Innovació

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.

La consulta pública de la Comissió Europea revela mancances en flexibilitat, accés al mercat i resiliència de les Directives vigents, i apunta a la necessitat d’una reforma que simplifiqui els procediments, reforci els objectius estratègics i adapti el sistema als nous reptes econòmics i socials.

Durant el mes de maig de 2025, la Comissió Europea va publicar l’informe de resultats de la consulta pública sobre l’avaluació de les Directives de Contractació Pública de 2014. Amb la participació de 733 respostes provinents d’agents públics, privats i de la societat civil, l’informe ofereix una visió crítica i reflexiva sobre els èxits i les mancances del marc actual. Com a jurista especialitzat en contractació pública, aquestes conclusions conviden a reflexionar sobre el present i el futur de la regulació en aquest àmbit clau per al funcionament del mercat interior europeu.

Un dels aspectes més destacats és la percepció generalitzada que les Directives no han assolit els objectius de flexibilitat i simplificació normativa: el 54 % dels participants considera que no s’han establert normes més simples, i el 49 % creu que el sistema continua sent poc flexible. Tot i això, es valora positivament la digitalització, especialment per part del sector privat, on el 57 % de les empreses afirma que la contractació electrònica (eProcurement) ha reduït la càrrega administrativa i ha agilitzat els procediments.

Pel que fa a la integritat i la transparència, la valoració és més favorable: un 62 % reconeix que les Directives han incrementat la transparència gràcies a l’estandardització de la publicitat dels procediments. No obstant això, només un 38 % percep que s’hagi reduït la corrupció, la qual cosa suggereix que encara hi ha marge per reforçar els controls i la supervisió.

L’accés al mercat, especialment per a les pimes, continua essent un repte. El 46 % dels enquestats no observa un augment de la competència com a conseqüència del marc actual.

Cal destacar també el component estratègic de la contractació pública, un dels grans eixos de les Directives del 2014. Tot i que els poders adjudicadors afirmen haver incorporat criteris ambientals, socials i d’innovació, els operadors privats discrepen: més del 50 % considera que les Directives no han fomentat activament aquestes pràctiques. Paral·lelament, prop d’un terç dels enquestats qüestiona la rellevància actual d’aquestes normes, fet que reflecteix una desconnexió entre el marc jurídic i les capacitats reals dels operadors econòmics per adaptar-s’hi.

Els reptes relacionats amb la resiliència, com ara la resposta a crisis sanitàries o de seguretat, posen de manifest les limitacions estructurals del model actual: el 49 % considera que les Directives no estan preparades per contribuir eficaçment a l’autonomia estratègica de la UE, i el 44 % dubta de la seva adequació per afrontar disrupcions en les cadenes de subministrament.

Aquestes conclusions reflecteixen una tensió entre els principis rectors de la contractació pública i la creixent pressió perquè aquesta compleixi objectius estratègics, socials i ambientals, fet que planteja la necessitat d’una revisió normativa que abordi una simplificació real i efectiva del règim jurídic (especialment en els procediments de menor valor i en l’aplicació de criteris qualitatius), l’enfortiment de les capacitats tècniques i digitals tant en les administracions com en els operadors econòmics i l’adequació del marc normatiu als contextos d’emergència, que permetin garantir l’interès general sense sacrificar la legalitat.

En definitiva, l’informe posa de manifest allò que el conjunt d’operadors econòmics detectem amb l’aplicació pràctica: que el model europeu de contractació pública necessita evolucionar cap a una major coherència entre mitjans i finalitats, evitant tant el formalisme excessiu com el voluntarisme retòric, i apostant per una contractació pública professional, estratègica i transversal.

El 21 de maig de 2025, la Comissió Europea va presentar el quart paquet de simplificació legislativa, conegut com a “Omnibus IV”, amb l’objectiu de reduir les càrregues administratives per a les empreses mitjanes de la Unió Europea. Aquestes mesures busquen fomentar la competitivitat, la innovació i la creació d’ocupació, especialment en un context de rivalitat econòmica amb els Estats Units i la Xina.

Què són les “small mid-caps”?

Les “small mid-caps” són empreses que tenen entre 250 i 750 empleats i un volum de negoci de fins a 150 milions d’euros o actius totals de fins a 129 milions d’euros. A la UE, hi ha aproximadament 38.000 empreses que compleixen aquests criteris. Aquestes empreses sovint es troben en una posició intermèdia: massa grans per beneficiar-se de les exempcions destinades a les pimes, però sense la capacitat administrativa de les grans corporacions.

Mesures clau del paquet Omnibus IV

1. Extensió de beneficis reguladors

Les “small mid-caps” podran accedir a avantatges que fins ara estaven reservats a les pimes, com ara:

• Simplificació en les obligacions de protecció de dades, permetent l’emmagatzematge únicament de dades personals de risc elevat.
• Reducció dels requisits de reportatge en àmbits com els mercats financers i la sostenibilitat.
• Possibilitat d’utilitzar prospectes simplificats per a emissions públiques de valors, amb un estalvi estimat de 20.000 euros per operació.

2. Digitalització i eliminació de tràmits redundants

S’impulsarà la digitalització de processos, com ara:

• Eliminació de la necessitat de proporcionar documents físics, com declaracions de conformitat o instruccions d’ús.
• Ús de codis QR per a la informació de productes, facilitant l’accés a dades per part dels consumidors i autoritats.

3. Harmonització normativa

Es durà a terme una anàlisi per identificar i corregir les incoherències en la transposició de normes europees entre els Estats membres, amb l’objectiu de facilitar la lliure circulació de béns i serveis dins del mercat únic.

