núm. IP 73/2024 de l’Autoritat Catalana de Protecció de Dades (APDCAT), on es torna a delimitar amb claredat els principis i criteris de justificació que permeten determinar quan un accés a mitjans corporatius pot considerar-se degut o, per contra, indegut o il·legítim, especialment quan aquests contenen dades personals dels treballadors.

El cas analitzat té com a subjecte afectat un Institut del Departament d’Educació i Formació Professional. Un docent del centre va presentar una reclamació al·legant que l’accés, per part del responsable del tractament, a un ordinador corporatiu de l’entitat havia pogut vulnerar els seus drets a la intimitat i a la protecció de la seva informació i dades personals. L’origen de l’actuació rau en les sospites de l’entitat sobre un possible accés indegut a la plataforma iEduca, identificat amb el perfil d’un professor que no es trobava físicament al centre en aquell moment.

L’entitat responsable va justificar l’accés a l’historial de l’ordinador corporatiu en dues finalitats concretes: aclarir una possible suplantació d’identitat, i garantir la seguretat del sistema informàtic del centre.

Així mateix, va sostenir que l’accés es va limitar exclusivament a aquestes finalitats i va posar de manifest l’existència de normativa sectorial aplicable i de directrius internes degudament documentades, com ara guies d’ús, manual de benvinguda, normes d’organització i funcionament, entre d’altres que es faciliten als docents del centre i que regulen els criteris d’utilització de les tecnologies de la informació i dels dispositius digitals corporatius.

Per la seva banda, la persona denunciant va considerar que l’accés havia estat indegut, atès que no s’havia sol·licitat el seu consentiment per accedir a un ordinador que, si bé no era de caràcter personal, es trobava a l’aula on impartia classe. En aquest sentit, va assenyalar que les dades afectades eren les generades per les navegacions a internet realitzades des d’una adreça IP concreta, les quals tenen la consideració de dades personals.

L’APDCAT inicia la seva anàlisi descartant el consentiment com a base jurídica adequada i considera més fonamentades altres bases de legitimació previstes a l’article 6.1.b), c) i e) del Reglament General de Protecció de Dades (RGPD), com ara la relació contractual, l’interès legítim o l’interès públic.

La valoració de l’accés i el corresponent judici de proporcionalitat es fonamenten en diversos elements clau:

En primer lloc, l’entitat pot accedir als continguts dels mitjans digitals facilitats als treballadors d’acord amb l’article 87 de la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). A això s’afegeix la Recomanació CM/Rec(2015)5 del Comitè de Ministres del Consell d’Europa, d’1 d’abril de 2015, relativa al tractament de dades en l’àmbit laboral, que estableix, entre d’altres principis, la possibilitat d’accedir a les comunicacions electròniques dels empleats quan aquests han estat degudament informats.

No obstant això, l’Autoritat recorda que el principi de licitud ha d’anar necessàriament vinculat al principi de minimització. En conseqüència, qualsevol control ha de constituir una resposta proporcional davant riscos potencials, ponderant adequadament el dret a la vida privada i els altres interessos legítims dels treballadors. Això implica que les dades tractades amb finalitats de revisió han de ser adequades, pertinents i no excessives en relació amb la necessitat que justifica la seva recollida.

En termes generals, qualsevol mesura de monitorització ha d’aplicar-se sota aquests criteris. Si existeix una alternativa que permeti assolir l’objectiu perseguit amb una menor intromissió en la vida privada dels treballadors, l’ocupador està obligat a valorar i, si escau, aplicar aquesta opció.

En definitiva, l’accés als mitjans corporatius s’ha de dur a terme de la manera menys invasiva possible i, en tot cas, havent informat prèviament les persones treballadores afectades. El responsable del tractament ha d’oferir una resposta proporcional als riscos que gestiona, tenint sempre en consideració la privadesa legítima i els altres interessos dels treballadors.

