Tornar al blog
Legal

IA i menors: què diu la llei a Europa

IA i menors: què diu la llei a Europa
Per Joan Pons 11 min min de lectura

La Unió Europea disposa d'un marc regulador integral per protegir els menors davant la IA: l'EU AI Act, el GDPR i la DSA. Aquestes lleis exigeixen consentiment parental, transparència algorítmica i protecció de dades específica per a menors, però la majoria de chatbots populars no les compleixen.

Un marc regulador en plena evolució

La intel·ligència artificial ha avançat molt més ràpid que la legislació que ha de regular-la. Mentre els nostres fills ja conversen diàriament amb chatbots d'IA —el 64% dels adolescents ja utilitza eines d'IA de manera habitual (Pew Research, 2025)— els legisladors europeus, nord-americans i d'arreu del món intenten posar-se al dia amb una tecnologia que evoluciona setmana rere setmana.

Tot i així, Europa ha pres la davantera amb un conjunt de regulacions que, preses en conjunt, configuren el marc més complet del món per protegir els menors en l'àmbit digital i de la intel·ligència artificial. Entendre aquestes lleis no és només per a advocats: és essencial per a qualsevol pare o mare que vulgui prendre decisions informades sobre la relació dels seus fills amb la tecnologia.

EU AI Act: la primera llei integral sobre IA al món

Què és

L'EU AI Act (Reglament d'Intel·ligència Artificial de la UE) és la primera legislació integral del món que regula la intel·ligència artificial. Aprovat el 2024 i en fase d'implementació progressiva, estableix un sistema de classificació per nivells de risc.

Com classifica els sistemes d'IA

L'EU AI Act estableix quatre categories de risc:

  1. Risc inacceptable: sistemes prohibits (ex: puntuació social, manipulació subliminal de menors).
  2. Risc alt: sistemes que afecten drets fonamentals (ex: IA en educació, selecció de personal). Requisits estrictes de transparència, supervisió humana i avaluació de riscos.
  3. Risc limitat: sistemes que interactuen amb persones (ex: chatbots). Obligacions de transparència: l'usuari ha de saber que parla amb una IA.
  4. Risc mínim: la majoria de sistemes d'IA (ex: filtres de spam). Sense obligacions específiques.

Quines obligacions imposa als chatbots per a menors?

L'EU AI Act inclou provisions específiques per a la protecció de menors:

  • Els sistemes d'IA que interactuen amb menors estan subjectes a avaluacions de risc addicionals.
  • Es prohibeix explícitament la manipulació subliminal de menors a través d'IA.
  • Els sistemes d'IA utilitzats en contextos educatius es classifiquen com a "risc alt".
  • S'exigeix transparència reforçada quan els menors són els usuaris finals.

Implicacions pràctiques per als pares

  • Els chatbots que fan servir els vostres fills han d'identificar-se clarament com a IA.
  • Les empreses que ofereixen IA per a menors han de realitzar avaluacions de risc i documentar mesures de protecció.
  • Si un chatbot no compleix l'EU AI Act, podeu denunciar-ho a l'autoritat nacional de supervisió.

GDPR: la privadesa de les dades dels menors

Què és

El Reglament General de Protecció de Dades (GDPR) és la normativa europea de protecció de dades personals, en vigor des del 2018. Tot i que no és específic per a IA, té implicacions directes sobre com els sistemes d'IA gestionen les dades dels menors.

Provisions clau per a menors

  • Consentiment parental: el GDPR estableix que el tractament de dades de menors de 16 anys requereix el consentiment del titular de la pàtria potestat (els Estats membres poden reduir-ho fins als 13 anys; a Espanya, l'edat és 14 anys).
  • Dret a l'oblit reforçat: els menors tenen un dret especialment protegit a la supressió de les seves dades.
  • Minimització de dades: les empreses només poden recollir les dades estrictament necessàries.
  • Avaluació d'impacte: el tractament de dades de menors a gran escala requereix una Avaluació d'Impacte de Protecció de Dades (DPIA).

Què significa per als chatbots d'IA

Quan un adolescent conversa amb un chatbot, les seves converses són dades personals. Això vol dir que:

  • L'empresa ha d'informar clarament de com es tracten i emmagatzemen.
  • L'adolescent (o els seus pares, si és menor d'edat) té dret a accedir, rectificar i esborrar aquestes dades.
  • Les converses no es poden utilitzar per entrenar models d'IA sense consentiment explícit.
  • L'empresa ha de garantir mesures de seguretat adequades per protegir les dades.

La realitat

La majoria de chatbots comercials no compleixen plenament el GDPR pel que fa a menors. Molts emmagatzemen converses indefinidament, les utilitzen per entrenar models i no ofereixen mecanismes clars per exercir els drets dels menors. Això no vol dir que sigui legal: simplement, l'aplicació de la normativa va amb retard. Aprèn com protegir el teu adolescent d'aquests riscos.

DSA: la responsabilitat de les plataformes

Què és

La Digital Services Act (Llei de Serveis Digitals, DSA) és la normativa europea que regula les responsabilitats de les plataformes digitals. En vigor des de febrer de 2024 per a totes les plataformes.

Provisions per a menors

La DSA estableix obligacions específiques per a la protecció de menors:

  • Prohibició de publicitat dirigida a menors basada en perfilat.
  • Avaluacions de risc sistèmic: les plataformes grans han d'avaluar els riscos que els seus serveis suposen per als menors.
  • Mesures de mitigació: les plataformes han d'implementar mesures per reduir els riscos identificats.
  • Transparència algorísmica: els usuaris han de poder entendre com es personalitza el contingut que veuen.
  • Mecanismes de denúncia accessibles: inclosos mecanismes adaptats per a menors.

Impacte en els chatbots

Les plataformes que ofereixen chatbots d'IA com a servei estan subjectes a la DSA. Això implica:

  • Han d'avaluar els riscos del seu servei per als menors.
  • Han d'implementar mesures de protecció proporcionades.
  • Han de facilitar mecanismes de denúncia si el contingut generat és perjudicial.

UK AADC: el codi de disseny adaptat a l'edat

Què és

L'Age Appropriate Design Code (AADC), també conegut com a "Children's Code", és la normativa del Regne Unit que estableix estàndards de disseny per a serveis digitals que puguin ser utilitzats per menors. Tot i que és del Regne Unit, ha influït significativament en la regulació europea.

Principis clau

L'AADC estableix 15 estàndards que els serveis digitals han de complir:

  • Interès superior del menor: el disseny ha de prioritzar el benestar del menor.
  • Avaluació d'impacte sobre dades: obligatòria per a serveis que tractin dades de menors.
  • Configuració per defecte d'alta privadesa: els serveis han de venir configurats amb el màxim nivell de privadesa per defecte.
  • Minimització de dades: recollir el mínim necessari.
  • Geolocalització desactivada per defecte: per a menors, la localització ha d'estar apagada.
  • Transparència adaptada: la informació sobre privadesa ha de ser comprensible per a l'edat de l'usuari.
  • No perfilat per defecte: el perfilat ha d'estar desactivat per defecte per a menors.
  • Eines de control parental: quan sigui apropiat, facilitar eines per als pares.

Per què és rellevant

L'AADC ha establert un estàndard de facto que moltes empreses tecnològiques apliquen globalment, no només al Regne Unit. Si una plataforma d'IA compleix l'AADC, és molt probable que compleixi també els requisits europeus.

COPPA: la referència nord-americana

Què és

La Children's Online Privacy Protection Act (COPPA) és la llei nord-americana que protegeix la privadesa en línia dels menors de 13 anys. Tot i ser dels EUA, afecta qualsevol servei que pugui ser utilitzat per menors nord-americans.

Provisions clau

  • Consentiment parental verificable per recollir dades de menors de 13 anys.
  • Avís clar sobre les pràctiques de recollida de dades.
  • Dret dels pares a revisar i esborrar les dades dels seus fills.
  • Prohibició de condicionar la participació a la recollida excessiva de dades.

Actualització COPPA 2.0

La proposta d'actualització de COPPA (en debat al Congrés) ampliaria les proteccions als menors de 17 anys i establiria requisits addicionals per als sistemes d'IA que interactuen amb menors, incloent-hi la prohibició de tècniques de disseny addictiu.

Què significa tot això per a les famílies

El que podeu esperar

  • Transparència: qualsevol servei d'IA ha d'identificar-se com a tal i informar clarament de com tracta les dades.
  • Control parental: les plataformes que serveixin menors han de facilitar eines de supervisió.
  • Protecció de dades: les converses dels vostres fills estan protegides per la llei i teniu dret a accedir-hi i esborrar-les.
  • Mecanismes de denúncia: si una plataforma no compleix, podeu denunciar-ho.

El que heu de fer

  1. Verifiqueu que les plataformes que fan servir els vostres fills compleixen el GDPR i la resta de normativa.
  2. Exerciu els vostres drets: demaneu accés a les dades, sol·liciteu la supressió si cal.
  3. Denuncieu incompliments a l'Autoritat Catalana de Protecció de Dades o a l'AEPD.
  4. Trieu plataformes que demostrin compliment normatiu des del disseny.

