Ricard Castellet

Shadow AI en el treball: com supervisar sense travessar la línia de la vigilància

per

L'ús d'eines d'intel·ligència artificial en l'entorn laboral—moltes vegades fora dels canals oficials—està obligant les empreses a replantejar els seus mecanismes de control. El fenomen del Shadow AI planteja un dilema clar: les organitzacions necessiten supervisió, però un enfocament excessiu pot derivar en conflictes laborals i riscos legals. 

L'Agència Espanyola de Protecció de Dades (AEPD), a la seva Guia sobre protecció de dades en les relacions laborals, ofereix un marc clar: el control és legítim, però ha de respectar els principis de proporcionalitat, transparència i minimització. 

El punt de partida: el control empresarial és legítim 

L'Estatut dels Treballadors reconeix la facultat de l'empresa per a adoptar mesures de vigilància i control amb la finalitat de verificar el compliment de les obligacions laborals. Aquest control inclou l'ús d'eines digitals i, per extensió, l'ús que els empleats fan de tecnologies com la intel·ligència artificial. 

Ara bé, com recorda l'AEPD, aquest control ha d'exercir-se dins dels límits del RGPD i la LOPDGDD. És a dir, no tot val: qualsevol mesura ha de ser proporcionada, justificada i respectuosa amb els drets fonamentals dels treballadors. 

El risc de la «vigilància total» 

Davant l'auge del Shadow AI, algunes organitzacions poden caure en la temptació d'implantar sistemes de monitoratge intensiu: registre d'activitat, anàlisi de comportament, captura d'ús d'eines o supervisió contínua. 

El problema és que aquest enfocament pot ser contraproduent. L'AEPD adverteix que les mesures de control excessives poden vulnerar drets com la intimitat o el secret de les comunicacions, especialment si no estan degudament justificades. 

A més, un sistema de vigilància desproporcionat pot generar: 

  • conflictes laborals i pèrdua de confiança, 
  • incompliments en matèria de protecció de dades, 
  • i, en cas d'incident, proves febles o impugnables per haver-se obtingut sense garanties. 

La clau: supervisió proporcional i amb garanties 

L'equilibri està a dissenyar un model de control basat en tres pilars fonamentals: 

Proporcionalitat 

Les mesures han de ser adequades al risc. No és el mateix controlar accessos a informació sensible que monitorar de forma generalitzada tota l'activitat digital. L'empresa ha d'optar per solucions menys intrusives quan siguin suficients. 

Informació prèvia i transparència 

Els treballadors han de conèixer de manera clara quines eines s'utilitzen, quines dades es recullen i amb quina finalitat. L'AEPD insisteix en la importància de polítiques internes ben definides i comunicades. 

Finalitat i minimització 

Les dades recollides han de limitar-se a l'estrictament necessari per a la finalitat perseguida. No es justifica recopilar informació excessiva «per si de cas». 

Shadow AI: del control tècnic a la governança 

Controlar l'ús d'IA en l'empresa no és només una qüestió tecnològica. És, sobretot, una qüestió de governança de la dada i cultura organitzativa. 

Les organitzacions més madures estan optant per enfocaments combinats: 

  • polítiques clares sobre ús d'IA, 
  • formació a empleats sobre riscos, 
  • eines autoritzades i segures, 
  • i controls selectius orientats a riscos concrets. 

Aquest enfocament no elimina el risc, però el gestiona sense envair innecessàriament l'espai del treballador. 

Conclusió: controlar sí, però amb disseny jurídic 

El Shadow AI no se soluciona amb més vigilància, sinó amb millor disseny. La clau està a trobar un equilibri entre control i drets, entre seguretat i confiança. 

Les empreses que optin per mesures desproporcionades no solament s'exposen a sancions, sinó també a un problema més subtil: perdre la validesa dels seus propis mecanismes de control. 

Perquè en l'entorn laboral digital, no n'hi ha prou amb supervisar. Cal fer-ho de manera que, arribat el moment, pugui sostenir-se jurídica i provatòriament. 

 Com sempre, cuideu les dades i cuideu-vos! 

Copiar i enganxar en IA generativa: el risc no és la resposta, és la dada

per

Les eines d'intel·ligència artificial generativa s'han convertit en un aliat quotidià en el treball: resumir documents, redactar correus o analitzar informació en segons. El gest és simple i cada vegada més habitual: copiar un text, enganxar-lo a una eina d'IA i demanar un resultat.

No obstant això, darrere d'aquesta aparent innocuïtat s'amaga un dels principals riscos actuals en protecció de dades i seguretat de la informació. El problema no acostuma ser la resposta que genera la IA, sinó les dades que introduïm en ella.

