Ciberseguretat i intel·ligència artificial: el compliment legal com a actiu empresarial

La digitalització ja no és una opció per a les empreses catalanes, sinó una condició per competir en un mercat globalitzat. Ara bé, si bé la tecnologia es presenta com un aliat estratègic per al creixement, també obre la porta a nous riscos. En aquest escenari, la ciberseguretat i la intel·ligència artificial (IA) no són només eines d’innovació, sinó que, malgrat el seu potencial positiu, en moltes ocasions, es poden tornar un veritable focus de vulnerabilitat. I és aquí on el dret no actua com a fre, sinó com a escut. El compliment legal no és un tràmit: és una eina de protecció i un veritable actiu empresarial.

A Catalunya, moltes empreses —especialment petites i mitjanes— avancen cap a la transformació digital amb determinació, però sovint ho fan sense una estratègia jurídica ben definida. Aquest buit pot sortir car. Un incident cibernètic no només pot paralitzar l’activitat econòmica, sinó exposar dades sensibles, vulnerar normatives i derivar en sancions o responsabilitats civils. En aquest context, el marc legal és clar: el Reglament General de Protecció de Dades (RGPD) i la Llei orgànica espanyola (LOPDGDD) exigeixen garantir la seguretat de les dades personals, notificar qualsevol bretxa i demostrar proactivitat en la gestió del risc.

A més, la Llei de serveis de la societat de la informació (LSSI) imposa obligacions específiques als prestadors de serveis digitals, mentre que la recent transposició de la Directiva NIS2 reforça els requisits de seguretat per a sectors crítics i proveïdors TIC.

"Un incident cibernètic no només pot paralitzar l’activitat econòmica, sinó exposar dades sensibles, vulnerar normatives i derivar en sancions o responsabilitats civils"

En definitiva, la responsabilitat legal ja no és una possibilitat remota: és una realitat que pot recaure sobre l’empresa en cas de negligència. La seguretat jurídica és tan imprescindible com la seguretat tecnològica.

Paral·lelament, la irrupció de la intel·ligència artificial dins les estructures empresarials planteja un nou escenari normatiu. Les empreses ja fan ús de sistemes de recomanació, eines d’anàlisi predictiva o aplicacions de gestió automatitzada, sovint sense ser plenament conscients de la seva naturalesa legal. Però quan parlem de drets, responsabilitats i impacte social, no podem parlar d’“eines”: parlem de sistemes d’IA, i això requereix rigor jurídic.

L’AI Act de la Unió Europea —la nova Llei d’intel·ligència artificial— estableix un marc legal exigent per als sistemes classificats com d’alt risc, com ara els que operen en àmbits de recursos humans, finances o salut.

Aquest marc obliga les empreses a fer avaluacions d’impacte abans de posar-los en marxa, a garantir una supervisió humana efectiva i a aportar transparència sobre el funcionament dels algoritmes. Quan una IA pren decisions automatitzades amb efectes legals o significatius, l’empresa ha de garantir el dret a la intervenció humana i a una explicació comprensible del procés. A més, cal seguir complint el RGPD, especialment quan es treballa amb dades personals.

"Quan una IA pren decisions automatitzades amb efectes legals o significatius, l’empresa ha de garantir el dret a la intervenció humana i a una explicació comprensible del procés"

Aquí la responsabilitat ja no és una figura abstracta. Si un algoritme causa un perjudici, la responsabilitat pot recaure sobre el fabricant, sobre l’empresa que l’utilitza o, fins i tot, sobre tercers. Per això és essencial revisar contractes, establir polítiques internes clares i formar equips interdisciplinaris capaços d’interpretar tant els riscos com les obligacions legals associades.

Aquesta transformació també arriba al dret societari. La digitalització està canviant la manera com neixen i operen les societats. El Reial decret llei 5/2023 obre la porta a la constitució digital d’empreses i a la celebració de juntes totalment telemàtiques. La signatura electrònica ja és plenament vàlida per formalitzar acords socials i contractuals, però això no elimina la necessitat d’una revisió jurídica acurada. Cal adaptar els estatuts socials per fer possible la gestió digital, establir protocols de govern intern que garanteixin la transparència i la validesa dels acords, i reforçar les polítiques de protecció de dades i de seguretat vinculades a les eines digitals que s’utilitzen.

La promesa és clara: més agilitat, menys costos, major flexibilitat. Però també cal anticipar riscos com el frau documental o la manipulació de processos societaris. La transformació digital no pot ser una fugida endavant: ha de ser un pas ferm i segur.

En definitiva, invertir en tecnologia sense tenir en compte els seus riscos legals és una temeritat. El dret digital no ha de ser vist com una resposta reactiva, sinó com un element estructural dins de l’estratègia empresarial. És el que permet innovar sense por, créixer amb criteri i protegir el que realment importa.

La ciberseguretat i la intel·ligència artificial són desafiaments tècnics, sí. Però també —i sobretot— jurídics. I només aquelles empreses que integrin aquesta dimensió podran avançar de forma responsable, sostenible i competitiva.