El compliment es el motiu mes frequent pel qual s'aturen els projectes de chatbots i agents d'IA. Implantem IA (Intel·ligencia Artificial) conversacional amb base legal, minimitzacio de dades, supervisio humana i transparencia integrades, perque els teus equips juridic i de proteccio de dades l'aprovin en lloc de bloquejar-lo.
Un chatbot o agent d'IA que gestiona converses amb clients o empleats tracta dades personals i pot entrar en l'ambit del Reglament d'IA de la UE. Abordem les quatre objeccions que plantegen primer els equips juridics i el DPD.
"No sabem amb quina base legal del RGPD tractem les dades de les converses." Definim la base licita (Art. 6) i la documentem en el registre d'activitats de tractament.
"El chatbot enviaria dades personals a un proveidor d'IA fora de la UE." Dissenyem el desplegament amb allotjament a la UE i control de transferencies internacionals.
"L'AI Act ens obliga a alguna cosa i no sabem a que." Classifiquem el sistema per risc i apliquem els deures de transparencia de l'Art. 50.
"Si la IA decideix sola, perdem el control i la responsabilitat." Incorporem supervisio humana i rutes d'escalat per a les decisions sensibles.
Associem cada principi del RGPD i cada obligacio de l'AI Act a una decisio de disseny concreta del teu chatbot o agent d'IA, documentada per al teu registre de tractament i la teva avaluacio de conformitat.
Determinem la base licita de l'Art. 6 del RGPD, la informacio a l'interessat i, quan escau, la gestio del consentiment dins del flux conversacional.
El chatbot nomes recull les dades necessaries, amb politiques de retencio i supressio automatica conforme al principi de minimitzacio (Art. 5 RGPD).
Rutes d'escalat a una persona i revisio humana de les decisions sensibles, d'acord amb els requisits de supervisio de l'AI Act.
L'usuari sap que interactua amb una IA i com es tracten les seves dades, complint el deure de transparencia de l'Art. 50 de l'AI Act.
Arquitectura amb dades allotjades a la UE i control de transferencies internacionals per evitar exposicions no conformes.
Classifiquem el teu cas d'us per nivell de risc de l'AI Act i apliquem les obligacions que corresponguin, documentades per al teu registre.
El que hi ha en joc, directament de les normes que regulen la IA conversacional.
20M€ / 4%
Sancio maxima del RGPD (20M€ o el 4% de la facturacio anual global, la mes alta de les dues)
Font: RGPD, Reglament (UE) 2016/679, Art. 83(5)
35M€ / 7%
Sancio maxima de l'AI Act per practiques prohibides (35M€ o el 7% de la facturacio global)
Font: Reglament d'IA de la UE, Reglament (UE) 2024/1689, Art. 99
Art. 50
Deure de transparencia: l'usuari ha de saber que interactua amb un sistema d'IA
Font: Reglament d'IA de la UE, Reglament (UE) 2024/1689, Art. 50
Si. El RGPD no prohibeix la IA (Intel·ligencia Artificial): exigeix base legal, minimitzacio de dades, informacio a l'interessat i seguretat. Dissenyem el chatbot per complir cadascun d'aquests requisits i ho documentem per al teu registre d'activitats de tractament.
Depen del cas d'us. La majoria dels chatbots d'atencio son sistemes de risc limitat subjectes sobretot al deure de transparencia de l'Art. 50. Classifiquem el teu sistema per nivell de risc i apliquem les obligacions que corresponguin.
Dissenyem l'arquitectura amb allotjament a la UE i contractes d'encarrec de tractament, controlant les transferencies internacionals. Aixi evitem les exposicions que solen bloquejar aquests projectes al comite juridic.
Si el tractament es a gran escala o de categories especials, probablement si. T'ajudem a determinar si escau una AIPD i a elaborar-la juntament amb el teu DPD.
Fem una revisio de compliment del chatbot existent davant del RGPD i de l'AI Act, identifiquem les bretxes i proposem un pla de remediacio sense refer-lo des de zero.
Reserva una revisio de compliment: avaluem el teu cas d'us davant del RGPD i de l'AI Act i definim un desplegament que els teus equips juridic i de proteccio de dades puguin aprovar.
Sol·licitar revisio de complimentSense compromis: una lectura clara de les teves obligacions de compliment.