L'Agència Espanyola de Protecció de Dades (AEPD) ho ha recordat recentment en el seu Decàleg de recomanacions per a protegir la privacitat en usar intel·ligència artificial, en el qual adverteix dels riscos de compartir informació sensible amb aquesta mena d'eines sense analitzar prèviament el seu impacte.

1. L'origen de molts incidents: un simple «copiar i enganxar»

Gran part dels incidents vinculats a l'anomenat Shadow AI—ús d'eines d'IA fora dels canals autoritzats per l'organització—comencen amb una acció aparentment trivial.

Un empleat necessita ajuda per a revisar un text, resumir un contracte o entendre un informe. Copia el contingut i l’enganxa a una eina d'IA generativa per a obtenir una resposta ràpida. En aquest moment, sense ser plenament conscient, pot estar introduint en un sistema extern informació confidencial, dades personals o informació estratègica de l'empresa.

Segons l'AEPD, abans d'utilitzar aquestes eines és fonamental avaluar quin tipus d'informació s'està compartint i si el servei garanteix un ús adequat de les dades.

2. La pèrdua de control de la dada

Quan s'introdueix informació en una eina d'IA generativa, l'usuari pot perdre visibilitat sobre com es gestiona aquest contingut. Depenent del proveïdor i de la seva configuració, les dades poden:

  • Emmagatzemar-se temporalment o durant més temps de l'esperat.
  • Utilitzar-se per a millorar o entrenar models.
  • Generar registres d'ús o metadades.
  • Processar-se en infraestructures situades fora de l'Espai Econòmic Europeu.

Això no significa que totes les eines utilitzin les dades amb aquests fins, però sí que el control sobre la informació pot diluir-se si no s'analitzen prèviament les condicions d'ús del servei.

Per això, l'AEPD insisteix que l'ús responsable de la IA implica conèixer què passa amb les dades introduïdes i quines garanties ofereix el proveïdor.

3. Una llista breu del que mai hauria de sortir del perímetre

Per a reduir riscos, una bona pràctica consisteix a establir regles clares sobre quin tipus d'informació no ha d'introduir-se en eines d'IA generativa. Entre els exemples més habituals es troben:

  • Dades personals de clients o empleats.
  • Documents contractuals confidencials.
  • Informació financera o estratègica de l'empresa.
  • Credencials, claus o informació d'accés a sistemes.
  • Bases de dades internes o llistats de clients.

Aquest tipus d'informació forma part del perímetre de seguretat de l'organització, i la seva exposició en plataformes externes pot generar riscos legals, reputacionals o de seguretat.

Conclusió: el problema no és utilitzar IA, sinó com s’utilitza

La intel·ligència artificial generativa pot aportar grans beneficis en termes de productivitat i innovació. El repte està a utilitzar-la amb criteris clars de governança de la dada.

El major risc no acostuma a ser la resposta que produeix l'eina, sinó el contingut que s'introdueix en ella sense una avaluació prèvia. Per això, les organitzacions necessiten polítiques internes, formació i criteris clars sobre l'ús d'aquestes tecnologies.

Perquè en l'era de la IA generativa, la pregunta clau ja no és si utilitzem aquestes eines, sinó quina informació estem disposats a compartir amb elles.

Com sempre, cuideu les dades i cuideu-vos!

IA en proveïdors SaaS: la pregunta incòmoda que moltes empreses encara no es fan

per

L'adopció d'eines d'intel·ligència artificial en format SaaS (Software as a Service) s'està accelerant en tots els departaments: màrqueting, recursos humans, atenció al client o anàlisi de dades. En molts casos, la decisió es pren per raons d'eficiència o innovació, però sense una anàlisi profunda de l'impacte en protecció de dades. 

No obstant això, quan una eina d'IA «aprèn», sorgeix una qüestió clau: amb quines dades s'entrena i amb quina base legal? La resposta no sempre és evident. I, des de la perspectiva del RGPD, no n'hi ha prou amb confiar en el proveïdor. És necessari poder demostrar diligència i control. 

El Comitè Europeu de Protecció de Dades (EDPB) ha abordat aquesta qüestió en la seva Opinió 28/2024 sobre determinats aspectes de protecció de dades en models d'IA i recorda que l'ús de dades personals en el desenvolupament i funcionament d'aquests sistemes ha d'ajustar-se estrictament als principis i bases jurídiques del RGPD. 

