Reglament Europeu d'IA 2026: Guia Pràctica per a Empreses
El 2 d'agost de 2026 entren en vigor les obligacions principals del Reglament Europeu d'Intel·ligència Artificial (AI Act), la primera legislació integral sobre IA del món. Per a les empreses que ja utilitzen o planegen implementar sistemes d'intel·ligència artificial, el compliment normatiu passa de ser una recomanació a una obligació legal amb sancions de fins a 35 milions d'euros o el 7 % de la facturació global.
Malgrat això, la majoria de pimes i empreses mitjanes encara no tenen clar quines obligacions els afecten, quins terminis han de complir ni com preparar-se. Aquesta guia tradueix el Reglament a un llenguatge pràctic i ofereix un pla d'acció concret.
Què És l'AI Act i Per Què Afecta la Vostra Empresa?
El Reglament Europeu d'Intel·ligència Artificial (Reglament UE 2024/1689), conegut com a AI Act, és el marc legal que regula el desenvolupament, la comercialització i l'ús de sistemes d'IA a la Unió Europea. Va ser aprovat el juny de 2024 i s'aplica de manera progressiva entre el 2025 i el 2027.
A qui afecta:
- Proveïdors d'IA: Empreses que desenvolupen o comercialitzen sistemes d'IA.
- Implantadors d'IA: Empreses que utilitzen sistemes d'IA en les seves operacions (la majoria de pimes que fan servir ChatGPT, agents d'IA, etc.).
- Importadors i distribuïdors: Empreses que comercialitzen a la UE sistemes d'IA desenvolupats fora d'Europa.
Si la vostra empresa fa servir ChatGPT, un chatbot d'atenció al client, un sistema de puntuació de candidats o qualsevol eina basada en IA, l'AI Act us afecta com a implantadors. No és només per a empreses tecnològiques.
Els 4 Nivells de Risc de l'AI Act
L'AI Act classifica els sistemes d'IA en quatre nivells de risc, amb obligacions creixents:
Risc Inacceptable (Prohibit)
Sistemes prohibits des del febrer de 2025:
- Puntuació social per part de governs o empreses.
- Manipulació subliminal que causi dany.
- Explotació de vulnerabilitats (edat, discapacitat).
- Identificació biomètrica remota en temps real en espais públics (amb excepcions per a seguretat).
- Categorització biomètrica basada en dades sensibles (raça, orientació política).
Risc Alt
Sistemes amb obligacions significatives des de l'agost de 2026:
| Àrea | Exemples |
|---|---|
| Selecció de personal | Screening de CVs amb IA, puntuació de candidats |
| Puntuació creditícia | Avaluació automatitzada de solvència |
| Educació | Sistemes d'avaluació automatitzada, admissions |
| Infraestructures crítiques | Gestió de xarxes, transport, energia |
| Accés a serveis públics | Priorització de serveis, prestacions |
| Aplicació de la llei | Avaluació de riscos, detecció de delictes |
Obligacions per a sistemes d'alt risc:
- Sistema de gestió de riscos documentat.
- Governança de dades (qualitat, representativitat, minimització de biaixos).
- Documentació tècnica completa.
- Registre d'activitats (logging).
- Transparència i provisió d'informació als usuaris.
- Supervisió humana efectiva.
- Precisió, robustesa i ciberseguretat.
- Monitoratge post-comercialització.
Risc Limitat
Sistemes amb obligacions de transparència:
- Chatbots i assistents virtuals: L'usuari ha de saber que parla amb una IA.
- Deepfakes i contingut generat per IA: S'ha d'etiquetar com a generat artificialment.
- Sistemes de reconeixement d'emocions: Han d'informar l'usuari.
La majoria d'usos empresarials d'IA generativa (ChatGPT, Claude, chatbots) entren en aquesta categoria. L'obligació principal és la transparència: informar l'usuari que interactua amb un sistema d'IA.
Risc Mínim
La gran majoria de sistemes d'IA:
- Filtres de correu brossa.
- Sistemes de recomanació de contingut.
- Eines de productivitat amb IA.
- Generació de contingut intern.
Sense obligacions específiques, tot i que es recomanen bones pràctiques i codis de conducta voluntaris.
Quines Obligacions Té la Vostra Empresa? Llista de Verificació Pràctica
La majoria de pimes que utilitzen IA generativa estaran en les categories de risc limitat o mínim. Aquesta llista us ajuda a determinar les vostres obligacions:
Si Feu Servir Chatbots o Assistents d'IA per a Clients (Risc Limitat)
- Informar l'usuari que està interactuant amb un sistema d'IA.
- Etiquetar el contingut generat per IA que es publiqui com a informació d'interès públic.
- Documentar l'ús internament (quin sistema, per a què, qui el supervisa).
Si Feu Servir IA per a la Selecció de Personal (Risc Alt)
- Realitzar una avaluació d'impacte sobre drets fonamentals.
- Documentar el sistema de gestió de riscos.
- Garantir la supervisió humana en totes les decisions automatitzades.
- Auditar els biaixos del sistema de forma periòdica.
- Mantenir registres d'activitat durant almenys 6 mesos.
- Informar el candidat que s'utilitza IA en el procés.
Si Feu Servir IA Generativa Internament (Risc Mínim)
- Establir una política d'ús intern de la IA.
- Formar l'equip sobre l'ús responsable.
- No compartir dades confidencials amb eines sense garanties de no entrenament.
- Verificar el contingut generat abans de publicar o enviar a clients.
Per a una anàlisi detallada del compliment del GDPR específic per a agents d'IA, consulteu la nostra guia de seguretat i GDPR per a agents d'IA empresarials.
Calendari d'Aplicació de l'AI Act
| Data | Què entra en vigor |
|---|---|
| Febrer 2025 | Prohibicions (risc inacceptable) |
| Agost 2025 | Obligacions per a IA de propòsit general (GPAI) |
| Agost 2026 | Obligacions principals: alt risc, transparència, governança |
| Agost 2027 | Obligacions per a sistemes d'alt risc integrats en productes regulats |
L'agost de 2026 és la data crítica per a la majoria d'empreses. Les obligacions de transparència (chatbots, contingut generat) i les d'alt risc (selecció de personal, puntuació) entren en vigor en aquella data.
Sancions: Quant Pot Costar No Complir
L'AI Act estableix sancions proporcionals però severes:
| Infracció | Sanció màxima |
|---|---|
| Usar un sistema prohibit | 35 M€ o 7 % de la facturació global |
| Incomplir obligacions d'alt risc | 15 M€ o 3 % de la facturació global |
| Proporcionar informació incorrecta | 7,5 M€ o 1 % de la facturació global |
Per a les pimes, les sancions s'ajusten proporcionalment: s'aplica el menor dels dos imports (fix o percentatge de facturació). Però fins i tot una sanció de l'1 % pot ser significativa.
AESIA: L'Autoritat Espanyola de Supervisió de la IA
Espanya ha creat l'AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), amb seu a A Coruña, com a autoritat nacional de supervisió de l'AI Act. AESIA ja ha publicat 16 guies pràctiques de compliment per a empreses.
Recursos d'AESIA per a empreses:
- Guies d'avaluació de risc.
- Plantilles de documentació tècnica.
- Sandbox regulatori per provar sistemes d'IA en entorn controlat.
- Canal de consultes per a empreses.
Accediu als recursos a aesia.digital.gob.es.
Pla d'Acció: Com Preparar la Vostra Empresa per a l'Agost de 2026
Fase 1: Auditoria (Juny 2026)
- Inventari de sistemes d'IA: Llisteu tots els sistemes d'IA que utilitza la vostra empresa (ChatGPT, chatbots, puntuació, automatitzacions).
- Classificació per risc: Determineu en quina categoria cau cada sistema usant la taula de l'AI Act.
- Identificació de mancances: Compareu la vostra situació actual amb les obligacions de la vostra categoria.
Fase 2: Implementació (Juny–Juliol 2026)
- Transparència: Afegiu avisos d'IA a tots els chatbots i sistemes d'atenció al client.
- Política interna: Redacteu una política d'ús de la IA per a la vostra organització.
- Formació: Formeu els equips rellevants (RRHH, atenció al client, màrqueting).
- Documentació: Per a sistemes d'alt risc, prepareu la documentació tècnica i el sistema de gestió de riscos.
Fase 3: Monitoratge (Des de l'Agost de 2026)
- Revisió periòdica: Reviseu el compliment trimestralment.
- Actualització: Mantingueu la documentació actualitzada amb cada canvi de sistema.
- Formació contínua: L'AI Act i les guies d'AESIA evolucionaran — mantingueu l'equip informat.
Relació entre l'AI Act i el GDPR
L'AI Act no substitueix el GDPR: totes dues normatives coexisteixen i es complementen. Si el vostre sistema d'IA processa dades personals (pràcticament tots ho fan), heu de complir amb les dues regulacions:
| Aspecte | GDPR | AI Act |
|---|---|---|
| Enfocament | Protecció de dades personals | Seguretat i drets amb IA |
| S'aplica a | Qualsevol tractament de dades | Sistemes d'IA específics |
| DPIA | Obligatòria per a alt risc de dades | Avaluació d'impacte en drets fonamentals |
| Transparència | Informació sobre tractament de dades | Informació sobre l'ús de la IA |
| Supervisió | DPO (Delegat de Protecció de Dades) | Supervisió humana de decisions d'IA |
La bona notícia: si ja compliu el GDPR, teniu una base sòlida per a l'AI Act. Els processos de governança de dades, documentació i avaluació d'impacte són reutilitzables.
Conclusió: El Compliment és un Avantatge, No un Cost
Les empreses que es preparin de manera proactiva per a l'AI Act tindran un doble avantatge: evitaran sancions i generaran confiança entre clients i socis que valoren la IA responsable. En un mercat on el 49 % de les empreses espanyoles identifiquen la regulació com la principal barrera per a l'adopció de la IA, demostrar el compliment normatiu és un diferenciador comercial real.
Els tres passos immediats:
- Feu un inventari dels vostres sistemes d'IA aquesta setmana. No podeu complir amb el que no heu identificat.
- Classifiqueu cada sistema per nivell de risc. La majoria d'usos empresarials seran de risc limitat o mínim.
- Afegiu avisos de transparència a tots els chatbots i sistemes orientats al client abans de l'agost de 2026.
Necessiteu ajuda per preparar la vostra empresa per a l'AI Act? A Technova Partners assessorem pimes en compliment normatiu d'IA i dissenyem estratègies d'implementació de la IA conformes amb el Reglament Europeu. Sol·liciteu una consulta.
