1.B.3.3. Valora la seguretat i la protecció de dades, seleccionant eines d’IA basant-se en la normativa vigent i informació rellevant (condicions d’ús de les eines, publicacions de seguretat, etc.)

Fragments més significatius de la política de privacitat (veure)

• “La nostra política principal és recopilar la menor quantitat possible d’informació de l’usuari.”
• “Lumo mai no comparteix les teues dades. Després de cada xat, els registres s’esborren.”
• “Lumo no utilitza els teus xats per entrenar els models d’IA.”
• “No guardem registres del que preguntes ni del que Lumo respon.”

És la més favorable de les cinc. La documentació oficial remarca minimització, absència de logs, absència d’entrenament amb converses i no compartició de dades. Això encaixa molt bé amb els principis de minimització, limitació de la finalitat i protecció per defecte del RGPD.

Fragments més significatius de la política de privacitat (veure)

• “La protecció de dades de nivell empresarial: servei principal cobert pels termes de Google Workspace for Education; les dades no són revisades per persones ni utilitzades per entrenar models d’IA.”
• “L’aplicació Gemini com a servei principal amb proteccions de dades de nivell empresarial està disponible per als usuaris de Google Workspace for Education de totes les edats.”
• “El seu contingut no és revisat per humans ni utilitzat per a l’entrenament de models generatius d’IA fora del seu domini sense permís.”
• Google també indica que els serveis principals de Workspace for Education no mostren anuncis ni utilitzen dades de l’alumnat per crear perfils publicitaris.

Canvia molt respecte de Gemini general. En la versió educativa, Google declara proteccions empresarials, no revisió humana i no ús del contingut per entrenar models. Per a un centre educatiu, això la situa com una de les opcions més compatibles amb un ús prudent conforme al RGPD i la LOPDGDD.

Fragments més significatius de la política de privacitat de dades (veure)

• “L’ús de Microsoft 365 Copilot i Microsoft 365 Copilot Chat, tal com els usen les organitzacions, està cobert pels termes del Data Protection Addendum (DPA) de Microsoft i pels Product Terms, amb Microsoft actuant com a encarregat del tractament.”
• “Microsoft 365 Copilot Chat ofereix protecció de dades empresarials per a prompts i respostes.”
• “La informació continguda en els prompts, les dades recuperades i les respostes generades romanen dins del límit del servei Microsoft 365.”
• “Microsoft 365 Copilot utilitza Azure OpenAI per al processament, no els serveis públics d’OpenAI. Azure OpenAI no emmagatzema en memòria cau el contingut del client.”

També és molt favorable en la seua versió educativa/institucional. El més important és que Microsoft el vincula al DPA, al rol d’encarregat del tractament, a la protecció de dades empresarials i al fet que les dades romanen dins de l’entorn Microsoft 365. Per a un docent o un centre, això és molt més garantista que la versió de consum.

Fragments més significatius de la política de privacitat (veure)

• “Podem utilitzar el contingut que ens proporciones per millorar els nostres serveis, per exemple per entrenar els models que impulsen ChatGPT.”
• “Pots desactivar l’ús del teu contingut per entrenar els nostres models.”
• “Els xats temporals no s’utilitzen per entrenar els nostres models.”
• “Els xats temporals s’eliminen dels nostres sistemes després de 30 dies.”

Té bons controls, però no és la millor opció per defecte. El problema principal és que la política general permet usar el contingut per millorar i entrenar models, llevat que l’usuari ho desactive o use xat temporal. Això fa que, per a ús docent amb dades personals o acadèmiques, quede en una posició intermèdia.

Fragments més significatius de les polítiques de privacitat (veure)

• “Recollim les teues dades personals de tres maneres: dades personals que proporciones, dades personals recollides automàticament i dades personals procedents d’altres fonts.”
• “Podem recollir text d’entrada, veu, prompts, fitxers pujats, fotos, historial de xat o altres continguts que proporciones.”
• “Utilitzem les teues dades personals per millorar i desenvolupar els serveis i per entrenar i millorar la nostra tecnologia, com ara els nostres models d’aprenentatge automàtic.”
• “Per proporcionar els nostres serveis, recollim, processem i emmagatzemem directament les teues dades personals a la República Popular de la Xina.”
• “Els serveis no estan dissenyats ni destinats a processar dades personals sensibles… ni dades personals de menors.”

