protecciódedades

Una recent decisió de l’autoritat austríaca de protecció de dades (DSB) ha tornat a posar Microsoft al centre del debat sobre la privacitat digital, especialment quan es tracta de menors. Arran d’una denúncia presentada per l’organització Noyb, la DSB ha conclòs que Microsoft va instal·lar cookies de rastreig en el dispositiu d’un alumne que utilitzava Microsoft 365 Education sense haver obtingut el seu consentiment. Segons la pròpia política de privacitat de l’empresa, aquestes cookies serveixen per analitzar el comportament de l’usuari, recopilar dades del navegador i utilitzar-les amb finalitats publicitàries. L’autoritat ha donat a Microsoft un termini de quatre setmanes per posar fi a aquest rastreig i adaptar-se a la normativa europea.

Aquest cas no és un fet aïllat. El juny de 2024, Noyb ja havia presentat dues reclamacions davant l’autoritat austríaca relacionades amb l’ús de Microsoft 365 Education a les escoles. La primera es va resoldre a l’octubre de 2025, quan l’autoritat va considerar que Microsoft havia vulnerat el dret d’accés reconegut a l’article 15 del Reglament general de protecció de dades (RGPD). En aquell moment, l’organització denunciava que Microsoft vulnerava la privacitat dels infants mentre traslladava la responsabilitat legal a les escoles i a les autoritats educatives locals.

Un dels problemes de fons que destaca Noyb és el desequilibri de poder entre les grans empreses tecnològiques i les escoles o administracions públiques. Proveïdors com Microsoft tenen una posició de mercat tan dominant que poden imposar contractes i condicions d’ús sota una lògica de “o ho acceptes o te’n quedes fora”. En aquest context, les escoles no tenen cap capacitat real de negociar com es tracten les dades dels alumnes, ni d’influir en les decisions tècniques que pren la companyia. Tot i això, Microsoft acostuma a presentar-se com un simple “encarregat del tractament”, mentre que trasllada la major part de la responsabilitat legal a les escoles, que formalment actuen com a “responsables del tractament”.

A la pràctica, aquest repartiment de rols no reflecteix la realitat. Les escoles no decideixen ni els mitjans ni les finalitats reals del tractament de dades, tal com exigeix el RGPD per ser considerades responsables efectives. Malgrat això, són elles les que acaben assumint els riscos legals.

Les conseqüències d’aquest sistema són especialment greus per a les persones afectades, en aquest cas els estudiants. Quan intenten exercir els seus drets de protecció de dades, com ara el dret d’accés, sovint es troben que Microsoft no respon a les sol·licituds, mentre que les escoles no poden donar-hi resposta perquè no disposen de tota la informació ni del control efectiu sobre les dades. Això crea una situació de “compliment formal”, però buida de contingut real, que acaba negant drets bàsics reconeguts pel RGPD.

A tot això s’hi afegeix una notable manca de transparència. Determinar quines polítiques de privacitat, contractes o documents s’apliquen realment a l’ús de Microsoft 365 Education és una tasca complexa fins i tot per a professionals del dret. La informació es troba dispersa en múltiples documents, sovint amb continguts vagues o contradictoris, i sense explicar clarament què passa amb les dades dels menors. Tal com assenyala Maartje de Graaf, advocada especialitzada en protecció de dades a Noyb, la informació facilitada per Microsoft és tan imprecisa que “ni tan sols un advocat qualificat pot entendre completament com es tracten les dades personals a Microsoft 365 Education”.

La segona denúncia resolta recentment fa encara més evident la gravetat de la situació. L’autoritat austríaca ha confirmat que Microsoft va instal·lar cookies de seguiment en el dispositiu d’un menor sense el seu consentiment, i que aquestes cookies s’utilitzen amb finalitats publicitàries. Tant l’escola com el Ministeri d’Educació austríac van afirmar que desconeixien completament l’existència d’aquest rastreig. Això planteja un escenari preocupant: milions de menors a Europa podrien estar sent rastrejats sense base legal ni coneixement de les institucions educatives que utilitzen aquests serveis.

