L’adopció d’eines d’intel·ligència artificial generativa com ChatGPT s’ha disparat en empreses de tota Europa. Directius, analistes, comercials i tècnics utilitzen diàriament aquestes plataformes per a generar continguts, resumir documents, traduir, analitzar o fins i tot programar. No obstant això, aquest ús massiu i informal està generant un problema crític: la pujada d’informació confidencial, dades personals i documentació interna sense control, i en molts casos, sense coneixement dels responsables de complaince.

Aquest document tècnic té com a objectiu analitzar:

– Els riscos legals associats a l’ús d’eines de IA generativa en l’entorn empresarial europeu.

– La normativa vigent de la Unió Europea que regula el tractament de dades personals i confidencials.

– Dues solucions tècniques viables per a mitigar aquests riscos:

1. Implementació de sistemes de IA generativa en entorns privats o locals.

2. Ús de fluxos d’anonimització automatitzats abans d’interactuar amb IA públiques.

1. Un problema silenciós: l’ús il·legal o indegut de ChatGPT en empreses
Encara que no existeixen encara estudis oficials i concloents, s’estima que una gran majoria d’empreses europees estan utilitzant ChatGPT i altres IAs generatives sense cap política de control d’ús, la qual cosa podria suposar infraccions directes de normatives com el Reglament General de Protecció de Dades (RGPD) o la futura AI Act de la UE.

Casos habituals d’ús indegut:

– Pujada de contractes amb dades personals o empresarials a ChatGPT per a resumir o traduir.

– Còpia i pega de converses internes o dades de clients en prompts per a anàlisis.

– Ús de comptes corporatius sense polítiques de seguretat per a interactuar amb models externs.

2. El marc legal: RGPD, AI Act i responsabilitat empresarial
RGPD i tractament de dades personals:
Segons el RGPD, qualsevol tractament de dades personals ha de complir els principis de licitud, lleialtat i transparència; limitació de la finalitat; minimització de dades; i integritat i confidencialitat.

AI Act:

L’AI Act imposa obligacions addicionals com a classificació dels sistemes segons risc, avaluació de conformitat i transparència, i traçabilitat.

Responsabilitat corporativa:

L’empresa és responsable de les dades que manegen els seus empleats, fins i tot si l’ús de la IA no està autoritzat formalment. El desconeixement no eximeix de la responsabilitat.

3. Solució 1: Implementació de IA generativa en entorns locals o privats
Una solució robusta és desplegar models de IA generativa en infraestructures controlades.

Opció A: Infraestructura cloud privada (Azure, AWS, GCP)

Avantatges: Compliment normatiu, escalabilitat, integració amb serveis corporatius.

Requisits: Kubernetes o Docker, VPN/VPC, xifratge, auditoria.

Opció B: Infraestructura on.*premise (maquinari local)

Avantatges: Control absolut de les dades, sense dependència externa.

Requisits: Servidors GPU, emmagatzematge SSD, personal tècnic qualificat.

4. Solució 2: Automatització amb anonimització de dades abans de l’ús de ChatGPT
Alternativa viable: crear una capa intermèdia d’anonimització i filtrat abans d’enviar dades a ChatGPT.

Arquitectura proposada:

1. Interfície web segura.

2. Workflow en N8N o similar: extracció de text, anonimització, neteja de metadades.

3. Revisió opcional.

4. Anomenada a API de ChatGPT.

5. Resposta segura de tornada.

Avantatges: No renunciar a GPT-4, control de dades, compatibilitat amb sistemes actuals.

Un article de Pau Llambí, assessor tecnològic del Col·legi
assessories@elcol-legi.org