Quan la IA «aprèn»: la qüestió de l'origen de les dades 

Els sistemes d'IA generativa i altres models avançats es basen en grans volums de dades per al seu entrenament, millora o ajust. El problema sorgeix quan aquestes dades inclouen informació personal utilitzada per a finalitats diferents d'aquells per als quals es van recollir. 

El EDPB subratlla que el tractament de dades personals en models d'IA requereix una base jurídica vàlida conforme a l'article 6 del RGPD i ha de respectar principis essencials com la limitació de finalitat, minimització de dades i transparència. 

En altres paraules, si un proveïdor utilitza dades per a entrenar o millorar el seu sistema, ha de poder justificar per què està legitimat per a fer-ho i per a què fins concrets. 

Per a les empreses clients, això planteja una qüestió pràctica: no n'hi ha prou amb revisar la funcionalitat del producte; és necessari entendre com s'utilitzen les dades que passen per l'eina. 

El nou risc: el «Shadow AI» de proveïdors 

Quan es parla de «Shadow AI», normalment es pensa en empleats que utilitzen eines d'IA sense autorització. Però existeix un altre fenomen menys visible: la contractació de proveïdors que incorporen IA sense una anàlisi adequada del tractament de dades. 

Moltes solucions SaaS integren models d'IA que processen prompts, documents, imatges o dades de clients. En alguns casos, aquestes dades poden: 

  • emmagatzemar-se temporalment o de manera persistent, 
  • generar metadades i logs d'ús, 
  • utilitzar-se per a millorar el servei o entrenar models. 

Si aquests usos secundaris no estan clarament definits o documentats, l'organització pot perdre visibilitat sobre el que ocorre realment amb la informació que introdueix en l'eina. 

Due diligence real: més enllà del contracte estàndard 

L'opinió del EDPB insisteix que les organitzacions han d'avaluar acuradament el tractament de dades personals en el context de sistemes d'IA. Això implica realitzar una due diligence real sobre els proveïdors, especialment quan s'utilitzen models capaços d'aprendre de les dades processades. 

Entre les preguntes clau que haurien de plantejar-se destaquen: 

  • Quines dades utilitza el proveïdor per a entrenar o millorar el model? 
  • Es reutilitzen les dades introduïdes pels clients? 
  • Existeix anonimització real o només seudonimització? 
  • Què passa amb els promptslogs o metadades generades? 
  • Quines responsabilitats s'assumeixen si el tractament resulta il·lícit? 

Respondre a aquestes qüestions és essencial per a avaluar el compliment del RGPD i evitar riscos reguladors o reputacionals. 

Conclusió: la pregunta clau no és què fa la IA, sinó què pots demostrar 

La intel·ligència artificial està transformant la forma en què les empreses utilitzen tecnologia. Però també exigeix elevar el nivell de governança de la dada. 

Contractar eines amb capacitats d'IA sense analitzar el seu funcionament intern pot generar zones grises en la responsabilitat del tractament. I en un context regulador cada vegada més exigent, la qüestió no serà només què feia l'eina, sinó quina diligència va aplicar l'empresa abans d'utilitzar-la. 

Perquè, en protecció de dades, la pregunta decisiva sol arribar després: si demà una autoritat ho sol·licita, què pots demostrar realment sobre l'ús d'aquesta IA? 

Com sempre, cuideu les dades i cuideu-vos! 

Subcontractació en cadena i RGPD: 15.000 € per oblidar que el control no es delega 

per

L'Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a DYNAMIC EXPRESS COURIER S.L. amb 15.000 euros per incompliments de l'article 28 del RGPD en el marc d'un servei de recollida documental per a ING. La resolució ofereix una lliçó clara per a qualsevol organització que actuï com a encarregat del tractament i recorri a tercers en la prestació del servei. 

Més enllà de l'extraviament de documentació bancària amb dades altament sensibles, el focus de l'AEPD se situa en una cosa estructural: la gestió de la cadena de subcontractació i el compliment formal—i material—de les exigències de l'article 28 RGPD. 

Els fets: una cadena de subencàrrecs sense control efectiu 

ING, com a responsable del tractament, va contractar a DYNAMIC com a encarregat per a la recollida de documentació de clients. Durant la vigència del contracte (1 de setembre de 2022 a 28 de febrer de 2023), DYNAMIC va recórrer a SENDING com subencarregat. 

Al seu torn, SENDING va subcontractar a AUTORADIO per a executar materialment la recollida de la documentació. El problema no va ser només operatiu (la documentació mai va arribar a destí), sinó jurídic: 

  • No constava autorització prèvia i per escrit d'ING per a comptar amb SENDING com a subencarregat. 
  • Tampoc es va acreditar que ING hagués estat informada de la intervenció d’AUTORADIO. 
  • Els contractes de subencàrrec aportats no complien plenament amb les exigències del RGPD. 

L'AEPD declara provat que DYNAMIC tenia coneixement de la intervenció d’AUTORADIO i que no ho va comunicar al responsable. 

Article 28.2 RGPD: l'autorització no és un formalisme 

L'article 28.2 RGPD estableix que l'encarregat no podrà recórrer a un altre encarregat sense l'autorització prèvia, específica o general, del responsable. 

En aquest cas, el contracte entre ING i DYNAMIC exigia autorització prèvia i expressa per a subcontractar. No obstant això, no constava autorització per a SENDING ni comunicació relativa a AUTORADIO. 

L'AEPD aprecia dues infraccions de l'article 28.2 RGPD: 

  • Subencarregar sense autorització prèvia i per escrit. 
  • No informar el responsable sobre canvis en la cadena de subcontractació. 

El missatge és clar: el responsable ha de poder conèixer, controlar i, si és el cas, oposar-se als subencarregats que intervenen en el tractament. 

 Article 28.4 RGPD: el contracte de subencargo ha de ser adequat 

La resolució també analitza l'article 28.4 RGPD, que exigeix que el subencarregat assumeixi les mateixes obligacions en matèria de protecció de dades que les establertes entre responsable i encarregat. 

Els contractes entre DYNAMIC i SENDING presentaven deficiències rellevants: no identificaven correctament al responsable (ING) i no reflectien adequadament el marc contractual específic. 

L'AEPD conclou que no n'hi ha prou amb tenir «algun contracte» de protecció de dades. El contingut ha d'ajustar-se al RGPD i a les instruccions concretes del responsable. 

La sanció: tres infraccions, 15.000 euros 

Finalment, l'AEPD imposa: 

  • 5.000 € per subencarregar a SENDING sense autorització (art. 28.2 RGPD). 
  • 5.000 € per no informar sobre la intervenció d’AUTORADIO (art. 28.2 RGPD). 
  • 5.000 € per no comptar amb un contracte de subencàrrec vàlid amb SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 

Conclusió: la responsabilitat en cadena també és responsabilitat jurídica 

Aquesta resolució recorda que l'article 28 RGPD no és una clàusula estàndard que es copia i enganxa en els contractes. És un mecanisme essencial per a garantir que els drets dels interessats es preservin al llarg de tota la cadena de tractament. 

Per a responsables i encarregats, la lliçó és evident: 

  • Identificar i documentar tots els subencarregats. 
  • Exigir autorització prèvia quan així s'estableixi. 
  • Formalitzar contractes plenament alineats amb el RGPD. 
  • Mantenir traçabilitat i control real sobre la cadena de proveïdors. 

En protecció de dades, delegar la prestació del servei no implica delegar la responsabilitat. I quan el control es dilueix en la cadena de subcontractació, el risc—jurídic i reputacional—es multiplica. 

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, feu clic aquí. 

Imatges i IA en màrqueting i RRHH: la drecera que pot sortir cara

per

Una tendència viral que sembla inofensiva 

L'ús d'eines d'intel·ligència artificial per a «millorar» fotografies—retocar fotos corporatives, generar versions creatives per a campanyes o estilitzar imatges d'equips—s'ha convertit en un recurs habitual en màrqueting i recursos humans. La petició sol sonar innocent: «Passa'm aquesta foto per IA per a…». 

No obstant això, quan en aquesta imatge hi ha persones identificables, estem davant dades personals. I, quan aquesta imatge es puja a un sistema de IA, el perímetre del tractament s'amplia i el control es complica. Així ho adverteix la Guia de l'AEPD sobre l'ús d'imatges de tercers en sistemes d’IA, que analitza els riscos i obligacions derivats d'aquestes pràctiques. 

Si hi ha persones identificables, hi ha protecció de dades 

La imatge d'una persona és una dada personal en la mesura en què permet la seva identificació directa o indirecta (art. 4 RGPD). No és necessari que es tracti de dades «sensibles» o biomètriques en sentit tècnic: n'hi ha prou que la persona sigui recognoscible. 

En entorns corporatius això és especialment rellevant. Fotografies d'empleats, candidats, clients o assistents a esdeveniments formen part de l'àmbit d'aplicació del Reglament (UE) 2016/679 (RGPD) i de la LOPDGDD. Pujar aquestes imatges a una eina de IA implica una comunicació de dades a un tercer (el proveïdor del sistema), la qual cosa exigeix: 

  • Base jurídica adequada (consentiment vàlid o una altra legitimació de l'art. 6 RGPD). 
  • Informació clara sobre el tractament (arts. 13 i 14 RGPD). 
  • Contracte per encàrrec de tractament si el proveïdor actua com a encarregat (art. 28 RGPD). 

