anonym.legal

By · Last updated 2026-06-05

Tornar al BlogSeguretat de la IA

RGPD Art. 32: Supervisio de PII en Eines d'IA

Els equips de compliment empresarial necessiten evidencia quantitativa dels controls de PII de les eines d'IA. El DLP de xarxa no detecta les interaccions d'IA del navegador.

June 5, 20267 min llegit
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

Demostrar el Compliment de l'Article 32 del RGPD per a Eines d'IA

Actualitzat per al 2026.

L'Article 32 del RGPD requereix "mesures tecniques i organitzatives adequades" per protegir les dades personals. Quan el personal utilitza eines d'IA externes -- ChatGPT, Claude, Gemini -- el risc es real i mesurable. Els controls tambe han de ser mesurables.

Una politica que diu "no compartiu dades personals amb eines d'IA" es una mesura organitzativa. No es una mesura tecnica. No es suficient quan un auditor de l'APD pregunta: "Com sabeu que el personal compleix?"

Que Pregunten els Auditors de l'APD sobre les Eines d'IA

Despres de la violacio de ChatGPT de Samsung el marc 2023, els reguladors van examinar detingudament els programes d'IA empresarial. Els auditors de l'APD ara fan preguntes directes.

Sobre controls tecnics, pregunten:

  • Que impedeix que les dades personals arribin als sistemes d'IA?
  • Com s'aplica l'emmascarament en temps real?
  • Quina evidencia demostra que els controls funcionen?

Sobre supervisio, pregunten:

  • Com es fa el seguiment de l'us d'IA del personal per a l'exposicio de PII?
  • Quines metriques es recullen? Amb quina frequencia?
  • Com se sap que els controls no es bypassen?

Sobre deteccio d'incidents, pregunten:

  • Com es detectaria una filtracio de PII a una eina d'IA?
  • Quin es el pla de resposta?

Els documents de politica no responen cap d'aquestes preguntes. Diuen el que el personal hauria de fer. No mostren el que el personal realment fa.

La Brecxa de Supervisio per a Eines d'IA del Navegador

Els equips de TI empresarial s'enfronten a un problema central: les eines d'IA basades en navegador son dificils de supervisar.

Xifrat HTTPS

ChatGPT, Claude i Gemini utilitzen HTTPS amb HSTS. La inspeccio de xarxa no pot llegir el text del prompt sense desxiframent TLS.

Inspeccio TLS

La inspeccio SSL necessita certificats empresarials a cada dispositiu. Pot trencar el fixament de certificats en algunes aplicacions. Crea noves bretxes de seguretat. Pot infringir les condicions de servei de les plataformes d'IA. Genera problemes de privadesa del personal en molts paisos.

DLP d'Endpoint

Els agents d'endpoint vigilen el porta-retalls i l'entrada de tecles. Pero tenen altes taxes de falsos positius. No poden distingir entre "escriure dades de clients en un contracte" i "escriure-les a ChatGPT". La latencia pot perdre enviaments en viu.

El resultat: la majoria d'empreses que utilitzen eines d'IA tenen poca visibilitat sobre quines dades arriben a aquests sistemes.

Un Quadre de Compliment en Practica

Un CISO de serveis financers ha de demostrar als auditors que l'exposicio de PII de les eines d'IA esta rastreada i controlada. El requisit d'auditoria: dades solides sobre supervisio activa.

L'empresa desplega una Extensio de Chrome a 500 empleats. Una setmana de resultats:

MetricaValor setmanal
Total de sessions d'IA8.400
Entitats PII detectades12.000
Taxa d'emmascarament94%
Noms de clients trobats4.800
Numeros de compte trobats3.200
IDs de transaccio trobats2.100
Enviaments sense emmascarat (6%)720 entitats

Nota: escenari il.lustratiu. Els resultats varien segons la mida de l'empresa i l'us de l'IA.

Quatre coses que aixo mostra als auditors:

  • Escala d'us de les eines d'IA (8.400 sessions per setmana)
  • Volum de PII en risc (12.000 entitats trobades)
  • Rendiment del control (94% de taxa d'emmascarament)
  • Risc residual (720 entitats necessiten seguiment)

Tres coses que els auditors poden verificar:

  • Un control tecnic esta en funcionament (registres de desplegament de l'extensio)
  • La supervisio esta activa (informes setmanals)
  • El risc residual esta gestionat (formacio de seguiment per al 6%)

Aixo es la diferencia entre "tenim una politica" i "aqui teniu el nostre resultat de control mesurat".

