Compliment GDPR i AI Act per a AI Agents Empresarials 2026

El 2 d'agost de 2026, el sostre de sancions per desplegar un AI agent sense la documentació adequada passa de 20 milions d'euros a 55 milions d'euros. No és cap errata. Les disposicions d'alt risc de l'EU AI Act se sumen ara a les multes existents del GDPR, creant un règim de doble aplicació on un sol AI agent que processi dades personals pot desencadenar infraccions en ambdós marcs normatius simultàniament.

La majoria de les empreses que despleguen AI agents a Europa no estan preparades. Aquesta guia cobreix exactament el que necessites fer abans del termini: les avaluacions requerides, la documentació que has de preparar, les sancions a què t'enfrontes i un full de ruta pràctic de compliment en 90 dies.

Què significa l'EU AI Act per als AI Agents empresarials

L'EU AI Act va entrar en vigor l'agost de 2024, amb diferents disposicions que s'apliquen de manera progressiva. El termini més crític per a les empreses és el 2 d'agost de 2026, quan els requisits per als sistemes d'IA d'alt risc de l'Annex III seran plenament exigibles.

Quins AI Agents són d'alt risc?

No tots els AI agents entren en la categoria d'alt risc. La normativa classifica els sistemes d'IA en funció del seu context d'ús, no de la tecnologia en si. El teu AI agent és probablement d'alt risc si opera en alguna d'aquestes àrees:

• Ocupació i RRHH: Selecció de CV, avaluació de candidats, decisions de promoció, monitorització del rendiment dels empleats
• Serveis financers: Scoring creditici, subscripció d'assegurances, detecció de frau amb decisions automatitzades
• Sanitat: Triatge de pacients, suport diagnòstic, recomanacions de tractament
• Educació: Avaluació d'estudiants, decisions d'admissió, recomanacions d'itineraris formatius
• Seguretat i migració: Control fronterer, predicció de delictes (sector públic)

Els chatbots d'atenció al client i els agents d'automatització de màrqueting generalment no es classifiquen com d'alt risc, llevat que prenguin decisions amb conseqüències significatives sobre persones.

El solapament amb el GDPR

Aquí és on es complica la situació. Els AI agents que processen dades personals solen activar múltiples criteris d'alt risc simultàniament: perfilatge, presa de decisions automatitzada, ús de tecnologia innovadora i processament a gran escala. Això implica que tens obligacions de compliment sota ambdós marcs: GDPR i AI Act.

La bona notícia: la UE va dissenyar aquests marcs per funcionar de manera complementària. Una FRIA (Avaluació d'Impacte en Drets Fonamentals) sota l'AI Act pot complementar la teva DPIA (Avaluació d'Impacte en Protecció de Dades) existent sota el GDPR, en lloc de substituir-la.

DPIA i FRIA: les dues avaluacions que has de completar

Abans de desplegar qualsevol AI agent d'alt risc després del 2 d'agost de 2026, necessites dues avaluacions formals:

1. Avaluació d'Impacte en Protecció de Dades (DPIA) — GDPR Article 35

La DPIA és obligatòria sota el GDPR des de 2018, però moltes empreses no n'han realitzat una específicament per als seus AI agents. L'avaluació ha de cobrir:

• Descripció sistemàtica de les operacions de tractament i les seves finalitats
• Avaluació de necessitat i proporcionalitat — per què cal IA enfront de mètodes més simples
• Riscos per a les persones — quins danys podrien produir-se per errors, biaixos o bretxes de dades
• Mesures de mitigació — salvaguardes tècniques i organitzatives implementades

Per als AI agents, presta especial atenció a la presa de decisions automatitzada (Article 22), la minimització de dades (estàs recopilant més dades de les necessàries?) i el dret a la revisió humana de decisions automatitzades.

2. Avaluació d'Impacte en Drets Fonamentals (FRIA) — AI Act Article 27

La FRIA és nova i està dirigida específicament a sistemes d'IA. Estén l'anàlisi més enllà de la protecció de dades per avaluar l'impacte en drets fonamentals, incloent-hi:

• No discriminació i igualtat
• Llibertat d'expressió
• Dret a un recurs efectiu
• Drets de la infància (si el sistema afecta menors)
• Protecció del consumidor

Enfocament pràctic: Realitza primer la teva DPIA i després amplia-la per cobrir les dimensions de drets fonamentals exigides per la FRIA. Aquest enfocament unificat està expressament recolzat per l'AI Act i evita duplicitats.

Terminis d'execució

Si planifiques desplegar abans del 2 d'agost de 2026, el requisit de retenció de dades de 6 mesos implica que hauries d'haver començat a recopilar evidència de compliment com a màxim el febrer de 2026. Si encara no has començat, comença de seguida: una DPIA més FRIA exhaustiva requereix entre 8 i 12 setmanes per a un sistema d'AI agent complex.

Llista de verificació de compliment previ al desplegament

Per al 2 d'agost de 2026, el següent ha d'estar completat per a cada sistema d'IA d'alt risc:

Documentació tècnica (Annex IV)

• Descripció del sistema incloent-hi la finalitat prevista, les capacitats i les limitacions
• Documentació del procés de gestió de riscos amb riscos identificats i mesures de mitigació
• Documentació de governança de dades que cobreixi dades d'entrenament, validació i proves
• Metodologia de disseny i desenvolupament incloent-hi l'arquitectura del model i l'enfocament d'entrenament
• Mètriques de rendiment incloent-hi precisió, robustesa i mesures de ciberseguretat
• Mecanismes de supervisió humana i instruccions d'ús

Avaluació de conformitat

• Autoavaluació o avaluació per tercers segons la categoria del sistema
• Declaració UE de conformitat signada per un representant autoritzat
• Marcatge CE aplicat al sistema o a la seva documentació
• Registre a la base de dades d'IA de la UE (per a sistemes d'alt risc destinats al públic)

Obligacions continuades

• Sistema de vigilància postcomercialització implementat
• Procediment de notificació d'incidents per a incidents greus
• Sistema de registre que conservi registres durant almenys 6 mesos
• Auditories periòdiques de precisió i biaix

Necessites ajuda per preparar la teva documentació de compliment? El nostre equip de ciberseguretat i compliment d'IA pot realitzar avaluacions DPIA i FRIA per als teus desplegaments d'AI agents. Coneix els nostres serveis de ciberseguretat o contacta'ns.

Sancions: què passa si no compleixes

L'EU AI Act introdueix una estructura escalonada de sancions que s'acumula amb les multes del GDPR:

Infracció	Multa màxima
Pràctiques d'IA prohibides (puntuació social, manipulació)	35 milions d'euros o 7 % de la facturació anual global
Incompliment d'alt risc (documentació absent, sense FRIA)	15 milions d'euros o 3 % de la facturació anual global
Proporcionar informació incorrecta a les autoritats	7,5 milions d'euros o 1,5 % de la facturació anual global
Combinació amb infracció GDPR	Fins a 55 milions d'euros (sancions acumulades)

Acumulació de sancions explicada

Un sol AI agent que processi dades personals sense la documentació adequada pot activar:

1. Multa GDPR per DPIA absent: fins a 20 milions d'euros (Article 83)
2. Multa AI Act per FRIA i avaluació de conformitat absents: fins a 15 milions d'euros
3. Multa AI Act per documentació tècnica absent: fins a 15 milions d'euros

Aquestes multes no són alternatives — es poden aplicar de manera acumulativa per al mateix sistema. Les autoritats nacionals d'aplicació ja estan operatives, sent Finlàndia el primer Estat membre a activar-se completament el gener de 2026.

Consideracions per a pimes

L'AI Act ofereix cert alleujament per a les pimes: les multes es calculen aplicant el menor entre l'import absolut i el percentatge de facturació, el que resulti més proporcionat. No obstant això, les obligacions de compliment continuen sent les mateixes independentment de la mida de l'empresa.

Què preguntar al teu proveïdor d'AI agents

Si utilitzes plataformes d'AI agents de tercers, el compliment és una responsabilitat compartida. Abans de signar o renovar contractes empresarials, verifica aquests punts:

Tractament de dades

• On es processen i emmagatzemen les dades? Hi ha opcions exclusivament a la UE?
• Qui són els subprocessadors del proveïdor i on estan ubicats?
• Pots exercir el dret de supressió en totes les interaccions de l'agent i dades d'entrenament?
• El proveïdor ofereix un Acord de Tractament de Dades conforme al GDPR?

