L'ús d'eines d'intel·ligència artificial en l'entorn laboral—moltes vegades fora dels canals oficials—està obligant les empreses a replantejar els seus mecanismes de control. El fenomen del Shadow AI planteja un dilema clar: les organitzacions necessiten supervisió, però un enfocament excessiu pot derivar en conflictes laborals i riscos legals.
L'Agència Espanyola de Protecció de Dades (AEPD), a la seva Guia sobre protecció de dades en les relacions laborals, ofereix un marc clar: el control és legítim, però ha de respectar els principis de proporcionalitat, transparència i minimització.
El punt de partida: el control empresarial és legítim
L'Estatut dels Treballadors reconeix la facultat de l'empresa per a adoptar mesures de vigilància i control amb la finalitat de verificar el compliment de les obligacions laborals. Aquest control inclou l'ús d'eines digitals i, per extensió, l'ús que els empleats fan de tecnologies com la intel·ligència artificial.
Ara bé, com recorda l'AEPD, aquest control ha d'exercir-se dins dels límits del RGPD i la LOPDGDD. És a dir, no tot val: qualsevol mesura ha de ser proporcionada, justificada i respectuosa amb els drets fonamentals dels treballadors.
El risc de la «vigilància total»
Davant l'auge del Shadow AI, algunes organitzacions poden caure en la temptació d'implantar sistemes de monitoratge intensiu: registre d'activitat, anàlisi de comportament, captura d'ús d'eines o supervisió contínua.
El problema és que aquest enfocament pot ser contraproduent. L'AEPD adverteix que les mesures de control excessives poden vulnerar drets com la intimitat o el secret de les comunicacions, especialment si no estan degudament justificades.
A més, un sistema de vigilància desproporcionat pot generar:
- conflictes laborals i pèrdua de confiança,
- incompliments en matèria de protecció de dades,
- i, en cas d'incident, proves febles o impugnables per haver-se obtingut sense garanties.
La clau: supervisió proporcional i amb garanties
L'equilibri està a dissenyar un model de control basat en tres pilars fonamentals:
Proporcionalitat
Les mesures han de ser adequades al risc. No és el mateix controlar accessos a informació sensible que monitorar de forma generalitzada tota l'activitat digital. L'empresa ha d'optar per solucions menys intrusives quan siguin suficients.
Informació prèvia i transparència
Els treballadors han de conèixer de manera clara quines eines s'utilitzen, quines dades es recullen i amb quina finalitat. L'AEPD insisteix en la importància de polítiques internes ben definides i comunicades.
Finalitat i minimització
Les dades recollides han de limitar-se a l'estrictament necessari per a la finalitat perseguida. No es justifica recopilar informació excessiva «per si de cas».
Shadow AI: del control tècnic a la governança
Controlar l'ús d'IA en l'empresa no és només una qüestió tecnològica. És, sobretot, una qüestió de governança de la dada i cultura organitzativa.
Les organitzacions més madures estan optant per enfocaments combinats:
- polítiques clares sobre ús d'IA,
- formació a empleats sobre riscos,
- eines autoritzades i segures,
- i controls selectius orientats a riscos concrets.
Aquest enfocament no elimina el risc, però el gestiona sense envair innecessàriament l'espai del treballador.
Conclusió: controlar sí, però amb disseny jurídic
El Shadow AI no se soluciona amb més vigilància, sinó amb millor disseny. La clau està a trobar un equilibri entre control i drets, entre seguretat i confiança.
Les empreses que optin per mesures desproporcionades no solament s'exposen a sancions, sinó també a un problema més subtil: perdre la validesa dels seus propis mecanismes de control.
Perquè en l'entorn laboral digital, no n'hi ha prou amb supervisar. Cal fer-ho de manera que, arribat el moment, pugui sostenir-se jurídica i provatòriament.
Com sempre, cuideu les dades i cuideu-vos!