Convertir els Resultats en Millora

El 6% enviat sense emmascarament no es un fallada. Es un exit de supervisio. L'empresa ara sap:

  1. Quin personal descarta les avisos d'emmascarament o els passa per alt.
  2. Quins tipus d'entitats s'envien mes sovint sense emmascarat.
  3. Quins equips tenen taxes de bypass mes altes.
  4. Si la taxa baixa a mesura que el personal s'adapta.

Aixo impulsa accions orientades. El personal amb bypass elevat rep formacio addicional. Els tipus d'entitats amb bypass elevat poden necessitar avisos mes potents. Els equips amb bypasses repetits poden necessitar un canvi de flux de treball.

Sense aquest resultat, la formacio s'aplica uniformement. Amb ell, la formacio va on el risc es mes alt.

Com es un Paquet Complet de l'Article 32

Un conjunt complet de documents RGPD de l'Article 32 per a un programa d'eines d'IA:

Mesures tecniques:

  1. Extensio de Chrome a N dispositius (evidencia: registres MDM)
  2. Deteccio de PII en viu als camps d'entrada de les eines d'IA
  3. Flux de treball d'emmascarament amb rastre d'auditoria (registres de l'extensio)
  4. Quadre de compliment (metriques de deteccio)

Mesures organitzatives:

  1. Politica d'us d'eines d'IA
  2. Registres de formacio del personal
  3. Pla de resposta a incidents per a fuites de dades d'IA
  4. Revisio trimestral dels resultats de supervisio

Evidencia de supervisio:

  1. Metriques del quadre setmanals (12 mesos continuus)
  2. Tendencia de la taxa d'emmascarament
  3. Desglossament per tipus d'entitat
  4. Registres de seguiment per a bypasses

Deteccio d'incidents:

  1. Els resultats de supervisio marquen comportaments estranys (caiguda sobtada de la taxa, nous tipus d'entitats)
  2. Pla de resposta a incidents provat a [data]

Aquest conjunt compleix l'Article 32. Mostra mesures tecniques i organitzatives amb evidencia real.

Quantificar la Reduccio del Risc

Per a la prova de proporcionalitat, heu de mostrar el risc que elimina el control.

Sense el control:

  • L'11% dels prompts d'IA contenen PII (Cyberhaven 2025)
  • 8.400 sessions setmanals x 11% = 924 sessions amb PII per setmana
  • Cada sessio: una possible exposicio de l'Article 83 del RGPD si s'involucren dades de la UE

Amb el control (94% de taxa d'emmascarament):

  • 924 sessions amb PII detectat
  • 94% emmascarat: 869 sessions protegides
  • Residual: 55 sessions per setmana amb contingut sense emmascarat

El resultat: una reduccio del 94% en l'exposicio de PII per l'us d'eines d'IA.

Per als reguladors que apliquen la prova de proporcionalitat, una reduccio del 94% d'un control tecnic desplegat es una evidencia solida. Vegeu tambe prevencio de PII en temps real per a eines d'IA i DLP de navegador per a ChatGPT, Claude i Gemini.

Conclusio

El compliment de l'Article 32 del RGPD per a eines d'IA no pot descansar nomes en politiques. La supervisio de sessions d'IA del navegador per a l'exposicio de PII necessita un control tecnic que produeixi evidencia.

L'emmascarament en viu amb supervisio integrada us dona tots dos: prevencio (menys exposicio) i evidencia (risc mesurat i resultat del control). Aquesta combinacio satisfa l'Article 32.

Per als CISOs que s'enfronten a una auditoria de l'APD: els auditors volen dades solides. Mostreu taxes de deteccio, taxes d'emmascarament i tendencies de risc residual. La politica es el principi. Els resultats de supervisio son la prova.

Per a com el bloqueig es compara amb l'emmascarament com a control, vegeu DLP de Navegador: Bloqueig vs. Anonimitzacio.

Fonts

Articles Relacionats

Seguretat de la IA

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Seguretat de la IA

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Seguretat de la IA

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.