Impacte econòmic esperat

La Comissió estima que aquestes mesures podrien suposar un estalvi anual de 400 milions d’euros per a les empreses mitjanes. A més, s’espera que la reducció de càrregues administratives impulsi la competitivitat, la innovació i la creació d’ocupació en sectors clau com la construcció, l’energia, les telecomunicacions i els serveis financers.

Properes passes

El paquet Omnibus IV haurà de ser aprovat pel Parlament Europeu i el Consell de la UE. Es preveu que el procés legislatiu s’estengui durant els pròxims mesos, amb l’objectiu que les mesures entrin en vigor abans de finals de 2025.

Aquestes iniciatives formen part d’un esforç més ampli de la Comissió per reduir les càrregues administratives en un 25% per a totes les empreses i en un 35% per a les pimes abans de 2029.

Amb aquest paquet, la UE busca reforçar el seu teixit empresarial mitjà, reconeixent el seu paper fonamental en l’economia europea i la necessitat de proporcionar-los un entorn regulador més favorable per al seu creixement i expansió.

El Decret 40/2025 regula el RELIC i el RPC amb novetats per garantir més transparència i eficiència en la contractació pública.

El Diari Oficial de la Generalitat de Catalunya (DOGC) ha publicat el Decret 40/2025, de l’11 de març, que regula el Registre d’empreses licitadores i classificades de Catalunya (RELIC) i el Registre públic de contractes de Catalunya (RPC). Aquesta normativa introdueix diverses millores per optimitzar la qualitat de la informació, afavorir la transparència i avançar en la contractació pública electrònica.

Entre les principals novetats, destaca la inscripció d’ofici al RELIC de la documentació presentada en les sol·licituds de classificació empresarial, així com l’obligació dels òrgans de contractació d’informar sobre canvis en els requisits per contractar o sobre la detecció d’informació falsa. A més, s’estableixen sancions per manca d’actualització de les dades, amb suspensions de cinc anys i cancel·lacions de deu anys.

Pel que fa al RPC, tots els òrgans de contractació de Catalunya hauran de comunicar-hi les dades bàsiques dels contractes sense necessitat de conveni previ. En el cas de l’Administració de la Generalitat i el seu sector públic, també serà obligatori informar sobre el compliment i l’avaluació dels contractes. A més, s’agilitza la comunicació amb la Sindicatura de Comptes i el Registre de contractes estatal a través de la Secretaria Tècnica de la Junta Consultiva de Contractació Pública de Catalunya.

El decret també garanteix l’accés públic a determinada informació durant els últims cinc anys sense necessitat d’identificació prèvia i preveu la interoperabilitat entre el Sistema corporatiu de contractació pública electrònica de Catalunya i el Directori d’empreses de la Llei 18/2020.

Aquesta nova regulació entrarà en vigor el 2 d’abril de 2025 i es completarà amb la posada en marxa d’una nova eina informàtica per a la gestió del RELIC.

L’1 d’agost de 2024 va marcar un punt d’inflexió en la regulació tecnològica europea amb l’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial, conegut com a AI Act. Aquest marc normatiu, pioner a escala mundial, té com a objectiu fomentar el desenvolupament i la implementació responsables de la intel·ligència artificial (IA) a la Unió Europea (UE), abordant els possibles riscos per a la salut, la seguretat i els drets fonamentals dels ciutadans.

L’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial representa un pas decisiu cap a una regulació integral de la IA a la UE. Aquest marc normatiu estableix les bases per a un desenvolupament i ús de la IA que siguin segurs, ètics i respectuosos amb els drets fonamentals, posicionant Europa com a líder en la governança responsable de les tecnologies emergents.

L’AI Act estableix una classificació dels sistemes d’IA basada en el nivell de risc que poden representar:

1. Risc Inacceptable: Sistemes d’IA prohibits per considerar-se una amenaça per als drets fonamentals, com la manipulació subliminal que pugui provocar danys o la puntuació social per part dels governs.
2. Risc Alt: Sistemes que afecten sectors crítics com l’educació, l’ocupació, les infraestructures essencials i l’administració de justícia. Aquests sistemes estan subjectes a estrictes obligacions de transparència, supervisió humana i avaluació de conformitat abans de la seva comercialització.
3. Risc Limitat: Sistemes que requereixen obligacions específiques de transparència, com informar els usuaris que estan interactuant amb una IA, garantint així una presa de decisions informada.
4. Risc Mínim o Nul: Sistemes que representen un risc mínim per als drets o la seguretat dels usuaris i que, per tant, no estan subjectes a obligacions addicionals.

El reglament imposa diverses obligacions tant als proveïdors com als usuaris de sistemes d’IA:

• Proveïdors: Han de garantir que els sistemes d’IA de risc alt compleixin els requisits de gestió de riscos, governança de dades, documentació tècnica, transparència, supervisió humana i robustesa. A més, estan obligats a registrar aquests sistemes en una base de dades de la UE abans de la seva comercialització.
• Usuaris: Han d’utilitzar els sistemes d’IA segons les instruccions proporcionades, assegurar-se que estiguin sota supervisió humana i monitorar-ne el funcionament per informar de qualsevol incident greu o mal funcionament.

L’AI Act busca equilibrar la promoció de la innovació amb la protecció dels drets fonamentals. Al imposar obligacions proporcionals al nivell de risc, es pretén mitigar possibles danys sense, en teoria, obstaculitzar el desenvolupament tecnològic. No obstant això, sorgeixen desafiaments en la interpretació i aplicació d’aquestes normes, especialment pel que fa a la definició de les categories de risc i la implementació de mesures de supervisió i transparència.

La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.