EU AI Act: guia pràctica del que la teva empresa ha de fer abans d'agost 2026

El GDPR va arribar el 2018 i les empreses van trigar anys a prendre-se’l seriosament. Les primeres multes es recorden com un avís tardà. L’EU AI Act no serà diferent — excepte en un detall: les multes màximes gairebé dupliquen les del GDPR. On el GDPR arribava al 4% de la facturació global anual, l’AI Act arriba al 7%. I el rellotge ja està en marxa.

Agost de 2026 és la data en què els sistemes d’IA d’alt risc passen a ser plenament sancionables als 27 països de la Unió Europea. Queden quatre mesos. Aquest article explica què és el reglament, què t’afecta, i què has de fer abans que arribi aquesta data.

Què és exactament l’EU AI Act?

El Reglament (UE) 2024/1689, conegut com a EU AI Act, és el primer reglament mundial d’intel·ligència artificial amb força de llei. No és una directiva: és un reglament, la qual cosa en dret europeu significa que s’aplica directament als 27 estats membres sense necessitat de transposició nacional. Des del moment en què entra en vigor, és llei a Espanya, França, Alemanya i la resta d’Europa, sense passos intermedis.

Va ser publicat al Diari Oficial de la Unió Europea el 12 de juny de 2024 i va entrar en vigor l’1 d’agost de 2024. La seva arquitectura és d’aplicació escalonada: diferents blocs del reglament s’activen en diferents dates entre 2025 i 2027.

El principi que l’organitza és l’enfocament basat en risc: com més pot danyar un sistema d’IA les persones, més estrictes són les obligacions. No tota IA està igual de regulada. Un filtre de spam i un sistema de selecció de personal no reben el mateix tracte.

Les 4 categories de risc

L’AI Act divideix els sistemes d’IA en quatre nivells. Saber en quin està cada eina que fa servir la teva empresa és el primer pas obligatori.

Risc inacceptable: prohibit des de febrer de 2025

Aquestes pràctiques estan completament vetades a la UE des del 2 de febrer de 2025. Si la teva empresa o algun proveïdor que fas servir les empra, estàs incomplint el reglament ara mateix:

• Scoring social: sistemes que puntuen persones segons el comportament en diferents contextos de la seva vida per determinar beneficis o perjudicis
• Manipulació subliminal: IA que usa tècniques per sota del llindar de consciència per alterar conductes
• Explotació de vulnerabilitats: sistemes que aprofiten l’edat, discapacitat o situació socioeconòmica per influir de forma lesiva
• Reconeixement biomètric en temps real en espais públics — amb excepcions molt restringides per a forces de seguretat

Alt risc: el bloc que afecta la majoria d’empreses

L’Annex III del reglament llista els sectors on els sistemes d’IA són automàticament d’alt risc. Inclou:

• Infraestructura crítica: aigua, gas, electricitat, transport — IA que influeix en la gestió d’aquestes xarxes
• Educació i formació professional: sistemes que determinen accés, avaluen rendiment o decideixen trajectòries
• Ocupació i RRHH: selecció de candidats, scoring de CVs, gestió de tasques, vigilància del rendiment
• Serveis essencials: scoring creditici, avaluació de solvència, classificació de risc en assegurances
• Aplicació de la llei i migració: perfilat, avaluació de risc, decisions sobre visats o asil
• Administració de justícia: IA que assisteix en resolució de litigis o interpretació de fets

Risc limitat: la transparència que molts obliden

Els chatbots que interactuen amb persones han de declarar que són IA quan hi ha possibilitat raonable que l’usuari cregui que està parlant amb un humà. El mateix s’aplica als deepfakes: el contingut generat o manipulat per IA que representa persones reals s’ha d’etiquetar com a tal. Obligació ja en vigor.

Risc mínim: la majoria de les IAs del dia a dia

Filtres de spam, motors de recomanació sense impacte en drets, IA en videojocs, assistents d’escriptura sense conseqüències sobre decisions: sense obligacions específiques sota l’AI Act. Poden seguir operant com fins ara.

