blogimpulsa

Per Víctor Almonacid Lamelas. Directiu especialitzat en innovació pública i Lletrat expert en Dret digital.

Va arribar el dia. El 2 d’agost de 2025, una data més al calendari europeu que tanmateix marca un abans i un després a la regulació de la intel·ligència artificial (IA). “A principis d´aquest mes va entrar en vigor la segona fase del Reglament d´Intel·ligència Artificial de la UE (RIA)”, i amb ella, una cascada d´obligacions que transformaran radicalment l´ecosistema de la IA a Europa. Suposo que tothom ja està preparat… El món mira. No és una normativa més: estem davant del primer marc regulador integral del món sobre IA, i els seus efectes se sentiran molt més enllà de les fronteres europees. Dit això, què entra en vigor aquest mes? A saber…

Obligacions per a models de propòsit general (GPAI)

A partir d’avui, els proveïdors de models d’IA general (GPAI) han de complir obligacions específiques que van molt més enllà de simples formalitats administratives. Parlem de gegants com OpenAI, Google, Meta, Anthropic, i tots aquells que desenvolupen models fundacionals capaços de realitzar múltiples tasques.

Les noves exigències inclouen:

• Documentació tècnica completa que cal mantenir actualitzada i facilitar-se a proveïdors intermedis i, prèvia sol·licitud, a l’Oficina d’IA o autoritats nacionals competents.

• Resums públics de dades d’entrenament utilitzant plantilles específiques de l’Oficina d’IA.

• Polítiques de drets d’autor que demostrin el compliment de la legislació vigent en matèria de propietat intel·lectual.

• Avaluacions de riscos sistèmics per a models que superin el llindar de 10²⁵ FLOPS.

• Mesures de ciberseguretat i protocols de notificació d’incidents greus.

Arquitectura institucional europea

Simultàniament, finalment s’activa l’Oficina Europea d’Intel·ligència Artificial, que coordinarà l’aplicació del Reglament a nivell de la UE, donarà suport a les autoritats nacionals i emetrà directrius interpretatives. També entra en funcionament la Junta Europea d’Intel·ligència Artificial, composta per representants dels estats membres, amb funcions consultives i de coordinació.

Règim sancionador

El capítol de sancions també cobra vida, encara que les multes específiques per a proveïdors de models GPAI no seran aplicables fins a l’agost del 2026. No obstant, la resta del règim sancionador sí que està operatiu, amb multes que poden assolir fins a 35 milions d’euros o el 7% de la facturació mundial per a infraccions molt greus.

Fins aquí la teoria. Dit això, també comença el termini per bregar amb el parany del compliment, ja que és més complex del que sembla. El primer pas crític és el mapeig complet de tots els sistemes d’IA de l’organització. Però aquí sorgeix el primer problema: què és realment un sistema d’IA sota el RIA? La Comissió Europea ha publicat directrius que descomponen la definició legal en set elements clau:

1. Sistema mecànic (executat per màquines)

2. Autonomia (funcionament independent de l’ésser humà)

3. Capacitat d’adaptació (modificació del comportament després del desplegament)

4. Objectius definits (explícits o implícits)

5. Capacitat d’inferència (ús de tècniques d’IA)

6. Generació de resultats amb impacte

7. Interacció amb l’entorn físic o virtual

Sens dubte, la classificació de riscos és el nucli del sistema. En efecte, recordem que el Reglament adopta un enfocament basat en risc que classifica els sistemes en quatre categories:

Categoria de Risc	Exemples	Obligacions
Inacceptable	Social scoring, manipulació cognitiva	Prohibició total
Alt	IA en sanitat, educació, treball, justícia	Avaluació de conformitat, documentació tècnica, supervisió humana
Limitat	Chatbots, deepfakes	Obligacions de transparència
Mínim	Filtros de spam	Sense obligacions específiques

L’adopció dels nous sistemes de gestió de compliment seran la nova realitat empresarial. Però haurem d’anar més enllà del checkbox compliance. Les organitzacions necessiten un sistema de gestió de compliment normatiu de la IA que sigui viable, eficaç, convenient i fins i tot rendible. Això sona bé, però no és una mera retòrica: és una necessitat operativa urgent. Així, les empreses han d’implementar:

Governança i responsabilitats

• Definició clara de rols i responsabilitats al cicle de vida de la IA

• Fluxos d’escalat i aprovació per a decisions crítiques

• Supervisió humana significativa en sistemes d’alt risc

Avaluació continuada de riscos

• Sistemes de monitorització post-comercialització

• Avaluació de biaixos i discriminacions

• Anàlisi d’impacte en drets fonamentals

Gestió de la cadena de subministrament

• Clàusules contractuals específiques amb proveïdors de IA

• Due diligence sobre tercers que proporcionen components de l’IA

• Traçabilitat completa de models i dades utilitzades

D’altra banda, incomplir aquestes obligacions no sortirà de franc: Quin és el cost de l’incompliment? Bé. Les organitzacions que no actuïn ara enfronten riscos legals, reputacionals i econòmics significatius. Però hi ha un element que sovint passa per alt: el cost d’oportunitat. Les empreses que implementin sistemes robustos de compliment no només evitaran sancions, sinó que obtindran avantatges competitius en poder innovar amb més confiança i accedir a mercats que exigeixen garanties ètiques a IA.