És la menys recomanable del grup. La seua política admet recollida molt àmplia de dades, ús per entrenar models i emmagatzematge/processament a la Xina. A més, la mateixa política diu que el servei no està pensat per a dades de menors ni per a dades sensibles. Per a un centre educatiu, això la situa clarament en roig.

Fragments més significatius (veure tot)

• “Lumo utilitza xifratge de coneixement zero per protegir els teus xats.”
• “L’historial es desa al dispositiu i se sincronitza amb els servidors de Proton amb xifratge de coneixement zero.”
• “Lumo utilitza xifratge de coneixement zero per a l’historial desat i xifratge TLS per a la transmissió de dades.”
• “Els prompts es xifren de manera asimètrica perquè només els servidors GPU de Lumo els puguen desxifrar.”

És la descripció de seguretat més clara i forta de les cinc. Proton no es limita a dir que protegeix les dades, sinó que concreta zero-access encryption, TLS, xifratge asimètric dels prompts i arquitectura orientada a minimitzar l’accés. En aquest punt, és probablement la plataforma més sòlida.

Fragments més significatius (veure tot)

• “L’aplicació Gemini com a servei principal està disponible amb proteccions de dades de nivell empresarial.”
• “Tots els usuaris de Google Workspace for Education tenen l’aplicació Gemini com a servei principal… Això inclou proteccions de dades de nivell empresarial.”
• “Google Workspace ja utilitza els estàndards criptogràfics més recents per xifrar totes les dades en repòs i en trànsit.”
• “Els administradors poden aplicar eines avançades com verificació en dos passos, inici de sessió únic i DLP.”

Sí, les acredita clarament. Google associa Gemini per Educació al marc de seguretat de Google Workspace for Education, i la documentació oficial indica xifratge en repòs i en trànsit, a més de autenticació forta, control administratiu i prevenció de pèrdua de dades (DLP). Per a aquest punt concret, és una resposta clarament positiva.

Fragments més significatius (veure tot)

• “Ajudem a protegir les dades amb xifratge en repòs i en trànsit, controls físics rigorosos i aïllament de dades entre tenants.”
• “Microsoft utilitza seguretat física rigorosa, control del personal i una estratègia de xifratge multicapa.”
• “Microsoft 365 xifra el contingut del client en repòs i en trànsit, incloent BitLocker, xifratge per fitxer, TLS i IPsec.”
• “Copilot Chat ofereix protecció de dades empresarials per als prompts i les respostes.”

Sí, i ho acredita de manera molt robusta. Microsoft concreta xifratge en repòs i en trànsit, aïllament entre organitzacions, controls físics, i una capa específica d’enterprise data protection per a prompts i respostes. Per a un centre educatiu, la informació publicada és prou clara i forta en aquest punt.

Fragments més significatius (veure tot)

• “El teu contingut està xifrat en repòs i en trànsit entre tu i OpenAI, i entre OpenAI i els seus proveïdors de serveis.”
• “Les opcions configurables de seguretat i privacitat estan dissenyades per protegir les teues converses.”
• “Supervisem activitat sospitosa abans que puga afectar les teues dades.”
• “Protegim les dades amb proves i monitoratge validats per auditors independents.”

Sí, també compleix aquest punt. OpenAI declara de manera expressa xifratge en repòs i en trànsit, monitoratge de seguretat i controls configurables. Per tant, si la pregunta és estrictament si hi ha mesures actives de protecció, la resposta és afirmativa.

Fragments més significatius (veure)

• “DeepSeek adoptarà les mesures necessàries, almenys d’acord amb les pràctiques de la indústria, per garantir la ciberseguretat i el funcionament estable dels serveis.”
• “Si l’entrada de l’usuari s’utilitza per construir dades d’entrenament, apliquem xifratge segur, desidentificació estricta i anonimització.”

Hi ha indicis de mesures de seguretat, però la informació és menys clara i menys completa que en la resta. DeepSeek parla de “mesures necessàries” i de “xifratge segur” en l’ús d’inputs per a entrenament, però no he trobat en els textos oficials revisats una explicació tan directa sobre xifratge en repòs i en trànsit, TLS, aïllament, o controls administratius com sí fan Google, Microsoft, Proton i OpenAI. Per això, en aquest punt concret, la valoració és intermèdia.