La nostra opinió

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.

La Comissió Europea va aprovar el passat 26 de febrer un primer paquet de mesures de simplificació substancial i reducció de càrregues administratives, paquet òmnibus, que té per objectiu modificar diferents normatives de sostenibilitat empresarial de la Unió Europea per tal d’alleugerir la càrrega administrativa innecessària per a les empreses, donant més temps a les empreses per a la seva adaptació, així com reduint els requisits de la CSRD i modificant els llindars de la seva aplicació.

Concretament, el paquet inclou modificacions de la Directiva de Reporting de Sostenibilitat Corporativa (CSRD) i de la Directiva de Diligència Deguda de les Empreses en Matèria de Sostenibilitat (CSDDD). El paquet va acompanyat també d’un projecte d’Acte delegat sobre Taxonomia.

Els principals canvis al CSRD serien:

• Reducció de l’àmbit de les empreses obligades a informar. Els requisits d’informació només s’aplicaran a grans empreses de més de 1.000 treballadors i un volum de negoci superior a 50 milions d’euros o un actiu superior a 25 milions d’euros. Les empreses que no compleixin aquests requisits no estaran obligades, així com tampoc les pimes cotitzades.
• Límit de la cadena de valor. Per a les empreses que ja no entren dintre de l’àmbit d’aplicació de la CSRD, la Comissió adaptarà una norma d’informació voluntària. Aquesta norma limitarà la informació que les empreses que entrin en l’àmbit d’aplicació de la CSRD podran sol·licitar a les empreses de les seves cadenes de valor.
• Compromís de la Comissió de revisar les Normes Europees per a l’elaboració d’informes de sostenibilitat. L’objectiu de la revisió serà reduir substancialment el nombre de dades, simplificant i millorant la redacció dels requisits d’informació.
• Supressió del requisit de normes sectorials.
• Supressió de la norma de garantia raonable. S’elimina la possibilitat que la Comissió proposi passar del requisit de garantia limitada al de garantia raonable.
• Aplaçament dels requisits d’informació. Es proposa aplaçar dos anys l’entrada en vigor dels requisits d’informació per a les grans empreses que encara no han començat a aplicar la normativa. És a dir, les grans empreses hauran de reportar per primera vegada segons CSRD al 2028 amb dades del 2027.

Pel que fa a la Taxonomia, el paquet Òmnibus inclou modificacions en el sentit d’una major flexibilització, així preveu la notificació voluntària de la Taxonomia per a les empreses incloses en l’àmbit d’aplicació de la CSRD (empreses de més de 1.000 treballadors) i també introdueix l’opció d’informar voluntàriament sobre la seva alineació parcial amb la Taxonomia.

Malgrat que encara el Parlament i el Consell Europeu han de posar-se d’acord durant els propers mesos sobre la versió final del document, no s’esperen grans canvis sobre aquesta proposta.

El Decret 40/2025 regula el RELIC i el RPC amb novetats per garantir més transparència i eficiència en la contractació pública.

El Diari Oficial de la Generalitat de Catalunya (DOGC) ha publicat el Decret 40/2025, de l’11 de març, que regula el Registre d’empreses licitadores i classificades de Catalunya (RELIC) i el Registre públic de contractes de Catalunya (RPC). Aquesta normativa introdueix diverses millores per optimitzar la qualitat de la informació, afavorir la transparència i avançar en la contractació pública electrònica.

Entre les principals novetats, destaca la inscripció d’ofici al RELIC de la documentació presentada en les sol·licituds de classificació empresarial, així com l’obligació dels òrgans de contractació d’informar sobre canvis en els requisits per contractar o sobre la detecció d’informació falsa. A més, s’estableixen sancions per manca d’actualització de les dades, amb suspensions de cinc anys i cancel·lacions de deu anys.

