Mites sobre LOPD i IA.

Mite 01 · "la IA està prohibida"

Fals. El RGPD no prohibeix l’ús d’IA. Regula com han de tractar-se les dades personals que passen per IA. La diferència no és semàntica · és tot.

Mite 02 · "cap dada pot entrar a la IA"

Fals matisat. Dades personals poden passar per IA amb base legal i encàrrec de tractament (DPA art. 28 RGPD) signat amb el proveïdor. Dades especialment protegides (art. 9 RGPD: salut, ideologia, religió, dades sindicals) requereixen base reforçada.

Mite 03 · "cal autorització explícita del client"

Generalment fals. La majoria d’usos professionals de IA encaixen en una de les altres bases legals (execució de contracte art. 6.1.b, interès legítim art. 6.1.f, obligació legal art. 6.1.c). El consentiment de l’art. 6.1.a no és l’única opció.

Mite 04 · "això només aplica a grans empreses"

Completament fals. El RGPD i l’EU AI Act apliquen a totes les empreses europees independentment de la mida. Una gestoria de tres persones té les mateixes obligacions que una multinacional. Les sancions es gradúen, però el marc s’aplica igual.

Mite 05 · "si no la utilitzem oficialment, ja està"

Fals i perillós. Si els vostres empleats utilitzen IA en cap account personal per a feina professional (shadow IT), l’empresa té responsabilitat solidària. Saber que ho fan i no actuar és culpa in vigilando. Saber que ho fan i mirar cap a un altre costat tampoc no us treu de l’expedient.

La realitat normativa

El compliment RGPD + EU AI Act amb IA es construeix sobre cinc capes:

1. Inventari de sistemes IA utilitzats (oficial i shadow IT).
2. Comptes corporatius amb DPA art. 28 RGPD signat amb cada proveïdor.
3. Política IA interna signada per direcció amb acús de recepció per persona.
4. Certificació nominal art. 4 EU AI Act per cada professional que utilitzi IA.
5. Traçabilitat bàsica d’operacions IA crítiques.

Aquestes cinc capes són exactament el que entrega un Octa OctIA al tancament. No una opinió jurídica genèrica · cinc documents concrets, signats i arxivables.