El Tribunal Suprem ha confirmat que l’estandardització de contractes de teletreball no vulnera la llibertat sindical sempre que es respecti la voluntarietat i el tràmit d’audiència. En la seva sentència, la Sala Social va desestimar el recurs del sindicat ASC contra Ayesa Advanced Technologies, fixant doctrina sobre els límits entre negociació col·lectiva i acords individuals en el treball a distància.

El litigi té el seu origen en la demanda del sindicat, que sol·licitava la nul·litat de la implantació unilateral d’un règim de teletreball i de les clàusules contractuals subscrites amb els empleats des d’octubre de 2022. El sindicat argumentava que l’empresa havia incorregut en una “individualització en massa”, eludint la negociació col·lectiva en oferir un model d’adhesió idèntic a tota la plantilla. La sentència desestima íntegrament les pretensions sindicals basant-se en tres arguments jurídics fonamentals:

1. La primacia de la voluntarietat individual El Tribunal recorda que el treball a distància es regeix pel principi de voluntarietat (Art. 5 Llei 10/2021). L’acord ha de ser necessàriament individual, ja que respon a la voluntat de les parts, i “no pot ser suplert per pacte o conveni de caràcter col·lectiu“. El TS distingeix dos plans: la necessitat de l’acord individual, que és insubstituïble, i el contingut d’aquest acord, que ha de respectar la llei i el conveni, però el seu format estandarditzat no implica il·legalitat.
2. El model únic no viola la llibertat sindical El fet que l’empresa ofereixi un model de “contracte d’adhesió” no suposa una vulneració de la negociació col·lectiva. En aquest cas, el Tribunal va valorar que els acords individuals van ser anteriors a la negociació del conveni sectorial i que el sindicat demandant no va acreditar haver intentat negociar un conveni d’empresa que fos rebutjat per la companyia.
3. Desconnexió digital Un dels punts més rellevants és la validació de la política de desconnexió digital. El sindicat reclamava que aquesta política havia d’haver estat negociada. Tanmateix, el Suprem aclareix que l’article 88 de la LOPD i el conveni d’aplicació permeten a l’ocupador elaborar la política interna prèvia audiència dels representants dels treballadors. En constar que l’empresa va realitzar aquesta audiència i consultes abans d’implantar la mesura, es considera complerta l’exigència legal sense necessitat d’assolir un acord col·lectiu formal.

Conclusió:

Aquesta sentència reforça la seguretat jurídica de les empreses en la gestió del teletreball. Confirma que l’estandardització administrativa dels acords (l’ús de contractes d’adhesió) és lícita sempre que:

• Es respecti la voluntarietat i reversibilitat exigida per la llei.
• Es compleixi amb el tràmit d’audiència a la representació legal dels treballadors en matèries com la desconnexió digital.
• No es bloquegin iniciatives reals de negociació col·lectiva quan existeix legitimació, es a dir, no donar carta blanca per impedir o neutralitzar l’acció sindical quan existeixi una veritable iniciativa de negociació col·lectiva legítima.

El Tribunal Suprem ha fet una passa important a favor de la transparència. En una decisió històrica, la sentència núm. 1119/2025, d’11de setembre de 2025, ha donat la raó a la Fundació Ciudadana Civio, i ha establert que els ciutadans tenen dret a accedir al codi font dels programes informàtics que fa servir l’Administració per prendre decisions automàtiques.

El cas concret es basa en l’aplicació BOSCO, que el Ministeri de Transició Ecològica utilitza per decidir qui pot rebre el bo social, una ajuda per a la factura elèctrica. La Fundació Civio volia saber exactament com funcionava l’algorisme de l’aplicació per comprovar que no hi hagués errors o que es fes servir de manera justa.

Tant el Consell de Transparència com l’Audiència Nacional havien negat l’accés, argumentant que el codi font estava protegit per la propietat intel·lectual i que divulgar-lo podria comprometre la seguretat.

