← Tornar a tots els articles
Reptes

La legislació europea sobre IA ja és vigent. Pots respondre aquestes cinc preguntes?

Per Marc Molas·31 de maig del 2026·8 min de lectura

El reglament europeu sobre IA és vigent des de l'agost del 2024. Les pràctiques prohibides van expirar l'agost del 2025. Les obligacions per a la IA d'alt risc entren en vigor l'agost del 2026. Si desplegues sistemes d'IA a Europa — o processes dades pertanyents a europeus — el rellotge ja compta.

La majoria d'organitzacions continuen tractant l'AI Act com un document de compliment per llegir i signar. L'han assignat al jurídic, marcat com "en revisió" i han continuat. És l'enfocament equivocat.

L'AI Act no és principalment un text jurídic. És un conjunt d'obligacions operatives. I la manera més ràpida de saber si compleixes de debò — no sobre el paper, sinó operativament — és respondre cinc preguntes concretes sobre cada sistema d'IA que gestions.

Si no pots respondre les cinc, tens feina a fer abans d'agost.

Per què aquestes cinc preguntes

El reglament té més de 180 articles. Però enterrada en les disposicions de gestió de riscos, les obligacions de transparència, els requisits de supervisió humana i el marc de responsabilitat hi ha una estructura subjacent consistent: els sistemes d'IA han de ser governables. No només segurs en abstracte — activament governables per persones identificables, amb processos definits, comportament auditable i una cadena de responsabilitat clara.

Aquesta estructura es redueix a cinc preguntes. No són meves — són les que qualsevol regulador, auditor o advocat farà primer quan alguna cosa vagi malament. Hauries de poder respondre-les abans que res vagi malament.

Pregunta 1: A quines dades accedeix i quines dades pot canviar?

Sembla evident. Rarament ho és.

A la pràctica, la majoria d'equips que despleguen sistemes d'IA tenen una resposta raonable per a "quines dades llegeix?" (dades d'entrenament, dades d'entrada, potser un corpus de recuperació), però una resposta molt més difusa per a "quines dades pot escriure, modificar o provocar canvis?"

Els sistemes agèntics empitjoren això. Un agent que envia correus electrònics, actualitza registres de CRM, crida APIs o modifica configuracions té accés d'escriptura a sistemes reals. Les disposicions de governança de dades de l'AI Act (articles 10 i 13) exigeixen documentar la procedència de les dades d'entrenament, l'abast de les dades d'entrada i — sobretot — quin estat del sistema pot modificar el sistema d'IA.

Què significa el compliment: un mapa de dades mantingut per cada desplegament d'IA. Fonts d'entrada (amb controls d'accés documentats), destinacions de sortida (amb permisos d'escriptura documentats) i una distinció clara entre rutes de lectura i escriptura.

La bretxa més comuna: s'han documentat les entrades però no el que passa aigües avall dels outputs de la IA. Si el teu sistema d'IA recomana alguna cosa i un humà fa clic en aprovar, el clic de l'humà compta com l'escriptura? Legalment: de vegades sí, de vegades no. Necessites saber quin és el teu cas.

Pregunta 2: Qui el supervisa?

L'AI Act requereix supervisió humana per a sistemes d'IA d'alt risc (article 14). No "els humans poden revisar els outputs si volen." Supervisió humana definida — un rol nomenat amb responsabilitat de monitoritzar el comportament del sistema, revisar decisions marcades i l'autoritat per anul·lar o aturar.

Aquesta pregunta té dues capes:

Supervisió operativa: qui monitoritza el sistema dia a dia? Qui rep l'alerta quan la taxa d'errors augmenta? A la majoria d'organitzacions, aquesta és una funció de guàrdia d'enginyeria. Està bé, però ha de ser explícita. "L'equip ho monitoritza" no és suficient — l'equip no és una entitat legal i no té autoritat.

Supervisió de governança: qui té autoritat per modificar els paràmetres del sistema, reentrenar el model o apagar-lo? Per a indústries regulades això s'assigna a estructures de governança existents. Per a startups sovint no s'assigna a ningú, cosa que és un problema.

Què significa el compliment: per a cada sistema d'IA, un individu nomenat o rol amb responsabilitats de supervisió documentades i l'autoritat real (accés, eines, procés) per exercir-les. No un RACI que apunta a "Enginyeria" — una persona, o un rol clarament definit, amb responsabilitat real.

