(2/3) La factura de l'AI Act la paga l'empresa, no el proveïdor
Hi ha una idea còmoda instal·lada en la manera com la majoria d'empreses es miren l'EU AI Act: això és un problema de qui construeix la IA. Els proveïdors han entrenat els models, els proveïdors faran les avaluacions de conformitat, els proveïdors carregaran amb el pes del compliment. Nosaltres només hem comprat una llicència.
Per a la IA d'alt risc en contractació i RRHH, aquesta idea és falsa, i ho és d'una manera que genera una exposició ben real. La llei reparteix la responsabilitat entre dos rols: el proveïdor, que desenvolupa el sistema i el posa al mercat, i el desplegador, que l'utilitza sota la seva pròpia autoritat. Sí, la part més feixuga — la de disseny — és del proveïdor. Però la llei posa deliberadament sobre el desplegador un conjunt d'obligacions propi i indelegable. I si la teva empresa passa una eina de cribratge per IA sobre els seus candidats, el desplegador ets tu. El compliment del proveïdor no absorbeix el teu.
Aquesta és la segona part d'una sèrie de tres. La Part 1 explicava per què gairebé tota la IA de RRHH queda classificada com a alt risc i què queda prohibit d'entrada. Aquí repasso què exigeix de debò la llei a l'empresa que desplega aquests sistemes — i per què la major part no es pot delegar a una clàusula del contracte amb el proveïdor.
Les obligacions del desplegador, en llenguatge planer
El gruix dels deures és a l'Article 26 («Obligacions dels desplegadors de sistemes d'IA d'alt risc»). Si en treus la palla jurídica, queden un grapat de compromisos que són operatius, no teòrics:
- Fes servir el sistema per a allò que és (Art. 26(1)). L'has de fer funcionar seguint les instruccions del proveïdor. Si reutilitzes una eina de cribratge de candidats per a un ús per al qual no es va dissenyar ni documentar, pots haver passat de desplegador a proveïdor — i haver-ne heretat, de passada, totes les obligacions.
- Assigna una supervisió humana real (Art. 26(2)). La supervisió s'ha d'encarregar a persones físiques amb la competència, la formació i l'autoritat per exercir-la. No un nom en un organigrama: una persona que entengui el sistema i pugui actuar de debò sobre el que veu.
- Conserva els registres (Art. 26(6)). El desplegador ha de guardar els registres que el sistema genera automàticament durant un període adequat — sis mesos com a mínim, si cap altra llei no diu el contrari. Si no pots reconstruir què va fer el sistema i per què, no pots demostrar que compleixes.
- Informa les persones afectades (Art. 26(11)). A qui està subjecte a decisions preses o assistides per un sistema d'alt risc, cal dir-l'hi.
- Informa primer la plantilla (Art. 26(7)). Aquesta es mereix un apartat sencer.
L'obligació amb què les empreses ensopegaran: informar els treballadors
L'Article 26(7) és curt i fàcil de passar per alt, i és aquí on espero que cauran més empreses. Abans de posar en marxa un sistema d'IA d'alt risc al lloc de treball, el desplegador que sigui alhora ocupador ha d'informar els representants dels treballadors i els treballadors afectats que hi estaran subjectes.
Això no és una cortesia: és una condició prèvia perquè el desplegament sigui lícit, i connecta directament amb el teixit ja existent del dret laboral europeu, que té drets d'informació i consulta ben consolidats per a comitès d'empresa i representants del personal. En més d'un estat membre, desplegar un sistema que monitora o avalua el personal sense passar per aquesta consulta no és només un problema d'AI Act: és un problema de dret laboral col·lectiu.
Bèlgica és l'exemple més clar d'aquesta superposició. Molt abans que existís l'AI Act, el Conveni col·lectiu núm. 39 (1983) ja obligava les empreses a informar i consultar abans d'introduir tecnologia nova amb un efecte significatiu sobre l'ocupació o les condicions de treball. L'AI Act no el substitueix: s'hi afegeix al damunt. Una empresa que desplegui una eina d'IA de RRHH a Bèlgica respon ara davant de dos règims alhora, i hi ha superposicions nacionals semblants arreu de la UE.
La lliçó estratègica: un sistema d'avaluació per IA no es pot engegar d'amagat. La transparència amb la plantilla forma part del desplegament, i «ja els ho direm si ens ho demanen» no és el que diu la llei.
Supervisió humana que compti de debò
«Human in the loop» s'ha convertit en una de les expressions més gastades de la IA. La llei intenta que torni a voler dir alguna cosa, amb dos articles que treballen plegats.