El Tribunal Suprem, però, ha rebatut aquests arguments:

• Naturalesa del dret d’accés a la informació pública: La sentència recalca que el dret d’accés a la informació pública no és només un principi orientador per a l’administració, sinó un dret constitucional subjectiu exercitable pels ciutadans. Aquest dret esdevé particularment rellevant amb l’ús de noves tecnologies, com els sistemes de presa de decisions automatitzades.
• Principi de transparència algorítmica: La sentència reconeix la importància de la “transparència algorítmica” per garantir la rendició de comptes i evitar l’opacitat en les decisions públiques.
• Ponderació de drets i límits: El Tribunal Suprem resol que la simple invocació de la propietat intel·lectual no és suficient per denegar l’accés, especialment quan el programa ha estat desenvolupat per una administració pública per a l’exercici de funcions públiques.
• Seguretat Pública vs. Transparència: Respecte a l’argument de la seguretat pública, el Tribunal Suprem considera que la mera afirmació que la revelació del codi font augmenta la vulnerabilitat del sistema no és un motiu suficient per denegar l’accés. S’assenyala que la transparència pot, de fet, contribuir a la millora del codi i a la seva seguretat, i que, en qualsevol cas, els riscos poden ser gestionats amb mesures com la prohibició de la difusió no autoritzada o la signatura de compromisos de confidencialitat.
• La Funció Pública de BOSCO: La sentència destaca la rellevància pública de l’aplicació BOSCO, ja que serveix per a l’exercici d’una funció pública amb una important projecció social: la protecció dels consumidors vulnerables i la lluita contra la pobresa energètica. El Tribunal Suprem subratlla que la Fundació Ciudadana Civio, com a entitat de vigilància social, té un interès legítim en verificar si l’algorisme de l’aplicació s’ajusta a la llei per evitar possibles errors o discriminacions.

Aquesta sentència anul·la les decisions anteriors i obliga el govern a donar el codi font de l’aplicació BOSCO a la fundació. Això obre la porta a un control més efectiu sobre l’ús de la tecnologia per part de les administracions i dels ciutadans especialment quan afecta els drets i les llibertats d’aquests.

Microsoft Corporation ha anunciat oficialment que a partir del 14 d’octubre de 2025, totes les edicions del sistema operatiu Windows 10 (Home, Pro, Enterprise i Education) deixaran de rebre actualitzacions gratuïtes. Aquestes actualitzacions inclouen:

• Correccions  i actualitzacions de seguretat.
• Millores del rendiment.
• Suport tècnic general.

Què implica això?

Aquesta desactivació del suport comporta que els dispositius amb Windows 10 quedaran exposats a riscos de seguretat, ja que no es detectaran ni solucionaran vulnerabilitats noves. L’impacte pot traduir-se en:

• Menor seguretat davant de noves amenaces.
• Pèrdua o robatori de dades sensibles.
• Accés no autoritzat als equips.
• Disminució del rendiment i estabilitat.

La tecnologia avança… i cal estar al dia!

Per protegir els equips i mantenir una experiència digital segura, Microsoft recomana actualitzar a Windows 11. Abans de fer l’actualització, cal verificar si el dispositiu compleix amb els requisits tècnics mínims.

Com podeu saber si el vostre equip està preparat per al canvi?

• Accediu a Configuració > Windows Update.
• Comproveu la versió actual del sistema i les actualitzacions disponibles.
• Consulteu els requisits tècnics de Windows 11 al portal oficial.

Més informació: Trobareu detalls sobre la fi del suport a Windows 10, així com els requisits i instruccions per a l’actualització a Windows 11, visitant el lloc web oficial de Microsoft fent clic aquí.

Recomanació final: No deixeu per a l’últim moment la transició a Windows 11. Anticipar-se a aquests canvis us garantirà un entorn informàtic més eficient i segur.

La Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial (d’ara endavant, la Direcció) va examinar la problemàtica plantejada sobre qui és l’autoritat de control competent en els tractaments de dades personals que duen a terme els Instituts de Medicina Legal (IML) en l’exercici de les seves funcions.