L'aparent «simplicitat» tecnològica no elimina aquestes exigències. 

Riscos visibles i invisibles: més enllà del retoc 

La guia de l'AEPD subratlla que l'ús d'imatges en sistemes de IA pot generar riscos que van més enllà de la finalitat inicial. Entre ells: 

  • Pèrdua de control i difusió no prevista: la imatge pot emmagatzemar-se, reutilitzar-se o incorporar-se a l'entrenament de models si no existeixen garanties contractuals clares. 
  • Retenció indefinida: desconeixement sobre quant temps conservarà el proveïdor les imatges. 
  • Inferències automatitzades: a partir d'una fotografia, els sistemes poden inferir edat, gènere, estat d'ànim o altres atributs, amb possibles impactes discriminatoris. 
  • Reutilització per a finalitats diferents: màrqueting, millora d'algorismes o generació de nous continguts. 

En contextos de RRHH, aquests riscos s'intensifiquen. La relació de desequilibri entre empresa i empleat qüestiona la validesa del consentiment, la qual cosa obliga a extremar les cauteles. 

El perímetre s'amplia quan entra la IA 

Pujar una imatge a una plataforma de IA no és equivalent a emmagatzemar-la en un servidor intern. Suposa introduir-la en un ecosistema tecnològic complex, sovint amb proveïdors situats fora de l'Espai Econòmic Europeu. 

Això obliga a analitzar, entre altres qüestions: 

  • Transferències internacionals de dades (arts. 44 i ss. RGPD). 
  • Mesures tècniques i organitzatives del proveïdor. 
  • Possible necessitat de realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (AIPD) si el tractament comporta alt risc (art. 35 RGPD). 

La «drecera» creativa pot convertir-se en una cadena de responsabilitats difícil de gestionar. 

Conclusió: creativitat sí, però amb governança de la dada 

La intel·ligència artificial ofereix oportunitats indiscutibles per a la comunicació i la gestió del talent. Però utilitzar imatges de persones en sistemes de IA sense una anàlisi prèvia és obrir un meló jurídic amb implicacions en control, drets i responsabilitat corporativa. 

La clau no és renunciar a la innovació, sinó integrar-la en una estratègia de compliment i governança de la dada: revisar bases jurídiques, contractes amb proveïdors, polítiques internes i criteris de minimització. 

Perquè en protecció de dades, el que sembla un gest tècnic menor—«passa'm aquesta foto per IA»—pot convertir-se en un tractament complex amb conseqüències legals, reputacionals i econòmiques rellevants. 

Com sempre, cuideu les dades i cuideu-vos! 

El veritable preu de les caricatures creades amb IA: quan el producte ets tu

per

Una tendència viral que sembla inofensiva

En les últimes setmanes, moltes persones han demanat a ChatGPT la generació d'una caricatura que els representi i, especialment, la seva professió. El resultat: imatges divertides, virals i perfectament dissenyades per a circular en xarxes socials. A simple vista, sembla un joc innocent.  

No obstant això, darrere d'aquesta tendència s'amaga una realitat molt més complexa que mereix una reflexió pausada, especialment des del punt de vista de la protecció de dades i l'estratègia digital. 

Quines dades estem lliurant realment

En pujar una fotografia personal a una plataforma de IA, no es comparteix únicament una imatge. S'estan lliurant dades biomètriques, considerats pel Reglament General de Protecció de Dades (RGPD) com una categoria especial de dades personals. A això se suma el context que envolta a la imatge: professió, interessos, entorn social o xarxa de contactes, especialment quan la caricatura es comparteix en perfils professionals. 

A més, les imatges contenen metadades que poden revelar informació sobre el dispositiu utilitzat, la ubicació aproximada o el moment en què va ser presa la fotografia. El valor del conjunt no està en una dada aïllada, sinó en la seva capacitat de ser correlacionat. 

El veritable mecanisme: ego, validació i màrqueting

OpenAI—com moltes altres empreses tecnològiques—no ha necessitat demanar explícitament aquestes dades. Els usuaris els han lliurat voluntàriament, impulsats per un mecanisme molt ben conegut en el màrqueting digital: la validació socialLikes, comentaris i visibilitat funcionen com una piràmide de dopamina perfectament dissenyada. L'estratègia no consisteix a demanar dades, sinó a aconseguir que els usuaris els lliurin amb entusiasme. 

