Conveni ONU contra el Ciberdelicte: què han de fer les empreses tecnològiques el 2026

Dades clau

Les empreses tecnològiques i els proveïdors de serveis digitals que operen a Europa tenen un nou marc legal que condiciona com han de respondre davant requeriments de dades d'autoritats estrangeres. La Decisió (UE) 2026/1347 del Consell, publicada el 19 de juny de 2026, formalitza l'adhesió de la Unió Europea a la Convenció de les Nacions Unides contra la Ciberdelinqüència, un tractat multilateral que estableix estàndards comuns per perseguir delictes informàtics i obtenir proves digitals transfrontereres.

L'impacte no és només institucional. Per a qualsevol empresa que emmagatzemi, processi o transmeti dades digitals i operi en més d'una jurisdicció, aquest conveni pot traduir-se en majors obligacions de col·laboració amb autoritats en la lliurament d'informació digital.

Què estableix aquesta normativa?

El Conveni ONU contra la Ciberdelinqüència és un tractat multilateral que crea un marc comú entre els països signants per a:

• Perseguir delictes informàtics de forma coordinada entre jurisdiccions.
• Obtenir i transmetre proves digitals transfrontereres de manera estandarditzada.
• Reforçar la cooperació judicial i policial entre els Estats membres de l'ONU.
• Investigar delictes concrets com el frau en línia, el ransomware i l'explotació digital.

Amb la Decisió del Consell, la UE no només s'adhereix formalment al tractat, sinó que obliga els Estats membres a alinear els seus mecanismes nacionals de cooperació judicial i policial amb els estàndards del conveni. Això significa que els marcs legals interns de cada país de la UE hauran d'adaptar-se per donar compliment a les obligacions del tractat.

Impacte econòmic i operatiu

L'impacte directe per a les empreses no és una multa ni una taxa nova, sinó un increment en la complexitat operativa i legal de gestionar requeriments de dades procedents d'autoritats de diferents països.

Fins ara, moltes empreses tecnològiques gestionaven aquests requeriments de forma ad hoc, amb protocols interns poc estandarditzats. Amb el nou marc, la pressió per tenir procediments formalitzats i auditables augmenta significativament, especialment per a:

• Empreses amb usuaris o infraestructura en múltiples països de la UE i fora d'ella.
• Proveïdors de serveis en el núvol, plataformes digitals i operadors de telecomunicacions.
• Empreses que emmagatzemen dades d'usuaris europeus i reben requeriments d'autoritats no europees.

Els costos operatius associats inclouen la revisió i actualització de protocols legals interns, la formació d'equips jurídics i de compliment, i potencialment la contractació d'assessorament especialitzat en cooperació judicial internacional.

A qui afecta?

• Empreses tecnològiques que operen a la UE o presten serveis a usuaris europeus.
• Proveïdors de serveis digitals: plataformes, SaaS, serveis en el núvol, marketplaces.
• Operadors de telecomunicacions i proveïdors d'accés a internet.
• Empreses que operen en múltiples jurisdiccions i poden rebre requeriments legals internacionals sobre dades.
• Departaments jurídics i de compliment de qualsevol empresa amb presència digital significativa.
• Autoritats judicials i policials de la UE, que hauran d'adaptar els seus procediments al nou marc.

Exemple pràctic

Una empresa espanyola de software com a servei (SaaS) amb clients en diversos països de la UE i fora d'ella rep una sol·licitud de cooperació d'una autoritat policial d'un país tercer signant del Conveni ONU, que investiga un cas de ransomware en el qual presumptament es van usar els seus servidors.

Abans d'aquest conveni, l'empresa podia gestionar aquest requeriment amb criteris propis i sense un marc clar d'obligacions. Amb el nou marc ratificat per la UE, els Estats membres han d'haver alineat els seus mecanismes de cooperació amb els estàndards del conveni, la qual cosa pot traduir-se en que l'empresa rebi requeriments formalitzats i amb terminis definits per a la lliurament de proves en forma electrònica.

Si l'empresa no té un protocol intern que defineixi qui autoritza la lliurament de dades, quines dades es poden lliurar, en quin format i sota quines garanties legals, s'exposa a incompliments tant del conveni com de la normativa de protecció de dades europea.

Què han de fer les empreses ara?

1. Auditar els protocols actuals de resposta a requeriments legals internacionals: Identificar si existeix un procediment documentat per gestionar sol·licituds de dades d'autoritats estrangeres i si cobreix els nous estàndards del conveni.
2. Revisar els contractes amb proveïdors de serveis en el núvol i tercers: Verificar que les clàusules de lliurament de dades i cooperació amb autoritats estan actualitzades i són compatibles amb el nou marc multilateral.
3. Formar els equips jurídics i de compliment: Assegurar-se que els responsables legals coneixen les implicacions del conveni i saben com actuar davant un requeriment internacional de proves digitals.
4. Avaluar l'exposició jurisdiccional: Les empreses que operen en múltiples països han de mapejar en quines jurisdiccions tenen presència i quines d'elles són signants del conveni, per anticipar possibles requeriments.
5. Coordinar amb el DPO o responsable de protecció de dades: Qualsevol lliurament de dades a autoritats internacionals ha de ser compatible amb el RGPD. És imprescindible que l'equip de privacitat estigui involucrat en el disseny del protocol de resposta.

Font oficial

Consultar normativa completa a font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulti a un professional qualificat. Font: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202601347