Concretament, va ser la Comunitat Autònoma de Galícia qui va elevar la consulta a l’Oficina de Govern de Ciberseguretat del Comitè Tècnic Estatal de l’Administració Judicial Electrònica (CTEAJE). En aquesta consulta es planteja el dubte sobre si la competència correspon a la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial o, si escau, a la Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia General de l’Estat (FGE).

La Direcció informa de les seves competències i funcions atribuïdes per la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ), el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. Aquestes funcions es duen a terme sense perjudici que, en casos concrets, sigui necessari recórrer a un marc de col·laboració amb altres autoritats de control, com l’Autoritat Catalana de Protecció de Dades (APDCAT) o el Consell de Transparència i Protecció de Dades d’Andalusia (CTPDA), entre d’altres.

D’altra banda, s’analitzen dos pronunciaments:

• El primer, de l’APDCAT, en què es va declarar incompetent per resoldre una sol·licitud de cancel·lació de dades personals davant un IML que havia realitzat una valoració pericial i social a instàncies d’un jutjat de primera instància. L’APDCAT va considerar que l’adequació o l’excés de l’informe pericial, en el context d’un procés judicial, excedia el seu àmbit competencial.
• El segon, del CTPDA, es refereix a una reclamació sobre el dret d’accés a informes forenses i entrevistes de valoració realitzats per l’IML de Huelva en el marc de diversos processos judicials. Aquesta resolució sosté que les dades personals tractades pels IML en aquests casos s’incorporen als fitxers jurisdiccionals de dades de l’Administració de Justícia, dels quals és responsable l’òrgan jurisdiccional. A més, emfatitza la funció d’auxili judicial dels IML, segons l’article 479.1 de la LOPJ, i el seu paper com a encarregats del tractament, subjectes a les instruccions de l’òrgan judicial.

Aquests exemples demostren la tendència de les autoritats de control a declinar la seva competència en aquells casos en què els tractaments de dades dels IML es realitzen en el context de la funció jurisdiccional, reconeixent el paper predominant dels òrgans judicials en la determinació dels fins i mitjans del tractament.

La sentència del Tribunal de Justícia de la Unió Europea del 24 de març de 2022 especifica la definició dels conceptes de “tractaments i fins jurisdiccionals”. Segons el TJUE, en el context de l’article 55.3 del RGPD, aquests conceptes no només fan referència als tractaments de dades personals efectuats pels òrgans jurisdiccionals en assumptes concrets, sinó també, de manera més àmplia, al conjunt d’operacions de tractament realitzades pels òrgans jurisdiccionals en l’exercici de la seva activitat jurisdiccional. D’aquesta manera, queden excloses de la competència de l’autoritat de control aquelles operacions de tractament la supervisió de les quals podria influir, directament o indirectament, en la independència dels seus membres o condicionar-ne les decisions.

Pel que fa a la naturalesa dels IML, d’acord amb la LOPJ i el Reial decret 144/2023, de 28 de febrer, pel qual s’aprova el Reglament dels Instituts de Medicina Legal i Ciències Forenses, es destaca la seva condició d’òrgans tècnics al servei de l’Administració de Justícia, amb la funció principal d’auxiliar els jutjats, tribunals i fiscalies dins el seu àmbit científic i tècnic. També se subratlla la seva dependència funcional respecte dels òrgans jurisdiccionals en l’exercici d’aquestes funcions d’auxili.

A més, pel que fa a la protecció de dades, l’informe conclou que, en el context de la seva relació amb els òrgans jurisdiccionals, els IML actuen com a encarregats del tractament, mentre que els òrgans jurisdiccionals tenen la condició de responsables del tractament. Aquesta distinció es fonamenta en la naturalesa de les funcions dels IML, la seva dependència funcional i el fet que són els òrgans jurisdiccionals els que determinen els fins i mitjans del tractament. Així mateix, l’exercici dels drets s’ha de canalitzar davant l’òrgan jurisdiccional corresponent i no davant l’IML, ja que, en cas contrari, es podria veure compromès el desenvolupament del procediment judicial.