I tot això dins d’un mapa regulador que és molt més que el mateix RIA. Caldrà estudiar la convergència normativa En efecte, el compliment a IA requereix un enfocament holístic que contempli múltiples marcs normatius:

• RGPD per a protecció de dades personals

• Directiva NIS2 i ENS per a ciberseguretat

• Normativa sectorial específica (financera, sanitària, educativa)

• Dret laboral per a responsabilitat dels empleats

• Dret penal per a revelació de secrets

• Propietat intel·lectual sobre models i outputs

• Altres normes europees i nacionals amb incidència directa o indirecta.

Molta informació, oi? Doncs no queda res més que formar-se i informar-se. L’alfabetització en IA és més que una mera formació; és transformació cultural. I també és obligatòria. Recordem que una altra obligació que ja està en vigor en aquest cas des del febrer del 2025 és l’alfabetització a IA. Les organitzacions han de garantir que el seu personal comprèn les capacitats, les limitacions i els riscos dels sistemes que utilitzen. Això va més enllà de cursos de sensibilització: requereix una transformació cultural profunda.

Suggerim trobar i explotar les oportunitats que es presenten enmig d’aquesta complexitat. Per exemple, el Codi de Bones Pràctiques pot ser una taula de salvació. Els proveïdors de models GPAI es poden adherir al Codi de Bones Pràctiques per demostrar compliment fins que entrin en vigor les normes europees definitives. Tot i que no és jurídicament vinculant, ofereix una via pràctica per al compliment i pot derivar en multes potencialment més baixes.

D’altra banda, els models ja comercialitzats abans del 2 d’agost del 2025 tenen fins al 2 d’agost del 2027 per complir la normativa. Això proporciona un respir, però també pot crear avantatges competitius per als que actuïn proactivament. No són poques les picades d’ullet a la promoció de la innovació. El Reglament inclou mesures específiques de suport a pimes i startups, incloent-hi espais controlats de proves (sandboxes) i procediments simplificats. Europa intenta equilibrar regulació amb innovació, encara que el món continua deliberant sobre si ho aconseguirà. Potser hi ha batalles que val la pena perdre.

Preparació pràctica: la llista de verificació essencial

Per a proveïdors de models GPAI

Avaluació immediata: El vostre model supera el llindar de 10²⁵ FLOPS? Si és així, apliquen obligacions addicionals de risc sistèmic

Documentació tècnica: Prepareu i actualitzeu la documentació completa del cicle de vida del model

Resum de dades d’entrenament: Publiqueu el resum utilitzant la plantilla oficial (quan estigui disponible)

Política de drets d’autor: Implementeu i documenteu mesures de compliment

Registre a base de dades UE: Per a models aplicables

Per a usuaris empresarials

Inventari complet: Mapegeu tots els sistemes d’IA utilitzats en l’organització

Classificació de riscos: Determineu la categoria de cada sistema segons els criteris del RIA

Avaluacions de conformitat: Inicieu el procés per a sistemes d’alt risc

Governança interna: Definiu responsabilitats i fluxos d’aprovació

Formació i capacitació: Implementi programes d’alfabetització a IA

Preparació contractual: Adapteu contractes amb proveïdors d’IA

El futur que comença avui

En resum, aquest 2 d’agost del 2025 marca l’inici d’una nova era a la IA. Europa ha decidit liderar per regulació, establint un model que probablement influirà en marcs normatius globals. Com en tantes ocasions anteriors, la UE es converteix en el laboratori regulador del món.

Per a les organitzacions, el missatge és clar: la preparació no és pas opcional. Disposar d’un sistema de gestió de compliment normatiu de la IA és viable, eficaç, convenient i fins i tot rendible. Els que actuïn ara estaran més ben posicionats no només per complir la normativa, sinó per aprofitar les oportunitats que sorgeixen en un mercat més transparent i fiable.

La ironia final és que, en el seu intent de regular la innovació, Europa podria estar creant les condicions per a una innovació més responsable i sostenible. Només el temps dirà si el remei ha estat pitjor que la malaltia, o si realment hem trobat la fórmula per a una IA que serveixi l’ésser humà i no al revés.