Preparació per a l'AI Act

• Ha completat o iniciat el proveïdor l'avaluació de conformitat del seu sistema?
• Està disponible la documentació tècnica conforme a l'Annex IV?
• La plataforma proporciona traces d'auditoria de totes les decisions impulsades per IA?
• Ha preparat el proveïdor la documentació de marcatge CE per a desplegaments d'alt risc?
• Quines mesures de transparència existeixen per a les persones que interactuen amb l'AI agent?

Senyals d'alerta

Desconfia si un proveïdor no pot respondre a aquestes preguntes amb claredat, afirma que el seu sistema no és d'alt risc sense una anàlisi de classificació documentada, o es basa exclusivament en el compliment contractual sense demostrar mesures tècniques.

Full de ruta de compliment en 90 dies

Per a empreses que necessiten assolir el compliment abans del 2 d'agost de 2026:

Setmanes 1-2: Inventari i classificació

• Catalogar tots els AI agents de la teva organització (inclosa la IA a l'ombra)
• Classificar cada sistema segons les categories de risc de l'AI Act
• Identificar quins sistemes processen dades personals (activant la doble obligació GDPR + AI Act)
• Assignar responsables de compliment per a cada sistema d'alt risc

Setmanes 3-6: Fase d'avaluació

• Realitzar la DPIA per a cada AI agent d'alt risc que processi dades personals
• Ampliar cada DPIA en una FRIA que cobreixi les dimensions de drets fonamentals
• Documentar les mesures de mitigació dels riscos identificats
• Comptar amb assessoria legal per revisar la qualitat de les avaluacions

Setmanes 7-10: Documentació i mesures tècniques

• Preparar la documentació tècnica de l'Annex IV per a cada sistema d'alt risc
• Implementar els sistemes de registre i monitorització requerits
• Establir procediments de supervisió humana
• Crear fluxos de treball de notificació d'incidents

Setmanes 11-12: Conformitat i registre

• Completar els procediments d'avaluació de conformitat
• Preparar la declaració UE de conformitat
• Registrar els sistemes a la base de dades d'IA de la UE (quan correspongui)
• Realitzar la revisió final amb els equips jurídic i de compliment

Activitats continuades després del llançament

• Programar auditories trimestrals de biaix i precisió
• Monitoritzar les actualitzacions d'orientació regulatòria de les autoritats nacionals
• Mantenir la documentació actualitzada després de qualsevol modificació significativa del sistema
• Formar els equips en els procediments de notificació d'incidents

Estat actual de l'aplicació a Europa

L'aplicació ja no és teòrica. Les autoritats nacionals competents s'estan activant al llarg del primer semestre de 2026:

• Finlàndia: Primer Estat membre amb aplicació plenament operativa (gener de 2026)
• França: La CNIL lidera l'aplicació de l'AI Act juntament amb la protecció de dades
• Alemanya: Coordinació de l'aplicació a nivell federal i estatal
• Espanya: L'AEPD integra l'aplicació de l'AI Act amb el marc GDPR existent
• Itàlia: El Garante per la protezione dei dati desenvolupa orientacions específiques sobre IA

Les empreses que operen en diversos Estats membres de la UE han de preparar-se per a accions d'aplicació de qualsevol autoritat nacional, no només del seu país d'establiment.

Conclusió

El termini del 2 d'agost de 2026 és a menys de quatre mesos. La doble càrrega de compliment del GDPR i l'EU AI Act és real, les sancions són substancials (fins a 55 milions d'euros per un sol sistema) i les autoritats d'aplicació estan operatives. Les empreses que actuïn ara — realitzant avaluacions, preparant documentació i establint monitorització continuada — no només evitaran sancions sinó que generaran confiança amb clients i socis en un panorama d'IA cada vegada més regulat.

Les accions clau són clares:

• Classifica els teus AI agents segons el marc de risc de l'AI Act de manera immediata
• Inicia les avaluacions DPIA i FRIA ara si encara no ho has fet
• Verifica que els teus contractes amb proveïdors incloguin clàusules de compliment de l'AI Act
• Estableix sistemes de registre, monitorització i notificació d'incidents abans del termini

Necessites suport en compliment per als teus desplegaments d'AI agents? Contacta amb el nostre equip per a una avaluació de preparació GDPR i AI Act. Ajudem les empreses a navegar el doble marc de compliment amb orientació pràctica i terminis definits.