El posicionament d'HolaNolis

HolaNolis ha estat dissenyat des del primer dia amb la regulació europea com a pilar. Per entendre com això es tradueix en protecció concreta, llegeix per qué Nolis no dóna consells mèdics ni psicològics i com funcionen els nivells de supervisió:

  • Classificació "risc limitat" sota l'EU AI Act: HolaNolis no avalua, no diagnostica i no aconsella. Detecta, alerta i redirigeix. Aquesta decisió de disseny no és només ètica; és una estratègia reguladora que situa el producte en la categoria menys restrictiva per a chatbots.
  • Compliment GDPR complet: consentiment parental, encriptació de dades, dret a l'oblit, minimització de dades.
  • Alineament amb la DSA: avaluació de riscos documentada, mesures de protecció implementades, mecanismes de denúncia.
  • Compatibilitat amb l'AADC: configuració d'alta privadesa per defecte, eines de control parental integrades, transparència adaptada a l'edat.
  • Encriptació punta a punta: les converses s'encripten amb AES-256-GCM, amb claus per usuari.

Per què importa

En un mercat on la majoria de chatbots operen en una zona grisa reguladora, HolaNolis ofereix tranquil·litat legal. Les famílies saben que les dades dels seus fills estan protegides per un sistema que compleix la normativa més exigent del món. Descobreix el nostre producte o comença a la guia de primers passos.

Preguntes freqüents

És legal que un menor de 13 anys faci servir ChatGPT? +
Tècnicament, ChatGPT i la majoria de chatbots comercials estableixen 13 anys com a edat mínima, però no verifiquen l'edat de manera efectiva. Sota el GDPR, el tractament de dades de menors de 14 anys a Espanya requereix consentiment parental. En la pràctica, molts menors accedeixen a chatbots sense supervisió ni consentiment, en una zona grisa reguladora que les autoritats estan sent lentes a aplicar.
Quina és l'edat de consentiment digital a Espanya? +
A Espanya, l'edat de consentiment digital és de 14 anys, d'acord amb la Llei Orgànica de Protecció de Dades (LOPDGDD). Per sota dels 14 anys, es requereix consentiment parental per al tractament de dades personals. Aquesta edat és inferior als 16 anys establerts per defecte al GDPR, és a dir, Espanya ha exercit la flexibilitat que permet la normativa europea.
Quins drets té un pare sota el GDPR respecte a les dades del seu fill? +
Com a pare o tutor d'un menor de 14 anys, teniu dret d'accés a les dades del vostre fill, dret de rectificació, dret de supressió (dret a l'oblit), dret de limitació del tractament i dret d'oposició. Podeu exercir-los directament davant l'empresa que gestiona el servei, i si no respon, davant l'AEPD o l'Autoritat Catalana de Protecció de Dades.
Quins nivells de risc estableix l'EU AI Act per als chatbots per a menors? +
Un chatbot que simplement conversa i s'identifica com a IA es classifica com a "risc limitat". Un chatbot que dóna consells mèdics, psicològics o educatius a menors pot classificar-se com a "risc alt", amb requisits molt més estrictes. HolaNolis ha optat per disseny per la classificació de risc limitat: detecta, alerta i redirigeix, però mai diagnostica ni aconsella.
Com puc denunciar una plataforma d'IA que no compleixi la normativa de menors? +
A Catalunya, podeu adreçar-vos a l'Autoritat Catalana de Protecció de Dades (APDCAT). A nivell estatal, a l'Agència Espanyola de Protecció de Dades (AEPD). Per a incompliments de la DSA, podeu denunciar a través dels mecanismes que les pròpies plataformes han d'oferir obligatòriament, o davant el coordinador de serveis digitals del vostre país.

Conclusió: la llei protegeix, però cal conèixer-la

La regulació europea és la més avançada del món en protecció de menors davant la IA. Però una llei només és efectiva si els ciutadans la coneixen i exerceixen els seus drets.

Com a pares:

  • Informeu-vos sobre els vostres drets i els dels vostres fills.
  • Exigiu compliment a les plataformes que fan servir els vostres adolescents.
  • Trieu serveis que demostrin compromís real amb la protecció dels menors, no només bones intencions.

La seguretat dels nostres fills no depèn només de la tecnologia ni de la llei. Depèn de les decisions que prenem com a famílies cada dia.

HolaNolis és un company conversacional dissenyat per complir la normativa europea des del primer dia. Coneix el nostre compromís amb la seguretat o descobreix el producte.

Vols protegir el teu fill amb IA segura?

Comença gratis
JP

Joan Pons

Fundador d'HolaNolis · Pare

Pare, enginyer de telecomunicacions i emprenedor. HolaNolis va néixer a casa: quan vaig veure els meus fills començar a utilitzar IA, em vaig preocupar com a pare i vaig decidir construir l'eina que m'hauria agradat tenir. El desenvolupo com a projecte familiar perquè la seguretat dels adolescents amb la IA no pot ser només un negoci — és quelcom personal. També sóc fundador i CEO de WorkMeter, empresa líder en mesurament de productivitat.

LinkedIn
Tornar al blog