Quines dades recopilen els assistents d'IA i com protegir la teva privadesa

La intel·ligència artificial ha passat de promesa a rutina en temps rècord i, amb això, han aparegut dubtes molt concrets: quines dades recopilen els assistents d'IA, com els usen i què podem fer per mantenir fora de perill la nostra informació. Si utilitzes chatbots, assistents al navegador o models generatius, convé prendre el control de la teva privadesa com més aviat millor.

A més de ser eines molt útils, aquests sistemes s'alimenten de dades a gran escala. El volum, la procedència i el tractament d'aquesta informació introdueixen riscos nous: des de la inferència de trets personals fins a lexposició accidental de continguts sensibles. Aquí trobaràs, amb detall i sense embuts, què capturen, per què ho fan, què diu la llei i com blindar els teus comptes i la teva activitat. Anem a aprendre tot sobre quines dades recopilen els assistents d'IA i com protegir la teva privadesa. 

Quines dades recopilen realment els assistents de l'IA

Els assistents moderns processen molt més que les preguntes. Dades de contacte, identificadors, ús i contingut solen figurar entre les categories habituals. Parlem de nom i correu, però també d'adreces IP, informació del dispositiu, registres d'interacció, errors i, per descomptat, el contingut que generes o puges (missatges, arxius o imatges o enllaços públics).

A l'ecosistema de Google, l'avís de privadesa de Gemini descriu amb precisió que recull informació d'aplicacions connectades (per exemple, historial de Cerca o YouTube, context de Chrome), dades de dispositius i navegadors (tipus, ajustaments, identificadors), mètriques de rendiment i depuració, i fins i tot permisos del sistema a mòbils (com accés a contactes, registres de trucades i missatges o contingut en pantalla) quan l'usuari els autoritza.

També es tracten dades d'ubicació (zona aproximada del dispositiu, IP o adreces desades al compte) i detalls de subscripció si utilitzes plans de pagament. A més, s'emmagatzemen els propis continguts que generen els models (text, codi, àudio, imatges o resums), una cosa clau per entendre la petjada que deixes en interactuar amb aquestes eines.

Cal tenir en compte que la recopilació no es limita a l'entrenament: els assistents poden registrar activitat en temps real durant lús (per exemple, quan et recolzes en extensions o plugins), el que inclou telemetria i esdeveniments de laplicació. Això explica perquè controlar permisos i revisar els ajustaments d'activitat és fonamental.

Per què usen aquestes dades i qui les pot veure

Les empreses solen invocar finalitats àmplies i recurrents: prestar, mantenir i millorar el servei, personalitzar l'experiència, desenvolupar noves funcions, comunicar-se amb tu, mesurar rendiment i protegir l'usuari i la plataforma. Tot això, a més, s'estén a tecnologies d'aprenentatge automàtic i als models generatius mateixos.

Una part sensible del procés és la revisió humana. Diferents proveïdors reconeixen que personal intern o de proveïdors de serveis revisa mostres dinteraccions per millorar la seguretat i la qualitat. D'aquí una recomanació constant: evita incloure informació confidencial que no voldries que veiés una persona o que es faci servir per refinar models.

En polítiques conegudes, alguns serveis indiquen que no comparteixen amb finalitats publicitàries certes dades, encara que sí que poden lliurar informació a autoritats sota requeriment legal. Altres, per la seva naturalesa, comparteixen amb anunciants o socis identificadors i senyals agregats per a analítica i segmentació, cosa que obre la porta a la construcció de perfils.

El tractament inclou, a més, retenció durant períodes predefinits: per exemple, hi ha proveïdors que estableixen un esborrat automàtic per defecte en 18 mesos (ajustable a 3, 36 o indefinit), i conserven durant més temps converses ja revisades per a fins de qualitat i seguretat. Convé revisar els terminis i activar l'eliminació automàtica si busques reduir la teva petjada.

