Resposta directa Un chatbot d'IA tracta dades personals des del primer missatge, i això vol dir tres coses: necessites una base legal del RGPD (normalment consentiment o interès legítim, segons què faci el bot), has de dir clarament a l'usuari que parla amb una IA i informar-lo del tractament, i has de tenir controlat on van les dades quan el proveïdor d'IA és un tercer. Res d'això és impossible per a una pime. Però res d'això es resol sol.

Per què t'ho explico jo.

Porto més de 15 anys en màrqueting digital, vaig dirigir una agència catalana Google Premier Partner i ara treballo com a consultor amb 4-6 clients l'any. Tinc un màster en IA per la UCM, i una part de la meva feina és precisament muntar aquests sistemes per a pimes: chatbots d'atenció, assistents de captació, automatitzacions. O sigui: no et parlo des del pànic d'un titular de diari, sinó des de la trinxera.

Ara bé, no soc advocat i aquest article no és assessorament jurídic: és el mapa perquè sàpigues què has de mirar i què has de preguntar. Per al marc general de la normativa d'IA, tens l'article sobre la llei d'IA a Espanya; aquí anem al cas concret.

Primer de tot: sí, el teu chatbot tracta dades personals.

Hi ha una idea estesa que fa mal: "és només un xat, no demanem res". Fals. Quan algú escriu al teu chatbot ja estàs tractant el contingut dels seus missatges i, probablement, metadades de la sessió. I la gent escriu coses que no li has demanat: noms, telèfons, problemes de salut. El chatbot no tria què li expliquen. Per tant la pregunta no és "tractem dades o no". És "amb quina base legal, què en fem i qui més les veu".

La base legal: consentiment o interès legítim.

El RGPD exigeix que tot tractament de dades personals s'apuntali en una de les bases legals que preveu l'article 6 del Reglament. Per a un chatbot, el debat pràctic sol estar entre dues:

Consentiment. L'usuari accepta de manera lliure, informada i inequívoca que tractis les seves dades per a una finalitat concreta. És la via natural quan el chatbot fa captació: si demana nom i correu per enviar una proposta, el consentiment ha de ser explícit i registrable, com en qualsevol formulari.

Interès legítim. Pot emparar tractaments que l'usuari raonablement esperaria en el context, sempre que hagis fet una ponderació seriosa entre el teu interès i els drets de la persona (el test de ponderació que demanen l'AEPD i el Comitè Europeu de Protecció de Dades). Exemple típic de debat: respondre consultes bàsiques d'atenció sense identificar l'usuari.

Hi ha una tercera via que sovint s'oblida: si el bot dona suport a algú que ja és client teu, l'execució del contracte que teniu també pot ser la base (article 6.1.b). El matís important, on veig més errors: la base legal va lligada a la FINALITAT, no a l'eina. Un mateix chatbot pot tenir dos tractaments (atendre dubtes i captar leads) i cadascun necessita la seva base i la seva informació. I un clàssic a evitar: reutilitzar les converses per a una altra cosa (entrenar models, fer perfils) sense base ni informació. Si algun dia vols fer-ho, es documenta abans. No després.

Transparència: digues que és una IA, i digues què fas amb les dades.

Aquí conflueixen dues normes que sovint es confonen. La primera és l'AI Act, que imposa una obligació de transparència (article 50) als sistemes d'IA que interactuen directament amb persones: l'usuari ha de saber que parla amb una màquina, tret que sigui evident pel context. Aquesta obligació comença a aplicar-se el 2 d'agost de 2026, o sigui que ja no és teoria de futur. Traducció pràctica: el bot es presenta com el que és al primer missatge. Res de fingir que és la Marta del departament comercial.

La segona és el RGPD, que t'obliga a informar la persona sobre el tractament: responsable, finalitats, conservació, drets i com exercir-los (el contingut dels articles 13 i 14), un deure que l'AEPD recomana aplicar per capes en interfícies conversacionals.

La bona notícia: totes dues coses es resolen amb el mateix gest de disseny. Un primer missatge honest ("soc una IA, tracto les teves dades per a X, aquí tens la política de privacitat") amb enllaç a una política al dia. I curiosament, dir que és una IA no espanta l'usuari. El que l'espanta és descobrir-ho després.

Minimització: el chatbot no ha de saber-ho tot.

El RGPD demana tractar només les dades adequades i necessàries per a la finalitat. Aplicat a un chatbot:

No demanis el que no necessites. Si el bot resol dubtes d'horaris, no necessita el DNI de ningú. Cada camp que demanes l'has de poder justificar.

Posa barreres al que no vols rebre. Un bot ben dissenyat talla educadament les dades sensibles ("no cal que em donis això, per a aquest tema truca'ns") i, si el sistema ho permet, les filtra abans de guardar-les o d'enviar-les al model.

Decideix quant de temps guardes les converses, i per què. "Per sempre, per si de cas" no és un criteri de conservació, és l'absència d'un.

El punt que gairebé tothom passa per alt: on van les dades.

Aquí és on el tema es posa seriós. La majoria de chatbots per a pimes funcionen sobre models de tercers (OpenAI, Anthropic, Google i companyia): cada missatge del teu client pot acabar als servidors d'aquest proveïdor. Conseqüències:

El proveïdor és el teu encarregat del tractament. Necessites un contracte d'encàrrec (l'article 28 del RGPD) que reguli què pot fer amb les dades. Ara bé, el paper del proveïdor s'ha de mirar cas per cas: si usa les converses per als seus propis fins, pot actuar com a responsable independent i no com a mer encarregat. Els grans proveïdors ofereixen aquests acords (DPA) als plans d'empresa; els plans gratuïts o de consumidor sovint NO donen les mateixes garanties.

