L'adopció d'eines d'intel·ligència artificial en format SaaS (Software as a Service) s'està accelerant en tots els departaments: màrqueting, recursos humans, atenció al client o anàlisi de dades. En molts casos, la decisió es pren per raons d'eficiència o innovació, però sense una anàlisi profunda de l'impacte en protecció de dades.
No obstant això, quan una eina d'IA «aprèn», sorgeix una qüestió clau: amb quines dades s'entrena i amb quina base legal? La resposta no sempre és evident. I, des de la perspectiva del RGPD, no n'hi ha prou amb confiar en el proveïdor. És necessari poder demostrar diligència i control.
El Comitè Europeu de Protecció de Dades (EDPB) ha abordat aquesta qüestió en la seva Opinió 28/2024 sobre determinats aspectes de protecció de dades en models d'IA i recorda que l'ús de dades personals en el desenvolupament i funcionament d'aquests sistemes ha d'ajustar-se estrictament als principis i bases jurídiques del RGPD.
Quan la IA «aprèn»: la qüestió de l'origen de les dades
Els sistemes d'IA generativa i altres models avançats es basen en grans volums de dades per al seu entrenament, millora o ajust. El problema sorgeix quan aquestes dades inclouen informació personal utilitzada per a finalitats diferents d'aquells per als quals es van recollir.
El EDPB subratlla que el tractament de dades personals en models d'IA requereix una base jurídica vàlida conforme a l'article 6 del RGPD i ha de respectar principis essencials com la limitació de finalitat, minimització de dades i transparència.
En altres paraules, si un proveïdor utilitza dades per a entrenar o millorar el seu sistema, ha de poder justificar per què està legitimat per a fer-ho i per a què fins concrets.
Per a les empreses clients, això planteja una qüestió pràctica: no n'hi ha prou amb revisar la funcionalitat del producte; és necessari entendre com s'utilitzen les dades que passen per l'eina.
El nou risc: el «Shadow AI» de proveïdors
Quan es parla de «Shadow AI», normalment es pensa en empleats que utilitzen eines d'IA sense autorització. Però existeix un altre fenomen menys visible: la contractació de proveïdors que incorporen IA sense una anàlisi adequada del tractament de dades.
Moltes solucions SaaS integren models d'IA que processen prompts, documents, imatges o dades de clients. En alguns casos, aquestes dades poden:
- emmagatzemar-se temporalment o de manera persistent,
- generar metadades i logs d'ús,
- utilitzar-se per a millorar el servei o entrenar models.
Si aquests usos secundaris no estan clarament definits o documentats, l'organització pot perdre visibilitat sobre el que ocorre realment amb la informació que introdueix en l'eina.
Due diligence real: més enllà del contracte estàndard
L'opinió del EDPB insisteix que les organitzacions han d'avaluar acuradament el tractament de dades personals en el context de sistemes d'IA. Això implica realitzar una due diligence real sobre els proveïdors, especialment quan s'utilitzen models capaços d'aprendre de les dades processades.
Entre les preguntes clau que haurien de plantejar-se destaquen:
- Quines dades utilitza el proveïdor per a entrenar o millorar el model?
- Es reutilitzen les dades introduïdes pels clients?
- Existeix anonimització real o només seudonimització?
- Què passa amb els prompts, logs o metadades generades?
- Quines responsabilitats s'assumeixen si el tractament resulta il·lícit?
Respondre a aquestes qüestions és essencial per a avaluar el compliment del RGPD i evitar riscos reguladors o reputacionals.
Conclusió: la pregunta clau no és què fa la IA, sinó què pots demostrar
La intel·ligència artificial està transformant la forma en què les empreses utilitzen tecnologia. Però també exigeix elevar el nivell de governança de la dada.
Contractar eines amb capacitats d'IA sense analitzar el seu funcionament intern pot generar zones grises en la responsabilitat del tractament. I en un context regulador cada vegada més exigent, la qüestió no serà només què feia l'eina, sinó quina diligència va aplicar l'empresa abans d'utilitzar-la.
Perquè, en protecció de dades, la pregunta decisiva sol arribar després: si demà una autoritat ho sol·licita, què pots demostrar realment sobre l'ús d'aquesta IA?
Com sempre, cuideu les dades i cuideu-vos!
