Tractat ONU contra ciberdelictes 2026: obligacions reals per a empreses tecnològiques

Dades clau

Les empreses tecnològiques i proveïdors de serveis digitals que operen a Espanya s'enfronten a un nou escenari de compliment internacional. La Convenció de les Nacions Unides contra la Ciberdelinqüència, publicada el 19 de juny de 2026 al Diari Oficial de la UE (referència OJ:L_202601348), estableix un marc jurídic vinculant que obliga als Estats signataris —i, per extensió, a les empreses sota la seva jurisdicció— a col·laborar activament en investigacions penals transfrontereres relacionades amb delictes comesos mitjançant sistemes TIC.

L'impacte no és abstracte: si la teva empresa rep, emmagatzema o transmet dades digitals, pots rebre requeriments legals d'autoritats d'altres països per entregar proves electròniques. I hauràs de tenir els procediments llests per respondre.

Què estableix aquesta normativa?

La Convenció crea un marc jurídic internacional vinculant articulat en tres grans eixos:

• Tipificació de conductes cibercriminalment: Els Estats signataris estan obligats a incorporar en la seva legislació penal determinades conductes delictives comeses mitjançant sistemes de tecnologia de la informació i les comunicacions (TIC). Això homogeneïtza el catàleg de delictes perseguibles a nivell internacional.
• Obtenció, conservació i transmissió transfronterera de proves electròniques: S'estableixen procediments concrets perquè les autoritats d'un país puguin sol·licitar a un altre —i a les empreses sota la seva jurisdicció— la conservació i entrega d'evidències digitals en investigacions de delictes greus.
• Assistència judicial mútua àgil: El tractat obliga als Estats a establir canals de cooperació judicial ràpids, eliminant friccions burocràtiques que fins ara ralentitzaven les investigacions internacionals.

Per a les empreses, l'element més rellevant és l'obligació de col·laborar amb autoritats judicials de múltiples jurisdiccions quan siguin requerides en el marc d'una investigació internacional. Això aplica especialment a proveïdors de serveis digitals i operadores de telecomunicacions.

Impacte econòmic i operatiu

La normativa no fixa sancions econòmiques directes sobre empreses en el seu text publicat, però les seves conseqüències operatives són significatives:

El cost d'adaptació dependrà de la mida i model de negoci de cada empresa. Les més exposades —plataformes digitals, proveïdors cloud, operadores de telecomunicacions— hauran d'invertir en protocols legals, sistemes de conservació d'evidències digitals i formació d'equips jurídics. Les empreses que ja compleixen amb el Reglament General de Protecció de Dades (RGPD) tenen una base sòlida, però hauran d'ampliar els seus procediments a l'àmbit penal internacional.

A qui afecta?

• Proveïdors de serveis digitals: plataformes SaaS, marketplaces, xarxes socials, serveis de missatgeria i correu electrònic.
• Operadores de telecomunicacions: empreses de telefonia fixa, mòbil i internet que gestionen tràfic de comunicacions.
• Empreses tecnològiques amb presència internacional: qualsevol empresa que presti serveis digitals a usuaris en països signataris del tractat.
• Proveïdors de serveis cloud i infraestructura: empreses de hosting, emmagatzematge al núvol i centres de dades.
• Empreses amb grans volums de dades d'usuaris: qualsevol negoci digital que emmagatzemi dades de comunicacions, transaccions o activitat online.
• Departaments jurídics i de compliment normatiu de qualsevol empresa del sector tecnològic o de telecomunicacions.

Exemple pràctic

Imagina una empresa espanyola que ofereix un servei d'emmagatzematge al núvol amb clients en diversos països europeus i llatinoamericans. Sota la Convenció ONU contra la Ciberdelinqüència, les autoritats judicials d'un país signatari —per exemple, en el marc d'una investigació per frau informàtic greu— poden sol·licitar a les autoritats espanyoles que requereixin a aquesta empresa la conservació i entrega de les dades digitals d'un usuari concret emmagatzemades en els seus servidors.

Sense protocols interns definits, l'empresa s'enfrontaria a una situació d'urgència legal: quines dades conservar? durant quant temps? com respondre sense vulnerar el RGPD? qui gestiona la comunicació amb les autoritats? La Convenció exigeix que aquests mecanismes estiguin operatius de manera prèvia, no que s'improvisen quan arriba el requeriment.

Què han de fer les empreses ara?

1. Auditar els protocols de conservació de dades: Revisar quant temps es conserven les dades de comunicacions i activitat d'usuaris, i si els sistemes permeten una retenció selectiva i segura davant requeriments judicials.
2. Dissenyar un protocol de resposta a requeriments internacionals: Definir qui a l'empresa rep i gestiona una sol·licitud d'autoritats estrangeres, quins passos seguir i en quins terminis, coordinant els departaments legal, tècnic i de compliment.
3. Revisar contractes amb clients i proveïdors: Assegurar-se que els acords de servei contemplen la possibilitat de divulgació de dades per mandat judicial internacional, amb les clàusules de limitació de responsabilitat adequades.
4. Avaluar la compatibilitat amb el RGPD: L'entrega de dades a autoritats estrangeres pot entrar en conflicte amb les obligacions de protecció de dades de la UE. És necessari un anàlisi jurídic que harmonitzi ambdues obligacions.
5. Formar els equips jurídics i tècnics: El personal que gestiona dades i l'equip legal han de conèixer les implicacions del tractat i saber com actuar davant un requeriment internacional.
6. Monitoritzar la ratificació del tractat: L'entrada en vigor depèn de les ratificacions dels Estats. Seguir el procés d'adhesió per anticipar quan serà exigible i en quines jurisdiccions.

Font oficial

Consultar normativa completa en font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulti a un professional qualificat. Font: https://eur-lex.europa.eu/./legal-content/AUTO/?uri=OJ:L_202601348