La intel·ligència artificial va arribar per quedar-se, però la seva adopció descontrolada pot convertir-se en el major risc legal i reputacional de la teva organització. La coneguda com Shadow AI —l’ús no autoritzat d’eines d’intel·ligència artificial per part d’empleats sense supervisió del departament de TI o compliance— està exposant a milers d’empreses a multes milionàries, filtracions de dades confidencials i greus incompliments normatius.
Les dades són alarmants: una recerca recent de Microsoft revela que el 71% dels empleats al Regne Unit han utilitzat eines d’IA no aprovades en el treball, i el 51% continua fent-ho setmanalment. A Espanya, el 67% de les organitzacions se senten incapaces de detectar implementacions d’IA no controlades, i més del 80% de les companyies espanyoles han sofert incidents de seguretat relacionats amb l’IA. El problema no és menor: un de cada cinc incidents de Shadow AI implica dades sensibles, i només el 32% dels treballadors expressen preocupació per la privacitat de les dades corporatives o de clients introduïdes en eines d’IA de consum.
El veritable risc: vulnerabilitats legals i operatives
Quan un empleat introdueix dades corporatives, informació de clients o estratègies empresarials en eines públiques com ChatGPT, Claude o Gemini sense autorització, genera múltiples vulnerabilitats simultàniament. Els treballadors recurren a aquestes eines per redactar comunicacions laborals (49%), elaborar informes i presentacions (40%) i fins i tot realitzar tasques financeres (22%), però amb una preocupant falta de consciència sobre els riscos: només el 29% es preocupa per la seguretat dels sistemes de TI de la seva organització.
La fuga d’informació confidencial és immediata: les eines d’IA generativa emmagatzemen i reutilitzen la informació introduïda en els seus prompts. Noms de clients, informació de projectes estratègics i codi font propietari són filtrats sense control. Simultàniament, s’incompleixen obligacions del Reglament General de Protecció de Dades (RGPD), que exigeix consentiment explícit, minimització de dades i transparència en el tractament d’informació personal. Les multes poden assolir 20 milions d’euros o el 4% de la facturació global.
El Reglament d’Intel·ligència Artificial (AI Act), les primeres obligacions del qual van entrar en vigor el 2 d’agost de 2025, estableix sancions encara més severes: fins a 35 milions d’euros o el 7% del volum de negoci global. Les organitzacions han de garantir traçabilitat, transparència i supervisió humana en els sistemes d’IA, cosa impossible quan s’utilitzen eines no autoritzades.
Mesures essencials per a empreses
Prohibir l’ús d’IA no és viable: el 41% dels empleats utilitza aquestes eines perquè hi estan acostumats en la seva vida personal, i el 28% perquè la seva empresa no proporciona una alternativa aprovada. L’estratègia correcta passa per gestionar la Shadow AI mitjançant un marc de governança clar, transparent i auditable.
Realitzar una auditoria interna d’IA: Identificar totes les eines d’IA utilitzades a l’organització, tant autoritzades com no controlades.
Implementar una Política d’Ús Responsable d’IA: Document que estableixi regles, principis i procediments sobre usos permesos, procediments d’aprovació, obligacions de confidencialitat i mesures de seguretat.
Establir controls tècnics de prevenció: Solucions de Prevenció de Pèrdua de Dades (DLP) per examinar informació sensible enviada a plataformes d’IA.
Formar i conscienciar la plantilla: El 87% dels empleats no comprèn els riscos reals de l’ús inadequat d’IA. La formació ha de ser específica per perfil professional.
Designar responsables de governança: Crear un Comitè d’IA amb representació d’àrees clau que supervisi implementació, avaluï noves eines i gestioni incidents.
Conclusió
En un context normatiu cada vegada més exigent, amb el RGPD plenament consolidat, l’AI Act en fase d’implementació i l’AEPD exercint competències sancionadores, les organitzacions no es poden permetre ignorar la Shadow AI.
Com adverteix Darren Hardman, CEO de Microsoft UK & Ireland: “Només l’IA de nivell empresarial ofereix la funcionalitat que els empleats desitgen, envoltada en la privacitat i seguretat que tota organització exigeix”.
La clau està en governar: establir marcs clars, formar equips i implementar controls tècnics. Només així la innovació es converteix en avantatge competitiu sostenible i responsable.
Com sempre, cuideu les dades i cuideu-vos!
