EU AI Act: el que la teva empresa necessita saber si usa o planeja usar IA

L’EU AI Act va entrar en aplicació progressiva des d’agost del 2024 i les seves disposicions principals seran totalment obligatòries a l’agost del 2026. Això no és regulació futura — és present. I a diferència del RGPD, que moltes empreses van implementar tard, l’AI Act té sancions que fan que el RGPD sembli moderat: fins a 35 milions d’euros o el 7% de la facturació global per a les infraccions més greus.

Aquest article no és assessorament jurídic. És una guia pràctica per entendre si la teva empresa té obligacions i quines són.

La lògica de l’AI Act: classificació per risc

L’AI Act classifica els sistemes IA en quatre categories en funció del risc que representen:

Risc inacceptable (prohibit): sistemes que manipulen el comportament de manera inconscient, puntuació social per part d’autoritats públiques, reconeixement facial en temps real a espais públics (amb excepcions). Si la teva empresa usa algun d’aquests, té un problema legal immediat.

Alt risc: IA usada en infraestructures crítiques, educació, ocupació (selecció de candidats, avaluació de rendiment), serveis essencials, justícia. Aquests sistemes requereixen avaluació de conformitat, documentació tècnica, supervisió humana i registre a la base de dades de la UE.

Risc limitat: chatbots, sistemes de generació de contingut. Principalment obligacions de transparència — els usuaris han de saber que interactuen amb IA.

Risc mínim: filtres d’spam, IA en videojocs, etc. Cap obligació específica més enllà de les lleis generals.

Casos concrets que afecten les empreses mitjanes

Uses IA per filtrar CVs o avaluar candidats: alt risc. Necessites avaluació de conformitat i supervisió humana de les decisions.

Tens un chatbot al teu lloc web: risc limitat. Has d’informar clarament els usuaris que parlen amb IA.

Uses LLMs per generar contingut de màrqueting: risc mínim en general, però si el contingut es pot confondre amb informació factual, s’apliquen obligacions d’etiquetatge.

Processen dades amb IA per detectar frau: pot ser alt risc depenent del sector i les decisions que prengui el sistema.

Deploys IA en processos d’infraestructura crítica: alt risc amb obligacions estrictes.

Què fer ara

1. Inventari. Llista tots els sistemes IA que usa la teva empresa — inclosos els que venen com a funcions dins de programari de tercers (CRM amb IA, RRHH amb puntuació automàtica, etc.).

2. Classifica. Per a cada sistema, determina la categoria de risc. En cas de dubte, assumeix la categoria més alta.

3. Documenta. Per als sistemes d’alt risc, comença a construir la documentació tècnica requerida: descripció del sistema, dades d’entrenament, mètriques de rendiment, mecanismes de supervisió humana.

4. Integra amb el RGPD. L’AI Act no substitueix el RGPD — se superposa. Si el sistema IA processa dades personals, les dues regulacions s’apliquen simultàniament.

L’angle dels LLMs privats

Un dels arguments tècnics més sòlids per desplegar LLMs privats on-premise (més enllà de la privacitat de les dades) és que simplifica molt el compliment de l’AI Act: tens control total sobre el model, les dades d’entrenament, el comportament del sistema i la traça d’auditoria.

Amb models cloud de tercers, molta d’aquesta informació és opaca o inaccessible — cosa que complica la documentació tècnica requerida per als sistemes d’alt risc.

Angel Sulev implementa compliment EU AI Act i ISO 27001 per a empreses B2B.