Aquest enfocament elimina la fricció legal i emocional. No hi ha sensació de cessió de dades, sinó de participació en una experiència compartida. Des del punt de vista estratègic, és una jugada especialment eficaç. 

Entrenament de models i riscos emergents

Cada caricatura generada contribueix a l'entrenament de models d'intel·ligència artificial cada vegada més precisos per a associar rostres amb contextos específics. Avui s'utilitza per a crear il·lustracions; demà, per a generar deepfakes hiperpersonalitzats, suplantacions d'identitat o fraus en entorns professionals, com a videotrucades o processos de verificació. 

No parlem d'un escenari hipotètic. Aquests riscos ja existeixen i estan sent explotats, la qual cosa planteja desafiaments rellevants en matèria de ciberseguretat, protecció de dades i responsabilitat empresarial. 

Dades: el veritable actiu en l'economia de la IA

La pregunta incòmoda és evident: per què una empresa amb una valoració de centenars de milers de milions necessita que milions de persones lliurin gratuïtament la seva imatge i el seu context professional? Perquè, en l'economia digital, les dades són l'actiu estratègic per excel·lència. 

En aquest model, el producte visible—la caricatura—és només l'ham. El veritable valor resideix en la informació que permet millorar algoritmes, crear noves aplicacions i consolidar avantatges competitius. 

Conclusió: d'usuaris passius a decisions informades 

La intel·ligència artificial no és el problema. El problema és la falta de consciència sobre el valor de les dades personals i l'impacte del seu ús massiu. En l'era de la IA, el veritable producte rares vegades és el servei gratuït que s'ofereix, sinó les persones que l'utilitzen. 

Com a professionals, empreses i ciutadans digitals, el repte no és deixar de participar en tendències, sinó entendre què estem lliurant i amb quines conseqüències. La pròxima vegada que una moda viral ens convidi a «jugar», convé fer-se una pregunta clau: estic guanyant només una imatge… o estic pagant amb una cosa molt més valuosa? 

Com sempre, cuideu les dades i cuideu-vos! 

ChatGPT ja competeix amb Google com a cercador: un canvi estructural en com es descobreix la informació

per

Durant més de 20 anys, parlar de cerca en línia ha estat sinònim de Google. Aquest paradigma acaba de trencar-se. Segons dades de First Page Sage (Q4 2025), ChatGPT ja concentra el 17% de les cerques globals, enfront del 78% de Google. És la primera vegada en dues dècades que un actor diferent aconsegueix una quota de doble dígit.

Per a posar-ho en context: en 2024, ChatGPT no arribava ni a l'1%.

No estem davant una moda. Estem davant un canvi de comportament de l'usuari.

De «buscar» a «preguntar»

El creixement de ChatGPT no respon a una millora incremental, sinó a una nova manera d'interactuar amb la informació. Els usuaris ja no escriuen paraules clau: formulen preguntes completes i esperen respostes directes, contextualitzades i accionables.

Exemples quotidians:

  • «Compara'm dues eines d'analítica i digues-me quin em convé segons els meus objectius»
  • «Quina eina em recomanes per a X?»
  • «Compara'm dues solucions i digues-me quin té més sentit segons el meu cas»

Aquestes cerques, tradicionalment informacionals o exploratòries, estan migrant massivament als models de llenguatge.

Les dades ho confirmen:

  • ChatGPTmenys usuaris que Google, però una durada mitjana de sessió més del doble (13 minuts enfront de 6).
  • Domina clarament les cerques generatives i creatives (64% de quota).
  • El seu ús és especialment fort en desktop i entre perfils professionals.

El problema per a les marques: si no et cita, no existeixes

Aquí està el punt crític per a màrqueting.

Quan un usuari pregunta a ChatGPT per una eina, una solució o un proveïdor, no rep una llista de deu enllaços. Rep una resposta. I en aquesta resposta, unes marques apareixen… i altres no.

Per a aquest 17% de cerques, si la teva marca no és esmentada, no hi ha clic possible, no hi ha impressió, no hi ha awareness.

I aquest percentatge no deixa de créixer.

No és casual que:

  • el 60% de les cerques en Google ja siguin «zero-clic»,
  • el 97% dels marketers reportin impacte positiu del GEO/AEO,
  • i el 94% planegin augmentar inversió en 2026.

Ha perdut Google la batalla?

Encara no. Google continua sent dominant, especialment en:

  • cerques transaccionals (90%),
  • mòbil,
  • usuaris de major edat.

Però fins i tot aquí el model està canviant: respostes generades, resums amb IA i menys trànsit directe a les webs.

L'estratègia ja no és SEO o IA

La conclusió és clara: 2026 no va de triar, sinó d'estar en tots dos ecosistemes.

  1. SEO tradicional continua sent imprescindible.
  2. GEO / AEO per a LLMs és ja una necessitat estratègica.
  3. La visibilitat ha de mesurar-se més enllà de Google.

La pregunta ja no és si ChatGPT és un cercador. La pregunta és si la teva marca està preparada per a ser trobada quan ja no es busca, sinó que es pregunta.

Com sempre, cuideu les dades i cuideu-vos!

Per veure l’estudi en detall, fes clic aquí.

Email marketing ≠ publicitat en xarxes socials: la sanció de 3’5 M€ que tot equip de màrqueting hauria de conèixer

per

L'autoritat francesa de protecció de dades (CNIL) ha imposat una sanció administrativa de 3,5 milions d'euros a una empresa per múltiples incompliments del Reglament General de Protecció de Dades (RGPD). El cas és especialment rellevant perquè gira entorn d'una infracció tan habitual com perillosa: utilitzar dades personals per a una finalitat distinta d'aquella per a la qual van ser recollides.

La decisió, adoptada el 30 de desembre de 2025 en cooperació amb 16 autoritats europees, afecta a més de 10’5 milions de persones i ha estat publicada amb finalitats exemplaritzants, donada l'extensió d'aquestes pràctiques en el mercat.

Què va ocórrer?

Des de febrer de 2018, l'empresa transmetia adreces de correu electrònic i números de telèfon dels membres del seu programa de fidelització a una xarxa social, amb l'objectiu de mostrar-los publicitat personalitzada mitjançant tècniques de custom audiences o CRM matching.

L'empresa va al·legar comptar amb el consentiment dels usuaris. No obstant això, aquest consentiment s'havia recaptat únicament per a l'enviament de comunicacions comercials per SMS i correu electrònic, no per a la comunicació de dades a un tercer ni per a la segmentació publicitària en xarxes socials.

El problema clau: el consentiment no era vàlid

El tractament mancava de base legal vàlida (art. 6 RGPD) perquè:

  • En el formulari d'adhesió al programa de fidelització no s'informava de la cessió de dades a una xarxa social.
  • La política de privacitat era confusa, incompleta o directament errònia, i no permetia comprendre la finalitat real del tractament.
  • No existia un consentiment específic, informat i inequívoc, com hauria estat, per exemple, una casella separada que esmentés expressament la publicitat personalitzada en xarxes socials.

Altres incompliments sancionats

A més del problema de base legal, la CNIL va identificar múltiples infraccions addicionals:

  • Falta de transparència ( 12 i 13 RGPD): Les finalitats no es vinculaven clarament amb les seves bases jurídiques, faltava informació sobre terminis de conservació i es continuava esmentant el Privacy Shield, ja invalidat.
  • Deficiències en la seguretat ( 32 RGPD): Les polítiques de contrasenyes no eren prou robustes i s'utilitzava SHA-256 per a l'emmagatzematge de contrasenyes, un mètode que no es considera adequat enfront d'atacs de força bruta.
  • Absència d'anàlisi d'impacte (DPIA / AIPD) ( 35 RGPD). El tractament implicava:
    • grans volums de dades,
    • encreuament d'informació,
    • publicitat personalitzada en plataformes de tercers.

Tot això exigia una avaluació d'impacte prèvia, que mai es va realitzar.

Lliçons clau per a les empreses

Aquest cas deixa diversos missatges clars:

  • El consentiment no és reutilitzable: cada finalitat exigeix la seva pròpia base legal.
  • El CRM matching i la publicitat en xarxes socials no són extensions naturals de l'email o SMS màrqueting.
  • La transparència no és un tràmit formal, sinó un requisit material.
  • Si hi ha segmentació, encreuament de dades i gran escala, la DPIA no és opcional.
  • La seguretat tècnica (contrasenyes, hashing) continua sent un pilar essencial del compliment.

Conclusió

La sanció de la CNIL reforça un principi bàsic del RGPD: les dades poden utilitzar-se únicament per a les finalitats específiques, explícites i legítimes per a les quals van ser recollides.

