RGPD

En data 20 de setembre de 2023 es va presentar una reclamació davant l’AEPD pels delegats sindicals del Servei de Prevenció i Extinció d’Incendis (SPEIS) de la Diputació d’Osca, en la qual es denunciava que s’havia pogut accedir a una carpeta compartida utilitzada pel personal administratiu del SPEIS, la qual contenia informació confidencial.

Aquest procediment va portar a tractar un altre assumpte, ja que, a més de la presumpta bretxa de seguretat, es va descobrir que el Delegat de Protecció de Dades (DPD) de la Diputació d’Osca també exercia com a responsable del Sistema Intern d’Informació. Això va conduir a plantejar la idoneïtat de la concurrència d’ambdues funcions en una mateixa persona.

Sobre el primer incident, l’AEPD va resoldre que estimava la vulneració de l’article 5.1.f) del RGPD per l’error de la Diputació en preservar la confidencialitat i la integritat de les dades de les quals era responsable.

Respecte a la segona situació, l’AEPD va valorar que, si bé és cert que el DPD pot exercir altres funcions a més de les assignades al seu càrrec, cal garantir que això no donarà lloc a un conflicte d’interès, de conformitat amb l’art. 38.6 del RGPD. Procedim a analitzar aquesta interpretació:

• El DPD pot exercir altres funcions, sempre que no donin lloc a conflictes d’interessos, circumstància que ha de garantir el responsable del tractament.
• El DPD actua com a assessor i supervisor intern, de manera que no pot ser-ho algú que tingui altres funcions en les quals pugui decidir sobre l’existència de tractaments de dades o sobre com es tracten les dades.
• Per la seva part, el responsable del sistema intern d’informació haurà de desenvolupar les seves funcions de forma independent i autònoma respecte de la resta dels òrgans de l’entitat i respon del correcte funcionament del sistema (art. 8.4 i 9.1 de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció); és a dir, pot tenir accés a les dades personals contingudes en el sistema.
• També s’estableix que tant el responsable del sistema com el DPD poden tenir accés a les dades del Sistema Intern d’Informació (art. 32.1 de la Llei 2/2023); és a dir, s’entén que són dues figures diferents.
• Per tant, es conclou que si una mateixa persona té diferents interessos es pot donar lloc a conflictes d’interès, circumstància que cal evitar perquè puguin realitzar les seves funcions amb les garanties degudes.

Finalment, l’AEPD va resoldre en data 2 de febrer de 2025 la consulta prèvia de la Diputació, concloent que no és possible assignar les funcions de responsable del sistema intern d’informació al DPD. Davant d’això, la Diputació va procedir a substituir el responsable del sistema intern d’informació.

En definitiva, davant el risc de possibles conflictes d’interès, les funcions de DPD i de responsable del sistema intern d’informació no haurien de recaure en una mateixa persona.

El judici de proporcionalitat en relació amb els recursos corporatius que poden contenir informació personal dels treballadors continua sent un focus habitual de conflicte quan una entitat necessita accedir-hi per motius operatius o de seguretat.

En aquest context, resulta especialment oportuna la nova resolució d’arxivament de la informació prèvia núm. IP 73/2024 de l’Autoritat Catalana de Protecció de Dades (APDCAT), on es torna a delimitar amb claredat els principis i criteris de justificació que permeten determinar quan un accés a mitjans corporatius pot considerar-se degut o, per contra, indegut o il·legítim, especialment quan aquests contenen dades personals dels treballadors.

El cas analitzat té com a subjecte afectat un Institut del Departament d’Educació i Formació Professional. Un docent del centre va presentar una reclamació al·legant que l’accés, per part del responsable del tractament, a un ordinador corporatiu de l’entitat havia pogut vulnerar els seus drets a la intimitat i a la protecció de la seva informació i dades personals. L’origen de l’actuació rau en les sospites de l’entitat sobre un possible accés indegut a la plataforma iEduca, identificat amb el perfil d’un professor que no es trobava físicament al centre en aquell moment.

L’entitat responsable va justificar l’accés a l’historial de l’ordinador corporatiu en dues finalitats concretes: aclarir una possible suplantació d’identitat, i garantir la seguretat del sistema informàtic del centre.

Així mateix, va sostenir que l’accés es va limitar exclusivament a aquestes finalitats i va posar de manifest l’existència de normativa sectorial aplicable i de directrius internes degudament documentades, com ara guies d’ús, manual de benvinguda, normes d’organització i funcionament, entre d’altres que es faciliten als docents del centre i que regulen els criteris d’utilització de les tecnologies de la informació i dels dispositius digitals corporatius.

Per la seva banda, la persona denunciant va considerar que l’accés havia estat indegut, atès que no s’havia sol·licitat el seu consentiment per accedir a un ordinador que, si bé no era de caràcter personal, es trobava a l’aula on impartia classe. En aquest sentit, va assenyalar que les dades afectades eren les generades per les navegacions a internet realitzades des d’una adreça IP concreta, les quals tenen la consideració de dades personals.

L’APDCAT inicia la seva anàlisi descartant el consentiment com a base jurídica adequada i considera més fonamentades altres bases de legitimació previstes a l’article 6.1.b), c) i e) del Reglament General de Protecció de Dades (RGPD), com ara la relació contractual, l’interès legítim o l’interès públic.

La valoració de l’accés i el corresponent judici de proporcionalitat es fonamenten en diversos elements clau:

En primer lloc, l’entitat pot accedir als continguts dels mitjans digitals facilitats als treballadors d’acord amb l’article 87 de la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). A això s’afegeix la Recomanació CM/Rec(2015)5 del Comitè de Ministres del Consell d’Europa, d’1 d’abril de 2015, relativa al tractament de dades en l’àmbit laboral, que estableix, entre d’altres principis, la possibilitat d’accedir a les comunicacions electròniques dels empleats quan aquests han estat degudament informats.

No obstant això, l’Autoritat recorda que el principi de licitud ha d’anar necessàriament vinculat al principi de minimització. En conseqüència, qualsevol control ha de constituir una resposta proporcional davant riscos potencials, ponderant adequadament el dret a la vida privada i els altres interessos legítims dels treballadors. Això implica que les dades tractades amb finalitats de revisió han de ser adequades, pertinents i no excessives en relació amb la necessitat que justifica la seva recollida.

En termes generals, qualsevol mesura de monitorització ha d’aplicar-se sota aquests criteris. Si existeix una alternativa que permeti assolir l’objectiu perseguit amb una menor intromissió en la vida privada dels treballadors, l’ocupador està obligat a valorar i, si escau, aplicar aquesta opció.

En definitiva, l’accés als mitjans corporatius s’ha de dur a terme de la manera menys invasiva possible i, en tot cas, havent informat prèviament les persones treballadores afectades. El responsable del tractament ha d’oferir una resposta proporcional als riscos que gestiona, tenint sempre en consideració la privadesa legítima i els altres interessos dels treballadors.

Una recent decisió de l’autoritat austríaca de protecció de dades (DSB) ha tornat a posar Microsoft al centre del debat sobre la privacitat digital, especialment quan es tracta de menors. Arran d’una denúncia presentada per l’organització Noyb, la DSB ha conclòs que Microsoft va instal·lar cookies de rastreig en el dispositiu d’un alumne que utilitzava Microsoft 365 Education sense haver obtingut el seu consentiment. Segons la pròpia política de privacitat de l’empresa, aquestes cookies serveixen per analitzar el comportament de l’usuari, recopilar dades del navegador i utilitzar-les amb finalitats publicitàries. L’autoritat ha donat a Microsoft un termini de quatre setmanes per posar fi a aquest rastreig i adaptar-se a la normativa europea.

Aquest cas no és un fet aïllat. El juny de 2024, Noyb ja havia presentat dues reclamacions davant l’autoritat austríaca relacionades amb l’ús de Microsoft 365 Education a les escoles. La primera es va resoldre a l’octubre de 2025, quan l’autoritat va considerar que Microsoft havia vulnerat el dret d’accés reconegut a l’article 15 del Reglament general de protecció de dades (RGPD). En aquell moment, l’organització denunciava que Microsoft vulnerava la privacitat dels infants mentre traslladava la responsabilitat legal a les escoles i a les autoritats educatives locals.

Un dels problemes de fons que destaca Noyb és el desequilibri de poder entre les grans empreses tecnològiques i les escoles o administracions públiques. Proveïdors com Microsoft tenen una posició de mercat tan dominant que poden imposar contractes i condicions d’ús sota una lògica de “o ho acceptes o te’n quedes fora”. En aquest context, les escoles no tenen cap capacitat real de negociar com es tracten les dades dels alumnes, ni d’influir en les decisions tècniques que pren la companyia. Tot i això, Microsoft acostuma a presentar-se com un simple “encarregat del tractament”, mentre que trasllada la major part de la responsabilitat legal a les escoles, que formalment actuen com a “responsables del tractament”.

A la pràctica, aquest repartiment de rols no reflecteix la realitat. Les escoles no decideixen ni els mitjans ni les finalitats reals del tractament de dades, tal com exigeix el RGPD per ser considerades responsables efectives. Malgrat això, són elles les que acaben assumint els riscos legals.

Les conseqüències d’aquest sistema són especialment greus per a les persones afectades, en aquest cas els estudiants. Quan intenten exercir els seus drets de protecció de dades, com ara el dret d’accés, sovint es troben que Microsoft no respon a les sol·licituds, mentre que les escoles no poden donar-hi resposta perquè no disposen de tota la informació ni del control efectiu sobre les dades. Això crea una situació de “compliment formal”, però buida de contingut real, que acaba negant drets bàsics reconeguts pel RGPD.

A tot això s’hi afegeix una notable manca de transparència. Determinar quines polítiques de privacitat, contractes o documents s’apliquen realment a l’ús de Microsoft 365 Education és una tasca complexa fins i tot per a professionals del dret. La informació es troba dispersa en múltiples documents, sovint amb continguts vagues o contradictoris, i sense explicar clarament què passa amb les dades dels menors. Tal com assenyala Maartje de Graaf, advocada especialitzada en protecció de dades a Noyb, la informació facilitada per Microsoft és tan imprecisa que “ni tan sols un advocat qualificat pot entendre completament com es tracten les dades personals a Microsoft 365 Education”.

La segona denúncia resolta recentment fa encara més evident la gravetat de la situació. L’autoritat austríaca ha confirmat que Microsoft va instal·lar cookies de seguiment en el dispositiu d’un menor sense el seu consentiment, i que aquestes cookies s’utilitzen amb finalitats publicitàries. Tant l’escola com el Ministeri d’Educació austríac van afirmar que desconeixien completament l’existència d’aquest rastreig. Això planteja un escenari preocupant: milions de menors a Europa podrien estar sent rastrejats sense base legal ni coneixement de les institucions educatives que utilitzen aquests serveis.

Les possibles conseqüències d’aquesta decisió van molt més enllà del cas concret. Milions d’estudiants i docents a tota Europa utilitzen Microsoft 365 Education, i milions més fan servir Microsoft 365 en empreses i administracions públiques. El rastreig d’usuaris sense consentiment vulnera clarament la normativa europea de protecció de dades i posa en risc la conformitat legal de totes les organitzacions que utilitzen aquestes eines. De fet, algunes autoritats de protecció de dades, com les alemanyes, ja havien expressat dubtes seriosos sobre la compatibilitat de Microsoft 365 amb el RGPD.

En resum, aquest cas exemplifica un problema estructural: les grans empreses tecnològiques concentren el poder de decisió i els beneficis, però intenten traslladar les obligacions legals als seus clients europeus. Tal com resumeix Max Schrems, fundador de Noyb, si Microsoft no canvia de manera profunda el funcionament i la governança dels seus productes, moltes organitzacions europees simplement no podran complir amb les seves obligacions legals en matèria de protecció de dades. La decisió austríaca és, doncs, un toc d’alerta que va molt més enllà d’un sol cas o d’un sol país.

La Agencia Española de Protección de Datos (AEPD) ha resolt recentment un procediment sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitari Quirónsalud Madrid) arran de la destrucció d’un CD que contenia imatges de ressonàncies magnètiques aportades per un pacient per ser comparades amb una prova diagnòstica realitzada al centre.

El cas ha generat especial interès perquè posa el focus en qüestions clau per al sector sanitari: el tractament de dades de salut, la gestió de suports físics lliurats pels pacients i l’abast de les obligacions de conservació vinculades a la història clínica.

Els fets es remunten el novembre de 2021, quan un pacient va acudir a l’Hospital Quirónsalud Madrid per fer-se una ressonància magnètica i va aportar un CD amb imatges de proves prèvies realitzades entre 2018 i 2020. Aquell mateix dia va signar un document en què s’indicava que els resultats i informes estarien disponibles durant un mes per a la seva retirada. Quan el pacient va intentar recuperar el CD quatre mesos després, el centre li va comunicar que ja havia estat eliminat per limitacions d’espai a l’arxiu. Davant d’això, va presentar reclamació primer davant del propi hospital i, posteriorment, davant l’AEPD.

En la seva defensa, IDCQ Quirónsalud va sostenir que les imatges contingudes al CD no havien estat generades pel seu centre, sinó per un altre hospital, i que havien estat aportades directament pel pacient. Segons el seu criteri, les obligacions legals de conservació de documentació clínica s’apliquen principalment a la informació creada pel propi centre sanitari i no necessàriament als materials externs lliurats pel pacient. Partint d’aquesta premissa, el centre va argumentar que, en absència d’una obligació específica de conservació, mantenir el CD hauria estat contrari als principis de minimització de dades i limitació de la finalitat del RGPD i que, per tant, no disposaven de base de legitimació suficient, en els termes de l’article 6, per conservar-lo més enllà del termini previst.

L’hospital també va remarcar que la informació que el metge va considerar rellevant sí que es va incorporar a la història clínica del pacient, en forma d’informe mèdic. La resta d’imatges no es van integrar perquè, segons el criteri clínic del facultatiu, no eren necessàries per garantir la continuïtat assistencial.

A més, IDCQ va defensar que disposava d’un procediment intern que regulava la recollida, custòdia i eventual destrucció de proves mèdiques aportades pels pacients. Aquest procediment establia un termini d’un mes perquè els suports físics fossin retirats i, passat aquest període, preveia la destrucció del material no recollit. Segons el centre, el pacient havia estat informat d’aquest termini i, un cop transcorregut, la destrucció del CD es va justificar com una mesura tècnica i organitzativa necessària i proporcionada en el marc del principi de privacitat des del disseny i per defecte.

La resolució de l’AEPD, però, va rebutjar aquests arguments. L’Agència va considerar que el tractament de dades controvertit (la supressió de les dades que contenia el CD) no tenia una base legitimadora suficient que l’emparés, ja que no existeix cap obligació legal que permeti aquesta destrucció abans del termini mínim de cinc anys previst per la normativa sanitària.

En aquest sentit, la AEPD va recordar que l’article 17.1 de la LBAP estableix que els centres sanitaris han de conservar la documentació clínica en condicions que garanteixin el seu correcte manteniment i seguretat, encara que no necessàriament en el suport original, durant el temps adequat a cada cas i, com a mínim, cinc anys des de l’alta de cada procés assistencial, sense especificar que aquesta obligació només faci referència a la documentació que ha estat elaborada pel centre, de manera que inclouria també aquella documentació clínica aportada directament pel pacient. La normativa catalana reforça aquesta idea, i afegeix que les mesures de seguretat previstes a aquest respecte hauran d’estar recollides en protocols interns aprovats per la direcció del centre.

