← Tornar a tots els articles
Reptes

(2/3) La factura de l'AI Act recau sobre l'empresa, no sobre el proveïdor

Per Marc Molas·29 de maig del 2026·10 min de lectura

Hi ha una suposició còmoda incrustada en com la majoria d'empreses pensen sobre l'EU AI Act: és un problema per a qui construeix la IA. Els proveïdors van entrenar els models, els proveïdors faran les avaluacions de conformitat, els proveïdors carregaran el pes del compliment. Nosaltres només hem comprat una llicència.

Per a la IA d'alt risc utilitzada en contractació i RRHH, aquesta suposició és errònia d'una manera que crea exposició real. La llei reparteix la responsabilitat entre dos rols — el proveïdor que desenvolupa i col·loca el sistema al mercat, i el desplegador que l'utilitza sota la seva pròpia autoritat. Sí, els proveïdors carreguen la càrrega més pesant en temps de disseny. Però la llei posa deliberadament un conjunt d'obligacions diferenciat i indelegable sobre el desplegador. I si ets una empresa que fa funcionar una eina de cribratge per IA sobre els teus candidats, tu ets el desplegador. El compliment del proveïdor no absorbeix el teu.

Aquesta és la Part 2 d'una sèrie de tres parts. La Part 1 va dibuixar per què gairebé tota la IA de RRHH es classifica com a alt risc i què està prohibit directament. Aquí repasso què exigeix realment la llei a l'empresa que desplega aquests sistemes — i per què la majoria no es pot externalitzar a una clàusula d'adquisició.

Les obligacions del desplegador, en termes planers

Els deures centrals viuen a l'Article 26 ("Obligacions dels desplegadors de sistemes d'IA d'alt risc"). Treu-ne la jerga legal i es redueixen a un grapat de compromisos que són operatius, no teòrics:

  • Fes servir el sistema segons el previst (Art. 26(1)). L'has de fer funcionar d'acord amb les instruccions del proveïdor. Reutilitza una eina de cribratge de candidats per a una cosa per a la qual no va ser dissenyada ni documentada, i potencialment hauràs passat de desplegador a proveïdor — heretant en el procés tot el conjunt d'obligacions del proveïdor.
  • Assigna supervisió humana real (Art. 26(2)). La supervisió s'ha de donar a persones físiques que tinguin la competència, formació i autoritat per exercir-la. No un nom en un organigrama. Una persona que entengui el sistema i que pugui actuar realment sobre el que veu.
  • Conserva els registres (Art. 26(6)). Els desplegadors han de retenir els registres generats automàticament pel sistema durant un període adequat — almenys sis mesos llevat que una altra llei digui el contrari. Si no pots reconstruir què va fer el sistema i per què, no pots demostrar el compliment.
  • Informa les persones subjectes al sistema (Art. 26(11)). Les persones que estan subjectes a decisions preses o assistides per un sistema d'alt risc han de ser informades.
  • Informa primer la plantilla (Art. 26(7)). Aquesta mereix la seva pròpia secció.

L'obligació amb què les empreses ensopegaran: informar els treballadors

L'Article 26(7) és curt i fàcil de passar per alt, i és on espero que la majoria d'empreses quedin enxampades. Abans de posar en ús un sistema d'IA d'alt risc al lloc de treball, els desplegadors que siguin empreses han d'informar els representants dels treballadors i els treballadors afectats que hi estaran subjectes.

Això no és una cortesia. És una condició prèvia per a un desplegament lícit, i s'endolla directament al teixit existent del dret laboral europeu — que ja té drets forts d'informació i consulta per a comitès d'empresa i representants dels treballadors. En diversos estats membres, desplegar un sistema que monitoritza o avalua el personal sense passar per aquesta consulta no és només una qüestió de l'AI Act; és una qüestió de dret laboral col·lectiu.

Bèlgica n'és l'exemple més net del solapament. Molt abans que existís l'AI Act, el Conveni Col·lectiu núm. 39 (1983) ja obligava les empreses a informar i consultar en introduir nova tecnologia que afecti significativament l'ocupació o les condicions de treball. L'AI Act no el substitueix — s'hi apila a sobre. Així que una empresa que desplega una eina d'IA de RRHH a Bèlgica ara respon a dos règims alhora, i existeixen solapaments nacionals similars per tot el bloc.

La conclusió estratègica: no pots engegar discretament un sistema d'avaluació per IA. La transparència amb la plantilla forma part del desplegament, i "ja els ho direm si ho pregunten" no és el que diu la llei.

Supervisió humana que compta de debò

"Humà al circuit" s'ha convertit en una de les frases més abusades de la IA. La llei intenta posar-hi dents, amb dos articles treballant junts.

L'Article 14 obliga els proveïdors a dissenyar els sistemes d'alt risc perquè puguin ser supervisats efectivament per un humà — amb les interfícies, la informació i els controls de parada que fan possible la supervisió. L'Article 26(2) obliga després el desplegador a dotar realment aquesta supervisió amb algú competent i amb poder.

El llistó que posa la llei és la supervisió significativa: la persona ha de poder entendre la sortida del sistema, interpretar-la correctament, decidir no fer-la servir, i anul·lar-la o revertir-la. Un humà que segella amb goma una llista classificada de candidats perquè l'eina la va produir no és supervisió — això és automatització amb un testimoni. Supervisió vol dir que el judici de l'humà pot canviar, i de vegades canvia, el resultat.

