Dades dels menors en joc: Les autoritats europees de protecció de dades tornen a qüestionar Microsoft 365 Educació

Una recent decisió de l’autoritat austríaca de protecció de dades (DSB) ha tornat a posar Microsoft al centre del debat sobre la privacitat digital, especialment quan es tracta de menors. Arran d’una denúncia presentada per l’organització Noyb, la DSB ha conclòs que Microsoft va instal·lar cookies de rastreig en el dispositiu d’un alumne que utilitzava Microsoft 365 Education sense haver obtingut el seu consentiment. Segons la pròpia política de privacitat de l’empresa, aquestes cookies serveixen per analitzar el comportament de l’usuari, recopilar dades del navegador i utilitzar-les amb finalitats publicitàries. L’autoritat ha donat a Microsoft un termini de quatre setmanes per posar fi a aquest rastreig i adaptar-se a la normativa europea.

Aquest cas no és un fet aïllat. El juny de 2024, Noyb ja havia presentat dues reclamacions davant l’autoritat austríaca relacionades amb l’ús de Microsoft 365 Education a les escoles. La primera es va resoldre a l’octubre de 2025, quan l’autoritat va considerar que Microsoft havia vulnerat el dret d’accés reconegut a l’article 15 del Reglament general de protecció de dades (RGPD). En aquell moment, l’organització denunciava que Microsoft vulnerava la privacitat dels infants mentre traslladava la responsabilitat legal a les escoles i a les autoritats educatives locals.

Un dels problemes de fons que destaca Noyb és el desequilibri de poder entre les grans empreses tecnològiques i les escoles o administracions públiques. Proveïdors com Microsoft tenen una posició de mercat tan dominant que poden imposar contractes i condicions d’ús sota una lògica de “o ho acceptes o te’n quedes fora”. En aquest context, les escoles no tenen cap capacitat real de negociar com es tracten les dades dels alumnes, ni d’influir en les decisions tècniques que pren la companyia. Tot i això, Microsoft acostuma a presentar-se com un simple “encarregat del tractament”, mentre que trasllada la major part de la responsabilitat legal a les escoles, que formalment actuen com a “responsables del tractament”.

A la pràctica, aquest repartiment de rols no reflecteix la realitat. Les escoles no decideixen ni els mitjans ni les finalitats reals del tractament de dades, tal com exigeix el RGPD per ser considerades responsables efectives. Malgrat això, són elles les que acaben assumint els riscos legals.

Les conseqüències d’aquest sistema són especialment greus per a les persones afectades, en aquest cas els estudiants. Quan intenten exercir els seus drets de protecció de dades, com ara el dret d’accés, sovint es troben que Microsoft no respon a les sol·licituds, mentre que les escoles no poden donar-hi resposta perquè no disposen de tota la informació ni del control efectiu sobre les dades. Això crea una situació de “compliment formal”, però buida de contingut real, que acaba negant drets bàsics reconeguts pel RGPD.

A tot això s’hi afegeix una notable manca de transparència. Determinar quines polítiques de privacitat, contractes o documents s’apliquen realment a l’ús de Microsoft 365 Education és una tasca complexa fins i tot per a professionals del dret. La informació es troba dispersa en múltiples documents, sovint amb continguts vagues o contradictoris, i sense explicar clarament què passa amb les dades dels menors. Tal com assenyala Maartje de Graaf, advocada especialitzada en protecció de dades a Noyb, la informació facilitada per Microsoft és tan imprecisa que “ni tan sols un advocat qualificat pot entendre completament com es tracten les dades personals a Microsoft 365 Education”.

La segona denúncia resolta recentment fa encara més evident la gravetat de la situació. L’autoritat austríaca ha confirmat que Microsoft va instal·lar cookies de seguiment en el dispositiu d’un menor sense el seu consentiment, i que aquestes cookies s’utilitzen amb finalitats publicitàries. Tant l’escola com el Ministeri d’Educació austríac van afirmar que desconeixien completament l’existència d’aquest rastreig. Això planteja un escenari preocupant: milions de menors a Europa podrien estar sent rastrejats sense base legal ni coneixement de les institucions educatives que utilitzen aquests serveis.

Les possibles conseqüències d’aquesta decisió van molt més enllà del cas concret. Milions d’estudiants i docents a tota Europa utilitzen Microsoft 365 Education, i milions més fan servir Microsoft 365 en empreses i administracions públiques. El rastreig d’usuaris sense consentiment vulnera clarament la normativa europea de protecció de dades i posa en risc la conformitat legal de totes les organitzacions que utilitzen aquestes eines. De fet, algunes autoritats de protecció de dades, com les alemanyes, ja havien expressat dubtes seriosos sobre la compatibilitat de Microsoft 365 amb el RGPD.

En resum, aquest cas exemplifica un problema estructural: les grans empreses tecnològiques concentren el poder de decisió i els beneficis, però intenten traslladar les obligacions legals als seus clients europeus. Tal com resumeix Max Schrems, fundador de Noyb, si Microsoft no canvia de manera profunda el funcionament i la governança dels seus productes, moltes organitzacions europees simplement no podran complir amb les seves obligacions legals en matèria de protecció de dades. La decisió austríaca és, doncs, un toc d’alerta que va molt més enllà d’un sol cas o d’un sol país.

 

 

Facebooktwittergoogle_pluslinkedinmail

L’AEPD sanciona un hospital per la destrucció de proves mèdiques aportades per un pacient: claus i lliçons del cas IDCQ Quirónsalud

La Agencia Española de Protección de Datos (AEPD) ha resolt recentment un procediment sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitari Quirónsalud Madrid) arran de la destrucció d’un CD que contenia imatges de ressonàncies magnètiques aportades per un pacient per ser comparades amb una prova diagnòstica realitzada al centre.

El cas ha generat especial interès perquè posa el focus en qüestions clau per al sector sanitari: el tractament de dades de salut, la gestió de suports físics lliurats pels pacients i l’abast de les obligacions de conservació vinculades a la història clínica.

Els fets es remunten el novembre de 2021, quan un pacient va acudir a l’Hospital Quirónsalud Madrid per fer-se una ressonància magnètica i va aportar un CD amb imatges de proves prèvies realitzades entre 2018 i 2020. Aquell mateix dia va signar un document en què s’indicava que els resultats i informes estarien disponibles durant un mes per a la seva retirada. Quan el pacient va intentar recuperar el CD quatre mesos després, el centre li va comunicar que ja havia estat eliminat per limitacions d’espai a l’arxiu. Davant d’això, va presentar reclamació primer davant del propi hospital i, posteriorment, davant l’AEPD.

En la seva defensa, IDCQ Quirónsalud va sostenir que les imatges contingudes al CD no havien estat generades pel seu centre, sinó per un altre hospital, i que havien estat aportades directament pel pacient. Segons el seu criteri, les obligacions legals de conservació de documentació clínica s’apliquen principalment a la informació creada pel propi centre sanitari i no necessàriament als materials externs lliurats pel pacient. Partint d’aquesta premissa, el centre va argumentar que, en absència d’una obligació específica de conservació, mantenir el CD hauria estat contrari als principis de minimització de dades i limitació de la finalitat del RGPD i que, per tant, no disposaven de base de legitimació suficient, en els termes de l’article 6, per conservar-lo més enllà del termini previst.

L’hospital també va remarcar que la informació que el metge va considerar rellevant sí que es va incorporar a la història clínica del pacient, en forma d’informe mèdic. La resta d’imatges no es van integrar perquè, segons el criteri clínic del facultatiu, no eren necessàries per garantir la continuïtat assistencial.

A més, IDCQ va defensar que disposava d’un procediment intern que regulava la recollida, custòdia i eventual destrucció de proves mèdiques aportades pels pacients. Aquest procediment establia un termini d’un mes perquè els suports físics fossin retirats i, passat aquest període, preveia la destrucció del material no recollit. Segons el centre, el pacient havia estat informat d’aquest termini i, un cop transcorregut, la destrucció del CD es va justificar com una mesura tècnica i organitzativa necessària i proporcionada en el marc del principi de privacitat des del disseny i per defecte.

La resolució de l’AEPD, però, va rebutjar aquests arguments. L’Agència va considerar que el tractament de dades controvertit (la supressió de les dades que contenia el CD) no tenia una base legitimadora suficient que l’emparés, ja que no existeix cap obligació legal que permeti aquesta destrucció abans del termini mínim de cinc anys previst per la normativa sanitària.

En aquest sentit, la AEPD va recordar que l’article 17.1 de la LBAP estableix que els centres sanitaris han de conservar la documentació clínica en condicions que garanteixin el seu correcte manteniment i seguretat, encara que no necessàriament en el suport original, durant el temps adequat a cada cas i, com a mínim, cinc anys des de l’alta de cada procés assistencial, sense especificar que aquesta obligació només faci referència a la documentació que ha estat elaborada pel centre, de manera que inclouria també aquella documentació clínica aportada directament pel pacient. La normativa catalana reforça aquesta idea, i afegeix que les mesures de seguretat previstes a aquest respecte hauran d’estar recollides en protocols interns aprovats per la direcció del centre.

Pel que fa als protocols interns al·legats per l’hospital, la resolució posa de manifest que aquests no estaven degudament implantats ni elaborats en el moment dels fets, sinó que es van aprovar amb posterioritat al procediment sancionador, motiu pel qual no es van tenir en compte com a circumstància atenuant. L’Agència va destacar, a més, la gravetat que un grup hospitalari de la dimensió de Quirónsalud no disposés, en aquell moment, de protocols clars sobre la custòdia i destrucció tant de la documentació clínica generada pel propi centre com dels suports aportats proactivament pels pacients, arribant a qualificar la pràctica de “negligència greu”.

La resolució va imposar sancions per infraccions dels articles 6, 9 i 25 del RGPD, qualificades com a molt greus, amb un import total d’1.200.000 euros.

Més enllà de la controvèrsia jurídica, el cas ofereix lliçons rellevants per als centres sanitaris. És essencial disposar de protocols clars sobre la gestió dels suports físics que aporten els pacients, establir criteris sòlids sobre els terminis de conservació i devolució, i comunicar-los de manera transparent.

Finalment, aquesta resolució posa de manifest que la gestió de dades de salut, fins i tot quan es tracta de suports físics aparentment “externs”, exigeix un enfocament especialment acurat des de la perspectiva del RGPD i obliga els centres sanitaris a revisar i reforçar les seves pràctiques internes.

 

Facebooktwittergoogle_pluslinkedinmail

El Data Act: un nou horitzó per a l’accés just a les dades a Europa

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.

 

Facebooktwittergoogle_pluslinkedinmail

El Comitè Europeu de Protecció de Dades marca un punt d’inflexió en el compliment del RGPD

El passat 2 de juliol, el Comitè Europeu de Protecció de Dades (CEPD) va adoptar la Declaració de Helsiniki1 que marca un punt d’inflexió en el camí cap a una aplicació més harmònica i eficaç del Reglament General de Protecció de Dades (RGPD) a la Unió Europea.  

Un dels principals reptes que aborda el CEPD és la fragmentació interpretativa del RGPD. Si bé és cert que el reglament té per objecte establir un marc comú a tota la UE, la realitat mostra que la seva aplicació varia entre les diferents autoritats de protecció de dades, podent arribar a generar inseguretat jurídica i dificultats pràctiques per responsables i encarregats del tractament, en especial per aquells que operen en diversos Estats membres. (more…)

Facebooktwittergoogle_pluslinkedinmail

Avançant amb la intel·ligència artificial a la UE

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

  • El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
  • El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
  • Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

  • Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
  • L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

 

Equip Serveis Jurídics

Facebooktwittergoogle_pluslinkedinmail

Criteris sobre l’autoritat de control de protecció de dades en determinats tractaments realitzats pels Instituts de Medicina Legal

La Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial (d’ara endavant, la Direcció) va examinar la problemàtica plantejada sobre qui és l’autoritat de control competent en els tractaments de dades personals que duen a terme els Instituts de Medicina Legal (IML) en l’exercici de les seves funcions.