L'Article 14 obliga els proveïdors a dissenyar els sistemes d'alt risc de manera que un humà els pugui supervisar amb eficàcia — amb les interfícies, la informació i els controls d'aturada que fan la supervisió possible. L'Article 26(2) obliga després el desplegador a posar-hi de debò algú competent i amb autoritat.
El llistó que fixa la llei és la supervisió significativa: la persona ha de poder entendre el que produeix el sistema, interpretar-ho correctament, decidir no fer-ho servir, i anul·lar-ho o revertir-ho. Un humà que dona el vistiplau a un rànquing de candidats pel sol fet que l'ha produït l'eina no és supervisió: és automatització amb un testimoni al davant. Supervisió vol dir que el judici humà pot canviar el resultat — i que de tant en tant el canvia.
Aquest és exactament el punt on la llei i la bona enginyeria convergeixen. La supervisió que pots demostrar és la que has dissenyat: un punt de decisió on un humà revisa, un registre del que ha decidit i una via real per portar la contrària a la màquina.
Dues avaluacions d'impacte, un sol exercici coordinat
Els sistemes de RRHH d'alt risc comporten dues obligacions d'avaluació diferents, i és habitual confondre-les.
- L'avaluació d'impacte sobre els drets fonamentals (Art. 27). Alguns desplegadors de sistemes d'alt risc han d'avaluar l'impacte sobre els drets fonamentals abans de desplegar: qui en surt afectat, què pot sortir malament, quines mitigacions i mesures de supervisió humana hi ha. Quan el sistema decideix qui es contracta o qui ascendeix, l'exercici no té res d'hipotètic.
- L'avaluació d'impacte de protecció de dades (Art. 35 del GDPR). La IA de contractació processa dades personals — sovint moltes, de vegades sensibles. L'Article 26(9) de l'AI Act diu explícitament al desplegador que faci servir la informació que el proveïdor li subministra en virtut de l'Article 13 per fer la seva DPIA del GDPR. Els dos règims estan pensats per encaixar.
Si sona com dos documents que se solapen, és que en part ho són — i el més assenyat és fer-los com una sola avaluació coordinada, no com dos tràmits de paperassa que no es parlen.
La capa de GDPR que ja arrossegaves
L'AI Act no ha aparegut del no-res. El GDPR regula el tractament automatitzat de dades personals des del 2018, i una de les seves disposicions sempre ha apuntat directament a la IA de contractació: l'Article 22, el dret a no ser objecte d'una decisió basada únicament en un tractament automatitzat quan produeix efectes jurídics o d'abast semblant.
Una decisió de rebuig totalment automatitzada, sense cap humà pel mig, és el cas de manual que l'Article 22 va néixer per frenar. El candidat té dret a ser informat, a la intervenció humana i a impugnar la decisió. Els requisits de supervisió humana de l'AI Act i l'Article 22 del GDPR són ara dues raons que es reforcen mútuament per tenir un humà competent dins de la decisió, i no pas rondant-hi al voltant.
El Digital Omnibus que esmentava a la Part 1 és, en part, un intent d'aclarir com s'articulen aquests dos règims. Mentre això no quedi resolt, treballa amb la lectura més estricta: del resultat, n'ha de respondre una persona, no només un pipeline.
Tot això, sumat
Si poses les obligacions una rere l'altra, el dibuix que en surt és clar. Per desplegar IA en contractació de manera lícita a la UE, una empresa ha de:
- Confirmar l'eina i el cas d'ús, i operar-la tal com està documentada.
- Posar la supervisió en mans d'un humà competent i amb autoritat — i fer que sigui supervisió de debò.
- Informar els treballadors i els seus representants abans del desplegament.
- Fer una avaluació de drets fonamentals i una DPIA coordinada.
- Conservar els registres i poder explicar qualsevol decisió que el sistema hagi tocat.
- Respectar els drets que el GDPR dona als candidats: informació, intervenció humana i impugnació.
Cap d'aquests punts no se satisfà amb el segell de compliment d'un proveïdor. Tots són coses que l'empresa desplegadora ha d'assumir, dotar de gent i documentar.
És una càrrega, sí — però també és un plànol. Les empreses que tracten aquesta llista com una especificació de disseny, i no com una nosa legal, acaben amb processos de contractació que no només compleixen: són genuïnament millors. Més transparents amb els candidats, més responsables de portes endins, i més fàcils de defensar quan un candidat rebutjat pregunta per què.
A la Part 3 baixo al detall de com es concreta tot això — amb l'únic procés que conec de primera mà: com hem construït la preselecció de candidats remots de Conectia perquè la IA faci allò que fa bé, els humans continuïn responent de la decisió, i el conjunt ja tingués la forma de la llei abans que la llei ho exigís.


