• +34 93 737 64 01
  • info@pymelegal.es
Logo PymeLegal

🔥 20% a la Plataforma amb el codi: PYMEBLACKFRIDAY – Només fins al 30 de novembre 🔥


Els riscos legals de l'ús de la IA a les
pimes sense una política d'ús.

Cada matí, en moltes oficines o establiments, desenes d'empleats obren el navegador i accedeixen directament a ChatGPT, Claude, Copilot o Gemini. Redacten correus electrònics, preparen informes, resumeixen contractes o analitzen dades de clients. Ho fan de manera natural, amb bona intenció i, en la gran majoria dels casos, sense que ningú dins de l'empresa ho sàpiga. Sense garanties legals. Sense política interna. Sense formació. Sense compliment del RGPD ni de l'AI Act.

La IA a l'ombra: el risc que no veus però que et pot costar una sanció

Tenim un nom per a aquest fenomen: Shadow AI. De la mateixa manera que anys enrere parlàvem del Shadow IT —quan els empleats utilitzaven Dropbox o WhatsApp personal per treballar sense l'aprovació del departament d'IT—, ara el problema és el mateix, però exponencialment més greu. Perquè quan un empleat puja un contracte a Claude perquè l'analitzi, no simplement està emmagatzemant un fitxer en un servei extern: està transferint dades personals de tercers a un sistema d'intel·ligència artificial que pot utilitzar-les per entrenar models o que opera fora de la Unió Europea, sense les garanties legals corresponents.

Segons l'Enterprise GenAI Security Report 2025 de LayerX, el 71 % de les connexions a eines d'IA generativa es realitzen des de comptes personals no corporatius. Les organitzacions no tenen visibilitat sobre el 89 % de l'ús real de la IA. I un informe de Menlo (2025) constatava que el 57 % dels empleats que accedeixen a eines d'IA gratuïtes ho fan introduint-hi dades confidencials.

La majoria de les pimes que assessorem no saben que els seus empleats estan utilitzant IA amb dades dels seus clients, treballadors, col·laboradors o proveïdors. I molts d'ells tampoc saben que fer-ho sense les garanties adequades constitueix una infracció del RGPD des del mateix moment en què aquestes dades es pugen a la plataforma.

A més, aquesta pràctica també afecta l'àmbit laboral, ja que l'empresari podria sancionar aquests comportaments i, en els casos més greus, podrien acabar fins i tot en acomiadament.

La responsabilitat final en aquests casos recau sobre l'empresa, que és qui ha d'aplicar les mesures i protocols corresponents, sense perjudici que posteriorment pugui actuar contra l'empleat responsable.

A nivell laboral, aquestes conductes mereixen una sanció?

Dependrà de la política interna de la companyia i del context en què s'estigui utilitzant la IA. No és el mateix fer servir Claude per ajudar-nos a redactar un correu electrònic que utilitzar-lo per generar un informe basat en fitxers d'un client que contenen dades personals confidencials.

Les sancions poden anar des d'una amonestació escrita, passant per la suspensió d'ocupació i sou, fins a l'acomiadament disciplinari en els casos més greus. Per a les empreses serà important poder acreditar aquestes conductes mitjançant la monitorització dels sistemes d'informació, però sempre sense vulnerar drets fonamentals.

Els errors més habituals que detectem a les pimes

  • Utilitzar plataformes d'IA sense haver signat un DPA amb el proveïdor. Infracció directa de l'article 28 del RGPD. Multes de fins a 10 milions d'euros.
  • No configurar les eines perquè les dades introduïdes no s'utilitzin per entrenar el model d'IA.
  • No disposar d'una Política d'Ús de la IA per als empleats. L'AI Act (article 4) exigeix formació i alfabetització digital des del febrer de 2025.
  • No actualitzar el Registre d'Activitats de Tractament (RAT). Les eines d'IA han de constar com a encarregats del tractament.
  • Introduir dades sensibles (nòmines, historials, contractes) en eines d'IA públiques. Tractament il·lícit de dades. Risc de bretxa de seguretat i d'ús per entrenar models.
  • Llançar un producte o servei amb IA sense una avaluació d'impacte prèvia. L'AI Act classifica els sistemes segons el risc. Sense EIPD ni classificació, hi ha una potencial sanció directa.

En entorns regulats com el financer, jurídic o sanitari, això també pot comportar altres incompliments relacionats amb el secret bancari, el secret professional advocat-client o la confidencialitat de la història clínica.

Aquests dos exemples que exposem a continuació podrien ser escenaris recurrents que ens hem trobat durant els darrers mesos:

  • Una persona del departament d'administració puja un Excel amb el llistat de clients a ChatGPT perquè l'ajudi a classificar-los per sectors i elaborar un informe per a direcció. S'hi incorporen dades de clients, persones de contacte, telèfons i adreces.
  • Un directiu puja l'acta d'una reunió estratègica a Claude perquè li elabori un resum executiu. L'acta conté dades d'empleats, decisions confidencials i projeccions financeres.

Evidentment, plantejar un procés d'anonimització dels documents reduiria significativament el risc, com a mesura intermèdia útil si tenim dubtes sobre la legalitat dels tractaments que impliquen dades personals.

Davant d'aquest escenari, i com us detallarem més endavant, hem plantejat un servei integral de Compliance IA per ajudar-vos a establir una política específica d'ús de la intel·ligència artificial des del punt de vista legal i tècnic.

Quines garanties legals ens ofereixen aquest tipus de plataformes?

L'article 28 del RGPD és clar: qualsevol empresa que cedeixi dades personals a un tercer perquè les tracti ha de tenir formalitzat un contracte d'Encarregat del Tractament o DPA (Data Processing Agreement). OpenAI, Microsoft, Google o Anthropic ofereixen aquest contracte, però cal signar-lo explícitament. La gran majoria de pimes que utilitzen aquestes plataformes ni tan sols saben que haurien de revisar aquest acord.

Però el DPA és només la primera capa del problema. Depenent de la modalitat que tinguem contractada, hi ha tres obligacions addicionals que la majoria de pimes desconeixen completament:

  • Actualització de la política de privacitat. Si l'empresa utilitza eines d'IA per tractar dades de clients, empleats o tercers, ha d'informar-los explícitament a la política de privacitat: quines eines s'utilitzen, amb quina finalitat i on es tracten les dades.
  • Transferència Internacional de Dades (TID). Si la inferència del model es realitza fora de la UE —fet que succeeix en la majoria dels casos—, s'activa l'obligació de documentar la transferència internacional de dades.
  • Clàusules Contractuals Tipus (CCT). Quan no existeix un marc d'adequació entre països —com el Data Privacy Framework (DPF) UE-EUA—, és necessari implementar les CCT aprovades per la Comissió Europea per legitimar la transferència.

Actualment, cap gran proveïdor compleix exactament el que molta gent creu. Ni OpenAI ni Anthropic estan adherits al Data Privacy Framework (DPF) UE-EUA; ambdues empreses emparen les seves transferències als Estats Units en les Clàusules Contractuals Tipus (CCT). Google sí que està adherit al DPF, però Gemini (en els plans de consum) continua realitzant la inferència als Estats Units.

Cal distingir dos conceptes:

  • La residència de les dades: on s'emmagatzemen les dades, en repòs.
  • La inferència: on es processa el model.

OpenAI ofereix residència de dades a Europa per a ChatGPT Enterprise, Edu, Business (l'antic Team) i l'API des del febrer de 2025, tot i que la inferència per defecte continua realitzant-se als Estats Units. Perquè la inferència es dugui a terme realment dins de la UE, la via més fiable són els desplegaments regionals a través del núvol (cloud), com ara Anthropic mitjançant Amazon Bedrock a Frankfurt o Google Vertex AI amb endpoints europeus, així com Google Vertex AI / Assured Workloads.

En els plans estàndard i de consum, la inferència continua realitzant-se fora d'Europa.

El resultat és clar: no n'hi ha prou amb disposar d'un DPA; també són necessàries la TID, les CCT i una política de privacitat actualitzada per tenir la situació realment regularitzada. És previsible que aquesta situació evolucioni d'aquí a final d'any, però a dia d'avui aquest és l'escenari existent.

L'abast de la infracció no depèn de la mida de l'empresa. L'AEPD ja ha anunciat que iniciarà investigacions d'ofici sobre els usos de la IA que no compleixin la normativa de protecció de dades, i compta amb precedents com l'actuació d'investigació oberta contra OpenAI (ChatGPT) l'abril de 2023.

Les sancions potencials poden arribar als 20 milions d'euros o al 4 % de la facturació global per infraccions del RGPD, i fins als 35 milions d'euros o al 7 % de la facturació global per incompliments de l'AI Act.

Obligacions del Reglament d'IA vigents

Si el RGPD fa anys que està en vigor, el Reglament Europeu d'Intel·ligència Artificial (AI Act, Reglament UE 2024/1689) afegeix una nova capa d'obligacions. Les seves disposicions s'apliquen de manera progressiva, però n'hi ha dues que moltes empreses encara desconeixen:

  • L'article 4 ja és exigible. Obliga totes les empreses que despleguen sistemes d'IA a garantir que el personal disposi d'«un nivell suficient d'alfabetització en IA». No existeix cap llindar de mida: afecta des de microempreses fins a multinacionals.
  • L'AESIA (Agència Espanyola de Supervisió de la Intel·ligència Artificial), amb seu a A Coruña, va ser creada pel Reial decret 729/2023 i va iniciar la seva activitat presencial el febrer de 2025. No és un organisme testimonial: al desembre de 2025 va publicar 16 guies de suport al compliment del Reglament d'IA. La seva capacitat d'inspecció i sanció s'anirà desplegant a mesura que entrin en vigor les diferents obligacions del Reglament, d'acord amb el calendari europeu.

L'evidència sobre l'estat actual del mercat és preocupant: tot i que l'adopció de la IA a les empreses espanyoles creix ràpidament, la majoria encara no ha iniciat un procés formal d'adaptació al nou marc legal.

I convé tenir clar el calendari real: al novembre de 2025 la Comissió Europea va proposar l'anomenat «Digital Omnibus», que ajorna les obligacions dels sistemes d'IA d'alt risc. Després de l'acord assolit el maig de 2026, les noves dates de referència són el 2 de desembre de 2027 i el 2 d'agost de 2028, en lloc del 2 d'agost de 2026 previst inicialment. Tanmateix, l'ajornament d'alguns terminis no elimina les obligacions ja vigents —com l'alfabetització en IA (art. 4) o el mateix RGPD—, que continuen sent plenament exigibles avui.

A més, això té un impacte directe en aquells clients que no només volen implantar la IA en el seu dia a dia per optimitzar processos, sinó també en aquells que estan desenvolupant models d'IA com a productes o serveis i que hauran de complir amb el Reglament i dur a terme la corresponent avaluació d'impacte.

Prohibir la IA no és la solució

Durant els darrers mesos he mantingut diverses converses amb empresaris que, davant d'aquesta realitat, arriben a la mateixa conclusió: «Llavors prohibim la IA a l'empresa». El problema és que això no funciona. La mateixa direcció és una de les principals infractores: segons una enquesta de BlackFog (2026), gairebé la meitat dels empleats (49 %) utilitza eines d'IA sense l'aprovació de la seva empresa, i el 69 % dels alts directius reconeix prioritzar la velocitat per sobre de la seguretat. Prohibir la IA no elimina el risc: simplement l'empeny cap a les ombres, on és encara menys controlable.

El cas de Samsung, que l'any 2023 va restringir l'ús de ChatGPT a la companyia després que, en menys d'un mes, tres empleats filtressin codi font propietari i notes d'una reunió interna enganxant-les a l'eina, és especialment il·lustratiu. Però la lliçó no és «prohibir», sinó «governar».

L'evidència també ho reforça des d'una perspectiva de negoci: l'informe «The GenAI Divide: State of AI in Business 2025», de MIT NANDA (agost de 2025), conclou que el 95 % dels pilots d'IA generativa a les empreses no generen cap retorn mesurable; només el 5 % aconsegueix un impacte real en el compte de resultats. La causa comuna no és la tecnologia, sinó l'absència de polítiques internes, formació i estructures de supervisió. Dit d'una altra manera: la IA sense governança no només genera risc legal, sinó que també genera pèrdues.

La solució és posar ordre al que ja està passant:

  • inventariar les eines i els processos;
  • revisar la configuració dels models utilitzats;
  • classificar els riscos;
  • establir autoritzacions internes;
  • revisar i signar els DPAs;
  • formar els empleats;
  • actualitzar els RAT;
  • regular les polítiques de privacitat i les TID;
  • documentar-ho tot.

La IA pot convertir-se en un avantatge competitiu extraordinari per a una pime. La clau és fer-ho bé.

Com ho solucionem des de PymeLegal

Fa anys que assessorem pimes en matèria de protecció de dades i observem, des de dins, com la intel·ligència artificial s'està convertint en una de les principals fonts d'incertesa legal per als nostres clients. Per donar una resposta pràctica a aquesta realitat, hem creat un servei específic, en col·laboració amb Impuls, especialistes en implantació tecnològica: el Pack Compliance IA.

El servei s'estructura en dues fases clarament diferenciades:

  • Paquet Legal (PymeLegal):
    • checklist de diagnòstic;
    • política d'ús de la IA personalitzada per als empleats;
    • revisió i formalització dels DPAs amb els proveïdors;
    • actualització del RAT i informe de conformitat RGPD + AI Act;
    • actualització de les polítiques de privacitat.
  • Paquet Tècnic (Impuls):
    • configuració correcta de les eines d'IA actuals per complir amb el RGPD;
    • activació de les opcions de privacitat;
    • SSO corporatiu;
    • gestió d'usuaris;
    • formació pràctica per a l'equip IT;
    • suport per a projectes d'implantació ad hoc (desenvolupaments propis d'IA).

El procés complet té una durada aproximada d'entre 4 i 6 setmanes, des del diagnòstic inicial fins al lliurament de tota la documentació.

La fi de la IA barata: el que ve després dels preus subvencionats

Hi ha una tendència que les pimes haurien de tenir al radar, més enllà del marc legal: l'era de la IA subvencionada està arribant a la seva fi. Anthropic va introduir l'any 2025 límits d'ús setmanals en els seus plans de Claude i OpenAI ha endurit els límits de ChatGPT. Google ha reduït el nivell gratuït de Gemini (especialment en l'API per a desenvolupadors) i Microsoft ha incorporat el pagament per consum als seus agents de Copilot.

La direcció és clara: les plataformes necessiten projeccions d'ingressos creïbles, i això passa per incrementar els preus. Per a les pimes, això reforça encara més la necessitat de governar l'ús de la IA de manera ordenada: tenir els contractes adequats i la documentació al dia avui serà molt més senzill que intentar regularitzar la situació quan els costos ja hagin augmentat i els pressupostos estiguin compromesos. Governar correctament l'ús de la IA avui no és només una qüestió legal: també és una decisió de gestió intel·ligent i estratègica.

Test d'autodiagnòstic

Respon aquestes 8 preguntes i descobreix en un minut el nivell d'exposició al risc de la teva empresa.

Vols saber quin és el nivell real d'exposició al risc de la teva empresa?

A PymeLegal i Impuls hem creat Compliance IA, un servei que combina assessorament legal i implantació tècnica perquè les empreses puguin aprofitar tot el potencial de la intel·ligència artificial amb seguretat i garanties. Si vols conèixer l'estat real de compliment de la teva organització i detectar possibles riscos abans que es converteixin en un problema, contacta amb nosaltres i t'ajudarem a realitzar una primera avaluació.

Sol·licitar una primera avaluació