Concretament, va ser la Comunitat Autònoma de Galícia qui va elevar la consulta a l’Oficina de Govern de Ciberseguretat del Comitè Tècnic Estatal de l’Administració Judicial Electrònica (CTEAJE). En aquesta consulta es planteja el dubte sobre si la competència correspon a la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial o, si escau, a la Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia General de l’Estat (FGE).

La Direcció informa de les seves competències i funcions atribuïdes per la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ), el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. Aquestes funcions es duen a terme sense perjudici que, en casos concrets, sigui necessari recórrer a un marc de col·laboració amb altres autoritats de control, com l’Autoritat Catalana de Protecció de Dades (APDCAT) o el Consell de Transparència i Protecció de Dades d’Andalusia (CTPDA), entre d’altres.

D’altra banda, s’analitzen dos pronunciaments:

  • El primer, de l’APDCAT, en què es va declarar incompetent per resoldre una sol·licitud de cancel·lació de dades personals davant un IML que havia realitzat una valoració pericial i social a instàncies d’un jutjat de primera instància. L’APDCAT va considerar que l’adequació o l’excés de l’informe pericial, en el context d’un procés judicial, excedia el seu àmbit competencial.
  • El segon, del CTPDA, es refereix a una reclamació sobre el dret d’accés a informes forenses i entrevistes de valoració realitzats per l’IML de Huelva en el marc de diversos processos judicials. Aquesta resolució sosté que les dades personals tractades pels IML en aquests casos s’incorporen als fitxers jurisdiccionals de dades de l’Administració de Justícia, dels quals és responsable l’òrgan jurisdiccional. A més, emfatitza la funció d’auxili judicial dels IML, segons l’article 479.1 de la LOPJ, i el seu paper com a encarregats del tractament, subjectes a les instruccions de l’òrgan judicial.

Aquests exemples demostren la tendència de les autoritats de control a declinar la seva competència en aquells casos en què els tractaments de dades dels IML es realitzen en el context de la funció jurisdiccional, reconeixent el paper predominant dels òrgans judicials en la determinació dels fins i mitjans del tractament.

La sentència del Tribunal de Justícia de la Unió Europea del 24 de març de 2022 especifica la definició dels conceptes de “tractaments i fins jurisdiccionals”. Segons el TJUE, en el context de l’article 55.3 del RGPD, aquests conceptes no només fan referència als tractaments de dades personals efectuats pels òrgans jurisdiccionals en assumptes concrets, sinó també, de manera més àmplia, al conjunt d’operacions de tractament realitzades pels òrgans jurisdiccionals en l’exercici de la seva activitat jurisdiccional. D’aquesta manera, queden excloses de la competència de l’autoritat de control aquelles operacions de tractament la supervisió de les quals podria influir, directament o indirectament, en la independència dels seus membres o condicionar-ne les decisions.

Pel que fa a la naturalesa dels IML, d’acord amb la LOPJ i el Reial decret 144/2023, de 28 de febrer, pel qual s’aprova el Reglament dels Instituts de Medicina Legal i Ciències Forenses, es destaca la seva condició d’òrgans tècnics al servei de l’Administració de Justícia, amb la funció principal d’auxiliar els jutjats, tribunals i fiscalies dins el seu àmbit científic i tècnic. També se subratlla la seva dependència funcional respecte dels òrgans jurisdiccionals en l’exercici d’aquestes funcions d’auxili.

A més, pel que fa a la protecció de dades, l’informe conclou que, en el context de la seva relació amb els òrgans jurisdiccionals, els IML actuen com a encarregats del tractament, mentre que els òrgans jurisdiccionals tenen la condició de responsables del tractament. Aquesta distinció es fonamenta en la naturalesa de les funcions dels IML, la seva dependència funcional i el fet que són els òrgans jurisdiccionals els que determinen els fins i mitjans del tractament. Així mateix, l’exercici dels drets s’ha de canalitzar davant l’òrgan jurisdiccional corresponent i no davant l’IML, ja que, en cas contrari, es podria veure compromès el desenvolupament del procediment judicial.

Finalment, l’informe determina que l’autoritat de control de protecció de dades competent per supervisar els tractaments de dades personals realitzats pels IML en l’exercici de les seves funcions d’auxili judicial és la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial. Aquesta conclusió es basa en el fet que aquests tractaments es duen a terme amb finalitats jurisdiccionals, ja que estan directament vinculats a l’activitat dels òrgans jurisdiccionals dins dels processos judicials.

Aquesta anàlisi resulta de gran utilitat per als professionals del dret, els operadors jurídics i les autoritats de control, ja que proporciona un marc de referència clar i fonamentat per aplicar la normativa de protecció de dades en aquest àmbit específic.

 

Facebooktwittergoogle_pluslinkedinmail

Assetjament laboral i vulneració de confidencialitat

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)

Facebooktwittergoogle_pluslinkedinmail

Novetats de la llei 18/2022 en la protecció de dades aplicada a la prevenció de blanqueig de capitals

La recent Llei 18/2022, de 28 de setembre, de creació i creixement d’empreses, suposa una modificació important en com s’ha d’aplicar la protecció de dades en el règim de prevenció de blanqueig de capitals i de finançament del terrorisme, tal com estableix a la seva disposició final segona. Aquesta disposició modifica la vigent llei de prevenció de capitals, que és de l’any 2010, i l’actualitza, tenint en compte l’entrada en aplicació posterior del Reglament europeu (abreujat com a RGPD i d’aplicació des de 2018) i de la darrera llei espanyola de protecció de dades (LOPDGDD de 2018). (more…)

Facebooktwittergoogle_pluslinkedinmail

Dubtes al voltant de la figura del delegat de protecció de dades

S’ha publicat l’informe jurídic de l’Agència Espanyola de Protecció de Dades número de referència 0037/2022 en el qual es dona resposta a aspectes crucials de la figura del delegat de protecció de dades (en endavant, DPD), com són els criteris de formació tècnica i pràctica per a la correcta designació de DPD, o els dubtes sobre la validesa legal de designar persones vinculades amb la mateixa organització com a DPD o designar un DPD extern.

En efecte, la figura del DPD s’incorpora al nostre ordenament jurídic en virtut del que es disposa en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el referent al tractament de dades personals i a la lliure circulació d’aquestes dades pel que es deroga la Directiva 95/46/CE (RGPD), concretament en els articles 37 a 39, en els que es defineix aquesta figura, així com la seva posició i funcions. A més, en la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades i garantia de drets digitals (LOPDGDD) es desenvolupen alguns aspectes en els articles 34 a 37, dels quals es destaca la concreció de les entitats que en tot cas han de designar un DPD. També, quant al règim sancionador, ja que en l’article 73 es tipifica com a infracció greu “L’incompliment de l’obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament”, o “No possibilitar l’efectiva participació del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no recolzar-lo o interferir en el desenvolupament de les seves funcions”, així com una infracció lleu, segons l’article 74, en “No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible”. (more…)

Facebooktwittergoogle_pluslinkedinmail

Memòria 2021 de l’Agència Espanyola de Protecció de Dades

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la seva Memòria d’actuació corresponent a l’exercici 2021, en la que es recull de forma exhaustiva les activitats realitzades, les xifres de gestió, els informes i procediments més rellevants de l’any, i una anàlisi dels reptes presents i futurs. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies