Si la resposta és sí, la teva web està tractant dades personals. I això vol dir que no n’hi ha prou amb tenir un banner de cookies o una política de privacitat visible: cal assegurar-se que cada tractament té una base jurídica adequada, que l’usuari rep la informació necessària i que pots demostrar el compliment si t’ho demanen.

Moltes empreses pensen que amb això ja és suficient. Però, realment és així?

T’expliquem quins punts hauries de revisar per saber si la teva web compleix realment amb la normativa.

El compliment del RGPD en una web: més enllà del banner de cookies

El Reglament General de Protecció de Dades (RGPD) no exigeix només informar l’usuari, sinó gestionar correctament tot el cicle de vida de les dades personals: des del moment en què es recullen fins que s’eliminen.

Això inclou formularis, subscripcions, eines d’analítica, cookies, plataformes de màrqueting, píxels publicitaris, xats en línia, passarel·les de pagament, plugins o qualsevol altre sistema que permeti identificar una persona, directament o indirectament.

Per això, una web pot tenir textos legals visibles i, alhora, no complir correctament la normativa si no hi ha una base jurídica adequada, si el consentiment no és vàlid o si no es controla què fan els tercers amb les dades.

Et pot interessar: L’AEPD actualitza la Guia sobre l’ús de les Cookies

Errors habituals en webs que aparenten complir el RGPD

Moltes empreses disposen d’una web aparentment correcta, però amb mancances importants en matèria de protecció de dades. Alguns errors habituals són:

• Utilitzar textos legals genèrics que no reflecteixen els tractaments reals.
• Activar cookies abans que l’usuari hagi donat el consentiment.
• No oferir una opció clara per rebutjar cookies.
• Incloure formularis sense informació bàsica de protecció de dades.
• Fer enviaments comercials sense consentiment vàlid.
• No tenir contractes amb proveïdors que tracten dades.
• Recollir més dades de les necessàries.
• No definir terminis de conservació.
• No tenir procediment per atendre drets.
• No revisar periòdicament els plugins i eines instal·lades.

Aquests errors poden derivar en requeriments, reclamacions, sancions econòmiques i en una pèrdua de confiança per part dels clients i usuaris. Per això, revisar el compliment de la teva web no hauria de limitar-se a “tenir un banner visible”, sinó a comprovar que tot el tractament de dades està correctament estructurat.

Et pot interessar: Com garantir el compliment de la llei de protecció de dades en el teu negoci?

Com posar a punt la protecció de dades de la teva web?

1 | Avalua quin és el punt de partida

Abans d’actualitzar textos legals o instal·lar un nou banner de cookies, cal entendre quines dades personals recull realment la teva web i quin recorregut fan dins l’organització.

En moltes empreses, la web ha anat incorporant funcionalitats amb el temps: formularis de contacte, subscripcions a newsletters, xats en línia, eines d’analítica o píxels publicitaris. El problema és que sovint aquestes eines s’instal·len sense revisar quin impacte tenen en matèria de protecció de dades.

No és el mateix tenir una web corporativa amb un formulari bàsic que un comerç electrònic o ecommerce amb passarel·les de pagament i integracions amb tercers.

Abans d’actuar, cal identificar quines dades es recullen, amb quina finalitat, durant quant temps es conserven i quins proveïdors hi tenen accés. El principi de responsabilitat proactiva del RGPD exigeix que l’empresa no només compleixi, sinó que pugui demostrar-ho.

Et pot interessar: Política d’ús de dispositius: per què és imprescindible si la teva empresa tracta dades personals

2 | Obtén un consentiment vàlid quan sigui necessari

Un dels errors més habituals és pensar que qualsevol formulari web legitima automàticament el tractament de dades. Però el RGPD estableix que el consentiment només és vàlid quan és lliure, específic, informat i inequívoc.

Això afecta especialment formularis comercials, subscripcions a newsletters, cookies analítiques, píxels publicitaris o qualsevol eina que impliqui seguiment del comportament de l’usuari.

Les caselles premarcades, els consentiments genèrics o els banners que dificulten rebutjar cookies continuen sent pràctiques problemàtiques. L’usuari ha de poder decidir de manera clara què accepta i què no.

3 | Informa amb transparència

La política de privacitat no hauria de ser un text genèric copiat d’una altra web. Ha d’explicar de manera clara com es tracten les dades personals.

La informació ha d’indicar, com a mínim, qui és el responsable del tractament, quines dades es recullen, amb quina finalitat, quina base jurídica legitima el tractament, durant quant temps es conservaran i si existeixen cessions de dades o transferències internacionals.

També ha d’explicar com pot exercir els seus drets la persona usuària i com pot contactar amb l’empresa o amb el delegat de protecció de dades, si n’hi ha.

Aquesta informació ha d’estar disponible abans que l’usuari faciliti les seves dades, especialment en formularis de contacte, subscripció o registre.

4 | Controla els tercers que intervenen en la teva web

És habitual que una web utilitzi múltiples proveïdors externs: eines d’analítica, plataformes de newsletters, CRM, sistemes de reserves o serveis d’allotjament web… Quan aquests proveïdors tracten dades personals per compte de l’empresa, poden actuar com a encarregats del tractament, i això implica formalitzar el corresponent contracte d’encàrrec del tractament, tal com estableix l’article 28 del RGPD.

A més, cal comprovar si tracten dades fora de l’Espai Econòmic Europeu, ja que això pot implicar transferències internacionals de dades i exigir garanties addicionals.

Et pot interessar: Coordinació d’Activitats Empresarials (CAE) i protecció de dades: què cal tenir en compte per complir la normativa?

5 | Facilita l’exercici de drets

Les persones usuàries tenen dret a accedir, rectificar, suprimir, limitar, oposar-se al tractament o sol·licitar la portabilitat de les seves dades personals.

Tot i això, moltes webs informen sobre aquests drets dins la política de privacitat, però després no tenen cap procediment real per gestionar aquestes sol·licituds.

La web ha d’indicar de manera clara com es poden exercir aquests drets i oferir un canal de contacte accessible. A més, l’empresa ha de definir internament qui serà responsable de gestionar aquestes peticions i respondre dins dels terminis legals.

No n’hi ha prou amb informar: cal poder respondre adequadament quan arribi una sol·licitud.

6 | Reforça la seguretat de la informació

El RGPD obliga a aplicar mesures tècniques i organitzatives adequades al risc per protegir les dades personals.

En una web, això implica utilitzar connexions segures, limitar accessos al panell d’administració, mantenir actualitzats plugins i sistemes, fer còpies de seguretat i restringir l’accés únicament al personal autoritzat.

A més, el RGPD incorpora el principi de protecció de dades des del disseny i per defecte, cosa que implica que la privacitat s’ha de tenir en compte des del moment en què es crea o modifica una web.

7 | Defineix polítiques i processos interns

El compliment normatiu de la web no depèn únicament del departament legal o de la persona que ha desenvolupat la pàgina. Màrqueting, vendes, administració o equips tècnics poden incorporar noves eines, formularis o sistemes de seguiment sense revisar-ne l’impacte legal.

Per això, és important definir responsabilitats internes i revisar periòdicament qualsevol canvi que afecti el tractament de dades.

8 | Documenta tot el compliment

El RGPD es basa en el principi de responsabilitat proactiva, i això vol dir que l’empresa ha de poder demostrar que compleix.

Això implica conservar registres dels consentiments obtinguts, els contractes amb proveïdors, les polítiques actualitzades, les anàlisis de riscos i els procediments interns implantats. Si una autoritat de control sol·licita informació, no serà suficient dir que la web compleix: caldrà acreditar-ho documentalment.

Una pàgina web que informa de manera clara, demana només les dades necessàries i respecta les decisions de l’usuari transmet professionalitat, seguretat i confiança.

A ON4 t’ajudem a revisar la teva web, adaptar els textos legals, configurar correctament les cookies i definir els processos interns necessaris perquè el teu negoci compleixi el RGPD.

La entrada La teva web compleix realment amb el RGPD o només ho sembla? s'ha publicat primer a On4.

Aquest dubte és cada cop més habitual. Amb la quantitat d’informació que circula a Internet i amb les possibilitats de la intel·ligència artificial, és fàcil trobar continguts que semblen fiables, però que no sempre ho són.

De fet, organismes com l’Institut Nacional de Ciberseguretat (INCIBE) alerten que la desinformació i els anomenats bulos formen part dels principals riscos digitals actuals, tant en l’àmbit personal com professional. Per això, saber identificar si una notícia és fiable s’ha convertit en una habilitat imprescindible.

T’expliquem què són les fake news, on es poden trobar i quins passos has de seguir per verificar una informació abans de creure-la o compartir-la.

Què són exactament les fake news i els deepfakes?

Les notícies falses (fake news) són continguts manipulats que busquen desinformar, generar alarma o influir en la nostra opinió. Sovint no són notícies completament inventades, sinó informació real treta de context o presentada de manera esbiaixada.

D’altra banda, els deepfakes són una forma més avançada de manipulació: són vídeos, àudios o imatges alterats mitjançant IA per fer que algú sembli que diu o fa coses que mai han passat.

Et deixem alguns exemples per entendre la diferència:

• L’ús creatiu (deepfake): El famós anunci de Cruzcampo “Con mucho acento”, on es va “ressuscitar” l’artista Lola Flores. Tot i que en aquest cas el seu ús era comercial i ètic (amb permís de la família), demostra el potencial de la tecnologia per recrear persones de forma hiperrealista.

• L’engany viral (deepfake amb IA): Segurament recordes la imatge del Papa Francisco amb un abric blanc o les imatges d’un suposat arrest de Donald Trump que mai va tenir lloc. Són exemples recents d’imatges generades per IA que van enganyar milions de persones.

• Exemple de fake news típica: Durant catàstrofes naturals (com la recent DANA a València) o crisis sanitàries, solen aparèixer missatges falsos de WhatsApp que alerten de talls d’aigua imminents o cures miraculoses sense cap base científica, amb l’únic objectiu de generar caos.

Per què hi caiem? El parany de la psicologia

La desinformació no es propaga només per falta de dades, sinó per la nostra pròpia psicologia:

1. Impacte emocional: Els continguts que generen por o ràbia es comparteixen molt més ràpidament.
2. Biaix de confirmació: Tenim tendència a creure i compartir allò que confirma les nostres idees prèvies. Si una notícia falsa reforça el que ja pensem, és més probable que no la verifiquem.

Què cal fer abans de confiar en una notícia?

Abans de compartir, atura’t i segueix aquests 6 passos per verificar una informació:

1 | Verifica la font

És important comprovar qui publica la informació. Es tracta d’un mitjà conegut? Hi ha un autor identificat?

Les fonts poc clares o sense autoria són un dels indicadors més habituals de desinformació.

2 | Llegeix més enllà del titular

Els titulars sensacionalistes estan pensats per captar l’atenció. Per això, és important llegir el contingut complet i no quedar-se només amb la primera impressió.

Un senyal d’alerta habitual és quan el titular promet més del que realment explica el contingut, o utilitza expressions impactants per generar curiositat o alarma.

3 | Contrasta la informació

Si una notícia és real, és probable que també aparegui en altres mitjans fiables o fonts oficials. Quan només es troba en un sol lloc, cal desconfiar.

4 | Revisa l’URL

Alguns webs imiten mitjans coneguts amb adreces molt semblants. Petites variacions poden indicar que es tracta d’una pàgina no fiable.

5 | Analitza les imatges i el contingut

Imatges fora de context, de baixa qualitat o textos amb errors poden ser un senyal d’alerta. També és habitual reutilitzar imatges antigues per reforçar notícies falses.

Utilitza eines com Google Lens o TinEye per fer una cerca inversa d’imatges. Això et dirà si la foto és antiga o s’està utilitzant fora de context.

6 | Atura’t abans de compartir

Abans de reenviar una notícia, val la pena fer una última comprovació. Compartir continguts falsos contribueix a amplificar la desinformació.

Eines que poden ajudar a verificar informació

A més de les comprovacions bàsiques, hi ha plataformes especialitzades que poden ajudar a contrastar continguts.

• Per a notícies: Maldita, Newtral, RTVE Verifica, AFP Factual o EFE Verifica.
• Per a vídeos i fotos fets amb IA: Deepware, Sensity, The Hive, InVID WeVerify o Illuminarty.

Aquestes plataformes estan especialitzades en verificació de dades (fact-checking). Però, més enllà de les eines, el factor principal continua sent el pensament crític. Quan una notícia genera alarma, urgència o apel·la a compartir-la immediatament, és recomanable aturar-se i verificar-la abans de donar-la per bona.

També et pot interessar: Cómo comprobar si un enlace es malicioso

I en l’àmbit professional?

En una empresa, difondre informació falsa pot provocar danys reputacionals greus o, fins i tot, pèrdues econòmiques per decisions basades en dades incorrectes. A més, moltes fake news s’utilitzen com a “ganxo” per a atacs de ciberseguretat (com el phishing) o per obtenir il·legalment dades personals.

Et pot interessar: Riscos de la intel·ligència artificial: Protegeix la teva empresa i les teves dades

Per aquest motiu, organismes com l’Institut Nacional de Ciberseguretat (INCIBE) o l’Agència Espanyola de Protecció de Dades (AEPD) recomanen fomentar el pensament crític i establir protocols interns per validar la informació abans que circuli per l’entorn laboral.

