EU AI Act: calendari complet d'obligacions per a empreses (2025-2027)

Si dirigeixes una empresa i fas servir intel·ligència artificial de qualsevol tipus, aquest article és per a tu. No per a demà. Per a ara.

El Reglament (UE) 2024/1689, més conegut com EU AI Act, va entrar en vigor l'1 d'agost de 2024. I les seves obligacions es despleguen en fases. La primera ja es va complir el febrer de 2025. La següent gran data és l'agost de 2026, quan entren en vigor les obligacions per a sistemes d'alt risc, les que afecten la majoria d'empreses.

A Delbion portem mesos ajudant empreses a preparar-se. I el que veig una i altra vegada és el mateix: confusió sobre què cal fer, quan cal fer-ho i quines conseqüències té no fer-ho.

Així que he decidit escriure la guia definitiva. Aquest article és el calendari complet del AI Act, desglossat fase per fase, amb explicacions pràctiques per a empreses. Sense argot innecessari. Sense rodeos.

Què és el EU AI Act

L'EU AI Act és el primer marc regulatori integral del món per a la intel·ligència artificial. Va ser aprovat pel Parlament Europeu el març de 2024 i publicat al Diari Oficial de la UE el 12 de juliol de 2024 com a Reglament (UE) 2024/1689.

A diferència del RGPD, que regula dades personals, el AI Act regula sistemes d'intel·ligència artificial en funció del risc que representen per a les persones. El seu enfocament és clar: com major sigui el risc d'un sistema d'IA, majors són les obligacions per a qui el desenvolupa, desplega o utilitza.

I aquí ve el que importa: el AI Act no s'aplica només a empreses tecnològiques. S'aplica a qualsevol organització que usi, desenvolupi o distribueixi sistemes d'IA a la Unió Europea. Si la teva empresa fa servir un chatbot per a atenció al client, un sistema de scoring per avaluar crèdits, o una eina d'IA per filtrar currículums, estàs dins de l'abast d'aquesta regulació.

El reglament és d'aplicació directa. No necessita transposició nacional. Això significa que les obligacions són les mateixes a Espanya, Alemanya o França. Però cada Estat membre ha de designar una autoritat nacional de supervisió. A Espanya, aquesta autoritat és l'AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), creada per Reial Decret l'agost de 2023 i ja operativa.

Les 4 fases del calendari

El AI Act no entra en vigor de cop. Es desplega en quatre fases escalonades al llarg de tres anys, des del febrer de 2025 fins a l'agost de 2027. Cada fase afegeix noves obligacions.

Aquesta és la visió general:

Vegem cada fase en detall.

Fase 1 (2 de febrer de 2025): el que ja has de complir

Aquesta fase ja ha passat. Si no l'has cobert, estàs en deute tècnic amb la regulació.

Article 4: Alfabetització en IA (AI Literacy). Totes les organitzacions que operin sistemes d'IA han de garantir que el seu personal tingui un nivell suficient d'alfabetització en intel·ligència artificial. Això no és opcional. L'article 4 exigeix que els proveïdors i els operadors de sistemes d'IA prenguin mesures per assegurar que les persones que treballen amb aquests sistemes entenen el seu funcionament, les seves limitacions i els seus riscos.

A la pràctica, això significa formació. Formació documentada i adaptada al perfil de cada persona. No n'hi ha prou amb enviar un PDF. Has de poder demostrar que els teus equips han rebut la capacitació adequada. Hem dissenyat un curs específic sobre el EU AI Act precisament per cobrir aquesta obligació.

Article 5: Coneixement de pràctiques prohibides. Des del febrer de 2025 també és obligatori conèixer quins sistemes d'IA estan prohibits pel reglament. L'article 5 estableix una llista de pràctiques que es consideren de risc inacceptable. Encara que la prohibició efectiva entra a l'agost de 2025 (fase 2), des del febrer les empreses ja han de ser conscients d'aquestes restriccions i començar a avaluar si algun dels seus sistemes podria caure en aquesta categoria.

Si encara no has abordat aquesta fase, et recomano que llegeixis el nostre article sobre la formació obligatòria de l'article 4 i actuïs com més aviat millor.

Fase 2 (2 d'agost de 2025): pràctiques prohibides i codi de conducta

A partir del 2 d'agost de 2025, els sistemes d'IA considerats de risc inacceptable queden prohibits a la UE. Punt. Sense excepcions rellevants per al sector privat.

Què queda prohibit exactament?

• Manipulació subliminal o enganyosa: sistemes d'IA dissenyats per manipular el comportament de persones de manera que causi o pugui causar dany físic o psicològic.
• Explotació de vulnerabilitats: IA que exploti l'edat, discapacitat o situació socioeconòmica de persones per distorsionar el seu comportament.
• Scoring social per part d'autoritats públiques: sistemes de classificació de ciutadans basats en comportament social (a l'estil del sistema xinès).
• Identificació biomètrica remota en temps real en espais públics amb fins policials (amb excepcions molt limitades).
• Predicció de criminalitat basada exclusivament en perfils o trets de personalitat.
• Scraping massiu d'imatges facials d'internet o CCTV per crear bases de dades de reconeixement facial.
• Inferència d'emocions al lloc de treball o en centres educatius (excepte per raons mèdiques o de seguretat).
• Categorització biomètrica basada en raça, opinions polítiques, orientació sexual o altres categories sensibles.

També a l'agost de 2025 entren en vigor les regles per als models d'IA de propòsit general (GPAI), com els models fundacionals tipus GPT, Gemini, Claude o Llama. Els proveïdors d'aquests models han de complir amb obligacions de transparència, documentació tècnica i respecte del dret d'autor. Si un model GPAI presenta risc sistèmic (per exemple, per la seva capacitat computacional d'entrenament), les obligacions s'endureixen considerablement.

Per a la majoria d'empreses que són usuàries d'aquests models i no desenvolupadores, la fase 2 significa revisar que cap de les teves aplicacions d'IA s'ajusti a la llista de prohibicions. I si treballes amb proveïdors de models GPAI, verificar que ells estan complint amb les seves obligacions.

Fase 3 (2 d'agost de 2026): el gran deadline

Aquí és on la regulació colpeja de debò les empreses. I on la majoria no està preparada.

El 2 d'agost de 2026 entren en vigor les obligacions completes per als sistemes d'IA d'alt risc. Això inclou:

• Sistema de gestió de riscos (Art. 9): un procés continu d'identificació, anàlisi i mitigació de riscos del sistema d'IA al llarg de tot el seu cicle de vida.
• Governança de dades (Art. 10): garantir que les dades d'entrenament, validació i prova són rellevants, representatives, completes i lliures d'errors en la mesura del possible.
• Documentació tècnica (Art. 11): documentació detallada que demostri la conformitat del sistema amb els requisits del reglament.
• Registre automàtic d'esdeveniments (Art. 12): els sistemes han de registrar automàticament els esdeveniments rellevants (logs) durant el seu funcionament, amb traçabilitat completa.
• Transparència i informació als usuaris (Art. 13): instruccions d'ús clares per als operadors, incloent limitacions i riscos coneguts.
• Supervisió humana (Art. 14): els sistemes d'alt risc han d'estar dissenyats perquè puguin ser supervisats eficaçment per persones.
• Precisió, robustesa i ciberseguretat (Art. 15): nivells adequats d'exactitud, resistència a errors i protecció davant atacs.
• Avaluació de conformitat (Art. 43): abans de posar en servei un sistema d'alt risc, cal fer una avaluació de conformitat (en molts casos, autoavaluació).
• Marcatge CE (Art. 48): els sistemes conformes han de portar el marcatge CE.
• Registre a la base de dades de la UE (Art. 71): els proveïdors i operadors de sistemes d'alt risc han de registrar-los a la base de dades pública de la UE abans de la seva posada al mercat.
• Avaluació d'impacte en drets fonamentals (FRIA) (Art. 27): obligatòria per a certs operadors de sistemes d'alt risc, especialment organismes públics i entitats que presten serveis públics.

Falten menys de cinc mesos per a aquesta data. Si la teva empresa opera sistemes d'IA que podrien classificar-se com d'alt risc i no has començat a treballar en el compliment, el temps és molt just. El nostre programa de formació sobre el EU AI Act està dissenyat precisament per ajudar els equips a entendre aquestes obligacions i posar en marxa un pla d'acció abans de l'agost.

Fase 4 (2 d'agost de 2027): obligacions restants

La quarta i última fase tanca el desplegament del AI Act. El 2 d'agost de 2027 entren en vigor les obligacions per als sistemes d'IA d'alt risc que formen part de productes regulats per la legislació d'harmonització de la UE recollida a l'Annex I del reglament. Aquests inclouen:

• Maquinaria (Reglament 2023/1230)
• Joguines (Directiva 2009/48/CE)
• Embarcacions d'esbarjo (Directiva 2013/53/UE)
• Ascensors (Directiva 2014/33/UE)
• Equips a pressió (Directiva 2014/68/UE)
• Productes sanitaris i dispositius mèdics (Reglaments 2017/745 i 2017/746)
• Aviació civil (Reglament 2018/1139)
• Vehicles de motor i els seus remolcs (Reglament 2019/2144)

Si la teva empresa fabrica o integra IA en algun d'aquests tipus de productes, aquesta és la teva data límit. Per a la resta d'empreses, el deadline rellevant és l'agost de 2026.