Les possibles conseqüències d’aquesta decisió van molt més enllà del cas concret. Milions d’estudiants i docents a tota Europa utilitzen Microsoft 365 Education, i milions més fan servir Microsoft 365 en empreses i administracions públiques. El rastreig d’usuaris sense consentiment vulnera clarament la normativa europea de protecció de dades i posa en risc la conformitat legal de totes les organitzacions que utilitzen aquestes eines. De fet, algunes autoritats de protecció de dades, com les alemanyes, ja havien expressat dubtes seriosos sobre la compatibilitat de Microsoft 365 amb el RGPD.

En resum, aquest cas exemplifica un problema estructural: les grans empreses tecnològiques concentren el poder de decisió i els beneficis, però intenten traslladar les obligacions legals als seus clients europeus. Tal com resumeix Max Schrems, fundador de Noyb, si Microsoft no canvia de manera profunda el funcionament i la governança dels seus productes, moltes organitzacions europees simplement no podran complir amb les seves obligacions legals en matèria de protecció de dades. La decisió austríaca és, doncs, un toc d’alerta que va molt més enllà d’un sol cas o d’un sol país.

La Agencia Española de Protección de Datos (AEPD) ha resolt recentment un procediment sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitari Quirónsalud Madrid) arran de la destrucció d’un CD que contenia imatges de ressonàncies magnètiques aportades per un pacient per ser comparades amb una prova diagnòstica realitzada al centre.

El cas ha generat especial interès perquè posa el focus en qüestions clau per al sector sanitari: el tractament de dades de salut, la gestió de suports físics lliurats pels pacients i l’abast de les obligacions de conservació vinculades a la història clínica.

Els fets es remunten el novembre de 2021, quan un pacient va acudir a l’Hospital Quirónsalud Madrid per fer-se una ressonància magnètica i va aportar un CD amb imatges de proves prèvies realitzades entre 2018 i 2020. Aquell mateix dia va signar un document en què s’indicava que els resultats i informes estarien disponibles durant un mes per a la seva retirada. Quan el pacient va intentar recuperar el CD quatre mesos després, el centre li va comunicar que ja havia estat eliminat per limitacions d’espai a l’arxiu. Davant d’això, va presentar reclamació primer davant del propi hospital i, posteriorment, davant l’AEPD.

En la seva defensa, IDCQ Quirónsalud va sostenir que les imatges contingudes al CD no havien estat generades pel seu centre, sinó per un altre hospital, i que havien estat aportades directament pel pacient. Segons el seu criteri, les obligacions legals de conservació de documentació clínica s’apliquen principalment a la informació creada pel propi centre sanitari i no necessàriament als materials externs lliurats pel pacient. Partint d’aquesta premissa, el centre va argumentar que, en absència d’una obligació específica de conservació, mantenir el CD hauria estat contrari als principis de minimització de dades i limitació de la finalitat del RGPD i que, per tant, no disposaven de base de legitimació suficient, en els termes de l’article 6, per conservar-lo més enllà del termini previst.

L’hospital també va remarcar que la informació que el metge va considerar rellevant sí que es va incorporar a la història clínica del pacient, en forma d’informe mèdic. La resta d’imatges no es van integrar perquè, segons el criteri clínic del facultatiu, no eren necessàries per garantir la continuïtat assistencial.

A més, IDCQ va defensar que disposava d’un procediment intern que regulava la recollida, custòdia i eventual destrucció de proves mèdiques aportades pels pacients. Aquest procediment establia un termini d’un mes perquè els suports físics fossin retirats i, passat aquest període, preveia la destrucció del material no recollit. Segons el centre, el pacient havia estat informat d’aquest termini i, un cop transcorregut, la destrucció del CD es va justificar com una mesura tècnica i organitzativa necessària i proporcionada en el marc del principi de privacitat des del disseny i per defecte.

La resolució de l’AEPD, però, va rebutjar aquests arguments. L’Agència va considerar que el tractament de dades controvertit (la supressió de les dades que contenia el CD) no tenia una base legitimadora suficient que l’emparés, ja que no existeix cap obligació legal que permeti aquesta destrucció abans del termini mínim de cinc anys previst per la normativa sanitària.

En aquest sentit, la AEPD va recordar que l’article 17.1 de la LBAP estableix que els centres sanitaris han de conservar la documentació clínica en condicions que garanteixin el seu correcte manteniment i seguretat, encara que no necessàriament en el suport original, durant el temps adequat a cada cas i, com a mínim, cinc anys des de l’alta de cada procés assistencial, sense especificar que aquesta obligació només faci referència a la documentació que ha estat elaborada pel centre, de manera que inclouria també aquella documentació clínica aportada directament pel pacient. La normativa catalana reforça aquesta idea, i afegeix que les mesures de seguretat previstes a aquest respecte hauran d’estar recollides en protocols interns aprovats per la direcció del centre.

Pel que fa als protocols interns al·legats per l’hospital, la resolució posa de manifest que aquests no estaven degudament implantats ni elaborats en el moment dels fets, sinó que es van aprovar amb posterioritat al procediment sancionador, motiu pel qual no es van tenir en compte com a circumstància atenuant. L’Agència va destacar, a més, la gravetat que un grup hospitalari de la dimensió de Quirónsalud no disposés, en aquell moment, de protocols clars sobre la custòdia i destrucció tant de la documentació clínica generada pel propi centre com dels suports aportats proactivament pels pacients, arribant a qualificar la pràctica de “negligència greu”.

La resolució va imposar sancions per infraccions dels articles 6, 9 i 25 del RGPD, qualificades com a molt greus, amb un import total d’1.200.000 euros.

Més enllà de la controvèrsia jurídica, el cas ofereix lliçons rellevants per als centres sanitaris. És essencial disposar de protocols clars sobre la gestió dels suports físics que aporten els pacients, establir criteris sòlids sobre els terminis de conservació i devolució, i comunicar-los de manera transparent.

Finalment, aquesta resolució posa de manifest que la gestió de dades de salut, fins i tot quan es tracta de suports físics aparentment “externs”, exigeix un enfocament especialment acurat des de la perspectiva del RGPD i obliga els centres sanitaris a revisar i reforçar les seves pràctiques internes.

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.

El passat 2 de juliol, el Comitè Europeu de Protecció de Dades (CEPD) va adoptar la Declaració de Helsiniki¹ que marca un punt d’inflexió en el camí cap a una aplicació més harmònica i eficaç del Reglament General de Protecció de Dades (RGPD) a la Unió Europea.  

Un dels principals reptes que aborda el CEPD és la fragmentació interpretativa del RGPD. Si bé és cert que el reglament té per objecte establir un marc comú a tota la UE, la realitat mostra que la seva aplicació varia entre les diferents autoritats de protecció de dades, podent arribar a generar inseguretat jurídica i dificultats pràctiques per responsables i encarregats del tractament, en especial per aquells que operen en diversos Estats membres. (more…)

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.

Des del passat 2 de març de 2024, les empreses amb més de 50 treballadors han de disposar d’un protocol d’actuació per abordar situacions d’assetjament o violència dirigides a persones LGTBI, així com ajustar els Plans d’Igualtat en conseqüència.

La Llei 4/2023, de 28 de febrer, per a la igualtat real i efectiva de les persones trans i per a la garantia dels drets de les persones LGTBI va introduir disposicions específiques destinades a fomentar la igualtat i preveure la discriminació contra el col·lectiu LGTBI en l’àmbit  laboral, amb l’objectiu d’erradicar les situacions de discriminació, per assegurar que a Espanya es pugui viure l’orientació sexual, identitat sexual, expressió de gènere, les característiques sexuals i la diversitat familiar amb plena llibertat. (more…)

Després de dures negociacions, el Parlament europeu ha aprovat finalment aquest passat dia 13 de març amb aclaparadora majoria un Reglament europeu sobre intel·ligència artificial (IA), el qual pretén ser un marc de regulació referent amb vocació internacional. Pendent encara de diversos tràmits, es preveu que entri en aplicació al cap de dos anys a partir de la seva pròxima publicació.

