Estigues al dia amb el nostre Blog de Transformació digital

Què és l'AI Act i a qui afecta

09/06/2026

L'AI Act és el primer reglament integral del món sobre intel·ligència artificial (Reglament UE 2024/1689). Va entrar en vigor l'1 d'agost de 2024 i s'aplica de manera directa a tots els estats membres, sense necessitat d'una llei nacional que el transposi. Regula com es desenvolupa, es comercialitza i s'utilitza la IA dins de la Unió Europea, classificant els sistemes pel risc que comporten. Afecta qualsevol organització que desenvolupi o faci servir IA si el servei o el resultat es destina al mercat europeu, fins i tot empreses de fora de la UE.

L'AI Act no regula la tecnologia, sinó l'ús.

Un mateix model pot quedar gairebé exempt en una aplicació i sotmès a requisits estrictes en una altra.

Contingut de l'article:

Una llei que classifica la IA pel risc
El calendari d'aplicació
Qui té obligacions: proveïdor i responsable del desplegament
Article 50: la transparència que afecta gairebé tothom
Les sancions
Com s'aplica a Espanya: AESIA i AEPD
Per on començar
Preguntes freqüents

Una llei que classifica la IA pel risc

L'AI Act ordena els sistemes en quatre nivells. Com més alt és el risc per als drets de les persones, més obligacions imposa.

Nivell de risc	Exemples	Conseqüència
Inacceptable (prohibit)	Manipulació subliminal, scoring social per part d'autoritats, identificació biomètrica remota en temps real en espais públics	Prohibits des del febrer de 2025
Alt risc	RRHH i selecció de personal, crèdit i assegurances, educació, justícia, migració, dispositius mèdics, infraestructures crítiques	Requisits forts: documentació, supervisió humana, registre
Risc limitat	Chatbots, contingut generat per IA, deepfakes	Obligacions de transparència (Article 50)
Risc mínim	Filtres antispam, recomanadors, IA en videojocs	Sense obligacions; codis de conducta voluntaris

La majoria de sistemes que les empreses fan servir cada dia cauen en risc limitat o mínim. L'alt risc es concentra en àmbits on una decisió automatitzada pot canviar la vida d'una persona: si l'admeten a una universitat, si li concedeixen un préstec o si el seleccionen per a una feina.

El calendari d'aplicació

L'AI Act no es va activar de cop. Les obligacions arriben per fases, i això genera força confusió, perquè barreja dates ja vençudes amb d'altres que encara no han arribat.

Data	Què s'aplica
2 feb. 2025	Pràctiques prohibides (Art. 5) i alfabetització en IA (Art. 4)
2 ag. 2025	Models d'IA de propòsit general (GPAI) com ChatGPT, Claude o Gemini
2 ag. 2026	Transparència de l'Article 50 (chatbots, contingut generat per IA)
2 des. 2026	Marcatge tècnic del contingut generat per IA (watermarking, Art. 50.2)
2 des. 2027 / 2 ag. 2028	Sistemes d'alt risc (ajornats pel Digital Omnibus)

L'acord del Digital Omnibus, tancat el maig de 2026 i pendent d'aprovació formal, va endarrerir el règim d'alt risc fins al 2027 i 2028. El motiu va ser pràctic: els estàndards tècnics i les guies de classificació que el reglament necessita per funcionar no estaven a punt. Tot i això, el gruix de l'Article 50 es manté en la data original del 2 d'agost de 2026.

Qui té obligacions: proveïdor i responsable del desplegament

L'AI Act reparteix responsabilitats segons el paper que tens davant del sistema. Els dos rols principals són el proveïdor (provider) i el responsable del desplegament (deployer).

El proveïdor és qui desenvolupa el sistema o el comercialitza amb el seu nom. Suporta les obligacions més pesades: documentació tècnica, avaluació de conformitat, sistema de gestió de qualitat i registre a la base de dades europea quan el sistema és d'alt risc.

El responsable del desplegament és qui fa servir el sistema dins la seva activitat. La majoria d'empreses són deployers: utilitzen eines de tercers, no les programen. Les seves obligacions són més acotades —ús correcte i transparència amb les persones afectades—, però no desapareixen. Si el proveïdor incompleix, el deployer no queda automàticament exempt.

També hi ha figures intermèdies, com l'importador i el distribuïdor, amb deures de verificació quan introdueixen sistemes d'IA al mercat europeu.

Article 50: la transparència que afecta gairebé tothom

L'Article 50 és la part de l'AI Act amb més abast pràctic, perquè toca usos quotidians de la IA generativa. Estableix tres obligacions de transparència.

Avisar quan algú interactua amb una IA. Si una persona parla amb un chatbot, ha de saber que no és un humà. L'avís ha de ser clar i previ a la conversa.
Identificar el contingut generat per IA. Text, imatges, àudio o vídeo creats artificialment s'han de poder reconèixer com a tals. L'etiqueta comprensible per a persones arriba l'agost de 2026; el marcatge tècnic llegible per màquines té marge fins al desembre.
Marcar els deepfakes. El contingut que imita la realitat de manera convincent —veus, cares, escenes— s'ha d'identificar com a sintètic, amb excepcions limitades per a usos artístics o satírics.

Les sancions

L'incompliment es paga per trams, segons la gravetat. S'agafa sempre la xifra més alta de les dues opcions.

