Jurídic

El 12 de juliol es va publicar en el Diari Oficial de la Unió Europea el REGLAMENT (UE) 2024/1689 DEL PARLAMENT EUROPEU I DEL CONSELL de 13 de juny de 2024 pel que s’estableixen normes harmonitzades en matèria d’intel·ligència artificial i pel que es modifiquen els Reglaments (CE) núm. 300/2008, (UE) núm. 167/2013, (UE), núm. 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 i les Directives 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Reglament d’Intel·ligència Artificial o RIA).

El RIA forma part de l’estratègia digital de la UE, i té com a objectiu que la intel·ligència artificial (IA) pugui garantir millors condicions de desenvolupament i ús d’aquesta tecnologia innovadora. És innegable que la IA pot aportar molts beneficis, com ho són una millor assistència sanitària, un transport més segur i net, una fabricació més eficient i una energia més barata i sostenible. No obstant, els recents avenços en la matèria s’han traduït en una intel·ligència artificial generativa cada vegada més potent i els denominats «models d’intel·ligència artificial d’ús general», que s’estan integrant en nombrosos sistemes d’intel·ligència artificial, s’estan tornant massa importants per a l’economia i la societat com per a no ser objecte de regulació. A la llum dels possibles riscos sistèmics, la UE estableix normes i mecanismes de supervisió eficaços. (more…)

El 24 de maig va tenir  lloc a la Unió Catalana d’Hospitals la jornada de la 2a edició dels Premis Codi Tipus, que pretenen ser un modest reconeixement a les bones pràctiques i a les iniciatives que porten a terme les entitats del sector per promoure essencialment la cultura i el compliment de la protecció de dades. L’equip de Serveis Jurídics de Faura-Casas ha participat com a part del jurat que ha reconegut:

• el 1r premi, a la iniciativa presentada per en Jaime Sánchez de Hermanas Hospitalarias amb el títol “Protección de datos personales en la gestión de proveedores: innovando para el futuro”,
• el 2n premi, a la iniciativa presentada per Gemma Boix Arbós, Claudia Gómez Zaragoza, i Maurici Trilla Hernández de l’Associació Centre d’Higiene Mental Les Corts amb el títol “Càpsules informatives en protecció de dades i ciberseguretat”, i
• el 3r premi, a la iniciativa presentada per Paula Martín del Clínic Barcelona amb el títol “Projecte de Governança de Dades en àmbit recerca”.

Felicitem els premiats, als finalistes, i a tots els participants, per les iniciatives que reflecteixen l’esforç, el compromís i el lideratge de les persones delegades de protecció de dades!

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la memòria de l’any 2023. En el document es detallen les diferents campanyes de conscienciació, difusió, col·laboració i inspecció que s’han realitzat per part de l’AEPD, també hi ha un extracte dels informes, dictàmens, recomanacions, decisions vinculants , declaracions i procediments més rellevants de l’any 2023. Així mateix, s’ha publicat la Memòria de Responsabilitat Social 2023.

Segons les xifres de l’AEPD, aquest any 2023 s’han enregistrat  un 43% més de reclamacions que l’any anterior. Hi ha hagut un increment d’un 114% respecte a l’any 2022 de les reclamacions relacionades a la recepció de publicitat no desitjada. D’aquestes, la majoria fa referència a les trucades telefòniques comercials no desitjades. També es donen casos de recepció de publicitat a través d’SMS, l’obtenció de dades personals sense consentiment o la contractació fraudulenta.

Pel que fa als procediments sancionadors, l’àrea de videovigilància ha estat el grup d’activitat amb un major nombre de procediments resolts durant aquest any 2023. Entre d’altres, hi ha hagut el cas del procediment d’instal·lació d’una videocàmera dins de l’habitatge llogat a diferents inquilins o la col·locació d’una càmera de videovigilància en el hall d’un pis de lloguer per habitacions individuals d’estudiants.

