Ricard Castellet

Transcripció de veu amb IA: la pregunta no és si funciona, sinó si la teva organització està preparada

per

La IA transcriu, però la responsabilitat continua sent humana

La creixent adopció d'eines d'intel·ligència artificial per a transcriure reunions, trucades o converses està transformant la forma en què les organitzacions gestionen la informació. Agilitat, automatització i eficiència són avantatges evidents. No obstant això, darrere d'aquesta millora operativa existeix una qüestió que moltes empreses encara no s'han plantejat: qui respon quan la tecnologia s'equivoca?

La recent reflexió de l'AEPD recorda una idea essencial: utilitzar IA per a transcriure veu no implica traslladar la responsabilitat al proveïdor tecnològic. L'organització que decideix implantar aquestes eines continua sent responsable del tractament i de les seves conseqüències.

Quan un error de transcripció deixa de ser un error menor

Els errors poden tenir un impacte molt major del que sembla. Una transcripció pot atribuir una declaració a la persona equivocada, eliminar matisos rellevants o registrar dades incorrectes. Un nom mal identificat, un càrrec erroni o una frase treta de context poden afectar la qualitat de la informació i, en determinats escenaris, generar riscos jurídics i de compliment.

La qüestió no és si la tecnologia falla—perquè pot fer-ho—, sinó si l'organització ha previst què ocorrerà quan succeeixi.

Transparència, conservació i drets: riscos que solen passar desapercebuts

La transparència també ocupa un paper central. Les persones han de conèixer de manera clara quan la seva veu està sent tractada mitjançant sistemes d'IA, amb quina finalitat i quin ús posterior pot donar-se a aquesta informació.

A més, és necessari revisar aspectes que amb freqüència passen desapercebuts: les gravacions es conserven més temps del necessari?, les dades s'utilitzen per a reentrenar models?, existeixen mecanismes senzills per a rectificar errors o exercir drets?

L'experiència demostra que moltes organitzacions incorporen solucions de transcripció automàtica com una funcionalitat més dins de plataformes col·laboratives o eines de productivitat, sense analitzar realment les implicacions de privacitat i governança que incorporen.

La veritable pregunta: ha revisat la teva organització tot el que hauria?

Potser la pregunta rellevant ja no és si utilitzar o no aquestes eines. La qüestió és una altra: la teva organització ha revisat realment tot el que hauria de revisar?

  • Ha analitzat el paper i les responsabilitats del proveïdor?
  • Existeixen protocols per a validar i corregir transcripcions errònies?
  • S'han definit períodes adequats de conservació?
  • S'informa correctament empleats, clients o participants?
  • S'han avaluat els riscos des d'una perspectiva de privacitat i compliment?

La intel·ligència artificial pot aportar un enorme avantatge competitiu, però la innovació sostenible exigeix alguna cosa més a implementar tecnologia: requereix fer-ho amb garanties.

Les organitzacions que obtindran major valor d'aquestes eines no seran necessàriament les que adoptin més IA, sinó aquelles que hagin dedicat temps a entendre les seves implicacions i a implantar-la amb garanties.

Com sempre, cuideu les dades i cuideu-vos!

XII Congrés Internacional de Privacitat i Intel·ligència Artificial de APEP·IA

per

Els passats 7 i 8 de maig l'equip de Tecnolawyer va assistir al XII Congrés Internacional de Privacitat i Intel·ligència Artificial organitzat per APEP·IA, una trobada de referència per a professionals de l'àmbit de la privacitat, la protecció de dades i la governança de la intel·ligència artificial.

Durant les diferents sessions i taules de debat, el Congrés va reunir representants institucionals, experts jurídics, acadèmics i companyies tecnològiques per a analitzar els reptes que planteja la ràpida evolució de la IA des d'una perspectiva reguladora, ètica i operativa. Al llarg de les jornades es van abordar qüestions especialment rellevants relacionades amb l'aplicació pràctica de la normativa de protecció de dades, la gestió de riscos, la transparència dels sistemes d'IA i la necessitat d'avançar cap a models de governança responsables i sostenibles.

Un dels aspectes més destacats de l'esdeveniment va ser l'enfocament pràctic de moltes de les intervencions, centrades en com les organitzacions poden adaptar-se al nou context tecnològic i regulador. La creixent integració d'eines d'intel·ligència artificial en processos empresarials i entorns laborals està generant nous desafiaments en matèria de privacitat, seguretat de la informació i compliment normatiu, la qual cosa exigeix una aproximació cada vegada més transversal i estratègica.

El Congrés també va posar de manifest el paper clau que està exercint Europa en la definició d'estàndards reguladors entorn de la intel·ligència artificial i la protecció de dades. Els diferents debats van reflectir la importància de trobar un equilibri entre innovació i garantia de drets fonamentals, així com la necessitat que empreses i professionals es mantinguin preparats davant un marc normatiu en constant evolució.

La nostra assistència a aquesta trobada ha suposat una excel·lent oportunitat per a conèixer de primera mà les tendències i prioritats que marcaran el desenvolupament de la IA en els pròxims anys, així com per a compartir experiències amb altres professionals del sector.

Des de la nostra signatura, continuem apostant per una visió de la innovació tecnològica alineada amb el compliment normatiu, la protecció de dades i l'adopció responsable de solucions d'intel·ligència artificial.

Agraïm a APEP·IA l'organització d'un Congrés de gran nivell tècnic i plenament connectat amb els desafiaments actuals de l'entorn digital.

Com sempre, cuideu les dades i cuideu-vos!

Evidències digitals: el gran oblidat del compliment 

per

Moltes organitzacions han avançat en els últims anys en matèria de compliment: polítiques internes, protocols, formacions, clàusules, procediments… El problema és que, en massa casos, tot això continua vivint en documents estàtics que rares vegades es connecten amb l'operativa real de l'empresa.

I aquí apareix un dels majors riscos actuals: no poder demostrar què es va fer, quan, per qui i amb quins controls.

El compliment ja no es mesura només pel que una organització té documentat, sinó per la seva capacitat per a acreditar que realment funciona.

1. El compliment ja no és un PDF

Durant anys, moltes empreses han entès el compliance com una qüestió principalment documental: disposar de polítiques, manuals o procediments.

El context ha canviat; normatives com el RGPD, el Reglament Europeu d'IA, els requisits de ciberseguretat o els sistemes interns d'informació exigeixen alguna cosa més: traçabilitat i capacitat de prova.

No n'hi ha prou amb afirmar que existeix un control, sinó que cal poder demostrar: quan es va aplicar, qui va intervenir, quina decisió es va prendre, i quines evidències ho recolzen.

2. El problema de veritat apareix quan hi ha un incident

La diferència entre un compliment «formal» i un realment operatiu sol aparèixer en el pitjor moment: una inspecció, una reclamació, una bretxa de seguretat o un conflicte laboral.

En aquest escenari, les preguntes canvien ràpidament:

  • pots acreditar que es va informar l'empleat?
  • existeix registre de l'autorització?
  • va quedar documentada la revisió humana?
  • es pot reconstruir què va ocórrer?

Moltes vegades la resposta és incompleta perquè l'organització tenia polítiques… però no evidències.

3. De la documentació estàtica a sistemes defensables

El repte actual no és generar més documentació, sinó construir sistemes que permetin convertir el compliment en una cosa aplicable, mesurable i defensable.

Això afecta pràcticament a totes les àrees:

  • protecció de dades,
  • ús d'intel·ligència artificial,
  • ciberseguretat,
  • canal intern de denúncies,
  • desconnexió digital,
  • controls laborals o recerques internes.

En tots aquests àmbits, l'element diferencial ja no és només «tenir normes», sinó comptar amb mecanismes que permetin acreditar com s'executen realment.

4. L'evidència digital com a element estratègic

Moltes organitzacions continuen veient les evidències digitals com un aspecte tècnic o secundari. No obstant això, cada vegada tenen més pes des del punt de vista jurídic i operatiu.

Registres d'activitat, logs, autoritzacions, revisions, traçabilitat d'accessos o validacions internes són elements que permeten demostrar diligència i control.

I això té un impacte directe:

  • redueix exposició davant sancions,
  • enforteix la posició de l'empresa davant conflictes,
  • i millora la capacitat de resposta davant incidents.

Conclusió: el compliment que no es pot provar és cada vegada menys útil

Les organitzacions ja no necessiten únicament polítiques ben redactades. Necessiten estructures que permetin demostrar que aquestes polítiques s'apliquen de manera efectiva.

Perquè el canvi de paradigma real és aquí: passar d'un compliment basat en documents a un compliment basat en evidències.

I en un entorn on conflueixen IA, protecció de dades, ciberseguretat i relacions laborals, aquesta capacitat de prova comença a convertir-se en un avantatge competitiu.

La pregunta clau: Si demà la teva organització hagués de justificar una decisió, una actuació o un control concret… podria demostrar-lo amb evidències clares i traçables, o només amb un procediment en PDF?

Com sempre, cuideu les dades i cuideu-vos!

Píxels en email marketing: l’«invisible» que pot costar-te 100.000 €

per

L'email marketing continua sent una de les eines més rendibles per a les empreses. Però hi ha un detall tècnic que moltes organitzacions utilitzen sense qüestionar-ho—i que ja està generant sancions rellevants—: els píxels de seguiment.

Aquests petits fragments de codi que permeten saber si algú obre un correu, quan el fa o des de quin dispositiu. Útils, sí. Inofensius... no sempre.

L'Agència Espanyola de Protecció de Dades (AEPD) ja ha deixat clar el missatge: no pots rastrejar sense permís, encara que sí que puguis enviar l'email.

1. Rebre emails no significa acceptar ser monitoritzat

Un dels principals errors detectats és assumir que l'acceptació de comunicacions comercials inclou, de manera implícita, el consentiment per al seguiment de l'activitat del destinatari.

Des del punt de vista normatiu, això no és correcte.

L'ús de píxels implica accedir al terminal de l'usuari per a recaptar informació, la qual cosa situa aquesta pràctica dins de l'àmbit de l'article 22.2 de la LSSI, en línia amb el règim aplicable a cookies i tecnologies similars.

Això exigeix informació prèvia clara i consentiment específic, exprés i separat.

2. El píxel «invisible» no és neutre

Des del punt de vista tècnic, el píxel funciona com una ordre al dispositiu de l'usuari per a enviar informació a un servidor extern.

Això pot incloure:

  • si ha obert l'email,
  • a quina hora,
  • des de quin dispositiu,
  • i fins i tot patrons de comportament.

Quan aquesta recollida es produeix sense coneixement del destinatari, pot vulnerar els principis de transparència i lleialtat establerts en el RGPD.

3. Europa ho té clar: això és com una cookie

El Comitè Europeu de Protecció de Dades ha equiparat l'ús de píxels a altres tecnologies de seguiment, la qual cosa consolida l'exigència de consentiment vàlid conforme als estàndards del Tribunal de Justícia de la Unió Europea.

Això implica, entre altres qüestions: exclusió de mecanismes basats en consentiment tàcit, invalidesa de caselles premarcades i necessitat d'una acció afirmativa clara per part de l'usuari.

Per tant, el consentiment ha de ser clar, informat i verificable.

4. No és només el teu proveïdor: la responsabilitat també és teva

Un altre punt crític (i molt rellevant a nivell comercial) és que moltes empreses utilitzen eines d'email marketing sense revisar què fan exactament. No obstant això, el fet que el tracking el proporcioni una plataforma externa no elimina la responsabilitat.