Què implica ser “alt risc”?

Si un dels teus sistemes cau en la categoria d’alt risc, el reglament imposa nou obligacions concretes abans de desplegar-lo — i durant tota la seva vida operativa:

1. Sistema de gestió de riscos: procés continu i documentat d’identificació, avaluació i mitigació de riscos durant tot el cicle de vida del sistema
2. Governança de dades: les dades d’entrenament, validació i prova han de ser rellevants, representatives, lliures d’errors en la mesura del possible, i no han de perpetuar discriminacions
3. Documentació tècnica prèvia al desplegament: tota la informació tècnica rellevant ha d’estar disponible abans de posar el sistema en producció, no després
4. Registre de logs d’activitat: el sistema ha de registrar automàticament la seva activitat per permetre la supervisió posterior, especialment en decisions d’alt impacte
5. Transparència i informació a l’usuari: els operadors han de rebre instruccions d’ús clares; els ciutadans afectats han de saber que estan sent avaluats per un sistema d’IA
6. Supervisió humana efectiva (Human-in-the-loop): ha d’existir la possibilitat real que un humà revisi, corregeixi o anul·li les decisions del sistema — no com a casella de verificació, sinó com a procés operatiu
7. Precisió, robustesa i ciberseguretat: el sistema ha de mantenir nivells de precisió documentats i resistir intents de manipulació
8. Registre a la base de dades EU: els sistemes d’alt risc en sectors regulats s’han de registrar a la base de dades europea abans d’operar al mercat
9. Declaració de conformitat: equivalent al marcat CE per a productes físics — certificació formal que el sistema compleix tots els requisits aplicables

Complir aquestes nou obligacions no és un projecte d’una setmana. Per a la majoria d’empreses és un procés de tres a sis mesos si es comença des de zero.

Els casos d’ús que més empreses passen per alt

L’error més comú no és usar IA prohibida. És no saber que el sistema que s’usa és d’alt risc. Aquests són els casos que més se subestimen:

CV screening i selecció de personal amb IA — Si fas servir una eina que filtra, puntua o classifica candidats automàticament abans que un humà els vegi, és alt risc sota l’Annex III. LinkedIn Recruiter amb filtres d’IA, Workday amb scoring de candidats, qualsevol ATS amb cribratge automàtic. El 35% de les empreses europees ja usen IA en algun punt del procés de selecció.

Scoring creditici — Qualsevol model que assigni una puntuació de solvència o probabilitat d’impagament entra en la categoria de serveis essencials de l’Annex III. És alt risc independentment de si el vas desenvolupar tu o el compres a un proveïdor com a SaaS.

Chatbots d’assegurances que decideixen cobertures — Si el chatbot no només informa sinó que determina si una cobertura s’aplica o quina prima correspon, és alt risc. La clau està en si el sistema influeix en una decisió que afecta materialment una persona.

IA per avaluar estudiants — Sistemes de detecció de plagi que automatitzen sancions, plataformes d’e-learning que ajusten trajectòries segons avaluació automàtica, eines que generen notes sense revisió humana: alt risc al bloc d’educació.

Sistemes predictius de manteniment en infraestructura crítica — Si la IA prediu fallades en xarxes d’aigua, gas, electricitat o transport i aquesta predicció influeix en decisions operatives, alt risc al bloc d’infraestructura.

La pregunta correcta no és “fem servir IA d’alt risc?” sinó “quines decisions que afecten persones pren o hi influeix la IA a la nostra empresa?”

Els models d’ús general (GPAI): en vigor des d’agost de 2025

Els models d’IA d’ús general — el que el sector anomena models fundacionals — tenen el seu propi règim sota l’AI Act. GPT-4, Claude, Gemini, Llama, Mistral: tots estan subjectes a obligacions específiques que porten actives des d’agost de 2025.

Per a tots els models GPAI, independentment de la seva mida:

• Transparència sobre dades d’entrenament: quines dades es van usar, amb quines llicències
• Política de copyright: resum de les polítiques aplicades durant l’entrenament
• Documentació tècnica publicada: especificacions del model accessibles

Per a models amb impacte sistèmic — definit com aquells entrenats amb més de 10²⁵ FLOPs (actualment GPT-4 i equivalents) — s’hi afegeixen:

• Avaluacions de seguretat adversarials (red-teaming) abans i després del desplegament
• Report d’incidents greus a l’AI Office europea
• Mesures de ciberseguretat reforçades
• Inventari de consum energètic

Si la teva empresa construeix productes sobre APIs d’aquests models, el compliment de GPAI corre a compte del proveïdor del model — però tu segueixes sent responsable de com fas servir aquest model en sistemes que puguin ser d’alt risc.

El calendari que importa per a la teva empresa

Les dates de l’AI Act no són simbòliques. Cadascuna activa un règim diferent amb conseqüències legals reals.

El 2 de febrer de 2025 va activar les prohibicions absolutes. Si la teva empresa usa scoring social o reconeixement biomètric en temps real sense justificació legal, està infringint el reglament des de fa més d’un any.

El 2 d’agost de 2025 va activar les obligacions per a models GPAI. Els proveïdors de models fundacionals ja estan sota supervisió de l’AI Office.

El 2 d’agost de 2026 és la data que més empreses ignoren — i la més important. A partir d’aquell dia, tots els sistemes d’IA d’alt risc llistats a l’Annex III han de complir íntegrament els articles 6 a 49 del reglament. Les autoritats nacionals podran iniciar investigacions i sancionar.

Des d’avui fins a agost de 2026 queden quatre mesos. Per a una empresa que comença el procés des de zero, és el temps just si actua ara.

El 2 d’agost de 2027 incorpora els productes d’alt risc regulats per altres directives europees — sector mèdic, aeronàutic, automoció. Aquest bloc té un any més de marge.

Les multes — més dures que el GDPR

El GDPR ha generat més de 5.000 milions d’euros en multes des de 2018. L’AI Act duplica el barem màxim:

Comparació directa: el GDPR té un màxim del 4% de la facturació global. L’AI Act arriba al 7% — x1,75 més sever en el pitjor cas.

Per a les pimes, el reglament estableix que s’aplicarà l’import menor entre el percentatge de facturació i les xifres absolutes. Però fins i tot les xifres absolutes — 35 milions per pràctica prohibida — són devastadores per a qualsevol empresa mitjana.

Hi ha un altre matís important: les multes de l’AI Act es poden acumular amb les del GDPR quan una infracció afecta també dades personals. Un sistema de selecció de personal que discrimina i viola la privadesa pot rebre sanció sota tots dos reglaments.

Pla d’acció en 5 passos per a agost 2026

Quatre mesos són suficients si el procés comença aquesta setmana. Aquesta és la seqüència:

Pas 1 — Inventari de sistemes IA en ús

Mapeja totes les eines que usen IA a la teva empresa: des de l’ATS de RRHH fins al CRM amb scoring predictiu, els dashboards d’analytics, els chatbots d’atenció al client i qualsevol SaaS que processi dades de persones amb IA. No només els sistemes que vas desenvolupar internament — també els que compres com a servei. L’AI Act s’aplica a qui desplega sistemes d’IA, no només a qui els desenvolupa.

Pas 2 — Classificació de risc per sistema

Per a cada sistema identificat, determina la seva categoria segons l’Annex III. La pregunta clau: aquest sistema influeix en decisions que afecten materialment persones — la seva ocupació, crèdit, accés a serveis, formació, drets? Si la resposta és sí, és probable que sigui alt risc. Si hi ha dubtes, la interpretació conservadora és la correcta: tractar el sistema com a alt risc.

Pas 3 — Gap analysis vs. requisits de l’Art. 9-15

Per a cada sistema d’alt risc, avalua l’estat actual davant les nou obligacions: existeix documentació tècnica? Hi ha logs d’activitat? Hi ha supervisió humana operativa o només formal? Les dades d’entrenament estan documentades i són revisables? El gap analysis determina la feina real que queda per fer.

