protecciódades

Anàlisi de l’Avantprojecte de Llei sobre la Governança de la IA i el seu Impacte en el Marc Jurídic Nacional

L’avenç vertiginós de la intel·ligència artificial (IA) ha plantejat desafiaments significatius en termes d’ètica, transparència i protecció dels drets fonamentals. En resposta a aquests reptes, el Govern d’Espanya ha aprovat recentment l’avantprojecte de llei sobre la governança de la IA, amb l’objectiu de garantir un ús ètic, inclusiu i beneficiós d’aquesta tecnologia. Aquest article analitza les principals disposicions d’aquesta normativa i la seva alineació amb el Reglament Europeu d’IA.

L’avantprojecte busca harmonitzar la legislació espanyola amb el Reglament Europeu d’IA, ja en vigor, que estableix un marc comú per al desenvolupament, comercialització i ús de sistemes d’IA a la Unió Europea. Aquest reglament classifica les aplicacions d’IA en funció del seu nivell de risc i estableix obligacions específiques per a cada categoria, amb la finalitat de mitigar possibles riscos per als drets i llibertats de les persones.

Una de les mesures més destacades de l’avantprojecte és l’obligació d’identificar clarament els continguts generats o manipulats mitjançant IA, com ara imatges, àudios o vídeos. Aquesta disposició busca prevenir la difusió de desinformació i protegir la ciutadania de possibles enganys, especialment en relació amb els anomenats deepfakes. L’incompliment d’aquesta obligació es considerarà una infracció greu, sancionable amb multes de fins a 35 milions d’euros o el 7% de la facturació anual de l’empresa infractora.

L’avantprojecte també prohibeix l’ús de tècniques subliminals que puguin manipular el comportament de les persones, així com l’explotació de vulnerabilitats específiques a causa de l’edat, discapacitat o situació socioeconòmica. A més, es prohibeix la classificació de persones basada en dades biomètriques per avaluar el seu comportament o personalitat, garantint així la protecció dels drets fonamentals i la dignitat humana.

L’Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA), creada l’any 2023, serà l’encarregada de supervisar la implementació i compliment d’aquesta normativa. L’AESIA tindrà facultats inspectores i sancionadores per garantir que els sistemes d’IA operin de manera transparent i respectuosa amb els drets fonamentals.

Conclusió

L’aprovació d’aquest avantprojecte representa un pas significatiu cap a la regulació efectiva de la intel·ligència artificial a Espanya. En harmonitzar-se amb el marc europeu i establir mesures específiques per garantir la transparència i ètica en l’ús de la IA, es busca fomentar la confiança de la ciutadania en aquestes tecnologies i assegurar que el seu desenvolupament contribueixi al benestar social i al respecte dels drets fonamentals.

La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.

Cada cop més es sol·licita el DNI per a realitzar gestions que podem trobar en l’àmbit del nostre dia a dia, des d’una acció tan senzilla com rebre un paquet fins a l’exercici dels nostres drets de protecció de dades davant d’una entitat.

El DNI conté més informació de la que ens pensem, no és solament el codi identificador, la nostra fotografia o el nom complet, també conté la nostra firma, domicili, equip expedidor, el nom dels progenitors, etc. (AEPD PS/00413/2021). La problemàtica sorgida respecte a  aquesta informació rellevant del nostre DNI ha estat objecte d’anàlisis per part de l’Agència Espanyola de Protecció de Dades (AEPD) en multitud de processos: casos de missatgeria (0048/2023; PS/00413/2021),  de selecció de personal (PS/00003/2021), de reserva d’allotjaments… (PS/00499/2022).

Segons les resolucions de l’AEPD, l’ús indegut del DNI pot suposar la vulneració de principis rectors de la protecció de dades com són els de minimització de les dades, el de proporcionalitat del tractament, el de limitació de la finalitat, i el de la conservació de les dades.

Donat això, en el cas de voler exercir un dret de protecció de dades davant d’una entitat, és necessari plantejar-nos si aquest tractament de dades del nostre document d’identitat, pot considerar-se excessiu. Per això, fonamentat en l’article 5.1.c RGPD, referent al principi de minimització de dades, s’ha de determinar que la sol·licitud del DNI ha de ser estrictament necessària pel tractament que es vol realitzar, i en conseqüència, el responsable de tractament, ha d’assegurar-se de no recollir més dades personals de les necessàries per a realitzar la identificació de la persona sol·licitant. Cal tenir en compte que la base legitimadora d’aquest fet és l’article 12.6 RGPD: “quan el responsable del tractament tingui dubtes raonables en relació amb la identitat de la persona física que cursa la sol·licitud a què es refereixen els articles 15 a 21, podrà sol·licitar que es faciliti la informació addicional necessària per a confirmar la identitat de l’interessat.”

Els últims procediments sancionadors resolts per aquests fets són un indicatiu de la preocupació que  l’AEPD té sobre l’ús del DNI per a la identificació, així trobem imposicions de multes que van des de 3.000 euros (PS/00570/2023) fins a 250.000 euros (PS/00003/2021), basades en l’aplicació de l’article 5.1 del RGPD.

Tal com indica l’AEPD “l’ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d’una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.

Algunes mesures alternatives o solucions per a la realització de la identificació del sol·licitant poden ser mitjançant una identificació electrònica o realitzar l’enviament d’una sol·licitud a través d’un compte d’usuari juntament amb un factor d’autenticació addicional remès per un altre canal diferent. A través d’aquestes tècniques, s’evita l’ús de dades personals i es realitza la identificació mitjançant codis o contrasenyes que permetin assegurar que la persona que realitza l’exercici de drets és la correcta.

En definitiva, sol·licitar el DNI és una opció viable i legítima, però s’ha de limitar el seu tractament a l’estrictament necessari, i en paraules de l’AEPD “Només s’haurà de recollir la informació del DNI que sigui pertinent per a confirmar la identitat del subjecte, i si existeixen altres mesures menys greus que compleixen la finalitat de la identificació, el més recomanable és abstenir-se d’utilitzar-lo.” (AEPD 0048/2023)

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la memòria de l’any 2023. En el document es detallen les diferents campanyes de conscienciació, difusió, col·laboració i inspecció que s’han realitzat per part de l’AEPD, també hi ha un extracte dels informes, dictàmens, recomanacions, decisions vinculants , declaracions i procediments més rellevants de l’any 2023. Així mateix, s’ha publicat la Memòria de Responsabilitat Social 2023.

Segons les xifres de l’AEPD, aquest any 2023 s’han enregistrat  un 43% més de reclamacions que l’any anterior. Hi ha hagut un increment d’un 114% respecte a l’any 2022 de les reclamacions relacionades a la recepció de publicitat no desitjada. D’aquestes, la majoria fa referència a les trucades telefòniques comercials no desitjades. També es donen casos de recepció de publicitat a través d’SMS, l’obtenció de dades personals sense consentiment o la contractació fraudulenta.

Pel que fa als procediments sancionadors, l’àrea de videovigilància ha estat el grup d’activitat amb un major nombre de procediments resolts durant aquest any 2023. Entre d’altres, hi ha hagut el cas del procediment d’instal·lació d’una videocàmera dins de l’habitatge llogat a diferents inquilins o la col·locació d’una càmera de videovigilància en el hall d’un pis de lloguer per habitacions individuals d’estudiants.

[1]A continuació, en la imatge es pot observar quin ha estat el TOP 10 de procediments sancionadors més habituals segons els grups d’activitats: 

[1] Taula 13: Procediments sancionadors més freqüents de la Memòria 2013 AEPD memoria-aepd-2023.pdf

Dels procediments sancionadors no tots han acabat en sanció. Un 11% s’han resolt amb l’arxiu d’actuacions per part de l’AEPD.

La sanció més quantiosa de l’any 2023 correspon a un procediment del sector de les entitats financeres, en el que s’imposa a Caixabank, S.A. una sanció de 5 milions d’euros, per la infracció dels articles 5.1f), 25 i 32 del RGPD.

Per a més informació o consultar la Memòria de 2023 de l’AEPD completa, aquí.

El 16 de febrer de 2023 el Congrés dels Diputats, va aprovar la denominada “Llei reguladora de la protecció de les persones que informen sobre infraccions normatives i la lluita contra la corrupció” publicada en el BOE de 21 de febrer. Amb l’aprovació de la Llei s’incorpora al Dret espanyol la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell, de 23 d’octubre de 2019. La normativa entrarà en vigor 20 dies després de la seva publicació al BOE. En la normativa s’incorporen els dos objectius clars de la Directiva europea: protegir als informants i establir les normes mínimes dels canals d’informació. A continuació identifiquem els principals aspectes de la normativa: (more…)

El Govern andorrà ha aprovat els dos reglaments que la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD) encomanava en la seva disposició addicional. D’aquesta manera, s’ha aprovat, d’una banda, el Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals i, per l’altra banda, el Reglament de l’Agència Andorrana de Protecció de Dades. (more…)

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria. (more…)

La Sala contenciosa-administrativa del Tribunal Suprem, en la Sentència 188/2022, de 15 de febrer, va ratificar la sanció de 40.001 € a un encarregat de tractament per la falta d’adopció de les mesures tècniques necessàries per garantir la seguretat de les dades. (more…)

L’any 2021, que hem deixat enrere, passarà a la història com l’any que ens vam vacunar (alguns) de la COVID-19, però també per altres canvis importants que afecten el nostre dia a dia. En l’àmbit del compliment normatiu, també és l’any que l’Agència Espanyola de Protecció de Dades (AEPD) ha desplegat de forma ostentosa tota la seva capacitat sancionadora, imposant multes per vulneracions del Reglament General de Protecció de Dades (RGPD). Si l’any 2020 l’AEPD va imposar multes per valor de 3 milions d’euros, l’any 2021 ho ha fet per l’astronòmica xifra de 32 milions, cosa que converteix l’Estat espanyol en el sisè país de la Unió Europea que més sanciona per aquest tipus d’infraccions. Del 2020 al 2021, la xifra total de multes, per tant, s’ha incrementat en un 1.000%. (more…)

A finals del passat mes de desembre es va publicar al Diari Oficial de la Generalitat de Catalunya el Decret Llei 28/2021 de modificació del Decret Llei 10/2020, de 27 de març, pel qual s’estableixen noves mesures extraordinàries per fer front a l’impacte sanitari, econòmic i social de la COVID-19, en l’àmbit de les persones jurídiques de dret privat subjectes a les disposicions del dret civil català.

La disposició final primera del referit Decret Llei 28/2021, determina que es prorroga fins al 31 de desembre de 2022 la possibilitat que les entitats de dret privat regulades pel Codi Civil de Catalunya prevegin a la convocatòria de la junta general l’assistència dels seus membres a través de mitjans telemàtics com poden ser la videotrucada o la conferència telefònica múltiple encara que aquesta circumstància no es trobi expressament prevista als estatuts socials.

(more…)