Pel que fa al RPC, tots els òrgans de contractació de Catalunya hauran de comunicar-hi les dades bàsiques dels contractes sense necessitat de conveni previ. En el cas de l’Administració de la Generalitat i el seu sector públic, també serà obligatori informar sobre el compliment i l’avaluació dels contractes. A més, s’agilitza la comunicació amb la Sindicatura de Comptes i el Registre de contractes estatal a través de la Secretaria Tècnica de la Junta Consultiva de Contractació Pública de Catalunya.

El decret també garanteix l’accés públic a determinada informació durant els últims cinc anys sense necessitat d’identificació prèvia i preveu la interoperabilitat entre el Sistema corporatiu de contractació pública electrònica de Catalunya i el Directori d’empreses de la Llei 18/2020.

Aquesta nova regulació entrarà en vigor el 2 d’abril de 2025 i es completarà amb la posada en marxa d’una nova eina informàtica per a la gestió del RELIC.

Anàlisi de l’Avantprojecte de Llei sobre la Governança de la IA i el seu Impacte en el Marc Jurídic Nacional

L’avenç vertiginós de la intel·ligència artificial (IA) ha plantejat desafiaments significatius en termes d’ètica, transparència i protecció dels drets fonamentals. En resposta a aquests reptes, el Govern d’Espanya ha aprovat recentment l’avantprojecte de llei sobre la governança de la IA, amb l’objectiu de garantir un ús ètic, inclusiu i beneficiós d’aquesta tecnologia. Aquest article analitza les principals disposicions d’aquesta normativa i la seva alineació amb el Reglament Europeu d’IA.

L’avantprojecte busca harmonitzar la legislació espanyola amb el Reglament Europeu d’IA, ja en vigor, que estableix un marc comú per al desenvolupament, comercialització i ús de sistemes d’IA a la Unió Europea. Aquest reglament classifica les aplicacions d’IA en funció del seu nivell de risc i estableix obligacions específiques per a cada categoria, amb la finalitat de mitigar possibles riscos per als drets i llibertats de les persones.

Una de les mesures més destacades de l’avantprojecte és l’obligació d’identificar clarament els continguts generats o manipulats mitjançant IA, com ara imatges, àudios o vídeos. Aquesta disposició busca prevenir la difusió de desinformació i protegir la ciutadania de possibles enganys, especialment en relació amb els anomenats deepfakes. L’incompliment d’aquesta obligació es considerarà una infracció greu, sancionable amb multes de fins a 35 milions d’euros o el 7% de la facturació anual de l’empresa infractora.

L’avantprojecte també prohibeix l’ús de tècniques subliminals que puguin manipular el comportament de les persones, així com l’explotació de vulnerabilitats específiques a causa de l’edat, discapacitat o situació socioeconòmica. A més, es prohibeix la classificació de persones basada en dades biomètriques per avaluar el seu comportament o personalitat, garantint així la protecció dels drets fonamentals i la dignitat humana.

L’Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA), creada l’any 2023, serà l’encarregada de supervisar la implementació i compliment d’aquesta normativa. L’AESIA tindrà facultats inspectores i sancionadores per garantir que els sistemes d’IA operin de manera transparent i respectuosa amb els drets fonamentals.

Conclusió

L’aprovació d’aquest avantprojecte representa un pas significatiu cap a la regulació efectiva de la intel·ligència artificial a Espanya. En harmonitzar-se amb el marc europeu i establir mesures específiques per garantir la transparència i ètica en l’ús de la IA, es busca fomentar la confiança de la ciutadania en aquestes tecnologies i assegurar que el seu desenvolupament contribueixi al benestar social i al respecte dels drets fonamentals.

El marc normatiu de la contractació pública a Catalunya ha experimentat canvis significatius amb l’entrada en vigor dels Decrets Llei 2/2025 i 3/2025, aprovats el 25 de febrer i el 4 de març, respectivament. Aquestes normatives introdueixen mesures destinades a agilitzar processos, flexibilitzar la contractació i garantir més eficiència en la gestió pública.