Pas 4 — Implementació: documentació, logs, supervisió humana

Això és el gruix de la feina. No es tracta només d’emplenar formularis: cal implementar processos reals. El Human-in-the-loop no pot ser una casella en un workflow — ha de ser una revisió amb capacitat real d’anul·lar la decisió de la IA. Els logs han d’estar configurats. La documentació tècnica s’ha de mantenir actualitzada. En moltes organitzacions això requereix canvis en els processos operatius, no només en els sistemes.

Pas 5 — Registre davant l’autoritat competent

A Espanya, l’autoritat nacional designada per supervisar l’AI Act és l’AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Els sistemes d’alt risc en sectors regulats s’han de registrar a la base de dades europea abans d’operar. El procés de registre requereix la documentació tècnica completa — per això els passos anteriors són necessaris primer.

La diferència entre les empreses que estaran conformes a l’agost i les que no és una sola: les primeres van començar l’inventari el primer trimestre de 2026. Les segones ho segueixen posposant.

Què fa l’AI Office?

L’EU AI Act va crear un nou organisme europeu: l’AI Office, adscrita a la Comissió Europea. No és una agència independent com l’ENISA, sinó una unitat dins de la Comissió amb poders de supervisió directa sobre els models GPAI.

Les seves funcions principals:

• Supervisió de models d’ús general — és la interlocutora única per a OpenAI, Anthropic, Google, Meta pel que fa a l’AI Act
• Coordinació amb autoritats nacionals — cada estat membre té la seva pròpia autoritat (AESIA a Espanya), però l’AI Office coordina la coherència interpretativa
• Publicació de directrius — defineix què significa a la pràctica complir cada article
• Investigació d’incidents greus reportats per proveïdors de models sistèmics
• Codi de conducta voluntari per a models GPAI que no assoleixen el llindar sistèmic

L’AI Office va publicar el febrer de 2025 les seves primeres directrius interpretatives. Per a les empreses que usen models de tercers, aquestes directrius aclareixen fins on arriba la responsabilitat del proveïdor i on comença la de l’operador.

Què puc fer jo?

• Si ets CISO o DPO: L’AI Act se superposa amb el GDPR en qualsevol sistema d’IA que processi dades personals. Afegeix l’AI Act com a capa al DPIA que ja realitzes. Si la teva organització té maduresa en compliment GDPR, la infraestructura de documentació i logs ja existeix — només cal adaptar-la.

• Si dirigeixes una empresa: El risc legal des d’agost de 2026 recau sobre els operadors — les empreses que despleguen sistemes d’IA, no només qui els desenvolupa. Comprar un SaaS amb IA no t’eximeix. Exigeix als teus proveïdors clàusules contractuals que declarin si els seus sistemes són d’alt risc.

• Si treballes a RRHH: Revisa el teu stack: ATS, plataformes de screening de vídeo, avaluació de competències, qualsevol eina que generi un score de candidats. Si existeix un rànquing automatitzat abans que un humà vegi el perfil, tens un sistema d’alt risc que ha de complir els nou requisits de l’Annex III.

• Si ets desenvolupador de sistemes amb IA: Si construeixes per a sectors de l’Annex III, el compliment s’ha de dissenyar des de l’inici — documentació tècnica, logs i supervisió humana no són afegits d’última hora. Si fas servir models GPAI de tercers, revisa els seus termes de servei: tots han afegit clàusules d’AI Act el 2025.

L’EU AI Act no és un obstacle burocràtic per a la innovació. És el primer intent seriós d’establir regles del joc globals per a una tecnologia que ja afecta milions de decisions quotidianes. Les empreses que el tractin com a oportunitat de diferenciació — “complim l’AI Act” com a senyal de confiança — portaran avantatge sobre les que el tractin com a cost de compliment.

Agost de 2026 no és el final de res. És l’inici de l’escenari on les empreses que no van fer els deures comencen a rebre les primeres investigacions. Queden quatre mesos. L’inventari pot començar avui.