Dret Laboral Digital

Shadow AI: quan la innovació es converteix en vulnerabilitat legal

per

La intel·ligència artificial va arribar per quedar-se, però la seva adopció descontrolada pot convertir-se en el major risc legal i reputacional de la teva organització. La coneguda com Shadow AI —l’ús no autoritzat d’eines d’intel·ligència artificial per part d’empleats sense supervisió del departament de TI o compliance— està exposant a milers d’empreses a multes milionàries, filtracions de dades confidencials i greus incompliments normatius.

Les dades són alarmants: una recerca recent de Microsoft revela que el 71% dels empleats al Regne Unit han utilitzat eines d’IA no aprovades en el treball, i el 51% continua fent-ho setmanalment. A Espanya, el 67% de les organitzacions se senten incapaces de detectar implementacions d’IA no controlades, i més del 80% de les companyies espanyoles han sofert incidents de seguretat relacionats amb l’IA. El problema no és menor: un de cada cinc incidents de Shadow AI implica dades sensibles, i només el 32% dels treballadors expressen preocupació per la privacitat de les dades corporatives o de clients introduïdes en eines d’IA de consum.

El veritable risc: vulnerabilitats legals i operatives

Quan un empleat introdueix dades corporatives, informació de clients o estratègies empresarials en eines públiques com ChatGPT, Claude o Gemini sense autorització, genera múltiples vulnerabilitats simultàniament. Els treballadors recurren a aquestes eines per redactar comunicacions laborals (49%), elaborar informes i presentacions (40%) i fins i tot realitzar tasques financeres (22%), però amb una preocupant falta de consciència sobre els riscos: només el 29% es preocupa per la seguretat dels sistemes de TI de la seva organització.

La fuga d’informació confidencial és immediata: les eines d’IA generativa emmagatzemen i reutilitzen la informació introduïda en els seus prompts. Noms de clients, informació de projectes estratègics i codi font propietari són filtrats sense control. Simultàniament, s’incompleixen obligacions del Reglament General de Protecció de Dades (RGPD), que exigeix consentiment explícit, minimització de dades i transparència en el tractament d’informació personal. Les multes poden assolir 20 milions d’euros o el 4% de la facturació global.

El Reglament d’Intel·ligència Artificial (AI Act), les primeres obligacions del qual van entrar en vigor el 2 d’agost de 2025, estableix sancions encara més severes: fins a 35 milions d’euros o el 7% del volum de negoci global. Les organitzacions han de garantir traçabilitat, transparència i supervisió humana en els sistemes d’IA, cosa impossible quan s’utilitzen eines no autoritzades.​

Mesures essencials per a empreses

Prohibir l’ús d’IA no és viable: el 41% dels empleats utilitza aquestes eines perquè hi estan acostumats en la seva vida personal, i el 28% perquè la seva empresa no proporciona una alternativa aprovada. L’estratègia correcta passa per gestionar la Shadow AI mitjançant un marc de governança clar, transparent i auditable.

Realitzar una auditoria interna d’IA: Identificar totes les eines d’IA utilitzades a l’organització, tant autoritzades com no controlades.

Implementar una Política d’Ús Responsable d’IA: Document que estableixi regles, principis i procediments sobre usos permesos, procediments d’aprovació, obligacions de confidencialitat i mesures de seguretat.

Establir controls tècnics de prevenció: Solucions de Prevenció de Pèrdua de Dades (DLP) per examinar informació sensible enviada a plataformes d’IA.

Formar i conscienciar la plantilla: El 87% dels empleats no comprèn els riscos reals de l’ús inadequat d’IA. La formació ha de ser específica per perfil professional.

Designar responsables de governança: Crear un Comitè d’IA amb representació d’àrees clau que supervisi implementació, avaluï noves eines i gestioni incidents.

Conclusió

En un context normatiu cada vegada més exigent, amb el RGPD plenament consolidat, l’AI Act en fase d’implementació i l’AEPD exercint competències sancionadores, les organitzacions no es poden permetre ignorar la Shadow AI.
Com adverteix Darren Hardman, CEO de Microsoft UK & Ireland: “Només l’IA de nivell empresarial ofereix la funcionalitat que els empleats desitgen, envoltada en la privacitat i seguretat que tota organització exigeix”.
La clau està en governar: establir marcs clars, formar equips i implementar controls tècnics. Només així la innovació es converteix en avantatge competitiu sostenible i responsable.

Com sempre, cuideu les dades i cuideu-vos!

XXV Congrés ASNALA a Sevilla: passió laboralista i compromís digital

per

El XXV Congrés d’ASNALA, celebrat a Sevilla sota el lema Laborium 2025, ha estat molt més que un punt de trobada: una demostració del vigor i la comunitat que defineixen el Dret Laboral a Espanya. Durant tres dies, la capital andalusa va reunir centenars de professionals de l’àmbit jurídic-laboral, convertits en protagonistes d’un esdeveniment que va combinar coneixement, innovació i bones relacions.

Tecnolawyer va tenir el privilegi de participar com a patrocinador d’aquesta edició especial, reafirmant el nostre compromís amb l’impuls del Dret Digital Laboral. En el nostre estand presentem dues eines especialment pensades per als laboralistes que volen anticipar-se als reptes tecnològics que ja estan transformant la seva pràctica: l ‘Índex Digital Laboral, que permet conèixer el nivell de maduresa digital de cada professional i comparar-lo de forma anònima amb el dels seus col·legues, i la Guia ràpida “IA: què ha de saber un advocat laboralista avui”, un material de consulta àgil que resumeix els aspectes clau de l’ús responsable i ètic de la intel·ligència artificial en l’àmbit laboral.

El congrés va ser també una oportunitat única per escoltar i comprendre les inquietuds del sector. Molts assistents van compartir les seves experiències al voltant de dues qüestions que van centrar bona part del debat: la irrupció de la IA en els recursos humans —amb el seu potencial, però també amb els seus dilemes jurídics— i la implantació efectiva i demostrable de la Desconnexió Digital a les empreses, un dret que segueix evolucionant en paral·lel a la digitalització del treball. Aquestes converses van confirmar la necessitat d’acompanyar les pimes i els despatxos en l’adopció de bones pràctiques digitals, un objectiu central en la nostra tasca diària.

L’equip d’ASNALA, encapçalat per Ana Gómez, presidenta, i Paloma Ausín, gerent, va oferir una organització impecable que va combinar el rigor professional amb una hospitalitat exemplar. L’agenda de Laborium 2025 no només va brillar per la qualitat de les seves ponències i taules rodones, sinó també per la seva cuidada vessant social: la visita guiada als Reals Alcázares i  el Sopar de Gala van ser moments memorables que van segellar la complicitat entre col·legues de tot Espanya.

Des de Tecnolawyer, tornem de Sevilla amb la satisfacció d’haver compartit coneixement, generat converses valuoses i reforçat vincles amb una comunitat professional apassionada i en plena transformació digital. Aquest Congrés ha deixat clar que el futur del Dret Laboral serà, necessàriament, també digital. I aquí estarem, acompanyant els laboralistes amb solucions jurídic-tecnològiques que els ajudin a liderar aquest canvi.

 

L'equip de Tecnolawyer en el photocall del Sopar de Gala del Congrés d'ASNALA 2025.
L’equip de Tecnolawyer, desplaçat al Congrés, en el photocall del Sopar de Gala del Congrés d’ASNALA 2025.

Algoritmes sota vigilància: la nova era de la Inspecció de Treball

per

La Inspecció de Treball ha estrenat el seu Pla Estratègic 2025-2027 i porta una novetat que no deixa indiferent: la intel·ligència artificial es converteix en protagonista del món laboral. I ho fa per partida doble: serà tant objecte de control en les empreses com eina de control en mans de la pròpia Inspecció.

IA com a objecte de control

Si la teva empresa utilitza algoritmes per a contractar, organitzar torns o prendre decisions sobre la plantilla, és moment de revisar aquests processos. La Inspecció anuncia que vigilarà molt de prop aquestes pràctiques per a evitar biaixos i discriminacions.

La idea és simple: la tecnologia no pot servir per a limitar la igualtat d’oportunitats. De fet, el pla fins i tot apunta al fet que es podria adaptar el règim sancionador per a respondre a possibles abusos en aquest terreny.

El missatge als empresaris és clar: toca ser transparents i responsables amb els sistemes d’IA que afecten les persones.

IA com a eina de control

La Inspecció no es queda enrere. El Pla preveu una profunda modernització tecnològica de l’organisme:

  • Creació d’unitats de tractament massiu de dades en cada Comunitat Autònoma, capaces de manejar grans volums d’informació i detectar patrons de frau.
  • Desenvolupament de noves regles algorítmiques integrades en l’Eina de Lluita contra el Frau.
  • Posada en marxa d’un laboratori d’informàtica forense, especialitzat a obtenir evidències digitals dels sistemes empresarials.
  • Implantació de projectes pilot d’IA per a planificar expedients, automatitzar processos i millorar l’eficiència interna.

Tot això amb un objectiu: anticipar-se al frau, guanyar eficàcia i reforçar la transparència en l’actuació inspectora.

Un canvi de paradigma

La digitalització i la revolució tecnològica són ja part inseparable del món laboral. El Pla Estratègic situa a la Inspecció com a àrbitre i jugador alhora: controla com les empreses apliquen la IA, mentre aprofita aquesta mateixa tecnologia per a optimitzar la seva pròpia labor.

Per a les empreses, el missatge és doble. D’una banda, han de garantir que els sistemes d’IA que impacten en la plantilla respectin els drets fonamentals. D’altra banda, han d’estar preparades per a un control cada vegada més sofisticat, en el qual l’empremta digital i les dades ocupen un lloc central.

La conclusió és evident: la IA ja no és un futurible en les relacions laborals, sinó un present regulat i fiscalitzat. I entre 2025 i 2027, serà un dels eixos prioritaris d’actuació de la Inspecció de Treball i Seguretat Social.

Per llegir el Pla, feu clic aquí.

Com sempre, cuideu les dades i cuideu-vos!

IA en RRHH: de la promesa al risc regulat

per

El passat 18 de setembre vam tenir el plaer, des de Tecnolawyer, d’impartir per a ASNALA el seminari web «Com la IA està redefinint les Relacions Laborals». I si alguna cosa va quedar clar després de la sessió és que la Intel·ligència Artificial ja no és una promesa de futur: és una realitat regulada que impacta directament en la gestió de persones i en les obligacions legals de les empreses.

Avui, dos de cada tres organitzacions utilitzen eines d’IA en els seus departaments de RRHH. Parlem de sistemes de selecció, algoritmes que avaluen l’acompliment, eines de càlcul de productivitat o aplicacions que assignen torns i tasques. Tots ells tenen alguna cosa en comú: afecten decisions laborals crítiques, i, per tant, estan sota el radar del Reglament Europeu d’Intel·ligència Artificial (RIA – AI Act).

Les «decisions invisibles»

Un dels conceptes clau que vam debatre és el de les decisions invisibles: aquelles que adopta un algoritme en silenci, però que determinen l’accés a una ocupació, una promoció o fins i tot un acomiadament. La majoria d’empreses encara desconeix les seves obligacions enfront d’aquest nou marc, la qual cosa genera un risc creixent de sancions i litigis.

El Reglament classifica aquests sistemes com d’alt risc i exigeix un compliment exhaustiu. No n’hi ha prou amb aplicar la norma: cal poder demostrar que es compleix. Aquí entren en joc la documentació tècnica, l’avaluació d’impacte algorítmic, els protocols de supervisió humana i la traçabilitat de les decisions.

Responsabilitat i sancions

Les obligacions recauen principalment en les empreses usuàries de la IA, encara que proveïdors i integradors també assumeixen responsabilitats. No obstant això, l’organització que decideixi implantar un sistema és la que respondrà davant la Inspecció o els tribunals si sorgeixen problemes.

Les sancions administratives poden aconseguir els 35 milions d’euros o el 7% de la facturació global. Però més enllà de la multa, existeixen altres riscos: demandes laborals per discriminació, paralització de sistemes crítics, mal reputacional i majors inspeccions laborals.

Compliment i oportunitat

Durant el seminari web vam insistir en què aquest nou escenari no ha de veure’s només com un risc, sinó també com una oportunitat de diferenciació. Les empreses que s’anticipin amb un pla de compliment sòlid estaran més ben posicionades enfront de clients, treballadors i reguladors.

La implementació efectiva del RIA ja està en marxa. Actualment, ens trobem en la Fase III del calendari d’obligacions: auditories internes obligatòries, revisió contínua i actualització permanent. No és moment d’esperar: és moment d’actuar.

Què han de fer les empreses?

La resposta passa per tres passos essencials:

  1. Auditoria inicial dels sistemes d’IA en RRHH.
  2. Documentació i polítiques internes clares sobre el seu ús.
  3. Supervisió humana efectiva, que garanteixi que la tecnologia mai substitueix el judici professional.

En definitiva, la IA en RH ha deixat de ser un luxe o una moda. És un camp regulat, d’alt risc, que exigeix preparació, acompanyament jurídic i un enfocament multidisciplinari (Legal, IT i RH).

Des de Tecnolawyer, juntament amb ASNALA, volem ajudar empreses i despatxos a navegar aquest nou marc. Perquè la pregunta ja no és si la teva organització usa IA, sinó com l’estàs usant i si ho fas de manera legal i responsable.

Com sempre, cuideu les dades i cuideu-vos!

El dret a desconnectar: una obligació ignorada? 

per

El recent focus mediàtic sobre l’incompliment empresarial en matèria de desconnexió digital posa l’accent en la necessitat urgent que les companyies passin de les bones intencions a l’acció rigorosa. Igual que amb la protecció de dades biomètriques, el principi de “complir i poder demostrar-ho” marca la diferència entre un risc reputacional i una empresa alineada amb el nou estàndard de benestar digital.  

Fets 

Després de l’entrada en vigor de la Llei Orgànica 3/2018 i la Llei 10/2021, totes les empreses tenen l’obligació de comptar amb un protocol de desconnexió digital negociat i eficaç, no només formal. No obstant això, la Inspecció de Treball ha detectat que en molts casos aquest protocol és simbòlic, manca de mesures reals i no contempla la deguda informació i formació als empleats.  

L’increment de controls el 2025 ha fet aflorar pràctiques com l’enviament freqüent de comunicacions fora de jornada, especialment en el teletreball, i l’absència de vies clares per exercir aquest dret sense patir represàlies. El 27% dels empleats espanyols declara treballar extres digitals sense contraprestació ni justificació.  

Protocols efectius: del paper a la pràctica 

Tenir un protocol no és suficient: s’ha d’adaptar a la realitat interna, abastar la flexibilitat horària, preveure situacions urgents, i formar els equips sobre el dret a desconnectar. L’ experiència europea ho confirma: la desconnexió s’ integra en la cultura corporativa i en la presa de decisions del lideratge, no com una mera clàusula legal.  

El correcte compliment requereix aspectes com: 

  1. Polítiques clares i negociades sobre l’ ús de dispositius i canals fora d’ horari. 
  2. Mecanismes per informar i canalitzar incidents.
  3. Formació i comunicació contínua, revisant i actualitzant els protocols periòdicament.  
  4. Implementació efectiva i no merament formal.

Sancions i risc reputacional 

Les sancions per incompliment han augmentat: de 751 a 7.500 € per a infraccions greus, i fins a 225.018 € si hi ha risc psicosocial provat o assetjament laboral. Fins i tot aquelles empreses amb protocols només “de cara a la galeria” han estat sancionades si no van aplicar, van formar ni comunicar correctament les seves polítiques. La jurisprudència recent avala indemnitzacions per danys derivats de l’estrès digital, i pronuncia nul·les les sancions o acomiadaments a empleats que van exercir el seu dret a la desconnexió.  

Mirada pràctica i europea 

A nivell europeu, la futura directiva de desconnexió digital i els informes de l’Agència Europea per a la Seguretat i Salut en el Treball col·locant el dret a desconnectar com a eix central del benestar i la prevenció psicosocial. Les bones pràctiques recomanen caminar cap a una implantació transversal, real i mesurable, amb auditories internes i visió de millora constant.  

Conclusió 

Complir formalment ja no n’hi ha prou: la desconnexió digital exigeix cultura, implicació de tots els departaments i lideratge actiu. El cost d’ignorar-la es pot superar amb molt el de qualsevol sanció administrativa i, per suposat, una caiguda reputacional.  

Com sempre, cuideu les dades i cuideu-vos! 

Desconnexió digital i salut mental: EL TSJ de Galícia es pronuncia

per

El Tribunal Superior de Justícia de Galícia (TSJG), en la seva recent Sentència nº2292/2025, de 25 d’abril, declara que l’empresa Greenalia S.A. va vulnerar el dret a la desconnexió digital i a la integritat moral d’una treballadora que es trobava de baixa mèdica per trastorn d’ansietat.

El Tribunal confirma que enviar-li correus laborals durant aquest període va atemptar contra la seva dignitat i li imposa el pagament d’una indemnització de 1.500 € per danys i perjudicis.

Antecedents

L’empleada, que va presentar la seva baixa voluntària a l’abril de 2024, va denunciar haver rebut comunicacions laborals mentre estava en situació d’incapacitat temporal, perquè tenia diagnosticat un trastorn d’ansietat.

Durant aquest temps, si bé no li van exigir resposta immediata, diversos companys li van remetre correus electrònics sobre qüestions de treball. No obstant això, l’empresa no va adoptar mesures per a evitar-ho.

El TSJ de Galícia subratlla la importància del dret a la desconnexió digital, recollit en l’article 88 de la Llei Orgànica 3/2018. Aquest dret no sols protegeix el treballador d’haver de respondre a missatges fora de la seva jornada, sinó que també imposa a l’empresa una obligació activa d’abstenir-se d’enviar comunicacions laborals durant el temps de descans, vacances o situacions com una baixa mèdica.

En aquest cas, la Sala argumenta que la falta de respecte a aquest dret, en un context de vulnerabilitat emocional acreditada per informes mèdics, agreuja l’estat dels empleats i suposa una intromissió en el dret fonamental a la integritat moral (art. 15 CE).

Encara que l’empresa va al·legar que no exigia resposta immediata i que els correus formaven part de fils ja iniciats, el Tribunal entén que el simple fet de rebre aquestes comunicacions, estant de baixa, representa una forma de pressió i una falta de respecte a l’espai personal i al procés de recuperació de la treballadora. Per tant, el Tribunal rebutja que la falta d’exigència de resposta obligatòria per part de la treballadora eximeixi a l’empresa de la seva responsabilitat

La sentència aclareix que el dret a la desconnexió no és una mera cortesia empresarial, sinó un component clau del benestar laboral i la salut mental. Obliga l’empresa a prevenir intrusions que comprometin la recuperació del treballador o afectin la seva vida personal.

Tot i que es revoquen parcialment altres afirmacions de la sentència anterior—no s’aprecien vulneracions del dret a la integritat física ni a l’honor—, el TSJ de Galícia manté la condemna per vulneració de la integritat moral i l’obligació d’indemnitzar a la treballadora.

Conclusió

Aquesta resolució reafirma que l’incompliment del dret a la desconnexió digital pot suposar una violació de drets fonamentals, i marca un precedent important per a empreses i treballadors.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

Revisió Texts legals web