Una de les principals novetats és la possibilitat de contractar conjuntament la redacció del projecte i l’execució de l’obra en determinades situacions. Aquesta mesura es podrà aplicar en obres de curta durada, contractes per sota del llindar del procediment obert simplificat, projectes d’eficiència energètica i sostenibilitat, així com en casos de tramitació urgent. També es preveu per a actuacions vinculades a plans estratègics del Govern. L’objectiu és evitar retards administratius i assegurar una major coherència entre la concepció inicial i l’execució del projecte.

D’altra banda, es reforça l’obligació de dividir els contractes en lots per fomentar la competència i evitar adjudicacions excessives a un mateix operador. En cas que no sigui possible la divisió, caldrà justificar-ne les raons tècniques. A més, es limita el nombre de lots que poden ser adjudicats a una sola empresa per garantir una distribució més equitativa dels contractes i fomentar la participació de més operadors econòmics.

Pel que fa als contractes menors, s’estableix que aquells amb un valor igual o inferior a 5.000 euros (IVA exclòs) es podran formalitzar únicament amb l’aprovació de la despesa i la presentació de la factura, sense requerir tràmits administratius addicionals. Això permetrà agilitzar la contractació de petits serveis i subministraments. Tot i això, es manté la necessitat de diversificar els proveïdors sempre que sigui possible per evitar concentracions en una única empresa.

Una altra modificació rellevant és l’aplicació de noves normes en matèria de subcontractació. La normativa estableix mecanismes de protecció per als subcontractistes en cas d’impagament per part del contractista principal. En contractes subjectes a regulació harmonitzada amb subcontractacions superiors al 10% del valor total, si la demora en el pagament supera un mes, el subcontractista podrà sol·licitar el pagament directe a l’òrgan de contractació, que podrà descomptar l’import de les factures pendents o de la garantia del contractista principal. A més, s’estableix l’obligació que aquest últim expedeixi certificats de bona execució en un termini màxim de deu dies, millorant així la transparència i el reconeixement del treball realitzat per tercers.

Finalment, el Decret Llei 2/2025 modifica la Llei de l’Arquitectura per permetre que la direcció d’execució d’obra pugui ser contractada conjuntament amb la redacció del projecte. Així mateix, es deroga la norma que exigia la separació estricta entre el projecte i la direcció d’obra, permetent una gestió més integrada i adaptada a les necessitats dels projectes.

Les noves normatives tenen com a objectiu simplificar determinats procediments de contractació pública, garantir més celeritat i seguretat jurídica, i fomentar una major competència entre les empreses.

L’11 de febrer de 2025, el Consell de Ministres va aprovar un increment del 4,4% en el Salari Mínim Interprofessional (SMI), situant-lo en 1.184 euros bruts mensuals repartits en 14 pagues, el que equival a 16.576 euros bruts anuals.

Aquesta mesura, que té efectes retroactius des de l’1 de gener de 2025, beneficiarà més de 2,5 milions de treballadors, especialment dones i joves.

No obstant això, per primera vegada, aquest increment de l’SMI estarà subjecte a tributació en l’Impost sobre la Renda de les Persones Físiques (IRPF), fet que reduirà els ingressos nets de molts treballadors.

Aquesta decisió ha generat crítiques, ja que es considera que no segueix una lògica progressista i de justícia fiscal. Es destaca la necessitat d’ajustar l’IRPF per evitar que els perceptors de l’SMI suportin una càrrega impositiva excessiva, especialment en comparació amb les rendes del capital i immobiliàries que gaudeixen de menors impostos.

A Catalunya, la UGT ha informat que aquesta pujada beneficiarà 380.000 treballadors catalans.

Tanmateix, la tributació de l’SMI podria afectar negativament els ingressos nets d’aquests treballadors.

En resum, mentre l’increment de l’SMI per al 2025 representa una millora salarial significativa per a molts treballadors, la seva subjecció a tributació fiscal planteja desafiaments addicionals que podrien minimitzar l’impacte positiu esperat en els ingressos nets dels treballadors amb salaris més baixos.