Finalment, l’informe determina que l’autoritat de control de protecció de dades competent per supervisar els tractaments de dades personals realitzats pels IML en l’exercici de les seves funcions d’auxili judicial és la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial. Aquesta conclusió es basa en el fet que aquests tractaments es duen a terme amb finalitats jurisdiccionals, ja que estan directament vinculats a l’activitat dels òrgans jurisdiccionals dins dels processos judicials.

Aquesta anàlisi resulta de gran utilitat per als professionals del dret, els operadors jurídics i les autoritats de control, ja que proporciona un marc de referència clar i fonamentat per aplicar la normativa de protecció de dades en aquest àmbit específic.

Cada cop més es sol·licita el DNI per a realitzar gestions que podem trobar en l’àmbit del nostre dia a dia, des d’una acció tan senzilla com rebre un paquet fins a l’exercici dels nostres drets de protecció de dades davant d’una entitat.

El DNI conté més informació de la que ens pensem, no és solament el codi identificador, la nostra fotografia o el nom complet, també conté la nostra firma, domicili, equip expedidor, el nom dels progenitors, etc. (AEPD PS/00413/2021). La problemàtica sorgida respecte a  aquesta informació rellevant del nostre DNI ha estat objecte d’anàlisis per part de l’Agència Espanyola de Protecció de Dades (AEPD) en multitud de processos: casos de missatgeria (0048/2023; PS/00413/2021),  de selecció de personal (PS/00003/2021), de reserva d’allotjaments… (PS/00499/2022).

Segons les resolucions de l’AEPD, l’ús indegut del DNI pot suposar la vulneració de principis rectors de la protecció de dades com són els de minimització de les dades, el de proporcionalitat del tractament, el de limitació de la finalitat, i el de la conservació de les dades.

Donat això, en el cas de voler exercir un dret de protecció de dades davant d’una entitat, és necessari plantejar-nos si aquest tractament de dades del nostre document d’identitat, pot considerar-se excessiu. Per això, fonamentat en l’article 5.1.c RGPD, referent al principi de minimització de dades, s’ha de determinar que la sol·licitud del DNI ha de ser estrictament necessària pel tractament que es vol realitzar, i en conseqüència, el responsable de tractament, ha d’assegurar-se de no recollir més dades personals de les necessàries per a realitzar la identificació de la persona sol·licitant. Cal tenir en compte que la base legitimadora d’aquest fet és l’article 12.6 RGPD: “quan el responsable del tractament tingui dubtes raonables en relació amb la identitat de la persona física que cursa la sol·licitud a què es refereixen els articles 15 a 21, podrà sol·licitar que es faciliti la informació addicional necessària per a confirmar la identitat de l’interessat.”

Els últims procediments sancionadors resolts per aquests fets són un indicatiu de la preocupació que  l’AEPD té sobre l’ús del DNI per a la identificació, així trobem imposicions de multes que van des de 3.000 euros (PS/00570/2023) fins a 250.000 euros (PS/00003/2021), basades en l’aplicació de l’article 5.1 del RGPD.

Tal com indica l’AEPD “l’ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d’una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.

Algunes mesures alternatives o solucions per a la realització de la identificació del sol·licitant poden ser mitjançant una identificació electrònica o realitzar l’enviament d’una sol·licitud a través d’un compte d’usuari juntament amb un factor d’autenticació addicional remès per un altre canal diferent. A través d’aquestes tècniques, s’evita l’ús de dades personals i es realitza la identificació mitjançant codis o contrasenyes que permetin assegurar que la persona que realitza l’exercici de drets és la correcta.

En definitiva, sol·licitar el DNI és una opció viable i legítima, però s’ha de limitar el seu tractament a l’estrictament necessari, i en paraules de l’AEPD “Només s’haurà de recollir la informació del DNI que sigui pertinent per a confirmar la identitat del subjecte, i si existeixen altres mesures menys greus que compleixen la finalitat de la identificació, el més recomanable és abstenir-se d’utilitzar-lo.” (AEPD 0048/2023)