Què és l'AI Act, en una frase
L'AI Act és la primera llei europea que posa regles a com les empreses poden utilitzar la intel·ligència artificial. No la prohibeix. El que fa és classificar els usos en nivells de risc segons a qui afecten i quines decisions prenen: hi ha usos prohibits, usos d'alt risc (amb obligacions serioses), usos de risc limitat (amb obligacions de transparència) i usos de risc mínim (sense obligacions específiques).
Una IA que t'ajuda a redactar correus no està en la mateixa lliga que una IA que decideix a qui contractar o qui cobra un crèdit. I això és precisament el que el reglament vol ordenar.
El nom oficial és Reglament UE 2024/1689. Va entrar en vigor l'agost de 2024 i les seves obligacions s'apliquen per fases, amb un calendari que s'ha mogut recentment i que veurem a continuació.
El calendari s'ha mogut
Si fa unes setmanes aquest article s'havia d'anomenar «AI Act: el compte enrere dels tres mesos», avui el titular correcte és un altre: fes ja l'inventari de la IA que ja és dins de la teva empresa.
El motiu és doble. Primer, el calendari s'ha mogut. El 7 de maig de 2026, el Consell i el Parlament de la UE van assolir un acord polític sobre el Digital Omnibus on AI, retardant les obligacions d'alt risc:
- 2 de desembre de 2027 per a sistemes d'alt risc de l'Annex III (ocupació, crèdit, assegurances, biometria, educació, infraestructures crítiques, etc.).
- 2 d'agost de 2028 per a IA integrada en productes regulats de l'Annex I (dispositius mèdics, màquines, joguines, ascensors).
- 2 de desembre de 2026 per a les obligacions de transparència i marcatge de contingut sintètic de l'article 50(2) — aquesta sí afecta directament qualsevol pime que faci servir IA generativa en màrqueting.
Segon, i més important: el rellotge regulatori s'ha mogut, però la feina que de debò importa no ha anat enlloc. El que fa que sancionin no és el calendari. És no saber quina IA tens ni què està decidint en nom teu.
Per què l'inventari mana sobre el calendari
Automatitzar malament surt més car que no automatitzar. Aplicat a l'AI Act, això es tradueix en una cosa concreta: el risc no està a «tenir ChatGPT» o «posar IA a tot».
El risc està en deixar que una eina entri a RR. HH., scoring, assegurances o biometria sense saber què decideix, amb quines dades ho fa, com es supervisa i quines obligacions arrossega.
Per això no compro avui el discurs de «compliment exprés». Abans de parlar de complir, cal descobrir quina IA tens ja dins de l'empresa i on està prenent decisions sobre persones. Sense aquest inventari, «complir» és un eslògan.
L'inventari que gairebé cap pime té
La majoria de pimes no «compren un sistema d'IA». Compren un ATS (Applicant Tracking System, el programari que rep i filtra els currículums que entren a l'empresa), un CRM, una suite de RR. HH., una plataforma de suport, un ERP amb mòdul financer, una eina de màrqueting o una funció «copilot» que apareix activada en la pròxima renovació.
La IA entra a l'empresa com una feature, no com un projecte conscient. I aquí és on neix el problema regulatori: estàs «fent servir IA» sense haver-ho decidit.
Les dades d'Eurostat de 2025 situen al voltant del 20% les empreses europees de 10 o més treballadors que ja fan servir almenys una tecnologia d'IA, davant del 13,5% el 2024 i el 8% el 2023. És a dir: gairebé el doble en dos anys.
Entre les tecnologies més utilitzades, hi predominen les d'anàlisi de text (11,8%), generació d'imatges, vídeo i so (9,5%) i generació de llenguatge natural (8,8%). La IA ja està distribuïda per l'stack operatiu de l'empresa mitjana — sovint sense que la direcció en sigui del tot conscient.
Aquí està la diferència entre una implantació seriosa i una mala implantació: abans d'automatitzar, cal anomenar. Anomenar l'eina, el mòdul, el proveïdor, el propòsit real, la decisió que influencia, la dada que toca, la persona afectada i el país on s'utilitzen els resultats.