En un context de màrqueting cada vegada més sofisticat i dependent de plataformes externes, aquest tipus de decisions recorden que el compliment en protecció de dades comença en el disseny del tractament, no quan arriba una inspecció.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Proves digitals i decisions automatitzades davant els tribunals laborals: claus del seminari web amb ASNALA

per

La gestió algorítmica i l'ús de sistemes automatitzats en l'àmbit laboral ja no són una qüestió de futur. Avaluacions d'acompliment, sancions disciplinàries o acomiadaments basats en mètriques, rànquings o sistemes de scoring estan arribant de manera habitual als Jutjats socials, plantejant reptes jurídics i processals d'enorme calat.

En aquest context, des de TecnoLawyer vam tenir el plaer d'impartir un seminari web exclusiu per als socis d’ASNALA (Associació Nacional de Laboralistes), centrat en la litigació laboral quan la prova o la decisió empresarial es recolza en algorismes o sistemes d'intel·ligència artificial. La sessió va ser moderada per la Isabel Pedrola, sòcia d’ASNALA, a qui agraïm especialment la seva participació, així com l'interès mostrat pels assistents.

La digitalització del poder de direcció ja està en els tribunals

Un dels missatges centrals del seminari web va ser clar: el conflicte ja està en els jutjats. No es tracta de debatre si la intel·ligència artificial és lícita en abstracte, sinó d'analitzar com es prova, com s'impugna i com es controla judicialment quan condiciona decisions empresarials amb efectes jurídics rellevants.

Analitzem com el denominat algorithmic management s'ha convertit en una manifestació més del poder de direcció empresarial, i per tant ha de sotmetre's als mateixos límits constitucionals i legals que qualsevol altra decisió humana.

Prova algorítmica: riscos i exigències processals

Un altre dels eixos de la sessió va ser la prova algorítmica en el procés laboral. Abordem els principals riscos associats a aquesta mena de prova—opacitat tècnica, biaixos incorporats, falta de traçabilitat o dificultat de contradicció—i el seu impacte directe en el dret a la tutela judicial efectiva.

Es va insistir que la tecnologia no rebaixa l'estàndard probatori, sinó que l'eleva: com més opaca i complexa és la prova, major ha de ser l'esforç explicatiu de la part que la introdueix. En aquest punt, es va posar en relleu el paper creixent de la perícia judicial tecnològica com a eina clau per a comprendre, auditar i qüestionar sistemes automatitzats en seu judicial.

Decisions automatitzades i dret a l'explicació

El seminari web va dedicar un bloc específic a l'article 22 del RGPD i al dret del treballador a no ser objecte de decisions exclusivament automatitzades amb efectes jurídics significatius. Vam analitzar la jurisprudència més rellevant i recent del TJUE, que ha deixat clar que no n'hi ha prou amb una intervenció humana merament formal i que l'afectat té dret a rebre informació significativa i comprensible sobre la lògica aplicada.

 

Aquestes garanties resulten especialment rellevants en acomiadaments i sancions disciplinàries, on la falta d'explicació algorítmica pot comprometre greument el dret de defensa.

Transparència algorítmica i Dret del Treball

Des de la perspectiva estrictament laboral, es va subratllar la importància de l'article 64 de l'Estatut dels Treballadors, que reconeix el dret de la representació legal dels treballadors a ser informada sobre els paràmetres i regles dels algorismes o sistemes de IA que incideixin en les decisions laborals.

La falta d'informació prèvia no és una qüestió menor: pot contaminar tot el procediment disciplinari o extintiu i justificar un control judicial reforçat de la decisió empresarial.

El futur vigent: Reglament Europeu d'Intel·ligència Artificial

Finalment, es va analitzar l'impacte del Reglament Europeu d'Intel·ligència Artificial, ja en fase d'aplicació i plenament exigible aquest 2026. Molts sistemes utilitzats en l'àmbit laboral estan qualificats com d'alt risc, la qual cosa implica obligacions reforçades de supervisió humana, documentació, gestió del risc i protecció de drets fonamentals.

El missatge final va ser clar: la tecnologia no substitueix les garanties jurídiques; les posa a prova. I en aquest escenari, el paper de l'advocat laboralista resulta més decisiu que mai.

Agraïment a ASNALA

Des de TecnoLawyer volem agrair expressament a ASNALA la confiança dipositada en nosaltres i l'interès demostrat pels seus socis. Ha estat un plaer compartir aquest espai de reflexió jurídica i pràctica sobre un dels grans reptes actuals del Dret del Treball.

Tal com anunciem durant la sessió, els participants han rebut materials pràctics dissenyats per a la litigació laboral en contextos de gestió algorítmica, amb l'objectiu que el coneixement adquirit tingui una aplicació directa en el dia a dia dels despatxos.

Continuarem treballant per a oferir formació especialitzada i eines útils allà on el Dret laboral i la tecnologia es troben.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web