Transferències fora de la UE. Si el proveïdor processa dades fora de l'Espai Econòmic Europeu, cal un mecanisme de transferència vàlid. El marc concret canvia amb el temps, així que no te'l has de saber de memòria: el que cal és que el proveïdor t'ensenyi per escrit sobre quina base transfereix.

Entrenament amb les teves dades. Alguns serveis usen les converses per entrenar models segons el pla contractat. Als plans d'empresa normalment es pot desactivar o ve desactivat. Verifica-ho i deixa'n constància.

La meva regla pràctica: si un proveïdor d'IA no et pot ensenyar el seu DPA ni explicar-te on processa les dades, no és un proveïdor per a dades dels teus clients. Que el bot sigui espectacular en la demo no canvia això.

Checklist abans d'encendre el chatbot.

La versió operativa de tot l'anterior. Abans de posar el bot en producció:

1. Finalitats escrites. Què farà el bot i amb quines dades. Una frase per finalitat.

2. Base legal per a cada finalitat. Consentiment, interès legítim o execució de contracte, decidit i documentat.

3. Avís d'IA al primer missatge. L'usuari sap que parla amb una màquina.

4. Informació de privacitat accessible des del xat. Capa curta més enllaç a la política completa, actualitzada.

5. Minimització aplicada al guió. El bot no demana dades que no necessita i redirigeix les sensibles a un canal humà.

6. Contracte d'encàrrec amb el proveïdor. DPA acceptat, sense entrenament amb les teves converses, ubicació del processament coneguda.

7. Retenció definida. Quant de temps guardes converses i leads, i qui els veu.

8. Via humana sempre oberta. Per parlar amb una persona i per exercir drets.

9. Registre d'activitats de tractament actualitzat, i valoració de si cal una avaluació d'impacte de protecció de dades (obligatòria quan el tractament pot comportar un risc alt per als drets de les persones, segons els criteris de l'AEPD).

10. Revisió periòdica. Cada canvi de finalitat del bot torna a passar per aquesta llista.

L'honestedat final: això no és un motiu per no fer-ho.

Després de llegir tot això pots pensar que posar un chatbot és un camp de mines. No ho és. És un projecte amb deures, com acceptar targetes o enviar newsletters. Les empreses que ho fan malament no solen fallar per mala fe: fallen per encendre l'eina primer i pensar-hi després.

El meu consell és el de sempre: ni el hype ni la paràlisi. Un chatbot ben plantejat, amb aquestes bases cobertes des del disseny, és una eina perfectament legal i molt útil. I si el teu proveïdor o la teva agència no sap respondre les preguntes d'aquesta llista, la resposta no és renunciar al chatbot. És canviar de proveïdor.

Si vols el context general de com aplicar IA a una pime amb el cap fred, comença pel hub d'IA per a pimes. I si vols que mirem el teu cas, a la pàgina de mètode explico com treballo i per què només porto 4-6 clients l'any.

Preguntes freqüents.

Un chatbot d'IA necessita sempre el consentiment de l'usuari?

No sempre. El consentiment és una de les bases legals possibles, però no l'única: segons la finalitat, l'interès legítim pot emparar tractaments que l'usuari raonablement esperaria, sempre amb una ponderació documentada. El que sí que és sempre obligatori és informar l'usuari del tractament i que sàpiga que parla amb una IA.

He de dir a l'usuari que parla amb una IA?

Sí. L'AI Act (article 50) imposa una obligació de transparència als sistemes d'IA que interactuen amb persones: l'usuari ha de saber que no parla amb un humà, tret que sigui evident pel context. Aquesta obligació s'aplica des del 2 d'agost de 2026 i, a la pràctica, es resol presentant el bot com a assistent virtual al primer missatge.

Puc usar ChatGPT o un model similar per al chatbot de la meva empresa?

Sí, però amb condicions: necessites un pla que ofereixi contracte d'encarregat del tractament (DPA), garanties sobre on es processen les dades i la seguretat que les converses dels teus clients no s'usen per entrenar el model. Els plans gratuïts o de consumidor normalment no donen aquestes garanties.

Què passa amb les dades sensibles que un client escriu al xat sense que li demani?

No pots controlar què escriu la gent, però sí què en fas. Un bot ben dissenyat no demana mai dades sensibles, redirigeix aquests temes a un canal humà i, quan és tècnicament possible, evita guardar-les o enviar-les al proveïdor del model. La minimització és una decisió de disseny, no un tràmit.

Necessito un advocat per posar un chatbot?

Per a un chatbot senzill d'atenció al client, amb un bon proveïdor i els deures de la checklist fets, sovint n'hi ha prou amb actualitzar la política de privacitat amb el suport que ja tinguis en protecció de dades. Si el bot tracta dades delicades, pren decisions amb efectes sobre les persones o opera en un sector regulat, llavors sí: consulta especialitzada abans d'encendre'l.

Vols muntar un chatbot ben fet des del primer dia?

30 minuts gratis, per videotrucada. M'expliques què vols que faci el bot i et dic com plantejar-lo perquè sigui útil i estigui en regla, sense fum ni alarmisme. Sense agenda comercial.

Reservar sessió de diagnòstic