Si no pots respondre a aquestes preguntes, encara no estàs «fent IA». Estàs acumulant deute operatiu i, potencialment, deute regulatori.
Aquesta lectura encaixa amb el cor del Reglament: la classificació depèn de l'ús previst del sistema i del context en què es desplega, no del màrqueting del proveïdor.
On apareix de veritat l'alt risc
Aquí és on gairebé tots els articles generalistes fracassen: posen al mateix sac qualsevol programari amb IA. Això no ajuda. L'Annex III sí ajuda, perquè delimita zones clares.
En ocupació i RR. HH., són d'alt risc els sistemes destinats a reclutar o seleccionar persones, col·locar anuncis de feina dirigits, analitzar i filtrar candidatures o avaluar candidats. També els que afecten condicions de treball, promoció o acomiadament, reparteixen tasques segons comportament o trets personals, o monitoren i avaluen el rendiment de treballadors.
En serveis privats essencials, són d'alt risc els sistemes destinats a avaluar la solvència de persones físiques o establir el seu scoring creditici (excepte detecció de frau financer) i els de tarificació i avaluació de risc en assegurances de vida i salut.
En biometria, la identificació remota, la categorització biomètrica sensible i el reconeixement emocional ocupen la zona delicada. Algunes pràctiques estan directament prohibides, no regulades: el reconeixement emocional al lloc de treball, per exemple, queda prohibit excepte supòsits mèdics o de seguretat.
Això significa que l'ATS amb scoring de CV, el programari que analitza entrevistes gravades, l'eina que prioritza candidats, el mòdul que decideix ascensos o detecta «performance risk», o el motor que assigna tasques segons trets individuals, són la classe de programari que una pime ha de revisar amb lupa. També un motor de scoring per concedir crèdit al consum, o un sistema que ajusti preu i risc en assegurança de vida o salut.
No cal que el proveïdor ho anomeni «IA d'alt risc». Si l'ús previst encaixa a l'Annex III, el problema regulatori existeix igual.
En canvi, no tot CRM ni tota IA de màrqueting entra automàticament en alt risc. Un CRM que resumeix trucades comercials, redacta correus de seguiment, proposa pròxims passos o prediu churn no cau per ell sol a l'Annex III. Un generador de creativitats, un classificador de tickets o un copilot per redactar informes tampoc. En aquests casos, la conversa està més a prop de transparència, protecció de dades i fiabilitat operativa que del règim dur d'alt risc.
Un matís important: l'article 6(3) obre una porta perquè certs usos de l'Annex III no es considerin d'alt risc si només fan una tasca procedimental estreta, milloren un resultat humà ja completat, detecten patrons sense substituir la valoració humana o fan una tasca preparatòria. Però aquesta porta es tanca quan el sistema fa profiling de persones. I, atenció: encara que un proveïdor s'aculli a aquesta excepció, l'Omnibus de maig de 2026 va reinstaurar l'obligació de registrar-los igualment a la base de dades europea.
Si un proveïdor et diu «no et preocupis, això no és alt risc», la resposta professional no és respirar tranquil. És demanar-li la seva avaluació documentada i la base jurídica exacta d'aquesta conclusió.
Andorra no està fora per defecte
Des d'Andorra se sent sovint una frase perillosa: «això és cosa de la UE». No exactament.
L'AI Act s'aplica a proveïdors que posen sistemes o models al mercat de la Unió, a responsables del desplegament establerts a la Unió i —especialment rellevant per a Andorra— a proveïdors i deployers de tercers països quan l'output del sistema s'utilitza a la Unió. El mateix considerant 22 del Reglament posa un exemple clar: un operador establert a la UE contracta serveis a un de tercer país i fa servir a la Unió el resultat produït per aquest sistema.
Això obliga a matisar el discurs local. Processar dades de clients europeus et fica gairebé segur en una conversa RGPD. Però el disparador de l'AI Act és un altre: que el sistema o el seu resultat es posi al mercat o s'utilitzi dins de la Unió.
