Inteligencia Artificial

Ni anonimat ni IA: el RGPD s’aplica fins i tot a les imatges manipulades digitalment

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha tornat a pronunciar-se sobre un dels fenòmens més alarmants de l’entorn digital: la difusió d’imatges falses de nus («deepnudes») creades mitjançant intel·ligència artificial. Ha imposat una multa de 2.000 € (reduïda finalment a 1.200 € per reconeixement i pagament voluntari) a un particular per difondre imatges manipulades de menors en grups de missatgeria instantània.

Encara que el sancionat no va generar les imatges, la seva participació en la difusió va ser suficient perquè l’Agència apreciés una infracció de l’article 6.1 del RGPD, al tractar-se d’un tractament de dades personals sense base jurídica legítima.

El que diu el RGPD (i per què importa aquí)

L’article 6 del RGPD estableix que tot tractament de dades personals ha de fundar-se en una base de licitud: consentiment, obligació legal, interès públic, contracte o interès legítim. Si cap d’elles concorre—com en aquest cas—, el tractament és il·lícit, fins i tot si l’infractor no obté benefici ni persegueix una fi sexual.

L’AEPD recorda que el rostre d’una persona és una dada personal (art. 4 RGPD), i que alterar-ho o combinar-ho amb un altre cos no elimina aquesta condició, sinó que l’agreuja: es crea una associació falsa en un context íntim, amb potencial de causar greus danys reputacionals.

Per tant, reexpedir o publicar aquest tipus d’imatges constitueix un tractament addicional, que requereix consentiment i proporcionalitat. L’absència de totes dues bases legitima la sanció.

La IA no esborra la responsabilitat

La resolució reforça una idea clau: l’ús d’intel·ligència artificial no eximeix de responsabilitat. La tecnologia pot automatitzar el mal, però la decisió de compartir continua sent humana. A més, quan els afectats són menors d’edat, entra en joc l’article 84 de la LOPDGDD, que reforça la protecció enfront de la difusió d’imatges que puguin vulnerar la seva dignitat o drets fonamentals.

Lliçons que deixa el cas

  • La IA no anul·la la llei: les imatges sintètiques continuen sent dades personals si permeten identificar a una persona.
  • Compartir també és tractar: reexpedir o publicar implica tractament i pot implicar sanció.
  • Els menors compten amb una protecció reforçada, la qual cosa eleva la gravetat de la infracció.
  • El RGPD és plenament aplicable a la IA generativa: els seus principis de licitud, minimització i proporcionalitat continuen sent la base del compliment.

Conclusions

La sanció de 1.200 €—després de reduccions per reconeixement i pagament voluntari—resulta considerablement baixa si es compara amb la gravetat moral i social de difondre imatges falses de nus de menors.

Encara que el RGPD permet graduar les multes en funció de la proporcionalitat, cal preguntar-se si aquest tipus de conductes no mereixerien també resposta penal, especialment quan concorren elements d’humiliació, assetjament o afectació greu a la dignitat personal.

El cas convida a un debat necessari:

  • Estem aplicant sancions realment dissuasives enfront dels nous riscos digitals?
  • Ha d’intervenir el Dret penal quan la intel·ligència artificial amplifica el mal a menors?

L’AEPD ha posat el focus en la il·licitud del tractament de dades, però la reflexió jurídica—i ètica—va més enllà: la tecnologia pot replicar rostres, però no pot replicar el consentiment… ni reparar el mal emocional causat.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA en RRHH: de la promesa al risc regulat

per

El passat 18 de setembre vam tenir el plaer, des de Tecnolawyer, d’impartir per a ASNALA el seminari web «Com la IA està redefinint les Relacions Laborals». I si alguna cosa va quedar clar després de la sessió és que la Intel·ligència Artificial ja no és una promesa de futur: és una realitat regulada que impacta directament en la gestió de persones i en les obligacions legals de les empreses.

Avui, dos de cada tres organitzacions utilitzen eines d’IA en els seus departaments de RRHH. Parlem de sistemes de selecció, algoritmes que avaluen l’acompliment, eines de càlcul de productivitat o aplicacions que assignen torns i tasques. Tots ells tenen alguna cosa en comú: afecten decisions laborals crítiques, i, per tant, estan sota el radar del Reglament Europeu d’Intel·ligència Artificial (RIA – AI Act).

Les «decisions invisibles»

Un dels conceptes clau que vam debatre és el de les decisions invisibles: aquelles que adopta un algoritme en silenci, però que determinen l’accés a una ocupació, una promoció o fins i tot un acomiadament. La majoria d’empreses encara desconeix les seves obligacions enfront d’aquest nou marc, la qual cosa genera un risc creixent de sancions i litigis.

El Reglament classifica aquests sistemes com d’alt risc i exigeix un compliment exhaustiu. No n’hi ha prou amb aplicar la norma: cal poder demostrar que es compleix. Aquí entren en joc la documentació tècnica, l’avaluació d’impacte algorítmic, els protocols de supervisió humana i la traçabilitat de les decisions.

Responsabilitat i sancions

Les obligacions recauen principalment en les empreses usuàries de la IA, encara que proveïdors i integradors també assumeixen responsabilitats. No obstant això, l’organització que decideixi implantar un sistema és la que respondrà davant la Inspecció o els tribunals si sorgeixen problemes.

Les sancions administratives poden aconseguir els 35 milions d’euros o el 7% de la facturació global. Però més enllà de la multa, existeixen altres riscos: demandes laborals per discriminació, paralització de sistemes crítics, mal reputacional i majors inspeccions laborals.

Compliment i oportunitat

Durant el seminari web vam insistir en què aquest nou escenari no ha de veure’s només com un risc, sinó també com una oportunitat de diferenciació. Les empreses que s’anticipin amb un pla de compliment sòlid estaran més ben posicionades enfront de clients, treballadors i reguladors.

La implementació efectiva del RIA ja està en marxa. Actualment, ens trobem en la Fase III del calendari d’obligacions: auditories internes obligatòries, revisió contínua i actualització permanent. No és moment d’esperar: és moment d’actuar.

Què han de fer les empreses?

La resposta passa per tres passos essencials:

  1. Auditoria inicial dels sistemes d’IA en RRHH.
  2. Documentació i polítiques internes clares sobre el seu ús.
  3. Supervisió humana efectiva, que garanteixi que la tecnologia mai substitueix el judici professional.

En definitiva, la IA en RH ha deixat de ser un luxe o una moda. És un camp regulat, d’alt risc, que exigeix preparació, acompanyament jurídic i un enfocament multidisciplinari (Legal, IT i RH).

Des de Tecnolawyer, juntament amb ASNALA, volem ajudar empreses i despatxos a navegar aquest nou marc. Perquè la pregunta ja no és si la teva organització usa IA, sinó com l’estàs usant i si ho fas de manera legal i responsable.

Com sempre, cuideu les dades i cuideu-vos!

Itàlia aprova la primera llei integral d’IA a la UE: què implica realment?

per

Itàlia s’ha convertit en el primer país de la Unió Europea a promulgar una llei integral que regula la intel·ligència artificial (IA). Aquesta normativa, alineada amb el Reglament d’Intel·ligència Artificial de la UE (RIA), pretén assegurar que l’ús de la IA sigui humà, transparent i segur, alhora que promou la innovació, la ciberseguretat i la protecció de la privacitat.

Què introdueix la nova llei italiana?

  • S’estableixen penes de presó d’1 a 5 anys per a aquells que utilitzin IA per a causar perjudici, com la difusió de deepfakes o la manipulació de contingut perjudicial.
  • Obliga a un control humà i una supervisió estricta en l’ús de la IA en àmbits com el sanitari, educatiu, la justícia, els llocs de treball, etc.
  • Per a menors de 14 anys, s’exigeix el consentiment parental per a accedir a serveis basats en IA.
  • En matèria de drets d’autor, la llei estableix que només les obres assistides per IA que provinguin d’un esforç intel·lectual humà genuí estaran protegides. Així mateix, la mineria de dades amb IA només es permetrà sobre contingut no subjecte a drets d’autor o per a fins científics autoritzats.

Beneficis clau d’aquesta regulació

  • Dóna seguretat jurídica a empreses i usuaris en definir clarament quins usos de la IA són acceptables i quins no.
  • Reforça la privacitat dels ciutadans, limitant abusos tecnològics com els deepfakes o l’ús indegut de les dades.
  • Promou la innovació responsable, ja que obliga les empreses a adoptar estàndards més alts de transparència, supervisió i ètica.
  • Fomenta la confiança: els usuaris poden tenir més certesa que els seus drets estan protegits en interactuar amb IA.

Reptes pràctics per a la seva implementació

  • Cal adaptar tecnologies existents per a complir amb els requisits de supervisió humana, traçabilitat i transparència.
  • Les empreses hauran de revisar els seus models de negoci, els procediments de protecció de dades i la seva responsabilitat legal.
  • Probablement hi haurà costos elevats per a complir amb les noves obligacions, tant en desenvolupament com en auditoria interna.
  • Vigilaran agències com l’Agència per la Itàlia digital i la Agència Nacional per la Seguretat Informàtica, cosa que implica més controls i possibles sancions en cas d’incompliments.

En què canvia la IA després d’aquesta llei

  • La IA deixa de ser un camp regulat únicament a nivell europeu; Itàlia ja l’implementa amb força jurídica local.
  • Augmenta el pes del dret dels usuaris enfront dels fabricants o proveïdors de serveis d’IA.
  • Es reforcen els límits legals sobre continguts generats per IA, especialment quan tenen impacte social, educatiu o sobre menors.
  • S’estableix un estàndard que podria influir en com altres països de la UE regulin la IA localment.

Conclusió

Itàlia fa un pas pioner en la regulació de la IA, marcant un precedent a Europa. Serà fonamental com les empreses adoptin aquesta llei per a convertir l’obligació en valor afegit, no només per evitar sancions, sinó per construir confiança en l’ús ètic de la IA.

Com sempre, cuideu les dades i cuideu-vos!

La primera nació governada per una IA: un experiment polític que planteja més preguntes que respostes

per

En un racó paradisíac de Palawan, Filipines, s’està gestant un experiment polític i tecnològic sense precedents: l’Illa Sensay, la primera comunitat insular governada per un gabinet íntegrament format per rèpliques d’intel·ligència artificial de figures històriques.

La iniciativa part de la startup britànica Sensay, especialitzada a crear rèpliques humanes d’IA capaces de reproduir amb fidelitat la personalitat i els patrons de decisió de personatges cèlebres, entrenades amb els seus escrits, discursos i filosofia. A l’Illa Sensay, un gabinet de 17 líders històrics ocuparà els principals càrrecs de govern, encapçalats per Marco Aurelio com a president i Winston Churchill com primer ministre.

Altres llocs clau estaran en mans de Nelson Mandela (Justícia), Eleanor Roosevelt (Afers exteriors), Florence Nightingale (Salut), Sun Tzu (Defensa), Ada Lovelace (Ciència i Tecnologia) i Mahatma Gandhi (Assessor d’Ètica), entre altres. Fins i tot s’inclou a Leonardo da Vinci com a ministre de Cultura i Nikola Tesla com a assessor d’Innovació.

Un govern sense partits… però amb algoritmes

El projecte es presenta com una oportunitat per a demostrar que la IA pot governar «lliure de partidismes polítics i bloquejos burocràtics». Qualsevol persona del món podrà registrar-se com a E-resident, proposar polítiques a través d’una plataforma oberta i seguir en directe els debats i votacions del gabinet virtual.

La previsió és ambiciosa:

  • 2025: compra de l’illa i aprovació de la Carta Fundacional, que garanteix llibertats i drets bàsics.
  • 2026: arribada d’observadors i investigadors i posada en marxa d’una microxarxa d’energia renovable.
  • 2027: obertura del programa de residència i declaració d’un Santuari Ambiental que cobrirà el 60% de l’illa.
  • 2028: celebració del Primer Simposi Global sobre Governança d’IA.

Implicacions i desafiaments legals

Encara que l’Illa Sensay neix com un projecte privat, planteja preguntes complexes sobre sobirania i dret internacional:

  • Pot un territori ser reconegut com a «nació» si el seu govern no està composat per humans?
  • Qui és legalment responsable si les decisions del gabinet provoquen danys?
  • Com es garanteix la transparència i l’absència de biaixos en els algorismes?

A més, la gestió de dades serà crítica: la IA tindrà accés a informació personal de residents i e-residents. El volum i la naturalesa de la informació exigiran estàndards de ciberseguretat avançats.

Més que un experiment tecnològic

El fundador de Sensay, Dan Thomson, assegura que el projecte és una resposta a la crisi global de confiança en els parlaments, que segons estudis ha caigut un 78’4% des de 1990. Però el debat transcendeix el tècnic: pot la intel·ligència artificial substituir al judici humà en la política? Quin paper juguen l’empatia, la cultura i l’ètica en decisions que afecten comunitats reals?

L’Illa Sensay podria ser un laboratori viu per al futur de la governança … o un recordatori que no tot el que la tecnologia permet és el que la societat necessita.

Com sempre, cuideu les dades i cuideu-vos!

Imagen: © 2025 Sensay Island – Sovereign Micronation. All rights reserved.

IA sota control: a partir del 2 d’agost, innovar sense complir la llei deixarà de ser una opció

per

A partir de demà 2 d’agost de 2025, el Reglament d’Intel·ligència Artificial de la Unió Europea (RIA) començarà a aplicar la majoria de les seves disposicions, marcant un abans i un després en l’ús de la intel·ligència artificial a Europa.

I no, no fa falta usar un sistema d’IA avançat per a estar afectat. Des d’aquesta data, totes les eines que utilitzin IA hauran de complir amb obligacions bàsiques, fins i tot si no es consideren d’alt risc. Per exemple, si utilitzes chatbots o altres assistents conversacionals amb IA, hauràs d’informar clarament l’usuari que està interactuant amb un sistema automatitzat; i, si generes contingut amb IA (imatges, vídeos, textos), hauràs d’advertir que ha estat creat amb intel·ligència artificial.

Així mateix, encara que no és obligatori, també es recomana explicar com funciona l’automatització, per a reforçar la transparència.

Quan es considera que un sistema és d’alt risc?

Només en determinats casos, com a sistemes d’IA que afecten a:

  • Processos de contractació o avaluació laboral.
  • Educació i avaluació d’estudiants.
  • Accés a serveis essencials o públics (salut, habitatge, crèdit, immigració).
  • Biometria, vigilància o diagnòstic mèdic.
  • Aplicació de la llei o decisions judicials.

  • Infraestructures crítiques, transport o sistemes industrials.

Si el teu sistema entra en una d’aquestes categories, les exigències legals es multipliquen: hauràs de realitzar anàlisi de riscos, garantir la supervisió humana, documentació tècnica exhaustiva, implementar mesures de ciberseguretat, registre en una base de dades europea i complir amb els requisits d’inspecció i supervisió reguladora.

Compte amb la confusió entre «model» i «sistema»

El Reglament d’IA distingeix entre models de IA (com GPT, Gemini o Claude) i sistemes d’IA, que són les eines concretes que els integren (com un chatbot, una app o una plataforma de gestió documental). Les obligacions comentades s’apliquen als sistemes, no directament als models base.

Conclusió

A partir d’aquest 2 d’agost, ja no hi ha excuses. Si la teva empresa usa intel·ligència artificial —encara que sigui de manera bàsica o puntual—, ha de conèixer i complir amb les noves regles. Perquè la innovació no està renyida amb la transparència i, en la nova era de la IA, complir la normativa serà part del disseny.

Com sempre, cuideu les dades i cuideu-vos!

El teu chatbot compleix la llei? Riscos legals d’automatitzar l’atenció al client amb IA.

per

En plena era de la digitalització, cada vegada més empreses opten per automatitzar la seva atenció al client mitjançant xatbots i intel·ligència artificial (IA). Aquesta tecnologia permet respondre als usuaris en temps real, reduir costos operatius i millorar la disponibilitat del servei. No obstant això, si bé té els seus beneficis, el seu ús planteja riscos legals significatius, especialment en quant a la protecció de dades personals respecta. 

Bots i dades personals: Quines obligacions legals existeixen? 

Els xatbots que interactuen amb usuaris solen recollir dades com a nom, correu electrònic, número de telèfon, preferències de consum o fins i tot informació sensible. Això els converteix en sistemes de tractament de dades personals, la qual cosa s’ha d’aplicar el Reglament General de Protecció de Dades (RGPD) i la Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). 

Per tant, si la teva empresa utilitza un bot, ha d’assegurar-se de: 

  • Informar l’usuari de manera clara i visible sobre la identitat del responsable del tractament, la finalitat, la base jurídica i els drets que pot exercir (art. 13 RGPD). 
  • Comptar amb una base legal vàlida per a tractar les dades. En molts casos, serà el consentiment, però també podria aplicar-se l’execució d’un contracte o l’interès legítim, sempre que s’hagi realitzat una anàlisi prèvia de ponderació. 
  • Garantir la possibilitat d’exercir drets com l’accés, oposició o supressió, fins i tot quan el contacte s’hagi produït a través d’un sistema automatitzat. 

Incompliments comuns detectats  

Alguns dels diversos incompliments freqüents relacionats amb l’ús de xatbots: 

  • Falta de transparència: molts bots no informen adequadament l’usuari sobre quines dades estan recollint ni amb quina fi. 
  • Absència de mecanismes per a exercir drets: si el bot no permet redirigir a l’usuari a un canal d’atenció humana o formular sol·licituds de drets ARCOPOL, s’infringeix el RGPD. 
  • Gravació de converses sense justificació: emmagatzemar les interaccions sense una finalitat clara ni límit temporal constitueix una infracció dels principis de limitació i minimització del tractament (art. 5 RGPD). 

A més, si el xatbot pren decisions automatitzades amb efectes significatius sobre l’usuari (per exemple, denegar un servei o prioritzar atenció), és necessari aplicar garanties addicionals segons l’art. 22.3 RGPD, com la intervenció humana i el dret a obtenir una explicació. 

I si el bot utilitza IA generativa o models predictius? 

La integració de models de llenguatge avançats (com els que permeten respostes naturals o personalitzades) pot requerir una Avaluació d’Impacte relativa a la Protecció de Dades (AIPD), especialment si es tracta de tractaments innovadors, massius o potencialment intrusius. 

 Actualment, també haurà de tenir-se en compte el Reglament Europeu d’Intel·ligència Artificial (RIA), que classifica els sistemes d’IA segons el seu nivell de risc i exigeix requisits específics de transparència i supervisió. 

Bones pràctiques per a usar bots amb garanties legals 

  • Implementar una política de privacitat específica per al canal d’atenció automatitzada. 
  • Habilitar sempre la possibilitat d’escalat a un agent humà. 
  • Assegurar la minimització de dades i la retenció limitada. 
  • Registrar el tractament en el Registre d’Activitats i revisar contractes amb proveïdors externs. 

En definitiva, automatitzar l’atenció al client amb xatbots és una decisió estratègica encertada, però només si va acompanyada d’un compliment normatiu sòlid i proactiu. No fer-ho pot suposar sancions, pèrdua de confiança i riscos reputacionals. Com sempre en Dret Digital: tecnologia, sí, però amb garanties. 

Com sempre, cuideu les dades i cuideu-vos! 

Revisió Texts legals web