Com classificar els teus sistemes d'IA per risc

El AI Act estableix quatre nivells de risc. La classificació de cada sistema determina quines obligacions s'apliquen.

Risc inacceptable (prohibit)

Són els sistemes llistats a l'article 5 que he mencionat a la fase 2. Manipulació subliminal, scoring social, reconeixement biomètric massiu, etc. Aquests sistemes no poden operar a la UE sota cap circumstància (amb excepcions molt limitades per a seguretat nacional).

Risc alt

Aquí és on encaixa la majoria de les aplicacions d'IA empresarial que prenen decisions sobre persones. L'Annex III del reglament detalla les categories. Les més rellevants per a empreses son:

• Recursos humans i selecció de personal: sistemes que filtren CVs, avaluen candidats, assignen tasques o prenen decisions sobre promocions, acomiadaments o avaluacions de rendiment.
• Accés a serveis essencials: scoring de crèdit, avaluació de riscos per a assegurances, priorització de serveis d'emergència.
• Educació i formació: sistemes que determinen l'accés a institucions educatives o avaluen estudiants.
• Biometria: sistemes d'identificació biomètrica remota (els que no estan prohibits).
• Infraestructures crítiques: IA utilitzada en la gestió de xarxes d'aigua, gas, electricitat o trànsit.
• Administració de justícia i processos democràtics: sistemes que assisteixen en la interpretació de lleis o en la gestió de processos electorals.
• Migració, asil i control de fronteres: avaluació de riscos, verificació de documents, tramitació de sol·licituds.

Si la teva empresa fa servir IA per decidir a qui contractar, a qui donar un préstec, o com avaluar el rendiment dels empleats, és molt probable que estiguis operant un sistema d'alt risc.

Risc limitat

Sistemes amb obligacions de transparència. L'exemple clàssic: els chatbots. Si un usuari interactua amb un sistema d'IA, cal informar-lo que està parlant amb una màquina, no amb una persona. El mateix s'aplica a deepfakes i contingut generat per IA: cal etiquetar-lo com a tal.

Risc mínim

Filtres de spam, IA en videojocs, sistemes de recomanació de contingut... Aquests sistemes no tenen obligacions específiques sota el AI Act, tot i que es recomana seguir codis de conducta voluntaris.

La clau és el risc alt. Si no saps on encaixen els teus sistemes, necessites una avaluació formal. Al nostre curs de governança d'IA i gestió de riscos ensenyem a fer aquesta classificació pas a pas.

Sancions: fins a 35 milions d'euros o el 7% de facturació

El AI Act té dents. Les sancions estan dissenyades perquè cap empresa consideri l'incompliment com una opció rendible.

El règim sancionador té tres nivells:

Per a PIMEs i startups, el reglament preveu sancions proporcionades. Però "proporcionada" no significa indolora. Una multa del 3% de la facturació pot ser suficient per tancar una empresa mitjana.

A Espanya, l'AESIA serà l'encarregada d'aplicar aquestes sancions. Tot i que l'organisme està en fase de desenvolupament operatiu, ja té mandat i capacitat inspectora. No esperis que truquin a la teva porta per preparar-te.

Un dada important: el AI Act també contempla la possibilitat que particulars i organitzacions presentin reclamacions davant l'autoritat nacional. Això significa que un empleat, un candidat descartat per un sistema d'IA, o una associació de consumidors poden activar una investigació contra la teva empresa.

Pla d'acció: què fer ara

Si has arribat fins aquí, ja tens una imatge clara del que s'acosta. La pregunta és: què fas amb aquesta informació?

Després de treballar amb desenes d'empreses en la preparació per al AI Act, aquest és el pla d'acció que recomano:

L'agost de 2026 sembla lluny. No ho és. Implementar un sistema de gestió de riscos d'IA, documentar cada sistema, formar l'equip, fer les avaluacions de conformitat i registrar-ho tot a la base de dades europea porta mesos de treball. Si a més la teva empresa ha de complir amb NIS2, pots integrar el marc del AI Act al teu sistema de gestió existent i estalviar esforç. Les empreses que estan començant ara van justes. Les que encara no han començat van tard.

Si necessites un punt de partida sòlid, els nostres programes de formació cobreixen tant el marc regulatori com la implementació pràctica. I si prefereixes que avaluem la teva situació directament, podem fer una auditoria inicial per mapejar exactament on ets i què et falta.

El AI Act no és una amenaça. És un marc que, ben gestionat, converteix el compliment en un avantatge competitiu. Però per a això cal moure's. I cal moure's ara.