L'Oficina d'IA i les autoritats nacionals de vigilància del mercat són la capa de supervisió per sobre de la teva governança interna. No són abstractes. Estan construint activament capacitat d'aplicació.

Pregunta 3: On guarda la informació?

El RGPD i l'AI Act se superposen significativament aquí. Les obligacions de transparència i els requisits de governança de dades de l'AI Act presuposen que pots respondre on es persisten les entrades del model, les sortides i els estats intermedis.

Això es complica ràpidament per a sistemes que utilitzen proveïdors de models de tercers, generació augmentada per recuperació amb bases de dades vectorials externes, models ajustats allotjats per proveïdors cloud, o arquitectures multi-agent on un agent traspassa context a un altre.

Què significa el compliment: residència de dades documentada per a cada magatzem persistent que toca el sistema d'IA. Això inclou: dades d'entrada, dades de sortida, historial de converses o estat de sessió si es reté, embeddings en una base de dades vectorial, dades d'entrenament de fine-tuning, registres d'auditoria.

Per a IA d'alt risc, les dades han de retenir-se de manera que permeti auditoria post-hoc. Has de poder reconstruir el que va fer el sistema amb quines dades, per a una decisió específica, en una data específica.

La pregunta del proveïdor cloud: si estàs usant un proveïdor de LLM amb seu als EUA sense residència de dades a la UE, la qüestió de cap on van les dades en trànsit és oberta. La majoria d'equips d'enginyeria mai han llegit els addendums de tractament de dades dels seus contractes.

Pregunta 4: Qui respon si s'equivoca?

El marc de responsabilitat de l'AI Act, combinat amb la Directiva de Responsabilitat d'IA pendent, està dissenyat per respondre això a nivell macro. Però la pregunta pràctica és interna: abans que el regulador pregunti, la teva organització ho sap?

Hi ha tres rols de responsabilitat en l'estructura de l'AI Act:

Proveïdor: l'organització que desenvolupa o posa al mercat un sistema d'IA. Si ajustes un model, construeixes un producte sobre un model o desenvolupes una eina d'IA per a que altres l'usin, probablement ets proveïdor.

Responsable del desplegament: l'organització que posa en ús un sistema d'IA en un context específic. Si estàs usant el producte d'un proveïdor d'IA dins de les teves operacions empresarials, ets responsable del desplegament.

La majoria d'organitzacions són alhora proveïdors (de les seves pròpies eines d'IA) i responsables del desplegament (d'IA de tercers). La divisió d'obligacions entre ells importa: els proveïdors són responsables de la seguretat de disseny fonamental del sistema; els responsables del desplegament ho són del context de desplegament apropiat i la supervisió.

Què significa el compliment: assignació documentada d'obligacions entre la teva organització i els teus proveïdors d'IA. Els teus contractes enterprise haurien d'especificar qui és el proveïdor de referència per a cada sistema.

La bretxa real: la majoria d'organitzacions no ha tingut encara la conversa de responsabilitat amb els seus proveïdors d'IA. El contracte es va signar, la clau API és a producció i ningú ha assignat formalment qui respon davant el regulador.

Pregunta 5: Com s'apaga si comença a funcionar malament?

Aquesta és la pregunta que la majoria d'equips troben més difícil de respondre, no perquè el mecanisme no existeixi, sinó perquè mai s'ha dissenyat explícitament.

L'article 9 (gestió de riscos) i l'article 14 (supervisió humana) junts requereixen que els sistemes d'IA d'alt risc tinguin procediments definits per aturar l'operació quan se superen els llindars de seguretat o precisió. Això no és "pots apagar el servidor." Vol dir:

  • Detecció: com saps que s'està comportant malament? Quina mètrica, alerta o procés de revisió fa emergir el problema?
  • Classificació: què constitueix "funcionar malament" per a aquest sistema específic? Deriva del model? Disparitat demogràfica en els outputs? Taxa d'error que supera el llindar?
  • Autorització: qui té autoritat per decidir aturar?
  • Execució: què significa aturar? Matar l'API? Tornar a una versió anterior? Canviar a un procés manual de reserva?
  • Comunicació: qui rep notificació quan es produeix una aturada? Per a sistemes d'alt risc en certes categories, la notificació d'incidents a l'Oficina d'IA és obligatòria.

