Privacitat, ciberseguretat i IA el 2026: per què ja no es poden gestionar per separat.

Durant les últimes setmanes han coincidit diversos senyals que, vistos per separat, semblen notícies diferents: més incidents de ciberseguretat, noves campanyes de phishing, moviment europeu al voltant de NIS2 i Cybersecurity Act 2, obligacions de l’AI Act cada cop més properes i un Pla d’Actuació de l’AEPD molt orientat a tecnologia i IA.

Però el missatge de fons és un de sol: les empreses han de deixar de gestionar privacitat, seguretat i intel·ligència artificial com carpetes separades.

1. Ciberseguretat: el problema ja no és tècnic, és operatiu

El balanç d’INCIBE de 2025 deixa una fotografia clara: 122.223 incidents de ciberseguretat gestionats, un 26% més que l’any anterior, i 237.028 sistemes vulnerables rellevants detectats i notificats. A més, el frau en línia va representar quatre de cada deu incidents i el phishing va continuar sent una de les formes d’atac més habituals.

Aquestes dades no descriuen un problema reservat a grans companyies. Descriuen una realitat que arriba a pimes, despatxos, proveïdors tecnològics, entitats regulades i organitzacions que depenen de sistemes, correu electrònic, núvol, ERP, càmeres, proveïdors externs o portals de client.

Casos recents com el ciberatac al Port de Vigo, que va obligar a aïllar sistemes i recórrer temporalment a processos manuals, mostren una cosa important: la ciberseguretat no es mesura només per si entra o no entra un atacant. També es mesura per la capacitat de continuar operant, contenir, documentar, recuperar i conservar evidències.

2. El frau ja no arriba com un correu mal escrit

La campanya de la Renda 2025, presentada el 2026, ha tornat a ser un context perfecte per a campanyes de suplantació. L’Agència Tributària va publicar a l’abril diversos avisos de phishing i smishing amb formularis falsos, dominis que imiten serveis oficials i missatges que pressionen l’usuari amb suposades devolucions o notificacions.

Això importa a les empreses per tres raons. Primer, perquè l’usuari continua sent una porta d’entrada. Segon, perquè els atacs s’adapten al moment i al context. Tercer, perquè després del clic comença la part menys visible: credencials compromeses, accés al correu, modificació de factures, fuga de dades o suplantació davant clients i proveïdors.

La resposta no pot quedar-se en “formar el personal”. Formació sí, però acompanyada de doble factor, revisió d’accessos, política de contrasenyes, filtres, còpies, traçabilitat, procediments de verificació de pagaments i una pauta clara per conservar evidència si passa alguna cosa.

3. Europa està connectant ciberseguretat i protecció de dades

El dictamen conjunt de l’EDPB i l’EDPS sobre Cybersecurity Act 2 i modificacions de NIS2 confirma una tendència: la ciberseguretat europea ja no s’entén sense protecció de dades, drets fonamentals, identitat digital, cadena de subministrament i gestió de riscos.

Per a una empresa, això té una conseqüència pràctica. No n’hi ha prou amb desplegar mesures tècniques si no estan connectades amb responsabilitats, proveïdors, contractes, anàlisi de risc, registre de decisions i resposta a incidents. I tampoc n’hi ha prou amb tenir textos legals si els sistemes reals no els sostenen.

ENS, ISO 27001, RGPD i NIS2 no són peces idèntiques, però cada cop comparteixen més llenguatge: actius, riscos, controls, evidències, responsables, millora contínua i capacitat de resposta.

4. L’AI Act entra en fase d’aterratge empresarial

El Reglament Europeu d’IA ja no és una idea llunyana. La Comissió Europea recorda que l’aplicació general arriba el 2 d’agost de 2026, amb excepcions ja actives des de 2025, com alfabetització en IA, pràctiques prohibides, governança i obligacions per a models de propòsit general.

A més, la Comissió treballa en un codi de bones pràctiques sobre marcatge i etiquetatge de contingut generat per IA per facilitar el compliment d’obligacions de transparència, especialment en contingut generat artificialment, deepfakes i determinats usos informatius.

Per a direcció, la lectura és senzilla: si una empresa fa servir IA en atenció al client, selecció de personal, scoring, videovigilància, anàlisi documental, generació d’informes, màrqueting, seguretat o automatització interna, necessita almenys quatre coses: inventari, classificació, control humà i documentació.

I si la IA toca dades personals, càmeres, decisions sobre persones o entorns sensibles, també entren privacitat des del disseny, minimització, proporcionalitat, seguretat, conservació de logs i revisió de proveïdors.

5. L’AEPD també mira cap a tecnologia, IA i automatització

El Pla d’Actuació 2026 de l’AEPD inclou 32 objectius operatius i 115 accions. Entre les seves línies destacades apareixen el Laboratori de Privacitat, l’experimentació tecnològica, la incorporació d’eines d’IA i solucions d’automatització en processos de la mateixa Agència.

Això no significa que totes les empreses siguin inspeccionades demà. Significa una cosa més interessant: l’autoritat està preparant capacitats per a un entorn on els tractaments de dades són més complexos, més automatitzats i més difícils d’explicar si no s’han ordenat des del principi.

Què hauria de revisar una empresa ara

Si hagués de convertir tot l’anterior en una llista executiva, començaria per aquí:

• Inventari real de dades, sistemes i IA.Què es tracta, on és, qui hi accedeix, quin proveïdor hi intervé i quines decisions automatitzades existeixen.
• Procediment de bretxes i incidents.Qui decideix, com es conté, què es documenta, quan es notifica i com es preserven evidències.
• Revisió d’accessos crítics.Comptes de correu, administració, ERP, núvol, VPN, còpies, càmeres i eines amb dades sensibles.
• Contractes i encarregats.Proveïdors tecnològics, allotjament, programari, IA, manteniment, videovigilància i suport extern.
• Continuïtat i recuperació.Còpies provades, sistemes alternatius, logs útils i una mínima capacitat d’operació si alguna cosa falla.
• Governança d’IA.Classificació, finalitat, dades utilitzades, supervisió humana, transparència i mesures de seguretat.

Aquest és el punt. No es tracta d’espantar amb sancions ni d’omplir una carpeta. Es tracta que direcció pugui mirar un risc digital i respondre amb claredat: què passa, quin impacte té, quina evidència existeix, quina obligació s’activa i quina decisió toca prendre.