Riscos de privadesa al llarg del cicle de vida de la IA

La privadesa no es juga en un sol punt, sinó en tota la cadena: ingestió de dades, entrenament, inferència i capa d'aplicació. A la recol·lecció massiva es poden colar dades sensibles sense el consentiment adequat; a l'entrenament és fàcil que se sobrepassin les expectatives originals d'ús; durant la inferència, els models poden inferir trets personals a partir de senyals aparentment trivials; ia l'aplicació, les API o interfícies web són objectius atractius per a atacants.

Amb els sistemes generatius, els riscos es multipliquen (per exemple, joguines amb IA). Datasets extrets d'Internet sense permís explícit poden contenir informació personal, i certes entrades malicioses (prompt injection) busquen manipular el model perquè filtri contingut sensible o executi instruccions perilloses. D'altra banda, molts usuaris enganxen dades confidencials sense valorar que es podrien emmagatzemar o utilitzar per ajustar futures versions del model.

La investigació acadèmica ha tret a la llum problemes específics. Una anàlisi recent sobre assistents de navegador va detectar pràctiques generalitzades de seguiment i elaboració de perfils, amb transmissió de continguts de cerca, dades de formularis sensibles i adreces IP a servidors del proveïdor. A més, es va mostrar la capacitat d'inferir edat, gènere, ingressos i interessos, i va persistir la personalització en sessions diferents; en aquest estudi, només un servei no va evidenciar perfilat.

L'historial d'incidents ens recorda que el risc no és teòric: bretxes de seguretat han exposat historials de converses o metadades d'usuaris, i els atacants ja aprofiten tècniques sobre models per extreure'n informació d'entrenament. Per si no n'hi hagués prou, l'automatització de les canalitzacions d'IA dificulta detectar problemes de privadesa si no es dissenyen salvaguardes des de l'inici.

Què diuen les lleis i els marcs de referència

La major part de països ja compten amb normes de privadesa en vigor, i encara que no totes són específiques d'IA, sí que apliquen a qualsevol sistema que tracti dades personals. A Europa, el el RGPD exigeix ​​licitud, transparència, minimització, limitació de la finalitat i seguretat; a més, el Llei AI europeu introdueix categories de risc, prohibeix pràctiques d'alt impacte (com el puntuació social públic) i imposa requisits estrictes a sistemes d'alt risc.

Als EUA, regulacions estatals com CCPA o la llei de Texas atorguen drets d'accés, eliminació i exclusió de venda de dades, mentre que iniciatives com la llei d'Utah exigeixen avisos clars quan l'usuari interactua amb sistemes generatius. Aquestes capes normatives conviuen amb expectatives socials: estudis d'opinió en mostren una desconfiança notable cap a lús responsable dades per part de les empreses, i una discrepància entre l'autopercepció dels usuaris i la seva conducta real (per exemple, acceptar polítiques sense llegir-les).

Per aterrar la gestió del risc, el marc de referència del NIST (AI RMF) proposa quatre funcions contínues: Governar (polítiques i supervisió responsables), Mapear (entendre el context i els impactes), Mesurar (avaluar i monitoritzar riscos amb mètriques) i Gestionar (prioritzar i mitigar). Aquest enfocament ajuda a adaptar controls segons el nivell de risc del sistema.

Qui recopila més: radiografia dels chatbots més populars

Comparatives recents situen diferents assistents en un espectre de recopilació. Gemini de Google encapçala el rànquing en recollir el nombre més gran de punts de dades úniques en diverses categories (inclosos contactes del mòbil, si es concedeixen permisos), cosa que rarament apareix en altres competidors.

Al tram mitjà figuren solucions com Claude, Copilot, DeepSeek, ChatGPT i Perplexity, amb entre deu i tretze tipus de dades, variant la barreja entre contacte, ubicació, identificadors, contingut, historial, diagnòstics, ús i compres. grok se situa a la part baixa amb un conjunt més limitat de senyals.

També hi ha diferències en l'ús posterior: s'ha documentat que alguns serveis comparteixen amb anunciants i socis comercials certs identificadors (com correus xifrats) i senyals per a segmentació, mentre que altres declaren no emprar dades amb fins publicitaris ni vendre'ls, si bé es reserven el dret a respondre a requeriments legals oa utilitzar-los per millorar el sistema, excepte sol·licitud d'eliminació per part de l'usuari.

Amb vista a l'usuari final, això es tradueix en un consell clar: revisa les polítiques de cada proveïdor, ajusta els permisos de l'app i decideix conscientment quina informació cedeixes en cada context, sobretot si penjaràs arxius o compartir continguts delicats.

Bones pràctiques imprescindibles per protegir la teva privadesa

Primer de tot, configura a consciència els ajustaments de cada assistent. Explora què es guarda, per quant de temps i amb quina finalitat, i activa l'eliminació automàtica si està disponible. Revisa de forma periòdica les polítiques perquè canvien amb freqüència i poden incorporar opcions noves de control.

Evita compartir dades personals i sensibles als teus prompts: res de contrasenyes, números de targeta, historials mèdics o documents interns de la teva empresa. Si necessites tractar informació delicada, planteja't mecanismes d'anonimització, entorns tancats o solucions on-prem amb governança reforçada.

Protegeix els teus comptes amb contrasenyes robustes i autenticació en dos passos (2FA). L'accés indegut al vostre compte exposa l'historial, els fitxers pujats i les preferències, útils per a atacs d'enginyeria social molt creïbles o per a la comercialització il·lícita de dades.

Si la plataforma ho permet, desactiva l'historial de xats o utilitza modalitats temporals. Aquesta simple mesura redueix la teva exposició en cas de bretxa, com demostren incidents passats a serveis populars d'IA.

No et refiïs cegament de les respostes. Els models poden al·lucinar, esbiaixar-se o ser manipulats per entrades malicioses (prompt injection), cosa que deriva en instruccions errònies, dades falses o l'extracció d'informació sensible. Per a temes legals, mèdics o financers, contrasta amb fonts oficials.

Precaució màxima amb enllaços, arxius i codi que et lliuri una IA. Pot haver-hi contingut maliciós o vulnerabilitats introduïdes adrede (enverinament de dades). Verifica URLs abans de fer clic i analitza els fitxers amb solucions de seguretat reconegudes.

desconfia de extensions i plugins de procedència dubtosa. Hi ha un oceà de complements basats en IA i no tots són fiables; instal·la únicament els imprescindibles i de fonts reputades per minimitzar el risc de codi maliciós.

Al terreny corporatiu, posa ordre a l'adopció. Defineix polítiques de governança específiques per a IA, limita la recol·lecció al necessari, exigeix ​​consentiment informat, audita proveïdors i datasets (supply chain) i desplega controls tècnics (com DLP, monitorització de trànsit a apps d'IA i controls d'accés granulars).

La sensibilització és part de l'escut: forma el teu equip en riscos d'IA, phishing avançat i ús ètic. Iniciatives sectorials que comparteixen informació sobre incidents d'IA, com ara les impulsades per organitzacions especialitzades, fomenten l'aprenentatge continu i la millora de defenses.

Configurar privadesa i activitat a Google Gemini

Si fas servir Gemini, entra al teu compte i revisa “Activitat a les Aplicacions de Gemini"Aquí pots consultar i esborrar interaccions, canviar el període d'eliminació automàtica (per defecte 18 mesos, ajustable a 3 o 36 mesos, o indefinit) i decidir si es fan servir per a millorar la IA Google.

És important saber que, fins i tot amb el desament desactivat, les vostres converses es fan servir per respondre i mantenir la seguretat del sistema, amb suport de revisors humans. Les converses revisades (i dades associades com a idioma, tipus de dispositiu o ubicació aproximada) es poden conservar fins a tres anys.

En mòbils, revisa els permisos de l'app: ubicació, micròfon, càmera, contactes o accés al contingut en pantalla. Si us doneu suport en funcions de dictat o activació per veu, recordeu que el sistema es pot activar per error davant de sons semblants a la paraula clau; segons ajustaments, aquests fragments podrien utilitzar-se per millorar models i reduir activacions no desitjades.

Si connectes Gemini amb altres apps (Google o tercers), tingues present que cadascuna tracta les dades conforme a les seves pròpies polítiques. En funcions com Canvas, el creador de l'app pot veure i desar el que comparteixes, i qualsevol amb l'enllaç públic podria consultar o editar aquestes dades: comparteix només amb aplicacions de confiança.

A regions on aplica, en actualitzar a determinades experiències pot importar-se historial de trucades i missatges des de la teva Activitat a la Web ia Aplicacions a l'activitat específica de Gemini, per millorar suggeriments (per exemple, contactes). Si no vols, ajusta els controls abans de seguir.

Ús massiu, regulació i tendència del “shadow AI”

L'adopció és aclaparadora: informes recents assenyalen que la gran majoria d'organitzacions ja desplega models d'IA. Tot i així, molts equips no tenen maduresa suficient en seguretat i governança, especialment en sectors amb regulació estricta o grans volums de dades sensibles.

Estudis a nivell empresarial evidencien mancances: un percentatge molt alt d'organitzacions a Espanya no està preparada per protegir entorns impulsats per IA, i la majoria manca de pràctiques essencials per salvaguardar models, fluxos de dades i infraestructura al núvol. En paral·lel, s'endureixen les accions regulatòries i apareixen sancions per incompliment del RGPD i normativa local.

Mentrestant, el fenomen del IA d'ombra creix: empleats que usen assistents externs o comptes personals per a tasques de treball, amb dades internes exposades sense controls de seguretat ni contractes amb proveïdors. La resposta eficaç no és prohibir-ho tot, sinó habilitar usos segurs en entorns controlats, amb plataformes aprovades i vigilància del flux dinformació.

Al front de consum, els grans proveïdors estan ajustant les seves polítiques. Canvis recents expliquen, per exemple, com s'utilitza la activitat amb Gemini per “millorar serveis”, oferint opcions com Conversa Temporal i controls d'activitat i personalització. Alhora, companyies de missatgeria remarquen que els xats personals romanen inaccessibles a les IAs per defecte, encara que aconsellen no enviar a la IA informació que no vulguis que l'empresa conegui.

També hi ha rectificacions públiques: serveis de transferència d'arxius que van aclarir no fer servir el contingut dels usuaris per entrenar models ni vendre'l a tercers, després de suscitar dubtes per canvis de termes. Aquesta pressió social i legal empeny a ser més clars i donar més control a l'usuari.

Mirant al futur, les tecnològiques investiguen vies per reduir la dependència de dades sensibles: automillora de models, millors processadors i generació de dades sintètiques. Aquests avenços prometen alleujar l'escassetat de dades i els problemes de consentiment, encara que experts alerten de riscos emergents si la IA accelera la seva capacitat i s'aplica a àmbits com la ciberintrusió o la manipulació.

La IA és tant defensa com amenaça. Plataformes de seguretat ja integren models per detectar i respondre més ràpid, mentre que els atacants usen LLMs per phishing persuasiu i deepfakes. Aquest estira-i-arronsa exigeix ​​inversions sostingudes en controls tècnics, avaluació de proveïdors, auditoria contínua i actualització constant d'equips.

Els assistents de IA recullen múltiples senyals sobre tu, des del contingut que escrius fins a dades del dispositiu, ús i ubicació, i una part d'això pot ser revisat per humans o compartit amb tercers segons el servei; si vols treure'ls partit sense renunciar a la teva privadesa, combina ajustaments fins (historial, permisos, eliminació automàtica), prudència operativa (no comparteixis dades sensibles, verifica enllaços i arxius, limita extensions), protecció d'accés (contrasenyes sòlides i 2FA) i una vigilància activa sobre canvis de polítiques i noves funcions que afectin a com es fan servir i conserven les teves dades.