En moltes organitzacions, la resposta a l'auge de la intel·ligència artificial ha estat immediata: redactar una política interna i distribuir-la en format PDF. El problema és que, en la pràctica, una política que no s'integra en l'operativa diària acaba sent irrellevant.
Mentrestant, l'ús d'eines d'IA—moltes vegades fora dels canals autoritzats—continua creixent. El fenomen del Shadow AI no es corregeix amb prohibicions generals, sinó amb alternatives viables.
L'Agència Espanyola de Protecció de Dades (AEPD), en la seva Política d'ús d'IA generativa, apunta cap a un enfocament més pràctic: no es tracta només de regular, sinó d'establir un marc operatiu que permeti l'ús segur d'aquestes eines.
L'error habitual: polítiques que no es poden aplicar
Moltes polítiques d'IA comparteixen un problema comú: estan ben redactades, però mal aterrades. Prohibeixen usos genèrics o imposen restriccions àmplies, sense oferir solucions concretes per al dia a dia.
El resultat és previsible: els empleats continuen necessitant aquestes eines per a ser més eficients, i acaben utilitzant-les fos dels canals corporatius.
Això no sols incrementa el risc, sinó que redueix la capacitat de l'organització per a controlar i supervisar l'ús real de la IA.
El que sí que funciona: crear un circuit d'autorització
Enfront d'aquest enfocament, l'AEPD proposa una lògica distinta: permetre l'ús de la IA, però dins d'un marc estructurat i controlat.
Una política eficaç no és només un document, sinó un circuit d'autorització i governança que inclogui:
- Casos d'ús definits: què es pot fer i en quins contextos.
- Usuaris autoritzats: qui pot utilitzar determinades eines i per a què fins.
- Eines validades: quines solucions han estat avaluades des del punt de vista de protecció de dades i seguretat.
- Supervisió humana: revisió en aquells processos on existeixi major impacte o risc.
Aquest enfocament permet canalitzar l'ús de la IA en lloc d'intentar bloquejar-lo.
Menys prohibició, més alternativa segura
Un dels missatges clau és que prohibir eines poques vegades funciona. Quan no existeix una alternativa clara, els usuaris buscaran solucions pel seu compte.
Per contra, quan l'organització ofereix un «camí fàcil i segur»—eines aprovades, criteris clars i suport intern—l'ús no autoritzat disminueix de manera natural.
Aquest canvi d'enfocament transforma el problema: el Shadow AI deixa de ser una qüestió disciplinària per a convertir-se en un problema de disseny organitzatiu.
Governança d'IA: control sense fricció
El repte per a les empreses no és triar entre control o productivitat, sinó integrar tots dos elements. Una política ben dissenyada permet mantenir el control sobre les dades i els riscos; garantir el compliment del RGPD; i, al mateix temps, facilitar el treball diari dels equips.
La clau està a construir un sistema on l'ús correcte de la IA sigui més senzill que l'ús no autoritzat.
Conclusió: la política útil és la que s'usa
En el context actual, tenir una política d'IA ja no és suficient. El rellevant és que aquesta política sigui operativa, comprensible i aplicable.
Les organitzacions que entenen això deixen de veure la IA com un risc que cal limitar i comencen a gestionar-la com una capacitat que cal governar.
Perquè, en la pràctica, la millor política no és la més restrictiva, sinó la que aconsegueix una cosa molt més difícil: ordenar l'ús de la IA sense frenar la productivitat.
Com sempre, cuideu les dades i cuideu-vos!