[1]A continuació, en la imatge es pot observar quin ha estat el TOP 10 de procediments sancionadors més habituals segons els grups d’activitats: 

[1] Taula 13: Procediments sancionadors més freqüents de la Memòria 2013 AEPD memoria-aepd-2023.pdf

Dels procediments sancionadors no tots han acabat en sanció. Un 11% s’han resolt amb l’arxiu d’actuacions per part de l’AEPD.

La sanció més quantiosa de l’any 2023 correspon a un procediment del sector de les entitats financeres, en el que s’imposa a Caixabank, S.A. una sanció de 5 milions d’euros, per la infracció dels articles 5.1f), 25 i 32 del RGPD.

Per a més informació o consultar la Memòria de 2023 de l’AEPD completa, aquí.

Després de dures negociacions, el Parlament europeu ha aprovat finalment aquest passat dia 13 de març amb aclaparadora majoria un Reglament europeu sobre intel·ligència artificial (IA), el qual pretén ser un marc de regulació referent amb vocació internacional. Pendent encara de diversos tràmits, es preveu que entri en aplicació al cap de dos anys a partir de la seva pròxima publicació.

Entre altres qüestions, el Reglament prohibeix i regula un seguit de conductes que es podrien dur a terme mitjançant una IA, preveu un règim sancionador específic i conté també la previsió de la creació d’una agència de supervisió a cadascun dels Estats membres. En el cas de l’Estat espanyol, però, ja s’ha creat l’Agència Espanyola de Supervisió de la IA.

A partir de l’entrada en aplicació d’aquest Reglament, molts dispositius de vigilància biomètrica només es podran fer servir de forma temporal i en casos específics sota autorització judicial i supervisió de l’autoritat de protecció de dades.

Algunes de les conductes que el nou Reglament prohibeix de manera general i que podria dur a terme una IA són les següents:

• Categorització biomètrica de persones.
• Captura indiscriminada d’imatges facials d’internet.
• Gravació amb càmeres de videovigilància que permeti crear bases de dades de reconeixement facial.
• Reconeixement d’emocions al lloc de treball o a les escoles.
• Establir sistemes de puntuació ciutadana.
• Actuació policial prospectiva.
• IA que manipuli el comportament humà o exploti vulnerabilitats de persones.

Totes aquestes conductes que es plantegen prohibir no són evidentment supòsits de ciència-ficció en una societat futura i distòpica, sinó que són possibilitats reals que la tecnologia de la IA ja permet actualment. En qualsevol cas, tal com comentàvem anteriorment, encara haurem d’esperar com a mínim dos anys a què el Reglament entri en aplicació. Com sempre la tecnologia corre més que el legislador, i en dos anys encara poden passar moltes coses; en qualsevol cas, el Reglament sobre la IA és una bona notícia d’abast internacional.

En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

• Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
• Insuficiència de recursos del DPO.
• Manca d’expertesa i experiència del DPO.
• No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
• Situacions de conflicte d’interès o de manca d’independència del DPO.
• Absència de reporting del DPO al més alt nivell de l’entitat.
• Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

• L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
• L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
• L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Avui en dia, les cookies són una eina essencial de la societat de la informació, ja que permeten als prestadors de serveis obtenir dades dels usuaris i emprar-les amb diferents finalitats, com pot ser, per exemple, per prestar-li un servei en concret o facilitar-li publicitat ajustada als seus gustos i costums de navegació.

Donada l’afectació de les cookies en la privacitat de les persones, resulta ineludible la implementació d’un sistema d’informació que permeti als usuaris ser plenament coneixedors dels usos que es donarà a les seves dades i decidir sobre els mateixos, mitjançant l’atorgament del seu consentiment.

Per tal de garantir aquests paràmetres, el passat mes de febrer de 2023, el Comitè Europeu de Protecció de Dades (CEPD), va emetre les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials. I, per tal d’ajudar als prestadors de serveis a seguir les indicacions de les citades directrius, l’Agència Espanyola de Protecció de Dades va actualitzar la seva Guia sobre l’ús de les cookies. Aquests nous criteris han d’implementar-se abans de l’11 de gener de 2024.

La guia inclou un conjunt de recomanacions que resultaran d’aplicació en aquells casos en què la utilització de les cookies impliqui el tractament de dades personals. I, per tant, els responsables del tractament hauran d’assegurar-se de complir tant amb les exigències pròpies que regula la LSSI, així com també la normativa vigent en matèria de protecció de dades.

Un dels primers aspectes al que fa referència la guia, és a la necessitat d’identificar quines són les cookies emprades al lloc web i quina és la seva finalitat. Es tracta d’un pas essencial per tal de poder complir amb les principals obligacions de les cookies, que són l’obligació de transparència i l’obligació d’obtenció del consentiment.

També caldrà tenir present que aquestes obligacions no aplicaran a totes les cookies, sinó que algunes queden exceptuades. Per exemple, en el cas de les cookies de personalització, quan el propi usuari pren decisions sobre elles com pot ser l’opció de l’idioma, són cookies tècniques que no precisen consentiment, sense que puguin ser utilitzades per a altres finalitats.

Quan parlem de l’obligació de transparència, estem fent referència a la necessitat d’informar als usuaris de forma clara i complera sobre l’ús de les seves dades. És per això que caldrà informar sobre quina és la funció genèrica de les cookies, quin tipus de cookies es recullen i quina és la seva finalitat, qui les utilitza, com s’ha d’acceptar, denegar o revocar el consentiment per l’ús de les cookies, com es transferiran a tercers països, si implica l’elaboració de perfils, el període de conservació i la resta d’informació relativa al tractament de dades que ens determina l’article 13 del RGPD, com per exemple l’exercici de drets dels interessats.

No únicament és important la informació que s’ha de traslladar a l’usuari, sinó que cal prestar especial atenció també a com es facilita. És per això que cal assegurar-se que la informació sigui concisa, transparent i intel·ligible, mitjançant l’ús d’un llenguatge clar i senzill que pugi ser entès per l’usuari.

Altre aspecte a tenir en compte és la forma d’accés a la informació, ja que ha de ser clarament visible per l’usuari sense que impliqui un esforç per ell. Amb l’objectiu d’evitar la fatiga informativa, es pot oferir la informació mitjançant capes. De manera que, des de la primera capa informativa es pugui accedir a un enllaç o es pugui accedir a la informació completa de les cookies.

Tota aquesta informació ha de ser facilitada per tal que l’usuari atorgui el seu consentiment sent plenament coneixedor sobre com s’utilitzaran les seves dades personals.

Per l’obtenció del consentiment caldrà tindre present que es dugui a terme mitjançant fórmules que impliquin una inequívoca acció afirmativa per part de l’usuari. De manera que caldrà presentar-li les accions d’acceptar o rebutjar les cookies en lloc i format destacats, fàcilment visibles.

Un altre aspecte rellevant és que l’accés al servei web i a les seves funcionalitats, no podran condicionar-se a què l’usuari consenti l’ús de cookies. Podent-se presentar situacions en les quals la no acceptació de la utilització de cookies pot impedir l’accés al lloc web o a la utilització total o parcial del servei, sempre que s’informi a l’usuari i s’ofereixi per part de l’editor una alternativa d’accés al servei sense necessitat d’acceptar l’ús de cookies, la qual no ha de ser necessàriament gratuïta.

Es tracta d’un conjunt de directrius que permeten ajudar a traslladar la informació sobre l’ús de les cookies als usuaris, però fugin de l’estandardització de textos, ja que ha de ser plenament adequat a les característiques particulars de cada pàgina web. I, d’acord amb tot l’anterior, hauran de ser revistes els textos web.