A banda de grans empreses cotitzades, és important tenir en compte que també s’apliquen a moltes altres entitats les obligacions previstes a la Llei Orgànica 2/2024, d’1 d’agost, de representació paritària i presència equilibrada de dones i homes (Llei de Paritat). Aquesta llei s’aprova per transposició de la Directiva (UE) 2022/2381 del Parlament Europeu i del Consell de 23 de novembre de 2022 relativa a un millor equilibri de gènere entre els administradors de les societats cotitzades i a mesures connexes. De forma particular, aquesta llei conté obligacions de paritat que han de complir també sindicats, associacions empresarials, fundacions, organitzacions del Tercer Sector d’acció social i entitats de l’economia social a partir del 30/06/2028.

No tots els tipus d’entitats indicats a la llei estan obligats a tenir representacions paritàries en els seus consells d’administració. En alguns casos es requereix que l’entitat tingui un mínim de treballadors (125, en el cas de les fundacions i entitats del tercer sector, per exemple) i un mínim de volum de negoci o nivell pressupostari (20 milions de pressupost en el cas de fundacions i entitats del tercer sector, seguint l’exemple anterior).

Les obligacions previstes en la Llei de Paritat deixen un marge temporal important per al seu compliment, amb terminis previstos de compliment del 33% del gènere menys representat per al 2026 o del 40% del gènere menys representat per a 2029, per exemple. Això no vol dir evidentment que les entitats obligades no hagin de posar-se ja a adoptar les accions adequades per a complir els percentatges de representació obligats. D’altra banda, és important tenir en compte que, en molts casos, està previst que l’entitat pugui justificar documentalment el seu incompliment dels mínims de representació aplicables per motius diversos. En qualsevol cas, la manca de compliment de les representacions o la manca de justificació de l’incompliment pot donar lloc a sancions.

Per tot plegat, és important que les diferents organitzacions valorin si la Llei de Paritat les afecta i, si és el cas, en quina mesura.

L’1 d’agost de 2024 va marcar un punt d’inflexió en la regulació tecnològica europea amb l’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial, conegut com a AI Act. Aquest marc normatiu, pioner a escala mundial, té com a objectiu fomentar el desenvolupament i la implementació responsables de la intel·ligència artificial (IA) a la Unió Europea (UE), abordant els possibles riscos per a la salut, la seguretat i els drets fonamentals dels ciutadans.

L’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial representa un pas decisiu cap a una regulació integral de la IA a la UE. Aquest marc normatiu estableix les bases per a un desenvolupament i ús de la IA que siguin segurs, ètics i respectuosos amb els drets fonamentals, posicionant Europa com a líder en la governança responsable de les tecnologies emergents.

L’AI Act estableix una classificació dels sistemes d’IA basada en el nivell de risc que poden representar:

1. Risc Inacceptable: Sistemes d’IA prohibits per considerar-se una amenaça per als drets fonamentals, com la manipulació subliminal que pugui provocar danys o la puntuació social per part dels governs.
2. Risc Alt: Sistemes que afecten sectors crítics com l’educació, l’ocupació, les infraestructures essencials i l’administració de justícia. Aquests sistemes estan subjectes a estrictes obligacions de transparència, supervisió humana i avaluació de conformitat abans de la seva comercialització.
3. Risc Limitat: Sistemes que requereixen obligacions específiques de transparència, com informar els usuaris que estan interactuant amb una IA, garantint així una presa de decisions informada.
4. Risc Mínim o Nul: Sistemes que representen un risc mínim per als drets o la seguretat dels usuaris i que, per tant, no estan subjectes a obligacions addicionals.

El reglament imposa diverses obligacions tant als proveïdors com als usuaris de sistemes d’IA:

• Proveïdors: Han de garantir que els sistemes d’IA de risc alt compleixin els requisits de gestió de riscos, governança de dades, documentació tècnica, transparència, supervisió humana i robustesa. A més, estan obligats a registrar aquests sistemes en una base de dades de la UE abans de la seva comercialització.
• Usuaris: Han d’utilitzar els sistemes d’IA segons les instruccions proporcionades, assegurar-se que estiguin sota supervisió humana i monitorar-ne el funcionament per informar de qualsevol incident greu o mal funcionament.

L’AI Act busca equilibrar la promoció de la innovació amb la protecció dels drets fonamentals. Al imposar obligacions proporcionals al nivell de risc, es pretén mitigar possibles danys sense, en teoria, obstaculitzar el desenvolupament tecnològic. No obstant això, sorgeixen desafiaments en la interpretació i aplicació d’aquestes normes, especialment pel que fa a la definició de les categories de risc i la implementació de mesures de supervisió i transparència.

En l’últim butlletí del BOICAC Nº 140, s’aborda una consulta interessant per a les empreses que participen en una Unió Temporal d’Empreses (UTE): el càlcul del nombre mitjà de treballadors. Aquest càlcul és essencial per determinar la dimensió de l’empresa i complir amb certes obligacions legals, que inclouen el nombre mitjà de treballadors com un dels criteris per determinar el model per a la confecció de comptes anuals i l’obligatorietat de sotmetre els estats financers a auditoria de comptes.

Una UTE és un sistema de col·laboració entre empresaris per desenvolupar o executar una obra, servei o subministrament. És important destacar que no constitueix una persona jurídica independent dels seus partícips, la qual cosa implica que les operacions de la UTE s’han d’integrar en la comptabilitat dels partícips.

Nombre mitjà de treballadors:

S’han de considerar totes les persones amb relació laboral amb l’empresa durant l’exercici, segons el temps de servei. Això inclou els treballadors de la UTE, inclòs el personal directiu, en la proporció que correspongui, a la participació de l’empresa a la UTE.

Aplicació del Criteri de Proporcionalitat:

Per calcular el nombre mitjà de treballadors, s’ha d’aplicar un criteri de proporcionalitat. Això significa que l’empresa ha de computar com a treballadors propis els treballadors de la UTE en la proporció que li correspongui, tenint en compte les activitats realitzades. Salvat millor evidència, l’empresa partícip tindrà en compte el percentatge de participació en els actius nets de la UTE.

En qualsevol cas, en la memòria dels comptes anuals s’haurà de subministrar tota la informació significativa sobre els criteris i imputacions realitzats. Aquest enfocament assegura que els comptes anuals reflecteixin fidelment la situació financera i els resultats de l’empresa, complint amb les normatives comptables i legals aplicables.

En resum, el càlcul del nombre mitjà de treballadors en una UTE és un procés que requereix atenció al detall i un enfocament proporcional per garantir el compliment de les obligacions legals i comptables. Aquest tema, encara que tècnic, és fonamental per a la correcta gestió i presentació dels comptes anuals de les empreses involucrades en una UTE.

Amb la derogació del Reial Decret Llei 9/2024 de 23 de desembre va decaure la pròrroga establerta fins al tancament de l’exercici 2026 referent a l’exclusió de les pèrdues dels exercicis 2020 i 2021 a efectes de determinar la concurrència de la causa de dissolució d’una societat per l’obtenció de pèrdues que redueixin el seu patrimoni net per sota del 50% del capital social.

En data 28 de gener, el Govern ha aprovat un nou Reial Decret Llei (Reial Decret Llei 1/2025) en el que estableix que, per a la determinació de la causa de dissolució d’una societat mercantil no es consideraran les pèrdues derivades de la DANA, sense incloure la pròrroga en  referència a l’exclusió de les pèrdues dels exercicis 2021 i 2021.

Això suposa que, llevat que no s’aprovi una norma específica al respecte, per tal de determinar si una societat es troba en causa de dissolució al tancament de l’exercici 2024 haurà d’incloure-hi les pèrdues corresponents als exercicis 2020 i 2021.