En termes pràctics: una pime andorrana que ofereix a clients d'Espanya o França un ATS amb filtratge de CV, un scoring de candidats, un motor de rating creditici o un sistema que influeix en decisions sobre persones no queda fora per estar a Andorra. En canvi, una empresa andorrana que utilitza internament un copilot de vendes o un resumidor de reunions per a processos purament interns, els resultats dels quals no s'utilitzen a la Unió, està molt menys exposada.
Aquesta diferència importa més que la nacionalitat de la societat.
I a Espanya, a més, el marc institucional ja està muntat. L'AESIA (Agència Espanyola de Supervisió d'Intel·ligència Artificial) existeix des de 2023, va ser la primera agència específica de supervisió d'IA d'un Estat membre segons l'OCDE, i el 2026 ja es coordina amb autoritats de protecció de drets fonamentals com a autoritat de vigilància del mercat. Per a pimes espanyoles, no hi ha teoria: hi ha un òrgan amb competència sancionadora real.
El que has de mirar aquesta setmana
Si hagués de traduir tot això a una decisió empresarial ràpida, faria servir una matriu de tres zones.
Zona vermella. Eines que afecten directament persones en ocupació, crèdit, assegurances de vida o salut, biometria o reconeixement emocional. Aquí no n'hi ha prou amb una revisió funcional: cal classificació formal del sistema, vendor due diligence i, si escau, preparació documental seriosa.
Zona ambre. Eines aparentment «de suport» en RR. HH., operacions o serveis que a la pràctica poden influir materialment en decisions humanes. La pregunta clau: la IA només prepara material, o de facto filtra, puntua, prioritza o condiciona el resultat? Si el proveïdor s'arrecera a l'article 6(3), demana-li l'avaluació documentada. Si a més interacciona amb persones o genera contingut sintètic, revisa també obligacions de transparència.
Zona verda. Funcions internes com resum de reunions, transcripció, cerca semàntica, ajuda a redactar, suport documental o detecció de frau sense scoring de persones físiques. Aquí normalment no estàs a l'Annex III, però sí hauries de tenir govern bàsic: responsable intern, política d'ús, control de dades, validació humana i alfabetització mínima de l'equip.
El test ràpid que recomano a qualsevol pime. Obre el teu stack de programari i localitza cinc coses:
- L'ATS o eina de selecció.
- La suite de RR. HH.
- El CRM.
- La plataforma de màrqueting o call center.
- Qualsevol eina financera que puntuï, recomani o automatitzi decisions sobre persones.
Després, demana per escrit a cada proveïdor quatre coses: l'ús previst del sistema, la seva classificació segons l'AI Act, el fonament de qualsevol exclusió de l'article 6(3) que invoqui, i si correspon registre a la base de dades europea.
Aquesta base de dades serà pública. Si el proveïdor no sap contestar, no estàs comprant innovació. Estàs comprant una contingència.
El que encara no està del tot tancat
Dues cauteles, per honestedat.
La primera és de calendari. L'acord de l'Omnibus és polític i provisional: el text final encara s'ha d'adoptar formalment. Per a decisions de compliance, pressupost o procurement, segueix la versió final aplicable quan n'hi hagi, no un titular vell. El maig de 2026 conviuen fonts amb el calendari original i amb el nou; això s'anirà netejant en les pròximes setmanes.
La segona és d'arquitectura espanyola d'enforcement. L'AESIA ja és un actor central i visible, i Espanya ha desenvolupat guies i coordinació institucional reals. Però la distribució final d'autoritats sectorials, mesures nacionals i règim d'execució ha de comprovar-se al BOE vigent quan calgui prendre una posició jurídica tancada.
Si el que vols no és una classe magistral sobre l'AI Act, sinó evitar l'error més car, la conclusió és molt més simple.
El punt important
No es tracta de «complir l'AI Act» en abstracte. Es tracta de saber quina IA tens ja dins de l'empresa i on està prenent decisions sobre persones.
Sense aquest inventari, tota la resta és màrqueting regulatori. Amb aquest inventari, l'AI Act deixa de ser una amenaça vaga i es converteix en una llista concreta de coses que decidir.