Entre altres qüestions, el Reglament prohibeix i regula un seguit de conductes que es podrien dur a terme mitjançant una IA, preveu un règim sancionador específic i conté també la previsió de la creació d’una agència de supervisió a cadascun dels Estats membres. En el cas de l’Estat espanyol, però, ja s’ha creat l’Agència Espanyola de Supervisió de la IA.

A partir de l’entrada en aplicació d’aquest Reglament, molts dispositius de vigilància biomètrica només es podran fer servir de forma temporal i en casos específics sota autorització judicial i supervisió de l’autoritat de protecció de dades.

Algunes de les conductes que el nou Reglament prohibeix de manera general i que podria dur a terme una IA són les següents:

• Categorització biomètrica de persones.
• Captura indiscriminada d’imatges facials d’internet.
• Gravació amb càmeres de videovigilància que permeti crear bases de dades de reconeixement facial.
• Reconeixement d’emocions al lloc de treball o a les escoles.
• Establir sistemes de puntuació ciutadana.
• Actuació policial prospectiva.
• IA que manipuli el comportament humà o exploti vulnerabilitats de persones.

Totes aquestes conductes que es plantegen prohibir no són evidentment supòsits de ciència-ficció en una societat futura i distòpica, sinó que són possibilitats reals que la tecnologia de la IA ja permet actualment. En qualsevol cas, tal com comentàvem anteriorment, encara haurem d’esperar com a mínim dos anys a què el Reglament entri en aplicació. Com sempre la tecnologia corre més que el legislador, i en dos anys encara poden passar moltes coses; en qualsevol cas, el Reglament sobre la IA és una bona notícia d’abast internacional.

En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

• Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
• Insuficiència de recursos del DPO.
• Manca d’expertesa i experiència del DPO.
• No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
• Situacions de conflicte d’interès o de manca d’independència del DPO.
• Absència de reporting del DPO al més alt nivell de l’entitat.
• Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

• L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
• L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
• L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Avui en dia, les cookies són una eina essencial de la societat de la informació, ja que permeten als prestadors de serveis obtenir dades dels usuaris i emprar-les amb diferents finalitats, com pot ser, per exemple, per prestar-li un servei en concret o facilitar-li publicitat ajustada als seus gustos i costums de navegació.

Donada l’afectació de les cookies en la privacitat de les persones, resulta ineludible la implementació d’un sistema d’informació que permeti als usuaris ser plenament coneixedors dels usos que es donarà a les seves dades i decidir sobre els mateixos, mitjançant l’atorgament del seu consentiment.

Per tal de garantir aquests paràmetres, el passat mes de febrer de 2023, el Comitè Europeu de Protecció de Dades (CEPD), va emetre les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials. I, per tal d’ajudar als prestadors de serveis a seguir les indicacions de les citades directrius, l’Agència Espanyola de Protecció de Dades va actualitzar la seva Guia sobre l’ús de les cookies. Aquests nous criteris han d’implementar-se abans de l’11 de gener de 2024.

La guia inclou un conjunt de recomanacions que resultaran d’aplicació en aquells casos en què la utilització de les cookies impliqui el tractament de dades personals. I, per tant, els responsables del tractament hauran d’assegurar-se de complir tant amb les exigències pròpies que regula la LSSI, així com també la normativa vigent en matèria de protecció de dades.

Un dels primers aspectes al que fa referència la guia, és a la necessitat d’identificar quines són les cookies emprades al lloc web i quina és la seva finalitat. Es tracta d’un pas essencial per tal de poder complir amb les principals obligacions de les cookies, que són l’obligació de transparència i l’obligació d’obtenció del consentiment.

També caldrà tenir present que aquestes obligacions no aplicaran a totes les cookies, sinó que algunes queden exceptuades. Per exemple, en el cas de les cookies de personalització, quan el propi usuari pren decisions sobre elles com pot ser l’opció de l’idioma, són cookies tècniques que no precisen consentiment, sense que puguin ser utilitzades per a altres finalitats.

Quan parlem de l’obligació de transparència, estem fent referència a la necessitat d’informar als usuaris de forma clara i complera sobre l’ús de les seves dades. És per això que caldrà informar sobre quina és la funció genèrica de les cookies, quin tipus de cookies es recullen i quina és la seva finalitat, qui les utilitza, com s’ha d’acceptar, denegar o revocar el consentiment per l’ús de les cookies, com es transferiran a tercers països, si implica l’elaboració de perfils, el període de conservació i la resta d’informació relativa al tractament de dades que ens determina l’article 13 del RGPD, com per exemple l’exercici de drets dels interessats.

No únicament és important la informació que s’ha de traslladar a l’usuari, sinó que cal prestar especial atenció també a com es facilita. És per això que cal assegurar-se que la informació sigui concisa, transparent i intel·ligible, mitjançant l’ús d’un llenguatge clar i senzill que pugi ser entès per l’usuari.

Altre aspecte a tenir en compte és la forma d’accés a la informació, ja que ha de ser clarament visible per l’usuari sense que impliqui un esforç per ell. Amb l’objectiu d’evitar la fatiga informativa, es pot oferir la informació mitjançant capes. De manera que, des de la primera capa informativa es pugui accedir a un enllaç o es pugui accedir a la informació completa de les cookies.

Tota aquesta informació ha de ser facilitada per tal que l’usuari atorgui el seu consentiment sent plenament coneixedor sobre com s’utilitzaran les seves dades personals.

Per l’obtenció del consentiment caldrà tindre present que es dugui a terme mitjançant fórmules que impliquin una inequívoca acció afirmativa per part de l’usuari. De manera que caldrà presentar-li les accions d’acceptar o rebutjar les cookies en lloc i format destacats, fàcilment visibles.

Un altre aspecte rellevant és que l’accés al servei web i a les seves funcionalitats, no podran condicionar-se a què l’usuari consenti l’ús de cookies. Podent-se presentar situacions en les quals la no acceptació de la utilització de cookies pot impedir l’accés al lloc web o a la utilització total o parcial del servei, sempre que s’informi a l’usuari i s’ofereixi per part de l’editor una alternativa d’accés al servei sense necessitat d’acceptar l’ús de cookies, la qual no ha de ser necessàriament gratuïta.

Es tracta d’un conjunt de directrius que permeten ajudar a traslladar la informació sobre l’ús de les cookies als usuaris, però fugin de l’estandardització de textos, ja que ha de ser plenament adequat a les característiques particulars de cada pàgina web. I, d’acord amb tot l’anterior, hauran de ser revistes els textos web.

Es pot consultar el text complet de l’informe del Guia sobre l’ús de les cookies de l’Agència Espanyola de Protecció de Dades al següent enllaç: https://www.aepd.es/guias/guia-cookies.pdf

I, les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials, del Comitè Europeu de Protecció de dades (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L’obligació que afecta la gran majoria de les empreses d’elaborar un pla d’igualtat de forma negociada amb la representació legal dels treballadors, tal com hem anat veient, no és tan fàcil de complir. La normativa ens diu que, si l’empresa no té representació legal dels treballadors, cal demanar als sindicats més representatius que es presentin a la negociació: ¿què passa, però, si aquests sindicats, tot i haver-los enviat diferents requeriments per Email, no contesten o contesten dient que no poden o no volen participar en aquesta negociació? No es tracta d’una qüestió menor, ja que, d’entrada, si un pla no ha estat formalment negociat, el registre en denega la inscripció, la qual cosa, deixa l’empresa en una situació d’incompliment legal i d’indefensió, sense habilitació per a participar en concursos públics i amb les pèrdues econòmiques que això pugui suposar. (more…)