Si es decideix usar aquestes mètriques, es defineixen els seus paràmetres o s'obtenen beneficis d'elles, s'està participant en el tractament de dades, per la qual cosa això et converteix en responsable (o corresponsable) del tractament.

Aquest aspecte resulta especialment rellevant en contextos d'auditoria o inspecció.

5. El precedent: 100.000 € per rastrejar sense informar

L'AEPD ja ha sancionat aquest tipus de pràctiques en casos en els quals no s'informava adequadament l'usuari, no existia una base jurídica vàlida, i el tractament es realitzava de manera opaca.

En un dels seus últims expedients (PS/00328/2022), la sanció ha arribat a la suma total de 100.000 €. En aquest sentit, l'AEPD ha subratllat que la utilitat comercial d'aquestes eines no justifica el seu ús sense garanties adequades. Aquesta sanció ha estat ratificada posteriorment en el recurs de reposició.

Conclusió: el problema no és mesurar, és com es fa

Mesurar resultats en màrqueting és necessari, però fer-ho sense control pot sortir car.

El veritable risc no està a usar tecnologia d'analítica, sinó a fer-ho:

  • sense consentiment adequat,
  • sense transparència,
  • i sense entendre quines dades s'estan tractant realment.

Aquí és on moltes empreses fallen: no en l'eina, sinó en la configuració.

En un context de creixent exigència reguladora, resulta imprescindible que les organitzacions puguin respondre amb claredat a una qüestió bàsica: quines dades s'estan recollint en les nostres campanyes d'email i sota quina legitimació?

Quan aquesta resposta no està clarament definida, el risc deixa de ser teòric i passa a ser operatiu.

Com sempre, cuideu les dades i cuideu-vos!

De la IA al control biomètric: quan la tecnologia es passa de frenada

per

En els últims posts del blog hem parlat molt d'intel·ligència artificial: automatització, eficiència, presa de decisions… Però hi ha un altre fenomen que avança en paral·lel i planteja reptes igual de rellevants: l'ús de tecnologies cada vegada més intrusives en l'entorn laboral.

Perquè no tot passa per la IA. A vegades, el problema està en una cosa més quotidiana: com controlem l'accés o l'activitat dels empleats.

La recent sentència de l'Audiència Nacional nº59/2026 ho deixa clar: no tot el tècnicament possible és jurídicament vàlid, especialment quan parlem de dades biomètriques.

El cas: control excessiu per a un problema menor

L'assumpte analitzat part d'una mesura que, en aparença, buscava millorar la seguretat: utilitzar sistemes d'identificació biomètrica (com l'empremta dactilar) per a controlar l'accés d'empleats a zones com a vestuaris o lavabos.

El problema no va ser la finalitat, sinó el mitjà triat.

L'Audiència Nacional conclou que la mesura no superava l'anàlisi exigida en protecció de dades:

  • no era necessària,
  • no era proporcional,
  • i existien alternatives menys invasives.

En altres paraules: es va utilitzar una solució desproporcionada per a un problema que podia resoldre's de forma més senzilla.

Dades biomètriques: un nivell d'exigència més alt

No estem davant dades qualsevol. Les dades biomètriques—com l’empremta dactilar o el reconeixement facial—tenen una protecció reforçada en el RGPD.

Per què? Perquè permeten identificar de manera única a una persona i, a més, són dades que no es poden canviar.

Això implica que el seu ús ha de ser excepcional i estar especialment justificat. No n'hi ha prou que sigui útil o còmode per a l'empresa.

El criteri clau: de veritat no hi ha una altra alternativa?

La sentència posa el focus en una idea molt pràctica que moltes organitzacions passen per alt: abans d'implantar una mesura intrusiva, cal preguntar-se si existeix una altra menys invasiva.

En aquest cas, la resposta era clara: sí, existien alternatives (targetes, codis, controls físics…). I, quan existeixen, l'ús de biometria deixa d'estar justificat.

Més enllà de la sanció: el risc real

Encara que, en aquest cas, la sanció econòmica es va substituir per una advertència, el missatge és rellevant. El problema no va ser una mala intenció, sinó un mal disseny.

I això és clau per a les empreses: molts riscos en protecció de dades no venen de decisions deliberades, sinó de no analitzar bé l'impacte de les mesures que s'implanten.

A més, el context agreuja la situació: estem parlant d'espais com a vestuaris o zones de descans, en els quals l'expectativa de privacitat és major.

Conclusió: més tecnologia no sempre és millor control

La tecnologia ofereix cada vegada més possibilitats per a controlar accessos, mesurar activitat o reforçar la seguretat. Però això no significa que totes hagin d'utilitzar-se.

Igual que ocorre amb la intel·ligència artificial, la clau no està en el que la tecnologia permet fer, sinó en el que és adequat fer en cada context.

Abans d'implantar sistemes biomètrics—o qualsevol mesura intensiva—convé fer-se una pregunta senzilla: estic resolent el problema… o complicant-lo innecessàriament?

Perquè en protecció de dades, triar l'eina més potent no sempre és la millor decisió. A vegades, és just el contrari.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

L’error més comú en utilitzar IA en emails (i per què pot costar-te car) 

per

La intel·ligència artificial s'ha convertit en una aliada habitual per a redactar emails: respostes ràpides, textos més clars, millor to… Tot sembla una millora evident en productivitat. 

Però hi ha un error que es repeteix constantment en empreses de totes les grandàries: copiar dades reals en el prompt perquè la IA «millori» l'email. 

El que sembla un gest innocent pot convertir-se en una fuga d'informació amb implicacions legals i reputacionals. L'Agència Espanyola de Protecció de Dades (AEPD), en les seves recomanacions sobre l'ús d'IA, insisteix precisament en aquest punt: el risc no està en la resposta, sinó en la informació que s'introdueix. 

El gest més habitual (i més perillós) 

L'escenari és molt comú: 

  • «Milloraré aquest email a un client»  
  • «Que el faci més professional»  
  • «Que resumeixi aquest fil»  

I per a això, es copia el contingut complet del correu en l'eina d'IA. 

El problema és que aquest contingut pot incloure: 

  • dades personals de clients o empleats,  
  • informació contractual,  
  • dades financeres,  
  • fins i tot, converses sensibles.  

En aquest moment, aquesta informació surt de l'entorn controlat de l'empresa. 

Què passa realment amb aquestes dades? 

No totes les eines d'IA funcionen igual, però l'AEPD adverteix d'un aspecte clau: quan s’introdueix informació en aquests sistemes, es pot perdre el control sobre ella. 

Depenent del proveïdor, les dades poden: 

  • emmagatzemar-se temporalment,  
  • generar registres (logs),  
  • utilitzar-se per a millorar el servei.  

Això no significa que sempre passi, però sí que no es pot assumir que la dada desapareix després d'obtenir la resposta. 

El problema no és tècnic, és d'ús 

Aquí està la clau: la majoria dels riscos no venen de la tecnologia, sinó de com s'utilitza. 

L'ús d'IA en emails no és problemàtic per si mateix. El problemàtic és introduir informació que no hauria de sortir del perímetre de l'organització. 

Per això, l'AEPD recomana aplicar un principi bàsic: minimitzar les dades que s'introdueixen en eines d'IA. 

Com evitar l'error (sense deixar d’utiltizar IA) 

No es tracta de deixar d'usar aquestes eines, sinó d'usar-les millor. Algunes bones pràctiques: 

  • Evitar copiar dades reals: substituir noms, xifres o referències per exemples ficticis.  
  • Treballar amb plantilles: demanar a la IA estructures o millores generals, no sobre casos reals.  
  • Revisar condicions del proveïdor: entendre què passa amb les dades introduïdes.  
  • Formar als equips: molts errors venen del desconeixement, no de la mala fe.  

L'objectiu és clar: aprofitar la IA sense comprometre la informació. 

Conclusió: la productivitat no pot anar per davant del control 

La IA pot ajudar-te a escriure millors emails en menys temps. Però aquest benefici no pot venir a costa de perdre el control sobre les dades. 

L'error més comú no és utilitzar l'eina, sinó fer-ho sense criteri. 

Perquè al dia a dia, una simple acció com «copiar i pegar» pot semblar insignificant… fins que deixa de ser-ho. 

I, en protecció de dades, aquest moment sol arribar massa tard. 

 Com sempre, cuideu les dades i cuideu-vos! 

Utilitzes IA per a contractar? Això és el que has de revisar abans de decidir

per

La intel·ligència artificial ha arribat amb força als processos de selecció: filtrat de CVs, anàlisi de candidats, entrevistes automatitzades… La promesa és clara: més eficiència, menys biaixos i decisions més ràpides. 

Però hi ha una pregunta que moltes organitzacions encara no es fan: estem utilitzant la IA en selecció de manera legal i controlada? 

Recordem que el Reglament Europeu d'Intel·ligència Artificial (AI Act/RIA, Reglament (UE) 2024/1689) introdueix regles molt clares, especialment, quan la IA afecta a decisions laborals. 

I aquí el nivell d'exigència puja. Ja vam introduir aquest tema al blog (pots rellegir-lo aquí), però avui parlarem de l'ús específic de la IA en processos de selecció. 

La IA en selecció és «alt risc» (i no és una etiqueta menor) 

El RIA classifica com a sistemes d'alt risc aquells que s'utilitzen per a: 

  • selecció de candidats, 
  • avaluació de CVs,  
  • presa de decisions en contractació o promoció.  

Això significa que no estem davant una eina més, sinó davant un sistema subjecte a obligacions estrictes. 

Per què? Perquè aquestes decisions tenen un impacte directe en la vida de les persones. 

No n'hi ha prou que l'eina funcioni: cal controlar-la 

Un dels missatges clau del Reglament és clar: utiltizar IA no implica delegar la decisió. 

Les empreses han de garantir: 

  • supervisió humana real 
  • comprensió del funcionament del sistema,  
  • i capacitat d'intervenir o corregir decisions.  

És a dir, la IA pot ajudar… però no substituir completament el criteri humà. 

El risc invisible: biaixos i decisions automatitzades 

Molts sistemes d'IA aprenen de dades històriques. I aquí està el problema: 

si les dades estan esbiaixades, la IA pot reproduir—o, fins i tot, amplificar—aquests biaixos. 

En selecció, això pot traduir-se en: 

  • discriminació indirecta,  
  • exclusió sistemàtica d'uns certs perfils,  
  • decisions difícils d'explicar.  

El RIA obliga les organitzacions a avaluar i mitigar aquests riscos, no a ignorar-los. 

Transparència: el candidat ha de saber-ho 

Un altre punt clau: si utilitzes IA en processos de selecció, has d'informar-ho. 

Els candidats tenen dret a saber: 

  • que estan sent avaluats mitjançant sistemes automatitzats,  
  • com influeix això en la decisió,  
  • i quin paper té la intervenció humana.  

No és només una qüestió legal, també ho és de confiança. 

Revisar el procés, no sols l'eina 

Un error habitual és centrar-se únicament en la tecnologia: «l'eina compleix?» 

Però la pregunta correcta és una altra: compleix tot el procés de selecció? 

El risc no està només en el programari, sinó en com s'integra en la presa de decisions. 

Això implica revisar: 

  • com s'utilitza l'eina,  
  • qui pren la decisió final,  
  • i quines evidències pots aportar si algú qüestiona el procés.  

Conclusió: la IA no elimina la responsabilitat, l'augmenta 

La intel·ligència artificial pot millorar els processos de selecció, però també introdueix nous riscos. 

El RIA no prohibeix el seu ús, però sí que deixa clar una cosa fonamental: qui decideix continua sent responsable, encara que utilitzi IA. 

Per això, més enllà de l'eficiència, la clau està en el control. Perquè en selecció de personal, no solament importa triar bé, sinó que també importa poder demostrar que s'ha fet correctament.. 

Com sempre, cuideu les dades i cuideu-vos! 

Plataformes educatives digitals: el que cal revisar abans de tornar a classe

per

Les vacances escolars—com la Setmana Santa—no serveixen només per a desconnectar. També són un bon moment per a revisar eines que usem diàriament sense qüestionar-les massa. 

Una d'elles: les plataformes educatives digitals (Google ClassroomMicrosoft Education, plataformes autonòmiques, etc.). 

Les autoritats de protecció de dades a Espanya han publicat una guia conjunta que llança un missatge clar: no n'hi ha prou que funcionin bé, també han d'usar-se bé, doncs, en la majoria dels casos, implica el tractament de dades de menors. Això afecta no sols a centres educatius, sinó també a empreses que ofereixen o gestionen aquest tipus de solucions. 

No tot el que inclou la plataforma «és «part del servei» 

Moltes plataformes educatives venen amb funcionalitats addicionals: analítiques, millores automàtiques, integracions… 

El problema és que no tot això forma part del servei educatiu «bàsic». Algunes d'aquestes funcions impliquen que el proveïdor utilitzi les dades per a les seves pròpies finalitats, no només per a prestar el servei. 

Traducció pràctica? Que el proveïdor, en uns certs casos, no està actuant només com a proveïdor, sinó prenent decisions sobre les dades. I això canvia completament les regles del joc. 

Utilitzar dades sí… però només per al necessari 

L'ús d'aquestes plataformes sol justificar-se perquè són necessàries per a l'activitat educativa. Però aquesta justificació té límits. 

La guia insisteix en una cosa molt important: només es poden utilitzar les dades per al que sigui estrictament necessari. 

Si s'utilitzen per a altres finalitats (millorar el producte, fer analítica, perfilar usuaris…), la cosa es complica, especialment perquè estem parlant de menors. 

Abans d'implantar una plataforma, cal analitzar riscos 

Un dels missatges més clars del document és aquest: no s'hauria d'implantar una plataforma «i ja està». 

Abans, cal fer una espècie d’«anàlisi d'impacte» que respongui a preguntes com: 

  • Quines dades s’utilitzaran?  
  • Qui accedeix a elles?  
  • On s'emmagatzemen?  
  • Quins riscos existeixen?  

I, molt important, aquesta anàlisi no és una cosa puntual: cal revisar-ho si l'eina canvia o evoluciona. 

Explicar bé el que passa amb les dades 

Un altre punt clau: la transparència. 

No val amb un avís legal llarg i difícil d'entendre. La informació ha de ser clara i comprensible, especialment tenint en compte que parlem de menors i les seves famílies. 

En la pràctica això significa explicar, de manera senzilla: 

  • quines dades s'usen,  
  • per a què,  
  • i qui les utilitza (centre i proveïdor).  

Compte amb les dades que surten fora d'Europa 

Moltes d'aquestes plataformes són globals. I això implica que les dades poden viatjar fora de la Unió Europea. 

Aquí la guia és molt clara: si no es pot garantir un nivell de protecció adequat, aquesta eina no hauria d'utilitzar-se. 

No és un tema menor i tampoc un aspecte que es pugui «arreglar» amb solucions ràpides. 

Conclusió: no és només tecnologia, és responsabilitat 

Les plataformes educatives ja són part del dia a dia. Però utilitzar-les bé no és només una qüestió tècnica, sinó de responsabilitat en l'ús de les dades. 

El missatge de la guia és clar i molt pràctic: no es tracta de deixar d'usar aquestes eines, sinó de fer-ho amb criteri. 

Especialment quan els usuaris—com passa en aquest cas—són menors. 

Perquè quan la tecnologia entra a l'aula, també ho fan les dades. I gestionar-les bé ja no és opcional. 

Com sempre, cuideu les dades i cuideu-vos! 

La política d’IA que funciona: menys normes, més circuit 

per

En moltes organitzacions, la resposta a l'auge de la intel·ligència artificial ha estat immediata: redactar una política interna i distribuir-la en format PDF. El problema és que, en la pràctica, una política que no s'integra en l'operativa diària acaba sent irrellevant. 

Mentrestant, l'ús d'eines d'IA—moltes vegades fora dels canals autoritzats—continua creixent. El fenomen del Shadow AI no es corregeix amb prohibicions generals, sinó amb alternatives viables. 

L'Agència Espanyola de Protecció de Dades (AEPD), en la seva Política d'ús d'IA generativa, apunta cap a un enfocament més pràctic: no es tracta només de regular, sinó d'establir un marc operatiu que permeti l'ús segur d'aquestes eines. 

L'error habitual: polítiques que no es poden aplicar 

Moltes polítiques d'IA comparteixen un problema comú: estan ben redactades, però mal aterrades. Prohibeixen usos genèrics o imposen restriccions àmplies, sense oferir solucions concretes per al dia a dia. 

El resultat és previsible: els empleats continuen necessitant aquestes eines per a ser més eficients, i acaben utilitzant-les fos dels canals corporatius. 

Això no sols incrementa el risc, sinó que redueix la capacitat de l'organització per a controlar i supervisar l'ús real de la IA. 

El que sí que funciona: crear un circuit d'autorització 

Enfront d'aquest enfocament, l'AEPD proposa una lògica distinta: permetre l'ús de la IA, però dins d'un marc estructurat i controlat. 

Una política eficaç no és només un document, sinó un circuit d'autorització i governança que inclogui: 

  • Casos d'ús definits: què es pot fer i en quins contextos.  
  • Usuaris autoritzats: qui pot utilitzar determinades eines i per a què fins.  
  • Eines validades: quines solucions han estat avaluades des del punt de vista de protecció de dades i seguretat.  
  • Supervisió humana: revisió en aquells processos on existeixi major impacte o risc.  

Aquest enfocament permet canalitzar l'ús de la IA en lloc d'intentar bloquejar-lo. 

Menys prohibició, més alternativa segura 

Un dels missatges clau és que prohibir eines poques vegades funciona. Quan no existeix una alternativa clara, els usuaris buscaran solucions pel seu compte. 

Per contra, quan l'organització ofereix un «camí fàcil i segur»—eines aprovades, criteris clars i suport intern—l'ús no autoritzat disminueix de manera natural. 

Aquest canvi d'enfocament transforma el problema: el Shadow AI deixa de ser una qüestió disciplinària per a convertir-se en un problema de disseny organitzatiu. 

Governança d'IA: control sense fricció 

El repte per a les empreses no és triar entre control o productivitat, sinó integrar tots dos elements. Una política ben dissenyada permet mantenir el control sobre les dades i els riscos; garantir el compliment del RGPD; i, al mateix temps, facilitar el treball diari dels equips.  

La clau està a construir un sistema on l'ús correcte de la IA sigui més senzill que l'ús no autoritzat. 

Conclusió: la política útil és la que s'usa 

En el context actual, tenir una política d'IA ja no és suficient. El rellevant és que aquesta política sigui operativa, comprensible i aplicable. 

Les organitzacions que entenen això deixen de veure la IA com un risc que cal limitar i comencen a gestionar-la com una capacitat que cal governar. 

Perquè, en la pràctica, la millor política no és la més restrictiva, sinó la que aconsegueix una cosa molt més difícil: ordenar l'ús de la IA sense frenar la productivitat. 

Com sempre, cuideu les dades i cuideu-vos! 

Revisió Texts legals web