Es pot consultar el text complet de l’informe del Guia sobre l’ús de les cookies de l’Agència Espanyola de Protecció de Dades al següent enllaç: https://www.aepd.es/guias/guia-cookies.pdf

I, les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials, del Comitè Europeu de Protecció de dades (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia sobre tractament de control de presència mitjançant sistemes biomètrics. Aquesta nova guia ve, d’una banda, motivada pel fet que els sistemes biomètrics i el tractament de dades obtingudes a partir d’aquests estan evolucionant molt ràpidament i, d’altra banda, a conseqüència de canvis que s’han produït en el context normatiu, social i tecnològic. A més, se subratlla que, a vegades, mitjançant l’anàlisi biomètrica, es poden inferir i recollir més categories especials de dades, en particular, dades relatives a la salut, o dades que revelen l’origen racial o ètnic, entre d’altres.

En un tractament de control de presència que usi sistemes biomètrics, ja sigui pel registre de jornada com pel control d’accés, podrien existir diferents alternatives en la implementació: que estigués basada en dues operacions d’identificació, en una d’autenticació i una altra d’identificació, o en una única operació d’autenticació. Sigui com sigui, però, en aquesta guia es reafirma que la dada biomètrica constitueix en tot cas una categoria especial de dada, segons interpretació de les Directrius 05/2022 del Comitè Europeu de Protecció de Dades (CEPD), de 26 d’abril de 2023, que modifica el criteri sostingut fins a la data per l’AEPD en diversos informes jurídics i en la guia La Protecció de Dades en les Relacions Laborals de 2021. (more…)

Les principals novetats de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de persones que informin sobre infraccions normatives i de lluita contra la corrupció ja foren resumides en un article de l’Alba Torres publicat en la newsletter del passat mes de febrer. Ara tornem a pronunciar-nos sobre aquesta llei per un doble motiu: el primer, atès que des d’aquest mes de desembre qualsevol entitat que tingui 50 treballadors o més, així com tot municipi amb menys de 10.000 habitants, ja té obligació de tenir implementat un sistema intern d’informació (SII). (more…)

L’Autoritat Catalana de Protecció de Dades (APDCAT) ja va constatar en la seva Memòria de 2022 que la gran majoria de delegats de protecció de dades (DPD) nomenats al sector públic són externs, cosa que implica que, en molts casos, s’han contractat a través de processos de contractació pública. Ara, a través de la Recomanació 2/2023, publicada recentment, l’APDCAT recorda que el DPD és una figura d’obligat nomenament a l’administració pública i que aquest nomenament ha de tenir en compte determinats aspectes qualitatius, com ara la necessitat que tingui coneixements jurídics, sobretot relatius a protecció de dades, o el fet que ha de poder dur a terme determinades funcions d’informació, assessorament, supervisió i cooperació.

Aquesta recomanació ve per la constatació que, en molts processos de licitació pública d’un contracte de serveis de DPD extern, només s’ha tingut en compte el factor preu o s’ha estimat un valor de preu molt baix, sense tenir en compte la dedicació real i els aspectes qualitatius que ha de tenir necessàriament la figura del DPD i la seva feina. (more…)

El passat 9 de maig de 2023 es va publicar en el BOE, la Llei 11/2023, de 8 de maig de transposició de Directives de la Unió Europea que regula, entre altres matèries, la digitalització d’actuacions notarials i registrals.

La llei 11/2023, de 8 de maig, de transposició de Directives de la Unió Europea en matèria d’accessibilitat de determinats productes i serveis, migració de persones altament qualificades, tributària i digitalització d’actuacions notarials i registrals i per la que es modifica la Llei 12/2011, de 27 de maig, sobre la responsabilitat civil per danys nuclears o produïts per materials radioactius, conté modificacions de diferents normatives de l’àmbit mercantil: la Llei del Notariat; el Codi de Comerç; la Llei de Societats de Capital;  Llei hipotecària i les Lleis de mesures fiscals, administratives i de l’ordre social. (more…)