En molts casos, una comprovació ràpida pot evitar errors i riscos innecessaris. A ON4 t’ajudem a implantar bones pràctiques en l’ús de la informació i la tecnologia, amb accions de sensibilització, protocols interns i assessorament en matèria de protecció de dades i entorns digitals.

La entrada Com saber si una notícia és falsa: passos per detectar fake news s'ha publicat primer a On4.

Aquesta qüestió ha estat analitzada recentment pel Tribunal Suprem en la Sentència 1302/2024, de 21 de novembre de 2024, en relació amb el contingut del registre retributiu i els límits derivats de la protecció de dades.

Aquesta classe de situacions no són excepcionals. En moltes empreses, la voluntat de complir amb la transparència retributiva conviu amb el dubte de si s’està exposant informació sensible de la plantilla.

En aquest article t’expliquem què diu la normativa i quin criteri fixa el Tribunal Suprem.

Et pot interessar: El repte del Pla d’Igualtat: per què moltes empreses encara no l’han implantat?

El registre retributiu: què exigeix la normativa?

El registre retributiu està regulat a l’article 28.2 de l’Estatut dels Treballadors i desenvolupat pel Reial decret 902/2020 sobre igualtat retributiva.

Aquesta normativa estableix que les empreses han de disposar d’un registre amb els valors mitjans de les retribucions de la seva plantilla, desagregats per sexe i per llocs de treball d’igual valor.

Això inclou:

• Mitjana aritmètica: és la mitjana dels salaris dins d’un mateix grup o lloc de treball. Permet tenir una visió general del nivell retributiu.
• Mediana: és el valor central dels salaris. És especialment útil perquè evita distorsions quan hi ha sous molt alts o molt baixos.
• Conceptes salarials: el registre no només inclou el salari base, sinó també altres conceptes com complements, variables o percepcions extrasalarials.

L’objectiu no és conèixer el salari de cada persona treballadora, sinó detectar possibles desigualtats retributives entre dones i homes. Tal com recorda el Tribunal Suprem, el registre retributiu es basa en dades agregades, no en informació individualitzada.

Et pot interessar: Què és el registre retributiu? Coneix les claus per a una remuneració equitativa

El problema: quan la dada deixa de ser anònima

En la pràctica, però, aquesta lògica no sempre és tan clara.

Quan es treballa amb grups reduïts, la mitjana aritmètica o la mediana poden permetre identificar indirectament el salari d’una persona.

Això és habitual en llocs de treball amb poca plantilla, categories molt específiques i estructures amb baixa representació d’un dels sexes. En aquests casos, la transparència pot entrar en conflicte amb la protecció de dades personals.

El criteri del Tribunal Suprem

Aquesta qüestió ha estat resolta pel Tribunal Suprem en la Sentència 1302/2024.

El Tribunal estableix que el registre retributiu:

• Ha d’incloure valors mitjans, no salaris individuals.
• No pot incorporar dades que permetin identificar persones concretes.
• Ha de respectar el principi de minimització de dades.

Per tant, el Tribunal conclou que no existeix una obligació legal que justifiqui facilitar dades que permetin identificar la retribució individual d’una persona treballadora.

Quan s’han d’incloure les dades?

Més enllà del marc legal, la sentència aporta un criteri pràctic clau per a les empreses.

Segons el cas analitzat, es poden incloure mitjanes i medianes quan:

• Hi ha tres o més persones en cada sexe dins del lloc de treball.

No s’han d’incloure dades quan:

• Hi ha una sola persona en un sexe.
• Hi ha una persona per sexe.
• Hi ha només dues persones en un mateix sexe.

En aquests supòsits, la informació deixa de ser agregada i pot permetre identificar salaris individuals, fet que vulneraria la confidencialitat.

Protecció de dades i Pla d’Igualtat: una relació directa

El registre retributiu forma part del Pla d’Igualtat, però això no vol dir que quedi fora de la normativa de protecció de dades.

De fet, totes les dades que s’hi inclouen són dades personals i, per tant, han de tractar-se d’acord amb el Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals.

Això implica que les empreses han de:

• Tractar únicament les dades necessàries: el registre ha de contenir informació suficient per analitzar possibles desigualtats, però sense incorporar dades innecessàries.
• Evitar la identificació directa o indirecta de persones: especialment en grups reduïts, on una mitjana o mediana pot revelar el salari d’una persona concreta.
• Garantir la seguretat de la informació: establint mesures que evitin accessos no autoritzats o usos indeguts de les dades.
• Justificar qualsevol tractament de dades personals: només es poden tractar dades quan existeix una base legal clara, com és el compliment d’una obligació normativa.

El registre retributiu no legitima, per si sol, l’accés a dades salarials individualitzades, ja que la normativa exigeix treballar amb valors mitjans i respectar el principi de minimització de dades.

Et pot interessar: Com garantir el compliment de la llei de protecció de dades en el teu negoci?

Les empreses han de revisar com estan elaborant el seu registre retributiu i assegurar-se que les dades són realment agregades, no es poden identificar persones en grups reduïts i es respecta l’equilibri entre transparència i confidencialitat.

La manca d’aquest equilibri pot comportar riscos tant en matèria d’igualtat com de protecció de dades, ja sigui perquè el registre no permet analitzar correctament possibles desigualtats retributives, o perquè es faciliten dades que poden arribar a identificar salaris individuals sense base legal suficient, amb el consegüent risc de requeriments o conflictes interns.

La transparència retributiva és una obligació legal, però no és absoluta. Segons el Tribunal Suprem, ha de conviure amb el dret a la protecció de dades personals.

A ON4 t’ajudem a revisar el teu registre retributiu i el Pla d’Igualtat per garantir que compleixen amb la normativa vigent i s’adapten a la realitat de la teva empresa.

Contacta amb nosaltres

La entrada Protecció de dades en el Pla d’Igualtat: fins on arriba el registre retributiu? s'ha publicat primer a On4.

Aquest tipus de pronunciaments ja no són excepcionals. 

El dret a la desconnexió digital forma part de l’ordenament jurídic espanyol des de l’any 2018. Set anys després de l’entrada en vigor de la LOPDGDD, el marge de millora en matèria de desconnexió digital continua sent ampli. La inexistència de protocols, la seva aplicació merament formal o la manca de formació evidencien que, en moltes organitzacions, la cultura de compliment en aquest àmbit encara és insuficient. 

En aquest article t’expliquem per què el dret a la desconnexió digital no és una qüestió accessòria, sinó una obligació legal directament vinculada al descans, a la intimitat i a la salut laboral. 

Et pot interessar: Dret a la desconnexió digital: Què és i què passa si no es respecta? 

El marc legal del dret a la desconnexió digital 

El dret a la desconnexió digital està reconegut a l’article 88 de la Llei Orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). 

Aquest article estableix que les persones treballadores i empleades públiques tenen dret a la desconnexió digital fora del temps de treball legal o convencionalment establert, amb la finalitat de garantir el respecte al descans, als permisos, a les vacances i a la seva intimitat personal i familiar. 

Així mateix, la norma imposa a l’empresa l’obligació d’elaborar una política interna de desconnexió digital, comunicada a la representació de les persones treballadores. Aquesta política ha de definir les modalitats d’exercici del dret i ha d’incloure accions de formació i sensibilització sobre un ús raonable de les eines tecnològiques. 

Aquesta obligació és aplicable a totes les empreses, amb independència del nombre de persones treballadores en plantilla, i inclou expressament les persones que ocupen càrrecs directius, així com als supòsits de treball a distància o teletreball. 

Protocol de desconnexió digital i convenis col·lectius 

Tot i que molts convenis col·lectius incorporen referències al dret a la desconnexió digital, la seva regulació és sovint genèrica o limitada a una remissió a la normativa legal. 

Tot i això, l’absència de regulació específica en el conveni col·lectiu aplicable no elimina l’obligació empresarial de disposar d’un protocol de desconnexió digital propi, adaptat a l’organització, a l’activitat i als sistemes de treball existents. 

Et pot interessar: El derecho a la desconexión digital fuera del horario laboral 

Audiència o negociació? El criteri del Tribunal Suprem 

Aquesta qüestió ha estat analitzada recentment pel Tribunal Suprem en la Sentència STS 1041/2025, d’11 de novembre de 2025 (Recurs 204/2024). 

En aquesta resolució, el Tribunal Suprem ratifica el criteri de l’Audiència Nacional i confirma que la LOPDGDD exigeix de manera obligatòria el tràmit d’audiència prèvia a la representació legal de les persones treballadores en l’elaboració del protocol de desconnexió digital, però no imposa l’obligació de negociar-lo, llevat que així ho estableixi expressament el conveni col·lectiu aplicable. 

El Tribunal assenyala que la política interna de desconnexió digital ha d’atendre les exigències legals i convencionals, però que el compliment del tràmit d’audiència prèvia és suficient des del punt de vista legal quan no existeix una previsió convencional que imposi la negociació col·lectiva. 

El dret a la desconnexió digital en el punt de mira de la Inspecció de Treball 

El dret a la desconnexió digital ha estat incorporat de manera expressa en el Pla Estratègic de la Inspecció de Treball i Seguretat Social 2025–2027, aprovat pel Consell de Ministres el 26 d’agost de 2025 i publicat al Butlletí Oficial de l’Estat el 12 de setembre de 2025 mitjançant Resolució de la Secretaria d’Estat de Treball. 

Aquest Pla preveu actuacions específiques en matèria de desconnexió digital, amb una visió global que té en compte no només el temps de treball, sinó també els drets de conciliació de la vida personal, familiar i laboral, el dret a la intimitat i la possible exposició a riscos psicosocials derivats de la hiperconnexió. 

Aquest context reforça la idea que la desconnexió digital no és només una qüestió organitzativa, sinó un element que pot donar lloc a actuacions inspectores, requeriments formals i eventuals responsabilitats empresarials. 

Et pot interessar: La conciliació, una mesura clau en els Plans d’Igualtat 

Obligacions legals de les empreses en matèria de desconnexió digital 

Les empreses han de: 

• Elaborar una política interna o protocol de desconnexió digital, aplicable a totes les persones treballadores, incloses aquelles que ocupen càrrecs directius, tenint en compte el que disposi el conveni col·lectiu d’aplicació. 
• Incloure accions de formació i sensibilització sobre un ús raonable de les eines tecnològiques que eviti el risc de fatiga informàtica. 
• Complir el tràmit d’audiència prèvia a la representació legal de les persones treballadores, sense que sigui exigible la negociació o l’acord, quan aquesta existeixi, abans de l’aprovació del protocol. 

La manca de protocol, la seva aplicació merament formal o l’absència d’accions de sensibilització poden comportar conseqüències com requeriments de la Inspecció de Treball, conflictes col·lectius, reclamacions individuals i eventuals indemnitzacions per vulneració de drets fonamentals, especialment quan es vinculen a la salut laboral o als riscos psicosocials. 

Com s’elabora un protocol de desconnexió digital 

L’elaboració d’un protocol de desconnexió digital no consisteix només a redactar un document, sinó a analitzar la realitat de l’empresa, els seus sistemes de treball i els riscos de hiperconnexió, tenint en compte el conveni col·lectiu aplicable i la resta de polítiques internes. 

Des d’un punt de vista de compliance laboral, és clau que el protocol: 

A més, el procés ha d’incloure el tràmit d’audiència prèvia amb la representació legal de les persones treballadores i la seva correcta integració dins dels sistemes interns de compliment normatiu. 

A ON4 t’ajudem a analitzar, dissenyar i implantar protocols de desconnexió digital adaptats a l’activitat de la teva empresa. 

La entrada Desconnexió digital: una assignatura pendent en compliance laboral  s'ha publicat primer a On4.

Aquest flux constant de certificats, formacions, DNI, aptituds o dades de contacte és habitual en la Coordinació d’Activitats Empresarials (CAE), i això implica tractar i compartir dades personals entre diferents organitzacions.

Si aquest intercanvi no es controla adequadament, pot comportar riscos de compliment legal. Aquí és on la CAE i la protecció de dades es troben. T’expliquem què diu la normativa i què ha de tenir en compte qualsevol empresa que participa en un procés de CAE.

Et pot interessar: Com garantir el compliment de la llei de protecció de dades en el teu negoci?

Marc legal de la CAE i la protecció de dades

La Coordinació d’Activitats Empresarials (CAE) és una obligació legal prevista a la Llei 31/1995 de Prevenció de Riscos Laborals (LPRL) i desenvolupada pel Reial decret 171/2004. El seu objectiu és garantir que totes les empreses que treballen en un mateix centre de treball comparteixin la informació necessària per prevenir riscos i treballar de manera segura.

Aquesta coordinació implica inevitablement intercanviar documentació i dades personals del personal que accedeix al centre. Per això, la CAE també té un impacte directe en la protecció de dades i exigeix complir els requisits del Reglament General de Protecció de Dades (RGPD) i de la Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD).

Et pot interessar: Documentació oficial de l’INSST sobre Coordinació d’Activitats Empresarials

Quina mena de dades es tracten en la CAE?

En un procés de Coordinació d’Activitats Empresarials, les empreses han de facilitar documentació per acreditar que el personal pot accedir i treballar de manera segura dins del centre.

Això fa que la CAE impliqui el tractament de diverses categories de dades personals:

• Dades identificatives: nom, cognoms, DNI/NIE, passaport o fotografia.
• Dades laborals bàsiques: categoria professional, empresa d’origen, dates de contractació o durada del servei.
• Formació i acreditacions: cursos de prevenció de riscos laborals, permisos, carnets professionals o certificats requerits pel lloc de treball.
• Aptituds per al lloc de treball: habitualment la conclusió del servei de prevenció (“Apta/Apta amb restriccions”).
• Dades de contacte: telèfon o correu corporatiu, si són necessaris per a la coordinació.

El RGPD estableix que només es poden tractar i compartir les dades estrictament necessàries per complir la normativa de prevenció de riscos laborals (principi de minimització, art. 5.1.c RGPD).

Qui és responsable del tractament en un procés de CAE?

No hi ha un únic responsable del tractament per defecte. Cada empresa és responsable de les dades que tracta i comparteix, i per això és essencial definir bé els rols:

1 | Empresa titular del centre de treball

És responsable dels tractaments de dades que duu a terme per verificar el compliment de la normativa de prevenció de riscos i gestionar l’accés al centre.

2 | Empreses contractistes i subcontractistes

Són responsables de les dades del seu propi personal i les comuniquen a l’empresa principal quan és necessari per complir les obligacions de la CAE.

3 | Plataformes CAE o eines de gestió documental

Quan s’utilitza una plataforma digital per intercanviar documentació, aquesta actua com a encarregada del tractament, tal com estableix l’article 28 del RGPD. Això exigeix signar el corresponent contracte d’encàrrec i verificar les seves mesures de seguretat.

Errors habituals en la CAE que vulneren el RGPD (i com evitar-los)

En molts centres de treball, la gestió de la CAE es fa de manera ràpida i pràctica… però sovint sense criteri de protecció de dades. Alguns errors habituals són:

Una bona gestió de la CAE redueix riscos, evita exposició de dades i fa el dia a dia molt més àgil. I, sobretot, garanteix que les obligacions de prevenció i protecció de dades es compleixen de manera segura i eficient.

A ON4 t’ajudem en tot el procés de regulació de la gestió de dades de manera ordenada, segura i totalment alineada amb la normativa vigent.

La entrada Coordinació d’Activitats Empresarials (CAE) i protecció de dades: què cal tenir en compte per complir la normativa? s'ha publicat primer a On4.

El resultat és sempre el mateix: un Pla pendent… i un risc creixent per a l’empresa. 

En aquest article analitzem per què passa i què cal tenir en compte per implantar-lo amb garanties. 

Et pot interessar: La igualtat de gènere, el gran repte de les empreses 

Què és exactament un Pla d’Igualtat? 

Un Pla d’Igualtat és un document estratègic que conté un conjunt de mesures per garantir la igualtat real entre dones i homes dins l’organització. No és un formulari ni un tràmit a complir: és un projecte que requereix anàlisi, participació i seguiment. 

Segons la Llei Orgànica 3/2007 i el Reial Decret 901/2020, un Pla d’Igualtat ha d’incloure: 

• Diagnòstic complet de la situació de l’empresa (i també estudi de bretxa salarial). 

• Objectius i mesures per corregir desigualtats. 

• Calendari d’aplicació. 

• Indicadors i sistemes de seguiment. 

• Protocol de prevenció de l’assetjament sexual i per raó de sexe (obligatori per totes les empreses, tinguin Pla o no). 

• Registre oficial al REGCON (Registre i Dipòsit de Convenis i Acords Col·lectius de Treball). 

És, per tant, una eina de gestió que impacta en polítiques de contractació, promoció, remuneració, conciliació i cultura interna. 

Qui està obligat a tenir un Pla d’Igualtat? 

Hi ha diversos supòsits en què l’empresa ha d’elaborar i implantar un Pla d’Igualtat. Segons la Llei Orgànica 3/2007, modificada pel Reial Decret-llei 6/2019, i el Reial Decret 901/2020, els casos són: 

• Les empreses de 50 o més persones treballadores. 

• Les empreses obligades per conveni col·lectiu. 

• Les empreses obligades per resolució d’autoritat laboral. 

• Les empreses que participen en licitacions públiques on es requereixi. 

Et pot interessar: Tot el que has de saber per implantar un Pla d’Igualtat a la teva empresa 

Requisit tècnic imprescindible: registrar-lo al REGCON 

Tal com estableix el RD 901/2020, un Pla d’Igualtat no es considera vàlid fins que no s’ha registrat al REGCON. Això és clau perquè: 

• Acredita davant Inspecció que el Pla existeix i està vigent. 

• Permet accedir a ajudes i licitacions. 

• Dona validesa jurídica al procés de negociació amb la RLT. 

El registre es fa de manera telemàtica i requereix documentació detallada: diagnòstic, actes de la comissió negociadora, calendari d’aplicació i indicadors de seguiment. 

Per què moltes empreses encara no han implantat el Pla d’Igualtat? 

Tot i l’obligatorietat, moltes empreses, sobretot pimes, encara no disposen d’un Pla d’Igualtat. Els motius solen ser una combinació de factors: 

1 | Desconeixement de la normativa i del seu abast real 

Una bona part de les pimes desconeixen que la llei exigeix tenir un Pla d’Igualtat. També és habitual confondre “tenir un protocol de prevenció de l’assetjament” amb “tenir un Pla d’Igualtat”. El protocol és obligatori per a totes les empreses, però no substitueix el Pla. 

2 | Complexitat tècnica del procés 

Elaborar un Pla d’Igualtat implica un treball exhaustiu: diagnòstic, dades desglossades per sexe, anàlisi de bretxa salarial, negociació amb la RLT, definició de mesures… Sense experiència prèvia, el procés pot ser feixuc i fàcil de bloquejar-se. 

3 | Manca de temps i recursos per prioritzar-lo 

El Pla d’Igualtat requereix dedicació i, en empreses petites, sovint falta personal especialitzat per assumir-lo. El dia a dia sovint deixa poc marge per abordar un procés tècnic i estructurat. El Pla queda pendent davant altres urgències. 

4 | Dificultat per percebre els beneficis 

Quan una empresa veu el Pla d’Igualtat com un simple tràmit, és fàcil que no el prioritzi. 

Tanmateix, un Pla ben elaborat pot aportar retenció del talent, millora del clima laboral, reducció de conflictes, relacions laborals més equilibrades, avantatge en concursos públics i ajudes i millor reputació corporativa. 

Et pot interessar: La conciliació, una mesura clau en els Plans d’Igualtat  

5 | Por a “no fer-lo bé” o a les obligacions que comporta 

Algunes empreses temen que el Pla impliqui massa burocràcia, mesures difícils d’implementar, exigències costoses o conflictes interns si no hi ha cultura d’igualtat. Aquesta por, sumada al desconeixement, contribueix a ajornar-lo. 

Quines conseqüències té no disposar d’un Pla d’Igualtat? 

Les sancions poden variar en funció de la gravetat de la infracció i l’autoritat laboral competent. No complir amb l’obligació pot comportar: 

• Sancions econòmiques: Segons la LISOS (Llei sobre Infraccions i Sancions en l’Ordre Social), no tenir Pla d’Igualtat quan és obligatori pot suposar multes de fins a 225.018 euros en casos greus. 

• Pèrdua d’ajudes i subvencions públiques: Moltes administracions requereixen el Pla com a requisit per accedir a programes de suport i contractació pública. 

• Risc reputacional: La igualtat forma part de la cultura corporativa i de la imatge de marca. Un incompliment pot afectar la confiança, l’atracció de talent i la relació amb clients i institucions. 

• Limitacions en licitacions i concursos: Sense un Pla registrat al REGCON, l’empresa pot quedar exclosa de processos. 

Tot i l’obligatorietat i la importància estratègica que té, el Pla d’Igualtat continua sent un dels processos que més es retarden dins les empreses. I, més enllà de l’obligació legal, els Plans d’Igualtat són una oportunitat per construir organitzacions més justes, transparents i competitives. 

Si la teva empresa necessita assessorament, a ON4 podem acompanyar-te en tot el procés: diagnòstic, elaboració, implantació i registre. 

La entrada El repte del Pla d’Igualtat: per què moltes empreses encara no l’han implantat? s'ha publicat primer a On4.

Sigui quin sigui el motiu, totes comparteixen una mateixa necessitat: trobar formacions útils, actuals i adaptades a la realitat del seu equip.

A ON4 oferim programes dissenyats perquè empreses i professionals adquireixin noves competències i les puguin aplicar de manera efectiva en el seu dia a dia. Amb aquesta idea al cap, hem recopilat les formacions més sol·licitades del 2025.

Per què apostar per la formació bonificada

La formació no hauria de ser un luxe. Gràcies a la formació bonificada per a empreses, qualsevol organització pot capacitar el seu equip sense assumir grans costos, ja que les empreses poden recuperar part o la totalitat de la inversió a través de les quotes de la Seguretat Social.

A més de ser una eina de creixement professional, és també una forma de millorar la productivitat, el clima laboral i la retenció del talent. Formar-se és, en definitiva, una inversió que retorna valor.

Si vols saber com funciona la formació bonificada i com pots aprofitar el crèdit formatiu de la teva empresa, t’expliquem detalladament què és i com funciona la formació bonificada per a empreses en aquest altre article.

Les formacions imperdibles d’ON4 aquest 2025

A continuació, et presentem els cinc cursos més sol·licitats per les empreses aquest any, pensats per adquirir noves competències i posar en pràctica els aprenentatges en el dia a dia laboral.

1. Curs RGPD i Ciberseguretat

Formadora: Laura Vila.
Durada: 36 h online | 5 h presencials.

La protecció de dades continua sent un dels punts més delicats per a qualsevol empresa. Aquest curs dona les claus per entendre i aplicar correctament la normativa (RGPD) i per establir mesures de ciberseguretat reactives i preventives.

Objectius i públic:
Dirigit a persones interessades en conèixer la normativa bàsica de protecció de dades i que vulguin assumir el rol de responsables de seguretat dins l’empresa.

Contingut destacat:

• Drets de l’interessat i figures principals.
• Transferències internacionals de dades.
• Responsabilitats i sancions.
• Mesures pràctiques de ciberseguretat.

2. Implementació pràctica de LLM’s, GPTs personalitzats i automatització amb n8n (nivell avançat IA)

Formador: Albert Farré.
Durada: 10 h presencials i online.

Moltes empreses es pregunten com poden aprofitar la intel·ligència artificial de manera pràctica i autònoma, sense dependre de tercers ni d’eines externes.

Aquest curs permet professionalitzar-se en l’ús de la IA aplicada, aprenent a crear fluxos automatitzats i models GPT personalitzats a partir de les pròpies dades de l’empresa.

Objectius i públic:
Aprendre a implementar i adaptar la IA a l’àmbit corporatiu segons les necessitats de l’usuari, programant, entrenant i personalitzant models específics.

Contingut destacat:

• Instal·lació local de LLM’s.
• Entrenament amb dades pròpies i ús de GPT personalitzats.
• Creació de fluxos automatitzats amb n8n.
• Casos pràctics i consideracions ètiques.

3. Curs de Manipulador d’Aliments

Formadora: Gemma Fernández.
Durada: 4 h presencials i online.

Aquest curs assegura que els treballadors adquireixin hàbits d’higiene i seguretat alimentària complint amb la normativa.

Objectius i públic:
Capacitar el personal que manipula, transporta o emmagatzema aliments, incorporant bones pràctiques d’higiene i seguretat.

Contingut destacat:

• Neteja i desinfecció.
• Control de plagues.
• Bones pràctiques de manipulació.
• Traçabilitat i condicions de transport.
• Prohibicions i incompatibilitats.

4. Curs d’Organització i Comunicació d’Equips

Formadores: Meritxell Benavente i Esther Algarra.
Durada: 5 h presencials i online.

Quan la comunicació falla, es nota: tasques duplicades, malentesos i estrès dins l’equip. Aquesta formació ajuda a millorar la coordinació i la comunicació interna per aconseguir equips més cohesionats i eficients.

Objectius i públic:
Formació lliure orientada a l’organització i comunicació d’equips de treball per afavorir l’èxit professional.

Contingut destacat:

• Fonaments de la comunicació efectiva.
• Tècniques per millorar la comunicació interpersonal.
• Organització i ordre.
• Compromís personal i identificació de les àrees de millora.

5. Curs d’Introducció i Conceptes Bàsics sobre Igualtat

Formadores: Filo Rodié i Esther Algarra.
Durada: 2 h presencials i online.

La igualtat no és només una obligació legal, sinó un valor estratègic per a les empreses que volen créixer de manera sostenible i saludable.

Objectius i públic:
Sensibilitzar el personal de les empreses per garantir el compliment de la normativa d’igualtat.

Contingut destacat:

• Rols i estereotips de gènere.
• Llenguatge inclusiu.
• Conciliació i corresponsabilitat.
• Prevenció de l’assetjament.
• Violència en l’àmbit digital.
• Pla d’igualtat i accions a l’empresa.

Prepara el teu equip per al 2026

Ara que encarem la recta final de 2025, és moment de continuar formant-se, assolir nous objectius i preparar el terreny per al 2026.

A ON4 t’ho posem fàcil: t’ajudem a detectar necessitats, dissenyar plans formatius i gestionar la bonificació perquè cada hora invertida aporti valor real.

Si vols saber quina formació s’adapta millor a la teva empresa,

La entrada Els imperdibles d’ON4: les 5 formacions clau per a la teva empresa s'ha publicat primer a On4.

Organismes com l’Agència Espanyola de Protecció de Dades ja han elaborat documents específics per guiar les organitzacions en aquest àmbit. Per a més informació, consulta la Nota tècnica (PDF) de l’AEPD sobre com protegir les dades en entorns de teletreball. 

I és que, quan es treballa fora de l’oficina —a través de xarxes domèstiques, connexions públiques o dispositius sense la configuració adequada—, les dades són més vulnerables a accessos no autoritzats, pèrdues o atacs. 

Tot plegat fa imprescindible disposar d’una política de governança i ús de dispositius corporatius que reguli clarament les condicions d’ús i les mesures de seguretat aplicables, especialment quan aquests equips són utilitzats per personal que accedeix o tracta dades confidencials. 

Per a què serveix la política d’ús de dispositius? 

L’objectiu principal d’aquesta política és prevenir riscos associats a l’ús indegut dels dispositius —com ara pèrdues d’informació, accessos no autoritzats, instal·lació de programari maliciós o exposició a xarxes insegures—, així com delimitar responsabilitats i garantir el compliment del marc legal. 

La política d’ús de dispositius hauria de contemplar, entre d’altres: 

• Els dispositius que poden ser assignats i les seves condicions d’ús. 

• Els criteris de seguretat aplicables: contrasenyes, xifratge, actualitzacions, antivirus, etc. 

• Els usos permesos i prohibits. 

• Les responsabilitats de la persona usuària. 

• El procediment de retorn o substitució del dispositiu. 

En absència d’una política clara, l’empresa o entitat pot veure’s exposada a incidències de seguretat que afectin dades personals i, per tant, a conseqüències legals i reputacionals greus. Aquestes mesures no només són recomanables, sinó que també estan recollides en el marc normatiu vigent. 

Quin marc normatiu ho exigeix? 

Disposar d’una política d’ús de dispositius no només és una bona pràctica: és una obligació legal si es tracten dades personals. Això queda recollit en dues normatives fonamentals: 

• Reglament (UE) 2016/679, General de Protecció de Dades (RGPD): obliga els responsables del tractament a aplicar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, incloent-hi la protecció davant accessos no autoritzats o la pèrdua de dades. Una política d’ús de dispositius és una d’aquestes mesures. 

• Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD): reforça l’obligació d’establir polítiques internes i mesures que assegurin el compliment del RGPD i protegeixin els drets digitals del personal. 

Aquests dos textos són clars: les empreses han de controlar com es gestionen les dades personals dins i fora de les seves instal·lacions, també a través dels dispositius que assignen. 

Una guia per començar amb garanties 

Per a moltes empreses que volen implantar una política d’ús de dispositius, una bona base és la guia elaborada per l’Institut Nacional de Ciberseguretat (INCIBE). Entre altres aspectes, la guia recomana: 

• Mantenir un inventari actualitzat dels dispositius assignats. 

• Establir normes de configuració i protecció (contrasenyes, antivirus, xifratge…). 

• Delimitar l’ús professional respecte de l’ús personal. 

• Definir com s’han de gestionar les incidències (software maliciós, pèrdua, robatori). 

• Formar el personal en relació amb bones pràctiques i riscos de seguretat associats als dispositius. 

A més de millorar la seguretat de la informació, tenir una política basada en aquestes directrius demostra el compromís de l’empresa o entitat amb la protecció de dades, tant davant d’auditories com en la gestió quotidiana dels riscos. Si vols veure un exemple real, pots consultar la Política d’ús de dispositius mòbils i PDA (Personal Device Assistant) del Cambridge College. 

Com implementar-la amb garanties? 

Si assignes portàtils, mòbils o altres equips a persones que accedeixen a dades personals o informació sensible, és imprescindible disposar d’una política clara i adaptada a la realitat i els riscos concrets de la teva empresa i ser entesa i acceptada per totes les persones que faran ús dels equips. 

A ON4 t’assessorem en tot el procés: des de l’anàlisi de riscos fins a la redacció, validació jurídica i formació del personal. Contacta amb nosaltres i protegeix la informació de la teva empresa, des del dispositiu més petit fins al sistema més complex. 

La entrada Política d’ús de dispositius: per què és imprescindible si la teva empresa tracta dades personals s'ha publicat primer a On4.

Responem les preguntes més freqüents per entendre què implica aquest canvi. 

Què ha decidit l’AEPD? 

L’AEPD ha ordenat que es posi fi a la comunicació i tractament de dades personals d’empresaris autònoms provinents del cens cameral. 

• Cámara de España ha de deixar de cedir dades a Camerdata. 

• Camerdata ha de deixar de tractar aquestes dades, eliminar-les i cessar la comunicació a empreses com Informa, Iberinform Internacional i Datacentric. 

• Informa, Iberinform Internacional i Datacentric han de suprimir les dades i no podran tornar a utilitzar-les llevat que comptin amb una base legal clara de l’article 6.1 del RGPD. 

A qui afecta aquesta decisió? 

• A les empreses que utilitzaven aquestes dades per comercialitzar amb informació empresarial. 

• Als empresaris autònoms, les dades dels quals no podran ser utilitzades amb finalitats comercials sense el seu consentiment o sense una base legal adequada. 

Què canvia? 

Algunes empreses utilitzaven la informació del cens de les Cambres de Comerç amb finalitats comercials. A partir d’ara, les dades només podran usar-se per a la finalitat institucional prevista a la llei, com les funcions representatives de les Cambres o l’elaboració del cens electoral cameral. 

Per què no poden usar-se amb finalitats comercials? 

• El cens cameral té un objectiu exclusivament institucional i electoral, no està pensat com a base de dades comercial. 

• A Espanya no existeix un marc normatiu que autoritzi la reutilització oberta d’aquestes dades, a diferència d’altres països de la UE. 

• L’interès legítim de les empreses no és suficient si no està recollit en una llei ni es justifica amb una avaluació rigorosa de proporcionalitat. 

Què passa amb les meves dades si soc autònom? 

L’AEPD protegeix el teu dret que les teves dades no s’utilitzin per a finalitats que no podies preveure. En la pràctica, això significa que: 

• No es podran comercialitzar sense una base legal. 

• Només s’utilitzaran per a les funcions públiques de les Cambres de Comerç. 

Es podran utilitzar en el futur? 

Únicament si es produeix una reforma legal que ho autoritzi de manera expressa i amb garanties de protecció. Amb la normativa actual, no està permès. 

Què han de fer ara les empreses sancionades? 

• Deixar de tractar aquestes dades sense base legal. 

