Si la vostra empresa utilitza ChatGPT, Claude, Gemini o Copilot per redactar correus, resumir contractes o preparar anàlisis internes, i a hores d'ara gairebé totes ho fan, encara que no sempre amb el coneixement de la direcció, , hi ha una sentència recent dels Estats Units que convé conèixer abans de continuar. No perquè s'apliqui a Espanya (no ho farà), sinó perquè il·lustra amb claredat un problema que el RGPD ja regula des del 2018 i que la majoria d'empreses probablement estan ignorant.
Redactat per Josep Conesa
Advocat laboralista i concursalista
Què diu el cas Heppner sobre l'ús de la IA i la confidencialitat?
El cas Heppner no afirma que usar IA destrueixi sempre la confidencialitat. El que és rellevant és que l'ús d'una eina d'IA de consum, sense direcció lletrada i sense una expectativa clara de confidencialitat, pot impedir invocar la protecció del secret professional.
El 17 de febrer de 2026, el jutge Jed Rakoff (Tribunal Federal del Districte Sud de Nova York) va dictar sentència en el cas United States v. Heppner, un assumpte de frau borsari. L'acusat havia utilitzat Claude en la seva versió de consum, la gratuïta, accessible per a qualsevol, per generar anàlisis jurídiques pel seu compte, sense instrucció dels seus advocats. Quan l'FBI va confiscar els seus dispositius i va trobar aquests documents, la defensa va invocar el secret professional advocat-client.
El jutge ho va denegar. I els titulars que van circular per les xarxes, "un jutge federal declara que usar IA destrueix el secret professional", són falsos, o almenys profundament inexactes.
El que la sentència diu en realitat és molt més limitat:
- La IA no és advocat: no pot establir una relació advocat-client.
- No hi havia expectativa de confidencialitat: les condicions d'ús de la versió de consum permeten que el proveïdor utilitzi les dades per entrenar models i compartir-les amb tercers. Introduir-hi informació sensible equival a divulgar-la.
- No actuava sota direcció lletrada: ho va fer per iniciativa pròpia, no com a eina auxiliar del seu advocat.
El mateix jutge Rakoff assenyala que si l'advocat hagués dirigit l'ús de l'eina, el resultat podria haver estat diferent sota la doctrina Kovel (que estén el privilegi a perits, traductors i altres auxiliars del lletrat).
Per què aquest cas és important si la seva empresa utilitza IA a Espanya?
Aquest cas és important a Espanya perquè planteja un problema equivalent sota el RGPD: quan una empresa lliura dades personals a una eina d'IA sense contracte, sense instruccions documentades i sense garanties sobre el tractament, pot estar incomplint les seves obligacions de protecció de dades.
Espanya no té l'"attorney-client privilege" en el sentit anglosaxó, però sí que té el secret professional (art. 542.3 LOPJ, art. 32 EGA) i, sobretot, té el RGPD. I la lògica del cas Heppner és exactament la mateixa que la del RGPD: si lliureu dades personals a un tercer sense un marc contractual que reguli com les tractarà, esteu incomplint la llei.
Quan un empleat enganxa a ChatGPT el currículum d'un candidat, les nòmines d'un treballador, un contracte amb dades del client o l'historial mèdic d'algú, està transferint dades personals a un encarregat del tractament. I aquest tractament, sense contracte, és il·lícit.
Quan necessita una empresa espanyola un DPA (Data Processing Agreement) per utilitzar eines d'IA?
Una empresa necessita un DPA quan utilitza una eina d'IA per tractar dades personals per compte de l'organització, especialment si introdueix dades de clients, empleats, candidats, proveïdors o tercers identificables.
El DPA com a peça clau a Espanya: l'article 28 del RGPD obliga que tota relació entre un responsable del tractament (la seva empresa) i un encarregat del tractament (el proveïdor d'IA, de cloud, de màrqueting per correu electrònic, etc.) estigui regulada per un contracte escrit. Aquest contracte s'anomena DPA (Data Processing Agreement, o Acord d'Encàrrec de Tractament) i ha de cobrir, com a mínim:
- Finalitat, durada, naturalesa i objecte del tractament.
- Categories de dades personals i d'interessats afectats.
- Obligació de confidencialitat i mesures tècniques de seguretat.
- Prohibició de subcontractar sense autorització (règim de subcontractats).
- Tractament de transferències internacionals (clàusules tipus de la Comissió Europea quan les dades surten de l'EEE).
- Assistència davant els drets dels interessats i notificació de bretxes.
- Destinació de les dades en finalitzar el contracte (devolució o supressió).
- Auditories i obligacions d'informació.
Sense DPA, la seva empresa està exposada a sancions de la Agència Espanyola de Protecció de Dades (AEPD) que poden arribar al 4% de la facturació global anual o 20 milions d'euros, la quantitat que sigui major.
Pot una empresa utilitzar ChatGPT gratuït amb dades de clients, empleats o candidats?
No. Una empresa no hauria d'utilitzar ChatGPT gratuït ni altres eines consumer d'IA amb dades de clients, empleats o candidats si no existeix un DPA signat, garanties de confidencialitat i control sobre el tractament d'aquestes dades.
Aquí rau el problema concret. Quan un empleat obre chat.openai.com amb el seu compte personal o gratuït i hi enganxa informació de clients, la seva empresa:
- No té cap contracte signat amb OpenAI com a encarregat del tractament.
- No controla si aquestes dades s'utilitzen per entrenar models.
- No té garanties sobre on s'emmagatzemen ni durant quant de temps.
- No pot demostrar davant d'una inspecció de la Agència Espanyola de Protecció de Dades (AEPD) que compleix l'art. 28 RGPD.
És, exactament, l'escenari Heppner: ús d'una eina consumer, sense marc contractual, amb dades sensibles. La diferència és que a Espanya el problema no és només perdre el secret professional en un judici: és una infracció administrativa directa.
Quines garanties aporten les versions empresarials d'IA?
Les versions empresarials d'IA poden aportar les garanties que no existeixen en l'ús consumer: DPA, compromisos de no entrenament amb dades del client, mesures de seguretat, control sobre subcontractats, opcions de conservació de dades i mecanismes per gestionar transferències internacionals.
Els plans Enterprise, Team o API dels principals proveïdors (Anthropic, OpenAI, Microsoft, Google) sí que ofereixen DPA. Anthropic, per exemple, incorpora el seu DPA per referència als Commercial Terms i es compromet contractualment a:
- No entrenar models amb les dades del client.
- Aplicar xifratge en trànsit i en repòs.
- Permetre configuracions de Zero Data Retention (ZDR) per a fluxos sensibles.
- Oferir desplegaments regionals (per exemple, Bedrock a la UE) per evitar transferències internacionals problemàtiques.
Això converteix el tractament en lícit sota el RGPD. No n'és suficient: continuen sent necessàries les avaluacions d'impacte (DPIA) quan escaigui, els registres d'activitats i la formació interna, però almenys la base contractual existeix.
Quins passos ha de seguir una empresa espanyola abans d'usar IA amb dades personals?
Abans d'usar IA amb dades personals, una empresa espanyola hauria d'identificar quines eines s'utilitzen, prohibir les versions gratuïtes per a dades sensibles, contractar proveïdors amb DPA, actualitzar el seu registre d'activitats, valorar si necessita una DPIA i formar els seus equips.
- Auditar quines eines d'IA s'estan usant realment. No les que la direcció creu que s'utilitzen: les que s'utilitzen de debò. Sovint n'hi ha més de les previstes, i sovint es troben en comptes personals.
- Bloquejar l'ús de versions gratuïtes per a dades de clients, empleats o proveïdors. És una política interna senzilla de redactar i de comunicar.
- Contractar plans empresarials amb DPA signat per als proveïdors que l'organització vagi a utilitzar de manera estable. Conserveu una còpia del DPA signat: és la primera prova que sol·licitarà la Agència Espanyola de Protecció de Dades (AEPD) en una inspecció.
- Actualitzar el registre d'activitats de tractament (RAT) incloent-hi els nous encarregats (OpenAI, Anthropic, Microsoft 365 Copilot, etc.).
- Avaluar si escau una DPIA (avaluació d'impacte). En tractaments amb dades de categories especials, salut, dades laborals sensibles, perfilatge a gran escala, és obligatòria.
- Formar l'equip. La majoria de les bretxes de dades vinculades a la IA no provenen d'atacs, sinó d'empleats bienintencionats que enganxen informació on no haurien de fer-ho.
- Revisar els contractes amb clients. Si la vostra empresa tracta dades de tercers per compte d'un client (habitual en consultores, gestories i agències), i heu d'usar IA en aquest tractament, necessiteu el vistiplau del client i, possiblement, actualitzar el DPA que teniu signat amb ell.
La conclusió
El cas Heppner no diu que la IA sigui incompatible amb la confidencialitat. Diu que usar eines de consum sense marc contractual sí que ho és. Als Estats Units això es tradueix en perdre el privilegi en un judici. A Espanya es tradueix, a més, en una infracció del RGPD amb conseqüències econòmiques immediates.
La bona notícia és que el problema té una solució tècnica i jurídica coneguda: plans empresarials, DPA signats, polítiques internes clares i formació. Les empreses que facin aquest pas ara estaran en una posició legal i competitiva millor que les que continuïn actuant com si el problema no existís.
La IA en l'entorn empresarial no és el risc. El risc és utilitzar-la com si fos un cercador d'internet, quan jurídicament és un encarregat del tractament a qui estem lliurant dades personals cada dia.
Si necessita assessorament Conesa Legal pot ajudar-lo tant amb professionals propis que estan implementant la IA tenint en compte el RGPD (LLM CLI, Openclaw, Ollama, etc.), com amb col·laboradors experts en matèria de protecció de dades:
