Tecnologia

El Decret 40/2025 regula el RELIC i el RPC amb novetats per garantir més transparència i eficiència en la contractació pública.

El Diari Oficial de la Generalitat de Catalunya (DOGC) ha publicat el Decret 40/2025, de l’11 de març, que regula el Registre d’empreses licitadores i classificades de Catalunya (RELIC) i el Registre públic de contractes de Catalunya (RPC). Aquesta normativa introdueix diverses millores per optimitzar la qualitat de la informació, afavorir la transparència i avançar en la contractació pública electrònica.

Entre les principals novetats, destaca la inscripció d’ofici al RELIC de la documentació presentada en les sol·licituds de classificació empresarial, així com l’obligació dels òrgans de contractació d’informar sobre canvis en els requisits per contractar o sobre la detecció d’informació falsa. A més, s’estableixen sancions per manca d’actualització de les dades, amb suspensions de cinc anys i cancel·lacions de deu anys.

Pel que fa al RPC, tots els òrgans de contractació de Catalunya hauran de comunicar-hi les dades bàsiques dels contractes sense necessitat de conveni previ. En el cas de l’Administració de la Generalitat i el seu sector públic, també serà obligatori informar sobre el compliment i l’avaluació dels contractes. A més, s’agilitza la comunicació amb la Sindicatura de Comptes i el Registre de contractes estatal a través de la Secretaria Tècnica de la Junta Consultiva de Contractació Pública de Catalunya.

El decret també garanteix l’accés públic a determinada informació durant els últims cinc anys sense necessitat d’identificació prèvia i preveu la interoperabilitat entre el Sistema corporatiu de contractació pública electrònica de Catalunya i el Directori d’empreses de la Llei 18/2020.

Aquesta nova regulació entrarà en vigor el 2 d’abril de 2025 i es completarà amb la posada en marxa d’una nova eina informàtica per a la gestió del RELIC.

L’1 d’agost de 2024 va marcar un punt d’inflexió en la regulació tecnològica europea amb l’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial, conegut com a AI Act. Aquest marc normatiu, pioner a escala mundial, té com a objectiu fomentar el desenvolupament i la implementació responsables de la intel·ligència artificial (IA) a la Unió Europea (UE), abordant els possibles riscos per a la salut, la seguretat i els drets fonamentals dels ciutadans.

L’entrada en vigor del Reglament Europeu d’Intel·ligència Artificial representa un pas decisiu cap a una regulació integral de la IA a la UE. Aquest marc normatiu estableix les bases per a un desenvolupament i ús de la IA que siguin segurs, ètics i respectuosos amb els drets fonamentals, posicionant Europa com a líder en la governança responsable de les tecnologies emergents.

L’AI Act estableix una classificació dels sistemes d’IA basada en el nivell de risc que poden representar:

1. Risc Inacceptable: Sistemes d’IA prohibits per considerar-se una amenaça per als drets fonamentals, com la manipulació subliminal que pugui provocar danys o la puntuació social per part dels governs.
2. Risc Alt: Sistemes que afecten sectors crítics com l’educació, l’ocupació, les infraestructures essencials i l’administració de justícia. Aquests sistemes estan subjectes a estrictes obligacions de transparència, supervisió humana i avaluació de conformitat abans de la seva comercialització.
3. Risc Limitat: Sistemes que requereixen obligacions específiques de transparència, com informar els usuaris que estan interactuant amb una IA, garantint així una presa de decisions informada.
4. Risc Mínim o Nul: Sistemes que representen un risc mínim per als drets o la seguretat dels usuaris i que, per tant, no estan subjectes a obligacions addicionals.

El reglament imposa diverses obligacions tant als proveïdors com als usuaris de sistemes d’IA:

• Proveïdors: Han de garantir que els sistemes d’IA de risc alt compleixin els requisits de gestió de riscos, governança de dades, documentació tècnica, transparència, supervisió humana i robustesa. A més, estan obligats a registrar aquests sistemes en una base de dades de la UE abans de la seva comercialització.
• Usuaris: Han d’utilitzar els sistemes d’IA segons les instruccions proporcionades, assegurar-se que estiguin sota supervisió humana i monitorar-ne el funcionament per informar de qualsevol incident greu o mal funcionament.

L’AI Act busca equilibrar la promoció de la innovació amb la protecció dels drets fonamentals. Al imposar obligacions proporcionals al nivell de risc, es pretén mitigar possibles danys sense, en teoria, obstaculitzar el desenvolupament tecnològic. No obstant això, sorgeixen desafiaments en la interpretació i aplicació d’aquestes normes, especialment pel que fa a la definició de les categories de risc i la implementació de mesures de supervisió i transparència.

La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.

La implantació de la xarxa mòbil de cinquena generació (5G) ja està aquí, canviarà la manera de comunicar-nos i generarà un gran impacte en la societat digital. El 5G augmentarà la velocitat de connexió, reduirà al mínim la latència i multiplicarà el nombre de dispositius connectats. Permetrà la posada en funcionament de molts productes i serveis que podran connectar-se i compartir informació en temps real, com per exemple: permetrà el treball especialitzat en remot, seria el cas de cirurgies remotes assistides; impulsarà la internet de les coses (IoT), com pot ser qualsevol dispositiu electrònic que tinguem a casa o a l’oficina (rentadora, l’alarma, l’aspirador, la impressora, etc.), promourà l’automatització industrial; l’impuls de la realitat virtual; la realitat augmentada; la creació de serveis basats en decisions automatitzades, moltes vegades utilitzant intel·ligència artificial, entre d’altres.

El passat 13 de maig, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar una nota tècnica titulada “Introducción a las tecnologías 5G y sus riesgos para la privacidad”, on realitza un primer estudi dels riscos per a la privacitat que pot comportar la cinquena generació de comunicacions mòbils (5G).

L’AEPD és conscient que el 5G tindrà un alt i impredictible impacte sobre la privacitat de les persones, i és per aquest motiu que identifica de manera no exhaustiva, possibles riscos en la privacitat, que hauran de tenir-se en compte des de les primeres fases de disseny, per tal que s’integrin en la naturalesa dels productes i serveis conforme les previsions de l’article 25RGPD. I que en molts casos, la implementació del servei o producte requerirà la necessitat de realitzar una prèvia Avaluació d’Impacte en Matèria de Protecció de Dades (AIPD). Inclús si el risc residual resultant segueix sent elevat, exigirà realitzar una consulta prèvia a l’autoritat de control. A continuació, recollim alguns dels riscos en la privacitat que l’AEPD llista en la nota tècnica publicada:  

• Geolocalització precisa de l’usuari. Una de les característiques de la xarxa 5G és l’ús de més estacions base i menys distància entre elles, que permetrà localitzar el terminal de l’usuari amb major precisió.
• Perfilat i decisions automatitzades. A través de la intel·ligència artificial i els serveis en temps real permetran la presa de decisions automatitzada de forma individual.
• No definir correctament els rols i interessos en el tractament de dades dels agents implicats; fabricants, operadors de xarxa i proveïdors de serveis. Així com, la manca de disposar d’un model homogeni de seguretat.
• A l’augmentar la superfície d’exposició, s’incrementen les oportunitats que es materialitzin amenaces de seguretat.
• Possible pèrdua de control de l’usuari sobre el flux de dades que pot impossibilitar l’exercici de drets. Caldrà proporcionar una informació clara de les transferències internacionals que pot comportar el tractament de les dades per part dels diferents agents implicats.

Per tal de crear un marc de confiança, l’AEPD proposa tenir en compte un conjunt de recomanacions. Entre elles:

• Proporcionar una informació particularment clara i comprensible, especialment, identificant els responsables del tractament, les finalitats, la presa de decisions automatitzades i l’elaboració de perfils, l’accés i l’ús de control per part dels usuaris. En aquest punt afegiríem la importància d’informar sobre les transferències internacionals, i que aquestes disposin de les garanties adequades.
• Definir clarament els rols i àmbits de responsabilitat dels desenvolupadors, fabricants, operadors i agents en matèria de protecció de dades.
• Garantir comunicacions xifrades d’extrem a extrem.
• Complir amb els principis en matèria de protecció de dades des de la fase de disseny del servei o producte.
• Aplicar criteris homogenis de seguretat en els diferents agents i segments de xarxa basats en els resultats de l’anàlisi de riscos, i en aquells casos, avaluacions d’impacte en matèria de protecció de dades, enfocats a gestionar amenaces de la xarxa 5G i no d’una operació singular.
• Gestió proactiva per verificar i poder demostrar el compliment de la norma. Realitzar auditories d’infraestructura i serveis, inclosa l’adhesió a mecanismes de certificació en protecció de dades.

     Podeu accedir a la nota tècnica completa al següent enllaç.

Els que ens dediquem a l’assessorament legal sovint hem d’explicar per què hi ha la necessitat de tenir una normativa en matèria de protecció de dades, amb tota la càrrega que implica d’obligacions, conceptes jurídics i sancions. Aquesta necessitat legal s’explica de forma entenedora per la necessitat de garantir el dret a la intimitat personal, de manera que la persona pugui tenir sempre un control sobre les seves dades de caràcter personal i evitar que se’n faci un mal ús. I això passa inevitablement per l’establiment d’obligacions a les organitzacions que recullen i tracten dades.

Imaginem ara que aquest control que la normativa reconeix a les persones no s’hagi d’articular a través d’un procediment d’exercici de drets, que pot trigar més d’un mes a resoldre’s; imaginem, per exemple, que la persona no hagi de fer una sol·licitud per verificar, rectificar les seves dades o suprimir-les en les seves relacions amb una determinada organització o administració pública, sinó que pugui exercir aquest control sense que aquesta organització hagi de rebre la seva sol·licitud ni contestar-la. Imaginem que la persona pot exercir un control directe sobre les seves pròpies dades, amb qui compartir-les i de quina manera, amb garanties de seguretat i legalitat. No ens cal imaginar gaire més, perquè això és el que planteja el model d’identitat digital autogestionada que acaba de presentar la Generalitat de Catalunya, anomenat IdentiCAT, el primer impulsat des del sector públic a Europa.

(more…)