Pel que fa als protocols interns al·legats per l’hospital, la resolució posa de manifest que aquests no estaven degudament implantats ni elaborats en el moment dels fets, sinó que es van aprovar amb posterioritat al procediment sancionador, motiu pel qual no es van tenir en compte com a circumstància atenuant. L’Agència va destacar, a més, la gravetat que un grup hospitalari de la dimensió de Quirónsalud no disposés, en aquell moment, de protocols clars sobre la custòdia i destrucció tant de la documentació clínica generada pel propi centre com dels suports aportats proactivament pels pacients, arribant a qualificar la pràctica de “negligència greu”.

La resolució va imposar sancions per infraccions dels articles 6, 9 i 25 del RGPD, qualificades com a molt greus, amb un import total d’1.200.000 euros.

Més enllà de la controvèrsia jurídica, el cas ofereix lliçons rellevants per als centres sanitaris. És essencial disposar de protocols clars sobre la gestió dels suports físics que aporten els pacients, establir criteris sòlids sobre els terminis de conservació i devolució, i comunicar-los de manera transparent.

Finalment, aquesta resolució posa de manifest que la gestió de dades de salut, fins i tot quan es tracta de suports físics aparentment “externs”, exigeix un enfocament especialment acurat des de la perspectiva del RGPD i obliga els centres sanitaris a revisar i reforçar les seves pràctiques internes.

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.

El passat 2 de juliol, el Comitè Europeu de Protecció de Dades (CEPD) va adoptar la Declaració de Helsiniki¹ que marca un punt d’inflexió en el camí cap a una aplicació més harmònica i eficaç del Reglament General de Protecció de Dades (RGPD) a la Unió Europea.  

Un dels principals reptes que aborda el CEPD és la fragmentació interpretativa del RGPD. Si bé és cert que el reglament té per objecte establir un marc comú a tota la UE, la realitat mostra que la seva aplicació varia entre les diferents autoritats de protecció de dades, podent arribar a generar inseguretat jurídica i dificultats pràctiques per responsables i encarregats del tractament, en especial per aquells que operen en diversos Estats membres. (more…)

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

• El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
• El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
• Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

• Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
• L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

Equip Serveis Jurídics

La Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial (d’ara endavant, la Direcció) va examinar la problemàtica plantejada sobre qui és l’autoritat de control competent en els tractaments de dades personals que duen a terme els Instituts de Medicina Legal (IML) en l’exercici de les seves funcions.

Concretament, va ser la Comunitat Autònoma de Galícia qui va elevar la consulta a l’Oficina de Govern de Ciberseguretat del Comitè Tècnic Estatal de l’Administració Judicial Electrònica (CTEAJE). En aquesta consulta es planteja el dubte sobre si la competència correspon a la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial o, si escau, a la Unitat de Supervisió i Control de Protecció de Dades de la Fiscalia General de l’Estat (FGE).

La Direcció informa de les seves competències i funcions atribuïdes per la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ), el Reglament General de Protecció de Dades 2016/679 (RGPD) i la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractades amb finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals. Aquestes funcions es duen a terme sense perjudici que, en casos concrets, sigui necessari recórrer a un marc de col·laboració amb altres autoritats de control, com l’Autoritat Catalana de Protecció de Dades (APDCAT) o el Consell de Transparència i Protecció de Dades d’Andalusia (CTPDA), entre d’altres.

D’altra banda, s’analitzen dos pronunciaments:

• El primer, de l’APDCAT, en què es va declarar incompetent per resoldre una sol·licitud de cancel·lació de dades personals davant un IML que havia realitzat una valoració pericial i social a instàncies d’un jutjat de primera instància. L’APDCAT va considerar que l’adequació o l’excés de l’informe pericial, en el context d’un procés judicial, excedia el seu àmbit competencial.
• El segon, del CTPDA, es refereix a una reclamació sobre el dret d’accés a informes forenses i entrevistes de valoració realitzats per l’IML de Huelva en el marc de diversos processos judicials. Aquesta resolució sosté que les dades personals tractades pels IML en aquests casos s’incorporen als fitxers jurisdiccionals de dades de l’Administració de Justícia, dels quals és responsable l’òrgan jurisdiccional. A més, emfatitza la funció d’auxili judicial dels IML, segons l’article 479.1 de la LOPJ, i el seu paper com a encarregats del tractament, subjectes a les instruccions de l’òrgan judicial.

Aquests exemples demostren la tendència de les autoritats de control a declinar la seva competència en aquells casos en què els tractaments de dades dels IML es realitzen en el context de la funció jurisdiccional, reconeixent el paper predominant dels òrgans judicials en la determinació dels fins i mitjans del tractament.

La sentència del Tribunal de Justícia de la Unió Europea del 24 de març de 2022 especifica la definició dels conceptes de “tractaments i fins jurisdiccionals”. Segons el TJUE, en el context de l’article 55.3 del RGPD, aquests conceptes no només fan referència als tractaments de dades personals efectuats pels òrgans jurisdiccionals en assumptes concrets, sinó també, de manera més àmplia, al conjunt d’operacions de tractament realitzades pels òrgans jurisdiccionals en l’exercici de la seva activitat jurisdiccional. D’aquesta manera, queden excloses de la competència de l’autoritat de control aquelles operacions de tractament la supervisió de les quals podria influir, directament o indirectament, en la independència dels seus membres o condicionar-ne les decisions.

Pel que fa a la naturalesa dels IML, d’acord amb la LOPJ i el Reial decret 144/2023, de 28 de febrer, pel qual s’aprova el Reglament dels Instituts de Medicina Legal i Ciències Forenses, es destaca la seva condició d’òrgans tècnics al servei de l’Administració de Justícia, amb la funció principal d’auxiliar els jutjats, tribunals i fiscalies dins el seu àmbit científic i tècnic. També se subratlla la seva dependència funcional respecte dels òrgans jurisdiccionals en l’exercici d’aquestes funcions d’auxili.

A més, pel que fa a la protecció de dades, l’informe conclou que, en el context de la seva relació amb els òrgans jurisdiccionals, els IML actuen com a encarregats del tractament, mentre que els òrgans jurisdiccionals tenen la condició de responsables del tractament. Aquesta distinció es fonamenta en la naturalesa de les funcions dels IML, la seva dependència funcional i el fet que són els òrgans jurisdiccionals els que determinen els fins i mitjans del tractament. Així mateix, l’exercici dels drets s’ha de canalitzar davant l’òrgan jurisdiccional corresponent i no davant l’IML, ja que, en cas contrari, es podria veure compromès el desenvolupament del procediment judicial.

Finalment, l’informe determina que l’autoritat de control de protecció de dades competent per supervisar els tractaments de dades personals realitzats pels IML en l’exercici de les seves funcions d’auxili judicial és la Direcció de Supervisió i Control de Protecció de Dades del Consell General del Poder Judicial. Aquesta conclusió es basa en el fet que aquests tractaments es duen a terme amb finalitats jurisdiccionals, ja que estan directament vinculats a l’activitat dels òrgans jurisdiccionals dins dels processos judicials.

Aquesta anàlisi resulta de gran utilitat per als professionals del dret, els operadors jurídics i les autoritats de control, ja que proporciona un marc de referència clar i fonamentat per aplicar la normativa de protecció de dades en aquest àmbit específic.

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)

La recent Llei 18/2022, de 28 de setembre, de creació i creixement d’empreses, suposa una modificació important en com s’ha d’aplicar la protecció de dades en el règim de prevenció de blanqueig de capitals i de finançament del terrorisme, tal com estableix a la seva disposició final segona. Aquesta disposició modifica la vigent llei de prevenció de capitals, que és de l’any 2010, i l’actualitza, tenint en compte l’entrada en aplicació posterior del Reglament europeu (abreujat com a RGPD i d’aplicació des de 2018) i de la darrera llei espanyola de protecció de dades (LOPDGDD de 2018). (more…)