Què significa el compliment: un runbook — no un interruptor d'apagat teòric, sinó un procediment documentat provat almenys una vegada, amb propietaris nomenats a cada pas.

Per què la majoria d'equips fallen aquí: el sistema es va desplegar incrementalment. Mai hi va haver una sessió de disseny sobre "quin és el pla d'apagat?". L'interruptor existeix en principi (apagar el servidor) però les capes de detecció i autorització no existeixen.

El patró darrere les cinc preguntes

Llegeix-les juntes: accés/modificació de dades, supervisió, emmagatzematge, responsabilitat, apagat. No són cinc requisits independents. Són cinc facetes d'una sola pregunta: és governable aquest sistema d'IA?

La governança requereix que algú pugui observar el sistema (preguntes 1, 3), que algú tingui autoritat sobre ell (preguntes 2, 4) i que aquesta autoritat pugui exercir-se en la pràctica (pregunta 5). Si falta qualsevol de les cinc, el bucle de governança és trencat.

L'AI Act europeu està operativitzant això en llei perquè l'enfocament voluntari no va funcionar. Els principis sense aplicació no canvien el comportament. L'Acte és aplicació.

El que faria aquest trimestre

Si desplegues sistemes d'IA a Europa, o qualsevol cosa que toqui dades europees, la seqüència pràctica:

  1. Inventaria els teus desplegaments d'IA. No només els productes d'IA que vens — tota la IA que fas servir internament. Eines de selecció de RRHH, bots d'atenció al client, detecció de frau, motors de recomanació.

  2. Per a cada sistema, respon les cinc preguntes. Escriu-les. "Encara no ho hem decidit" és una resposta — vol dir que tens una bretxa.

  3. Per a qualsevol cosa en les categories d'alt risc (Annex III de l'Acte) — prioritza. Agost de 2026 és el termini definitiu.

  4. Posa en ordre els teus contractes amb proveïdors. Qui és el proveïdor de referència? Quines capacitats d'auditoria proporciona el proveïdor?

  5. Construeix el runbook per a la pregunta 5. De les cinc, és la més operativa i la menys probable que existeixi. Construeix-lo abans de necessitar-lo.

L'AI Act no és una regulació perfecta. Però les cinc preguntes són enginyeria responsable independentment de la regulació — és el que el desplegament responsable de sistemes amb conseqüències sempre ha requerit. L'Acte simplement ho fa obligatori.

Estàs desplegant sistemes d'IA en producció a Europa i necessites capacitat d'enginyeria que ja operi amb aquests controls de governança incorporats? Parla amb nosaltres — els nostres equips nearshore construeixen sistemes d'IA amb registres d'auditoria, hooks de supervisió humana i runbooks de compliment com a pràctica estàndard.

Articles Relacionats

(2/3) La factura de l'AI Act recau sobre l'empresa, no sobre el proveïdorReptes

(2/3) La factura de l'AI Act recau sobre l'empresa, no sobre el proveïdor

La majoria d'empreses assumeixen que la càrrega de l'AI Act recau sobre el proveïdor d'IA. Per a les eines de contractació, en gran part no és així — recau sobre tu, el desplegador. Part 2 de la sèrie: supervisió humana, transparència amb els treballadors, avaluacions d'impacte i el solapament amb el GDPR.

29 de maig del 2026·10 min de lectura
(1/3) Brussel·les acaba de reclassificar el teu stack de contractació com a alt riscReptes

(1/3) Brussel·les acaba de reclassificar el teu stack de contractació com a alt risc

L'EU AI Act tracta gairebé totes les eines d'IA que s'utilitzen per reclutar, cribrar i gestionar persones com a 'alt risc' — i en prohibeix algunes directament. Part 1 d'una sèrie de 3 posts sobre què significa el Reglament 2024/1689 per a com les empreses contracten a Europa.

29 de maig del 2026·9 min de lectura
(3/3) Vam construir la nostra preselecció per a la llei abans que la llei existísReptes

(3/3) Vam construir la nostra preselecció per a la llei abans que la llei existís

L'EU AI Act exigeix supervisió humana significativa en la contractació. A Conectia, això ja era el disseny: la IA assisteix, un enginyer sènior decideix. Part 3 de la sèrie — com funciona realment una preselecció de candidats conforme en un pipeline de contractació remota.

29 de maig del 2026·9 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →