#dadespersonals

Una recent decisió de l’autoritat austríaca de protecció de dades (DSB) ha tornat a posar Microsoft al centre del debat sobre la privacitat digital, especialment quan es tracta de menors. Arran d’una denúncia presentada per l’organització Noyb, la DSB ha conclòs que Microsoft va instal·lar cookies de rastreig en el dispositiu d’un alumne que utilitzava Microsoft 365 Education sense haver obtingut el seu consentiment. Segons la pròpia política de privacitat de l’empresa, aquestes cookies serveixen per analitzar el comportament de l’usuari, recopilar dades del navegador i utilitzar-les amb finalitats publicitàries. L’autoritat ha donat a Microsoft un termini de quatre setmanes per posar fi a aquest rastreig i adaptar-se a la normativa europea.

Aquest cas no és un fet aïllat. El juny de 2024, Noyb ja havia presentat dues reclamacions davant l’autoritat austríaca relacionades amb l’ús de Microsoft 365 Education a les escoles. La primera es va resoldre a l’octubre de 2025, quan l’autoritat va considerar que Microsoft havia vulnerat el dret d’accés reconegut a l’article 15 del Reglament general de protecció de dades (RGPD). En aquell moment, l’organització denunciava que Microsoft vulnerava la privacitat dels infants mentre traslladava la responsabilitat legal a les escoles i a les autoritats educatives locals.

Un dels problemes de fons que destaca Noyb és el desequilibri de poder entre les grans empreses tecnològiques i les escoles o administracions públiques. Proveïdors com Microsoft tenen una posició de mercat tan dominant que poden imposar contractes i condicions d’ús sota una lògica de “o ho acceptes o te’n quedes fora”. En aquest context, les escoles no tenen cap capacitat real de negociar com es tracten les dades dels alumnes, ni d’influir en les decisions tècniques que pren la companyia. Tot i això, Microsoft acostuma a presentar-se com un simple “encarregat del tractament”, mentre que trasllada la major part de la responsabilitat legal a les escoles, que formalment actuen com a “responsables del tractament”.

A la pràctica, aquest repartiment de rols no reflecteix la realitat. Les escoles no decideixen ni els mitjans ni les finalitats reals del tractament de dades, tal com exigeix el RGPD per ser considerades responsables efectives. Malgrat això, són elles les que acaben assumint els riscos legals.

Les conseqüències d’aquest sistema són especialment greus per a les persones afectades, en aquest cas els estudiants. Quan intenten exercir els seus drets de protecció de dades, com ara el dret d’accés, sovint es troben que Microsoft no respon a les sol·licituds, mentre que les escoles no poden donar-hi resposta perquè no disposen de tota la informació ni del control efectiu sobre les dades. Això crea una situació de “compliment formal”, però buida de contingut real, que acaba negant drets bàsics reconeguts pel RGPD.

A tot això s’hi afegeix una notable manca de transparència. Determinar quines polítiques de privacitat, contractes o documents s’apliquen realment a l’ús de Microsoft 365 Education és una tasca complexa fins i tot per a professionals del dret. La informació es troba dispersa en múltiples documents, sovint amb continguts vagues o contradictoris, i sense explicar clarament què passa amb les dades dels menors. Tal com assenyala Maartje de Graaf, advocada especialitzada en protecció de dades a Noyb, la informació facilitada per Microsoft és tan imprecisa que “ni tan sols un advocat qualificat pot entendre completament com es tracten les dades personals a Microsoft 365 Education”.

La segona denúncia resolta recentment fa encara més evident la gravetat de la situació. L’autoritat austríaca ha confirmat que Microsoft va instal·lar cookies de seguiment en el dispositiu d’un menor sense el seu consentiment, i que aquestes cookies s’utilitzen amb finalitats publicitàries. Tant l’escola com el Ministeri d’Educació austríac van afirmar que desconeixien completament l’existència d’aquest rastreig. Això planteja un escenari preocupant: milions de menors a Europa podrien estar sent rastrejats sense base legal ni coneixement de les institucions educatives que utilitzen aquests serveis.

Les possibles conseqüències d’aquesta decisió van molt més enllà del cas concret. Milions d’estudiants i docents a tota Europa utilitzen Microsoft 365 Education, i milions més fan servir Microsoft 365 en empreses i administracions públiques. El rastreig d’usuaris sense consentiment vulnera clarament la normativa europea de protecció de dades i posa en risc la conformitat legal de totes les organitzacions que utilitzen aquestes eines. De fet, algunes autoritats de protecció de dades, com les alemanyes, ja havien expressat dubtes seriosos sobre la compatibilitat de Microsoft 365 amb el RGPD.

En resum, aquest cas exemplifica un problema estructural: les grans empreses tecnològiques concentren el poder de decisió i els beneficis, però intenten traslladar les obligacions legals als seus clients europeus. Tal com resumeix Max Schrems, fundador de Noyb, si Microsoft no canvia de manera profunda el funcionament i la governança dels seus productes, moltes organitzacions europees simplement no podran complir amb les seves obligacions legals en matèria de protecció de dades. La decisió austríaca és, doncs, un toc d’alerta que va molt més enllà d’un sol cas o d’un sol país.

Tot i que caldrà esperar a la seva aprovació, a continuació us resumim el més destacat del projecte de Reial Decret en matèria de registre de jornada del Ministeri de Treball i Economia social.

En primer terme s’estableix l’obligatorietat d’un registre diari per mitjans digitals, el qual compleixi tres requisits fonamentals: objectivitat, fiabilitat (impossibilitat de modificació i rastre de canvis autoritzats) i accessibilitat.

Tanmateix, es fixa el contingut mínim que es pretén que aquest contingui, consistent en:

• Identificació de la persona treballadora
• Règim de jornada (completa o parcial)
• Horaris concrets d’inici i finalització de la jornada
• Horaris d’inici i fi de pauses no computables com treball efectiu
• Indicació de si la jornada es realitza presencialment o a distància
• Identificació de les hores ordinàries, extraordinàries o complementàries, i la seva compensació o retribució
• Registre de temps d’espera o disposició
• Registre d’interrupcions vinculades a la desconnexió digital
• Indicació de mesures de conciliació o flexibilitat utilitzades
• Totalització diària i mensual
• Identificació de modificacions i les seves autoritzacions

Aquest registre de jornada haurà de permetre l’accés a les persones treballadores (que a més en rebran un resum juntament amb la nòmina), la representació legal de les persones treballadores i la Inspecció del Treball (immediat i en qualsevol moment). Així mateix, el registre haurà d’estar en un format llegible, tractable i compatible amb sistemes d’ús generalitzat.

Destaquem també que es preveu l’obligatorietat per cada empresa d’elaborar un Protocol d’organització i documentació del registre de jornada, prèvia informació i consulta a la representació legal de les persones treballadores (RLT), que inclogui el procediment de pràctica i modificació d’assentaments, la informació registrada i criteris de minimització de dades personals, el sistema d’avaluació periòdica del funcionament del registre amb participació de l’empresa i la RLT.

Finalment, es preveuen particularitats pel que fa a les subcontractacions (l’empresa contractista ha de garantir que les persones treballadores puguin registrar la jornada al centre de treball on presten serveis), posada a disposició de les persones treballadores per ETT (el compliment de l’obligació correspon a l’empresa usuària), així com s’estén l’obligatorietat de registre de jornada a les relacions laborals de caràcter especial i a les jornades especials de treball.

Tot i així, com s’indicava, cal esperar al text definitiu de la norma i veure com i quan s’acaba aprovant. En aquest sentit, hi ha discrepàncies internes dins del govern sobre els terminis i la remissió de la mesura. A més, els sindicats reclamen negociar el text final, mentre la CEOE ja es prepara per recórrer el decret davant del Tribunal Constitucional.

Article publicat al Butlletí informatiu del Bufet Vallbé (octubre 2025)

El passat 2 de juliol, el Comitè Europeu de Protecció de Dades (CEPD) va adoptar la Declaració de Helsiniki¹ que marca un punt d’inflexió en el camí cap a una aplicació més harmònica i eficaç del Reglament General de Protecció de Dades (RGPD) a la Unió Europea.  

Un dels principals reptes que aborda el CEPD és la fragmentació interpretativa del RGPD. Si bé és cert que el reglament té per objecte establir un marc comú a tota la UE, la realitat mostra que la seva aplicació varia entre les diferents autoritats de protecció de dades, podent arribar a generar inseguretat jurídica i dificultats pràctiques per responsables i encarregats del tractament, en especial per aquells que operen en diversos Estats membres. (more…)

El 21 de maig de 2025, la Comissió Europea va presentar el quart paquet de simplificació legislativa, conegut com a “Omnibus IV”, amb l’objectiu de reduir les càrregues administratives per a les empreses mitjanes de la Unió Europea. Aquestes mesures busquen fomentar la competitivitat, la innovació i la creació d’ocupació, especialment en un context de rivalitat econòmica amb els Estats Units i la Xina.

Què són les “small mid-caps”?

Les “small mid-caps” són empreses que tenen entre 250 i 750 empleats i un volum de negoci de fins a 150 milions d’euros o actius totals de fins a 129 milions d’euros. A la UE, hi ha aproximadament 38.000 empreses que compleixen aquests criteris. Aquestes empreses sovint es troben en una posició intermèdia: massa grans per beneficiar-se de les exempcions destinades a les pimes, però sense la capacitat administrativa de les grans corporacions.

Mesures clau del paquet Omnibus IV

1. Extensió de beneficis reguladors

Les “small mid-caps” podran accedir a avantatges que fins ara estaven reservats a les pimes, com ara:

• Simplificació en les obligacions de protecció de dades, permetent l’emmagatzematge únicament de dades personals de risc elevat.
• Reducció dels requisits de reportatge en àmbits com els mercats financers i la sostenibilitat.
• Possibilitat d’utilitzar prospectes simplificats per a emissions públiques de valors, amb un estalvi estimat de 20.000 euros per operació.

2. Digitalització i eliminació de tràmits redundants

S’impulsarà la digitalització de processos, com ara:

• Eliminació de la necessitat de proporcionar documents físics, com declaracions de conformitat o instruccions d’ús.
• Ús de codis QR per a la informació de productes, facilitant l’accés a dades per part dels consumidors i autoritats.

3. Harmonització normativa

Es durà a terme una anàlisi per identificar i corregir les incoherències en la transposició de normes europees entre els Estats membres, amb l’objectiu de facilitar la lliure circulació de béns i serveis dins del mercat únic.

Impacte econòmic esperat

La Comissió estima que aquestes mesures podrien suposar un estalvi anual de 400 milions d’euros per a les empreses mitjanes. A més, s’espera que la reducció de càrregues administratives impulsi la competitivitat, la innovació i la creació d’ocupació en sectors clau com la construcció, l’energia, les telecomunicacions i els serveis financers.

Properes passes

El paquet Omnibus IV haurà de ser aprovat pel Parlament Europeu i el Consell de la UE. Es preveu que el procés legislatiu s’estengui durant els pròxims mesos, amb l’objectiu que les mesures entrin en vigor abans de finals de 2025.

Aquestes iniciatives formen part d’un esforç més ampli de la Comissió per reduir les càrregues administratives en un 25% per a totes les empreses i en un 35% per a les pimes abans de 2029.

Amb aquest paquet, la UE busca reforçar el seu teixit empresarial mitjà, reconeixent el seu paper fonamental en l’economia europea i la necessitat de proporcionar-los un entorn regulador més favorable per al seu creixement i expansió.

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.