• Suprimir les dades que ja tinguin. 

• Complir sempre amb els principis del RGPD: transparència, minimització, limitació de la finalitat i responsabilitat proactiva. 

Es poden recórrer aquestes resolucions? 

Sí. Les empreses sancionades poden presentar un recurs de reposició davant la mateixa AEPD o acudir directament a l’Audiència Nacional. 

Aquestes resolucions reforcen la protecció dels autònoms davant usos comercials no autoritzats de les seves dades. El missatge de l’AEPD és clar: sense base legal expressa, les dades personals no poden utilitzar-se més enllà de la finalitat institucional per a la qual van ser recollides. 

Pots consultar la resolució de l’AEPD en aquest enllaç: Tratamiento de datos personales de empresarios autónomos: legitimación e información 

La entrada Qui ja no pot utilitzar les teves dades si ets autònom?  s'ha publicat primer a On4.

Per fer-hi front, la Comissió Europea ha publicat unes noves directrius dins el marc del Reglament de Serveis Digitals, conegut com a Digital Services Act (DSA), amb l’objectiu de garantir una experiència en línia més segura per als menors.

Pautes per aplicar el DSA amb garanties

El Digital Services Act (DSA) és aplicable des del febrer de 2024 i obliga les plataformes digitals a protegir els menors. No obstant això, fins ara, la norma no especificava com fer-ho en la pràctica.

Per aquest motiu, en el marc de l’article 28.1 del DSA, la Comissió Europea ha publicat el 14 de juliol de 2025 unes directrius específiques sobre la protecció dels menors en línia.

Aquestes directrius tenen com a finalitat oferir una guia clara amb mesures concretes per fer front a riscos com:

• El grooming o assetjament sexual
• El contingut nociu o addictiu
• El ciberassetjament
• Les pràctiques comercials manipulatives, com les “loot-boxes”, o el disseny addictiu

Les mesures proposades es basen en l’experiència d’experts, entitats del sector infantil i joves de diferents països europeus. Tot i que no tenen caràcter vinculant, podrien servir com a criteri orientador en les avaluacions de compliment del DSA.

Et pot interessar: Comisión publica directrices sobre la protección de los menores

A qui afecten aquestes directrius?

Les directrius s’adrecen a totes les plataformes digitals accessibles a menors, amb l’excepció de les micro i petites empreses.

No es limiten a serveis dissenyats específicament per a infants o adolescents, ja que inclouen qualsevol plataforma on un menor hi pugui accedir, fins i tot si els termes d’ús indiquen el contrari.

Per tant, afecten entorns digitals com:

• Xarxes socials
• Plataformes de vídeo i streaming
• Jocs en línia i comunitats virtuals
• Aplicacions de missatgeria
• Altres serveis interactius accessibles públicament

Segons l’article 28.1 del DSA, aquestes plataformes han d’adoptar “mesures apropiades i proporcionades” per garantir la seguretat, privadesa i protecció dels menors.

Aquesta proporcionalitat ve a dir que les mesures s’han d’ajustar al nivell de risc, la naturalesa del servei, la seva dimensió i el seu públic potencial.

Encara que les directrius no siguin obligatòries, la Comissió les tindrà com a referència per avaluar el compliment del DSA i també poden orientar les actuacions dels reguladors nacionals.

Què recomanen les directrius del DSA?

Les directrius del DSA ofereixen una sèrie de mesures pràctiques que les plataformes poden aplicar per protegir els menors. Aquestes recomanacions aborden aspectes de disseny com de funcionalitat i moderació.

Entre les mesures destacades hi ha:

• Privacitat per defecte: configurar els comptes de menors com a privats perquè el seu contingut i dades personals no siguin visibles per desconeguts.
• Recomanacions transparents i segures: modificar els sistemes de recomanació per evitar que els menors quedin atrapats en continguts nocius o addictius. Es recomana prioritzar les preferències escollides per l’usuari per damunt de patrons de comportament detectats automàticament.
• Funcions addictives desactivades per defecte: com les reproduccions automàtiques les notificacions constants o els missatges efímers.
• Control de les interaccions: facilitar que els menors puguin bloquejar o silenciar altres usuaris, i evitar que siguin afegits a grups sense el seu consentiment (o el del tutor legal).
• Limitacions a la difusió de continguts: prohibir la descàrrega i les captures de pantalla de continguts generats per menors, com a mesura preventiva contra la difusió no desitjada o l’extorsió.
• Restricció de pràctiques comercials abusives: evitar dissenys que puguin explotar la manca d’alfabetització comercial dels menors, com les loot-boxes (caixes de recompensa), les monedes virtuals o altres sistemes que poden induir a compres compulsives.
• Més eines de moderació i de denúncia: garantir sistemes de denúncia accessibles i amb resposta àgil. També es recomanen requisits mínims per a eines de control parental.

Com garantir l’accés adequat segons l’edat i el risc?

Les directrius també aborden com garantir que els menors només accedeixin a continguts i serveis apropiats per a la seva edat. Per exemple, serveis amb més risc —com plataformes de jocs amb compres integrades o xarxes socials amb interacció pública— han d’aplicar controls més estrictes. En canvi, serveis amb menor risc poden adoptar mesures més senzilles.

Verificació d’edat

Per assegurar un accés adequat, les directrius recomanen sistemes de verificació d’edat que siguin:

• Segurs i fiables.
• No intrusius ni discriminatoris.
• Respectuosos amb la privacitat.

Una de les eines destacades és l’ús dels EU Digital Identity Wallets, una solució oficial europea que permetrà verificar l’edat dels usuaris sense revelar dades personals innecessàries.

Noves eines que ajudaran a protegir els menors i evitar que accedeixin a continguts no adequats, com ara el contingut per adults o els jocs d’apostes, amb la intenció de mantenir un equilibri entre els drets i la privacitat dels usuaris.

Les noves directrius europees no només marquen un canvi normatiu, sinó que ofereixen una oportunitat per fer créixer serveis més responsables i segurs.

Què pots fer ara?

• Revisa si la teva plataforma pot ser utilitzada per menors, encara que no estigui pensada per a ells.
• Identifica els riscos que poden afectar-los i ajusta les funcionalitats i les polítiques de privacitat.
• Implanta mesures proporcionades segons el nivell de risc i la naturalesa del teu servei.
• Col·labora amb experts legals i tècnics per garantir que compleixes amb el marc del Digital Services Act.

A ON4 t’ajudem a identificar riscos, aplicar millores i assegurar que la teva plataforma compleix la normativa aplicable.

Et pot interessar: Protocol de Protecció a la Infància: què és i qui l’ha d’implantar?

La entrada Noves directrius de la Unió Europea per a protegir els menors en línia s'ha publicat primer a On4.