Tipus d'infracció	Sanció màxima
Pràctiques prohibides (Art. 5)	35 M€ o 7% de la facturació mundial
Incomplir transparència (Art. 50) o requisits d'alt risc	15 M€ o 3% de la facturació mundial
Donar informació enganyosa a les autoritats	7,5 M€ o 1% de la facturació mundial

Aquestes xifres conviuen amb el RGPD. Quan un sistema d'IA tracta dades personals —cosa habitual—, una mateixa actuació pot vulnerar les dues normatives i generar sancions acumulables, no alternatives.

Com s'aplica a Espanya: AESIA i AEPD

Espanya va ser pionera a la UE en crear la seva autoritat de supervisió abans que el reglament ho exigís. L'AESIA (Agència Espanyola de Supervisió de la IA), amb seu a la Corunya, és operativa des del març de 2025 i té capacitat sancionadora pròpia. Segons les dades del sector, ja acumula 23 investigacions preliminars i va publicar 16 guies de compliment el desembre de 2025.

L'AEPD, per la seva banda, fa servir el RGPD com a palanca per regular la IA mentre l'AI Act acaba de desplegar-se. Les fonts especialitzades apunten a 147 investigacions relacionades amb IA, un 340% més que el 2024. Les dues agències coordinen actuacions, i s'hi sumen reguladors sectorials com el Banc d'Espanya per al credit scoring o la CNMC per a les telecomunicacions.

El context dona la mesura del moment: l'AEPD va imposar 299 sancions el 2025 per un total de 40 milions d'euros, un 14% més que l'any anterior. La IA i les dades biomètriques figuren entre els focus de risc creixent.

Per on començar

Adaptar-se a l'AI Act no és un projecte tècnic monstruós per a la majoria d'organitzacions. És, sobretot, un exercici d'ordre.

Inventaria on uses IA. Chatbots, generadors de text o imatge, recomanadors, eines de selecció de personal. Tot el que toqui IA ha d'aparèixer a la llista.
Classifica cada ús pel risc. La majoria seran risc limitat o mínim. Identifica si en tens algun d'alt risc, perquè aquí canvia tot.
Aplica la transparència. Avís de chatbot i etiquetatge de contingut generat: són les mesures més barates i visibles.
Revisa els contractes amb els proveïdors. Exigeix evidència de compliment, sobretot per a usos sensibles.
Forma l'equip. L'alfabetització en IA (Art. 4) ja és obligatòria des del febrer de 2025.

Preguntes freqüents

L'AI Act ja és obligatori?

Parcialment. Les pràctiques prohibides i l'alfabetització en IA s'apliquen des del febrer de 2025, i les obligacions dels models de propòsit general des de l'agost de 2025. La transparència de l'Article 50 arriba el 2 d'agost de 2026, i els requisits d'alt risc s'han ajornat fins al 2027 i 2028.

A qui afecta exactament?

A qualsevol organització que desenvolupi, comercialitzi o faci servir sistemes d'IA dins de la Unió Europea. També a empreses de fora de la UE si el resultat del seu sistema s'utilitza dins del mercat europeu. No depèn de la mida: afecta multinacionals, pimes i autònoms per igual.

Quina diferència hi ha entre proveïdor i deployer?

El proveïdor crea o comercialitza el sistema d'IA i suporta les obligacions tècniques més exigents. El deployer només el fa servir dins la seva activitat i té deures més acotats, centrats en l'ús correcte i la transparència. La majoria d'empreses són deployers.

Què vol dir que un sistema és d'"alt risc"?

Que pot afectar de manera significativa els drets, la salut o la seguretat de les persones. Inclou IA en selecció de personal, concessió de crèdits, educació, justícia, migració o dispositius mèdics. Aquests sistemes han de complir requisits de documentació, supervisió humana i registre abans de posar-se al mercat.

El Digital Omnibus elimina obligacions?

No les elimina, les ajorna. Va endarrerir el règim d'alt risc fins al 2027 i 2028 perquè els estàndards tècnics no estaven a punt. La majoria d'obligacions de transparència de l'Article 50 es mantenen en la data original del 2 d'agost de 2026.

Una pime pot ser sancionada?

Sí. Les sancions no distingeixen per mida d'empresa, i l'AEPD ja ha sancionat autònoms i pimes, no només grans corporacions. Les multes per transparència arriben a 15 milions d'euros o el 3% de la facturació mundial, agafant la xifra més alta.

Com es relaciona l'AI Act amb el RGPD?

Són normatives complementàries que s'apliquen alhora. L'AI Act regula el sistema d'IA; el RGPD, el tractament de dades personals que aquest sistema pugui fer. Una mateixa actuació pot infringir totes dues i generar sancions independents i acumulables.

Si vols situar la teva organització sense contractar res, l'AESIA ofereix una guia d'autoavaluació gratuïta de 40 preguntes, publicada el gener de 2026, que et permet identificar el teu nivell de compliment i detectar si tens algun ús d'alt risc amagat. No substitueix la implementació real, però és la radiografia més ràpida per saber on ets i què et falta abans de l'agost de 2026.

Necessites ajuda amb el compliment de l'AI Act? Parla'n amb nosaltres

Font de referència: Reglament (UE) 2024/1689 (AI Act) i AESIA.