Aquest és el punt precís on la llei i la bona enginyeria convergeixen. La supervisió que pots demostrar és la supervisió que vas dissenyar: un punt de decisió on un humà revisa, un registre del que va decidir, i una via real per discrepar de la màquina.

Les dues avaluacions d'impacte

Els sistemes de RRHH d'alt risc arrosseguen dues obligacions d'avaluació diferenciades, i la gent les confon rutinàriament.

  • L'Avaluació d'Impacte sobre els Drets Fonamentals (Art. 27). Determinats desplegadors de sistemes d'alt risc han d'avaluar l'impacte sobre els drets fonamentals abans del desplegament — qui es veu afectat, què podria sortir malament, quines mitigacions i mesures de supervisió humana hi ha. Per a sistemes que decideixen qui es contracta o es promociona, això no és un exercici hipotètic.
  • L'Avaluació d'Impacte de Protecció de Dades (GDPR Art. 35). La IA de contractació processa dades personals — sovint moltes, de vegades sensibles. L'Article 26(9) de l'AI Act diu explícitament als desplegadors que facin servir la informació que el proveïdor subministra segons l'Article 13 per dur a terme la seva DPIA del GDPR. Els dos règims estan dissenyats per encaixar.

Si això sona com dos documents que se solapen, en part ho és — i la jugada intel·ligent és executar-los com una única avaluació coordinada en comptes de dos exercicis de paperassa desconnectats.

La capa GDPR que ja devies

L'AI Act no va arribar a un buit. El GDPR governa el processament automatitzat de dades personals des de 2018, i una de les seves disposicions sempre ha apuntat directament a la IA de contractació: l'Article 22, el dret a no ser objecte d'una decisió basada únicament en el processament automatitzat quan produeix efectes jurídics o similarment significatius.

Una decisió de rebuig totalment automatitzada — sense humà involucrat — és el cas de manual que l'Article 22 es va escriure per acotar. Els candidats tenen dret a la informació, a la intervenció humana i a impugnar la decisió. Els requisits de supervisió humana de l'AI Act i l'Article 22 del GDPR són ara dues raons que es reforcen per mantenir un humà competent dins de la decisió en comptes de al seu voltant.

El Digital Omnibus proposat que vaig esmentar a la Part 1 és en part un intent d'aclarir com s'articulen aquests dos règims. Fins que això s'assenti, assumeix la lectura més estricta: una persona, no només un pipeline, és la propietària del resultat.

Què suma tot això

Posa les obligacions una rere l'altra i emergeix una forma clara. Per desplegar IA en contractació de manera lícita a la UE, una empresa ha de:

  1. Confirmar l'eina i el cas d'ús, i operar-la tal com està documentada.
  2. Posar un humà competent i amb poder al càrrec de la supervisió — i fer que aquesta supervisió sigui real.
  3. Informar els treballadors i els seus representants abans del desplegament.
  4. Fer una avaluació de drets fonamentals i una DPIA coordinada.
  5. Conservar registres i poder explicar qualsevol decisió que el sistema hagi tocat.
  6. Respectar els drets GDPR dels candidats a la informació, a la intervenció humana i a la impugnació.

Cap d'aquests no se satisfà amb la insígnia de compliment d'un proveïdor. Cadascun és una cosa que l'empresa desplegadora ha d'assumir, dotar i documentar.

Això és una càrrega — però també és un pla. Les empreses que tracten aquesta llista com una especificació de disseny en comptes d'una molèstia legal acaben amb processos de contractació que no només són conformes, sinó genuïnament millors: més transparents amb els candidats, més responsables internament, i més defensables quan un candidat rebutjat pregunta per què.

A la Part 3 em poso concret sobre com es veu això a la pràctica — fent servir l'únic procés que conec íntimament: com hem construït la preselecció de candidats remots de Conectia perquè la IA faci el que se li dona bé, els humans segueixin sent responsables de la decisió, i tot plegat ja tenia la forma de la llei abans que la llei ho exigís.

Articles Relacionats

(1/3) Brussel·les acaba de reclassificar el teu stack de contractació com a alt riscReptes

(1/3) Brussel·les acaba de reclassificar el teu stack de contractació com a alt risc

L'EU AI Act tracta gairebé totes les eines d'IA que s'utilitzen per reclutar, cribrar i gestionar persones com a 'alt risc' — i en prohibeix algunes directament. Part 1 d'una sèrie de 3 posts sobre què significa el Reglament 2024/1689 per a com les empreses contracten a Europa.

29 de maig del 2026·9 min de lectura
(3/3) Vam construir la nostra preselecció per a la llei abans que la llei existísReptes

(3/3) Vam construir la nostra preselecció per a la llei abans que la llei existís

L'EU AI Act exigeix supervisió humana significativa en la contractació. A Conectia, això ja era el disseny: la IA assisteix, un enginyer sènior decideix. Part 3 de la sèrie — com funciona realment una preselecció de candidats conforme en un pipeline de contractació remota.

29 de maig del 2026·9 min de lectura
Construint un Motor Legal d'IA Conforme: Enrutament Multi-Model, RAG Legal i el Reglament Europeu d'IA a la PràcticaReptes

Construint un Motor Legal d'IA Conforme: Enrutament Multi-Model, RAG Legal i el Reglament Europeu d'IA a la Pràctica

Com vam abordar l'arquitectura d'una plataforma d'anàlisi de contractes amb IA: recuperació orientada a legislació, enrutament intel·ligent de models i compliment normatiu com a restricció de disseny — no com un afegit posterior.

15 de gener del 2026·10 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →