the art of being legal


AI Act 2026: què ha de revisar una empresa de IT abans de llançar un sistema d'IA a Espanya

ai checklist conesa legal

Una empresa tecnològica pot llançar una eina d'IA al mercat espanyol i descobrir després que no sap respondre a preguntes bàsiques: quin rol té sota l'AI Act, si el seu sistema és d'alt risc, quines dades ha fet servir per entrenar o ajustar el model, quina informació ha de donar al client, quina supervisió humana existeix o qui respon si el sistema genera una decisió incorrecta.

Article escrit per

Josep Conesa Sagrera

Advocat laboralista

Josep Conesa és un advocat laboralista que atén en castellà i anglès, i té un màster en dret europeu i drets fonamentals. Al llarg dels anys, el nostre despatx ha tractat tota mena d’acomiadaments, així com accidents laborals i negociacions col·lectives, i estarem encantats d’oferir-te assessorament jurídic també a tu, en la teva llengua sempre que sigui possible.

Veure perfil professional

El Reglament Europeu d'Intel·ligència Artificial, conegut com a AI Act, ja no és una norma llunyana. Va entrar en vigor l'1 d'agost de 2024 i la seva aplicació s'està desplegant per fases. Les prohibicions i obligacions d'alfabetització en IA van començar a aplicar-se des del 2 de febrer de 2025; les regles de governança i les obligacions per als models de propòsit general van començar a aplicar-se des del 2 d'agost de 2025; i el marc general d'aplicació se situa el 2026, amb calendaris específics per a determinats sistemes d'alt risc.

Per a una startup, SaaS, healthtech, fintech, marketplace, legaltech o empresa que integra IA en els seus processos, la revisió legal ha de començar abans del llançament. No n'hi ha prou amb comprovar que el producte funciona tècnicament. Cal poder demostrar que el sistema ha estat classificat, documentat, provat, explicat i governat de manera adequada.

 

Què és l'AI Act i per què afecta les empreses tecnològiques a Espanya?

L'AI Act és el primer marc jurídic integral de la Unió Europea sobre intel·ligència artificial. La seva lògica principal és classificar els sistemes d'IA segons el risc que poden generar per a la seguretat, la salut, els drets fonamentals i altres interessos protegits. La Comissió Europea resumeix l'enfocament en quatre nivells: risc inacceptable, alt risc, risc de transparència i risc mínim o baix.

Per a una empresa tecnològica, això significa que l'obligació legal no depèn únicament de "usar IA". Depèn del que fa el sistema, en quin sector s'utilitza, a qui afecta, quines decisions recolza i quin grau de control té la empresa sobre el desenvolupament, la integració o el desplegament.

Un chatbot de suport al client no planteja el mateix nivell de risc que una eina de selecció de personal, un sistema de puntuació creditícia, una solució mèdica, un sistema biomètric o un model que influeix en l'accés a serveis essencials.

 

Abans de llançar un sistema d'IA, què ha de revisar una empresa?

La revisió ha de començar per un inventari clar. Moltes empreses no tenen un sol "producte d'IA", sinó diversos usos dispersos: IA generativa en atenció al client, scoring intern, recomanadors, anàlisi de CV, automatització documental, models predictius, APIs de tercers, agents d'IA connectats a eines internes o funcionalitats integrades en un SaaS.

Pregunta de control Per què és important
Quin sistema d'IA es llançarà? Permet delimitar el producte, les seves funcions i els seus límits.
La empresa desenvolupa, integra o només utilitza IA d'un tercer? Determina si pot ser proveïdor, responsable del desplegament, distribuïdor o un altre operador.
El sistema pren decisions o només en recomana? Afecta el nivell de risc, la supervisió humana i el RGPD.
Afecta l'ocupació, el crèdit, l'educació, la salut, els serveis essencials o la biometria? Pot activar la categoria d'alt risc.
S'utilitzen dades personals? Exigeix revisar la base jurídica, la transparència, la minimització, la seguretat i la possible avaluació d'impacte.
L'usuari sap que interactua amb IA? Hi pot haver obligacions de transparència.
Es genera contingut sintètic, deepfake o text informatiu? Pot exigir la identificació o l'etiquetatge del contingut generat.
Hi ha traçabilitat tècnica? La empresa ha de poder explicar proves, logs, errors, canvis i controls.
Els contractes amb clients i proveïdors cobreixen l'IA? Distribueix responsabilitats, garanties, ús de dades, auditoria i limitacions.

 

Pas 1: identificar el rol de la empresa sota l'AI Act

El primer error és pensar que totes les empreses tenen les mateixes obligacions. L'AI Act distingeix entre diversos operadors, i les obligacions canvien segons el rol. Una empresa pot ser proveïdora d'un sistema d'IA, responsable del desplegament, importadora, distribuïdora o fabricant de producte, segons la seva intervenció en la cadena de valor.

Rol pràctic Exemple en una empresa tecnològica Risc jurídic
Proveïdor Desenvolupa i comercialitza un sistema d'IA amb el seu nom o marca. Assumeix obligacions de disseny, documentació, avaluació i conformitat si escau.
Responsable del desplegament Utilitza una eina d'IA en la seva activitat professional. Ha d'usar-la d'acord amb les instruccions, supervisar-la i complir les obligacions d'ús.
Integrador Incorpora IA d'un tercer en el seu propi SaaS o plataforma. Pot assumir obligacions si modifica la finalitat, la marca o el funcionament.
Distribuïdor Comercialitza un sistema d'IA d'un altre proveïdor a la UE. Ha de revisar la informació, la documentació i el compliment bàsic.
Client empresarial Contracta una solució d'IA per a processos interns. Ha d'exigir garanties contractuals i documentació suficient.

Una startup que utilitza una API d'un tercer per crear un producte propi no hauria de quedar-se amb la idea que "la IA és del proveïdor extern". Si el producte final es ven sota la seva marca, amb una finalitat definida per la startup i amb decisions que afecten usuaris, clients o treballadors, la responsabilitat pot desplaçar-se o compartir-se.

 

Pas 2: classificar el sistema segons el nivell de risc

La classificació és el nucli de la revisió. L'AI Act prohibeix determinades pràctiques per considerar-les de risc inacceptable. La Comissió Europea esmenta, entre d'altres, la manipulació o l'engany perjudicial mitjançant IA, l'explotació de vulnerabilitats, el social scoring, alguns usos de predicció de delictes, el scraping indiscriminat per crear bases de dades de reconeixement facial, el reconeixement d'emocions en llocs de treball i centres educatius, determinades categoritzacions biomètriques i l'ús d'identificació biomètrica remota en temps real per part de les forces de seguretat en espais públics, amb excepcions estrictes.

També hi ha sistemes d'alt risc. La Comissió inclou com a exemples eines d'IA usades en ocupació i gestió de treballadors, accés a l'educació, infraestructures crítiques, accés a serveis essencials, determinats usos biomètrics, migració, justícia, processos democràtics o productes regulats com ara certs dispositius mèdics o maquinària.

Nivell de risc Exemple tecnològic Què ha de fer la empresa
Risc inacceptable Sistema que manipula de manera perjudicial o explota vulnerabilitats. No llançar. Revisar el disseny i la finalitat.
Alt risc IA per a selecció de personal, scoring creditici, salut, educació o serveis essencials. Preparar la gestió de riscos, la documentació, la supervisió humana, les dades, els logs, la ciberseguretat i la conformitat.
Risc de transparència Chatbot, deepfake, contingut sintètic, IA generativa visible per als usuaris. Informar l'usuari, etiquetar quan escaigui i documentar el funcionament.
Risc mínim o baix Filtres interns, recomanadors de baix impacte, assistents sense efectes rellevants. Mantenir una governança bàsica, seguretat, privacitat i control contractual.

 

Pas 3: revisar si el sistema pot ser d'alt risc

Per a una empresa tecnològica, la pregunta no ha de ser "¿el meu sistema és IA?", sinó "¿el meu sistema entra en un ús d'alt risc?". La diferència és decisiva.

Els sistemes d'alt risc estan subjectes a obligacions més estrictes abans de la seva comercialització o posada en servei. La Comissió Europea destaca obligacions com avaluació i mitigació de riscos, qualitat de dades, registre d'activitat, documentació tècnica, informació clara al responsable del desplegament, supervisió humana, robustesa, ciberseguretat i precisió.

Casos en què una empresa tech ha de tenir una cura especial

Cas d'ús Per què pot ser sensible
IA per a selecció de personal Pot afectar l'accés a l'ocupació i generar discriminació.
IA per avaluar el rendiment dels treballadors Impacta en les condicions laborals i les decisions empresarials.
Puntuació de clients o usuaris Pot afectar l'accés a serveis, el finançament o les condicions contractuals.
IA sanitària o healthtech Pot afectar la salut, el diagnòstic, el triatge o les recomanacions clíniques.
IA en educació Pot condicionar l'accés, l'avaluació o la trajectòria formativa.
Sistemes biomètrics Poden afectar la identitat, la privacitat i els drets fonamentals.
IA per a compliment normatiu o frau Pot generar falsos positius amb conseqüències jurídiques o econòmiques.
Agents d'IA amb accions autònomes Poden executar tasques, enviar comunicacions o modificar sistemes sense intervenció immediata.

 

Pas 4: comprovar les dates d'aplicació rellevants

El calendari és important perquè algunes obligacions ja són aplicables i d'altres es despleguen per fases. Segons la Comissió Europea, l'AI Act va entrar en vigor l'1 d'agost de 2024, les prohibicions i l'alfabetització en IA s'apliquen des del 2 de febrer de 2025, les regles de governança i dels models de propòsit general des del 2 d'agost de 2025, i el marc general des del 2 d'agost de 2026.

La mateixa Comissió també ha indicat una actualització del calendari per a determinats sistemes d'alt risc: els sistemes utilitzats en àrees d'alt risc com la biometria, les infraestructures crítiques, l'educació, l'ocupació, la migració, l'asil i el control fronterer passarien a aplicar-se des del 2 de desembre de 2027, mentre que els sistemes integrats en productes com ascensors o joguines tindrien termini fins al 2 d'agost de 2028, en el context del paquet de simplificació de l'AI Act.

Data Què cal revisar
1 d'agost de 2024 Entrada en vigor de l'AI Act.
2 de febrer de 2025 Prohibicions de pràctiques d'IA i obligació d'alfabetització en IA.
2 d'agost de 2025 Governança i obligacions per als models d'IA de propòsit general.
2 d'agost de 2026 Aplicació general de l'AI Act, amb regles específiques per categoria.
2 de desembre de 2027 Calendari indicat per la Comissió per a determinades àrees d'alt risc.
2 d'agost de 2028 Calendari indicat per a certs sistemes d'alt risc integrats en productes regulats.

La conclusió pràctica és clara: esperar a l'últim moment és una mala estratègia. La documentació, les proves, els contractes i la governança no es preparen en una setmana.

 

Pas 5: revisar les dades personals i el RGPD

L'AI Act no substitueix el RGPD. Si el sistema d'IA tracta dades personals, l'empresa ha de revisar també la base jurídica, el deure d'informació, la minimització de dades, la conservació, la seguretat, les transferències internacionals, els drets dels interessats i la relació amb els encarregats del tractament.

En sistemes d'IA que avaluen aspectes personals, perilen usuaris o poden produir efectes rellevants sobre persones físiques, pot ser necessària una avaluació d'impacte en protecció de dades. L'article 35 del RGPD exigeix una avaluació d'impacte quan un tractament, especialment mitjançant noves tecnologies, pugui implicar un risc alt per als drets i les llibertats de les persones, i esmenta expressament l'avaluació sistemàtica i extensa d'aspectes personals basada en tractament automatitzat, inclosa l'elaboració de perfils, quan produeixi efectes jurídics o afecti significativament la persona.

Pregunta RGPD Risc que controla
Quines dades personals utilitza el sistema? Evita tractaments excessius o no identificats.
Hi ha dades sensibles? Augmenta el nivell de risc i les exigències legals.
Quina és la base jurídica? Sense base jurídica, el tractament pot ser il·lícit.
S'utilitzen dades per a entrenament, fine-tuning o avaluació? Cal informar-ne i justificar-ho correctament.
Hi ha decisions automatitzades rellevants? Pot activar garanties addicionals.
Es transfereix informació fora de l'EEE? Exigeix revisar les garanties de transferència internacional.
El proveïdor utilitza les dades del client per millorar el seu model? Cal regular-ho en el contracte i la política de privacitat.

 

Pas 6: documentar la finalitat i els límits del sistema

Una empresa ha de poder explicar per a què serveix el seu sistema d'IA i per a què no s'ha d'utilitzar. Aquesta delimitació no és només tècnica; també és legal i comercial.

Per exemple, una eina que resumeix documents no hauria de presentar-se com una eina que decideix automàticament la viabilitat jurídica d'una reclamació. Un assistent de RR. HH. no hauria de convertir-se, sense control, en un filtre de selecció de candidats. Un chatbot d'atenció al client no hauria de generar compromisos contractuals sense revisió.

Element Què documentar
Finalitat prevista Quin problema resol el sistema.
Usuaris previstos Qui pot utilitzar-lo i amb quin perfil.
Context d'ús Sector, país, idioma, clients i límits.
Usos prohibits Què no ha de fer l'usuari amb el sistema.
Nivell d'autonomia Si recomana, prioritza, genera contingut o executa accions.
Supervisió humana Qui revisa i quan pot intervenir.
Escalada Quan es deriva a una persona o equip responsable.

 

Pas 7: preparar la documentació tècnica i legal

La documentació serà una de les diferències entre una empresa preparada i una empresa exposada. No serveix una carpeta genèrica amb una política de privacitat i unes condicions d'ús copiades d'un altre producte. La documentació ha de connectar el sistema real amb els seus riscos reals.

Document Per a què serveix
Inventari de sistemes d'IA Identifica tots els usos interns i externs d'IA.
Fitxa de classificació de risc Justifica si el sistema és mínim, de transparència, d'alt risc o prohibit.
Avaluació d'impacte AI Act Analitza riscos per a drets, seguretat, discriminació i ús indegut.
Avaluació d'impacte RGPD Avalua riscos de protecció de dades quan escaigui.
Documentació tècnica Explica l'arquitectura, les dades, el model, les mètriques, les proves i els límits.
Registre de proves Acredita el testatge, la validació, els biaixos, els errors i les mesures correctores.
Política de supervisió humana Defineix la intervenció, la revisió i la responsabilitat interna.
Procediment d'incidents Estableix com detectar, escalar i corregir fallades.
Contractes amb proveïdors Regula dades, seguretat, subprocessadors, IA generativa i responsabilitats.
Informació per a clients i usuaris Explica de manera clara l'ús de la IA i els seus límits.

 

Pas 8: revisar les obligacions de transparència

L'AI Act introdueix obligacions específiques de transparència per a determinats sistemes. La Comissió Europea indica que els usuaris han de ser informats quan interactuen amb sistemes com els chatbots, i que determinats continguts generats per IA, com els deepfakes o els continguts publicats per informar el públic sobre assumptes d'interès públic, s'han d'identificar o etiquetar de manera clara quan escaigui.

Per a una empresa tecnològica, la transparència no s'ha de veure com un avís decoratiu. Ha d'estar integrada en el disseny del producte, en les condicions d'ús, en la interfície, en la política de privacitat, en les instruccions per a clients empresarials i en els fluxos on l'usuari pugui veure's afectat.

Situació Mesura pràctica
Chatbot d'atenció al client Informar que l'usuari interactua amb una IA.
Generació d'imatges, veu o vídeo Avaluar les obligacions de marcatge, etiquetatge o advertiment.
Deepfakes o contingut sintètic realista Revisar els riscos d'imatge, honor, consentiment i transparència.
IA que assisteix en decisions empresarials Informar el client de l'abast, els límits i la supervisió necessària.
Text generat per informar el públic Revisar les obligacions d'identificació del contingut generat.

 

Pas 9: revisar els contractes amb clients, proveïdors i inversors

Una empresa tecnològica no només ha de complir internament. També ha de poder traslladar garanties als clients, inversors, partners i proveïdors. El contracte ha de deixar clar què fa el sistema, què no fa, quines dades s'utilitzen, quins controls existeixen i qui respon en cada escenari.

Contracte Clàusules que convé revisar
Contracte SaaS B2B Ús permès, límits d'IA, responsabilitat, SLA, auditoria i seguretat.
DPA / contracte d'encarregat Tractament de dades, subencarregats, transferències i ús per a entrenament.
Contracte amb proveïdor d'IA Garanties de compliment, documentació, seguretat, traçabilitat i canvis.
Condicions d'ús Prohibicions, ús responsable, continguts generats, suspensió i abusos.
Contracte enterprise Requisits d'auditoria, registres, reporting, incidents, indemnitat i suport.
Pacte de socis / inversió Titularitat del programari, propietat intel·lectual, compliance i due diligence.

 

Pas 10: establir una governança interna d'IA

L'AI Act exigeix mirar més enllà del producte. Una empresa ha de controlar com es dissenya, compra, prova, utilitza i actualitza la IA. Això afecta la direcció, l'àrea legal, la protecció de dades, la seguretat, el producte, l'enginyeria, les vendes i els recursos humans.

La Comissió Europea també destaca l'obligació d'alfabetització en IA, aplicable des del febrer del 2025. Això exigeix que les organitzacions no només tinguin polítiques, sinó que les persones que utilitzen o gestionen sistemes d'IA comprenguin els seus riscos, límits i responsabilitats.

Àrea interna Responsabilitat
Direcció Aprovar la política d'IA i la tolerància al risc.
Legal / compliment normatiu Classificar sistemes, contractes, evidències i obligacions.
DPO / privadesa Revisar RGPD, avaluacions d'impacte i drets dels usuaris.
Seguretat Revisar accessos, registres, incidents, proveïdors i ciberseguretat.
Producte Integrar transparència, límits i supervisió a la interfície.
Enginyeria Documentar l'arquitectura, les proves, els conjunts de dades, els canvis i el rendiment.
RR. HH. Formar equips i controlar els usos de la IA en l'ocupació i la gestió laboral.
Vendes Evitar promeses comercials que el sistema no pugui sostenir legalment.

 

Diagrama: revisió legal abans de llançar un sistema d'IA a Espanya

sistema de ia

 

Llista de verificació legal abans del llançament

Àrea Pregunta Estat
Inventari Existeix una fitxa del sistema d'IA? Pendent / Revisat
Rol L'empresa sap si és proveïdor, desplegador o integrador? Pendent / Revisat
Risc S'ha classificat el sistema d'acord amb l'AI Act? Pendent / Revisat
Prohibicions S'ha descartat que incorri en una pràctica prohibida? Pendent / Revisat
Alt risc S'ha revisat si afecta l'ocupació, la salut, l'educació, la biometria, el crèdit o els serveis essencials? Pendent / Revisat
Transparència L'usuari sap quan interactua amb una IA? Pendent / Revisat
RGPD S'ha revisat la base jurídica, la informació, la minimització i la seguretat? Pendent / Revisat
EIPD S'ha valorat si cal una avaluació d'impacte de protecció de dades? Pendent / Revisat
Dades Se sap quines dades s'utilitzen per entrenar, ajustar, provar o explotar el sistema? Pendent / Revisat
Proveïdors Els contractes regulen l'ús de dades, els subcontractistes, els canvis i l'auditoria? Pendent / Revisat
Seguretat Hi ha controls d'accés, registres, incidents i ciberseguretat? Pendent / Revisat
Supervisió humana Existeix una intervenció humana real i documentada quan escau? Pendent / Revisat
Documentació Hi ha documentació tècnica i legal suficient? Pendent / Revisat
Formació Els equips han rebut formació sobre l'ús responsable de la IA? Pendent / Revisat
Post-llançament Hi ha monitoratge, revisió d'errors i incidents? Pendent / Revisat

 

Quin paper té l'AESIA a Espanya?

Espanya va crear la Agència Espanyola de Supervisió d'Intel·ligència Artificial mitjançant el Reial Decret 729/2023, de 22 d'agost. El Butlletí Oficial de l'Estat (BOE) configura l'AESIA com una agència estatal amb personalitat jurídica pública, patrimoni propi i autonomia de gestió.

L'estatut de l'Agència preveu funcions de supervisió i, si escau, sanció de sistemes d'intel·ligència artificial per reduir riscos sobre la integritat, la intimitat, la igualtat de tracte, la no-discriminació i altres drets fonamentals. També inclou funcions de sensibilització, formació, assessorament i suport al desenvolupament responsable de la IA.

Per a una empresa tecnològica, això confirma que la supervisió de la IA a Espanya no serà només una qüestió europea. També hi haurà interlocució, criteris, guies, actuacions i possible control nacional.

 

Errors freqüents abans de llançar IA

  1. Llançar el producte sense classificar el sistema per nivell de risc.
  2. Creure que usar una API d'un tercer elimina la responsabilitat pròpia.
  3. No revisar si el cas d'ús afecta ocupació, crèdit, salut, educació o serveis essencials.
  4. No informar l'usuari que està interactuant amb IA.
  5. No revisar si el contingut generat s'ha d'etiquetar.
  6. Usar dades personals per entrenar o ajustar models sense base jurídica clara.
  7. No signar contractes adequats amb proveïdors de IA.
  8. No tenir registres, traçabilitat ni documentació tècnica.
  9. No preveure supervisió humana real.
  10. Vendre el sistema com a "automàtic" sense explicar els límits, els errors o la intervenció humana.
  11. No formar els equips comercials, de producte i de suport.
  12. No preparar documentació per a clients enterprise, inversors o auditories.

 

Taula de prioritat per a una empresa tecnològica

Prioritat Acció Quan fer-ho
Alta Inventari de sistemes de IA Abans de llançar o integrar qualsevol funcionalitat.
Alta Classificació de risc AI Act Abans de comercialitzar.
Alta Revisió RGPD i dades personals Abans de tractar dades reals.
Alta Contractes amb proveïdors de IA Abans de connectar APIs o processar dades de clients.
Alta Transparència per als usuaris Abans de publicar la interfície.
Mitjana Avaluació d'impacte AI Act Si hi ha risc rellevant o sector sensible.
Mitjana Avaluació d'impacte RGPD Si hi ha risc alt per a drets i llibertats.
Mitjana Política interna de IA Abans d'escalar l'ús intern.
Mitjana Formació d'equips Abans que vendes, suport o RRHH usin IA.
Mitjana Auditoria post-llançament Després del desplegament i en cada canvi rellevant.

 

Conclusió

L'AI Act obliga les empreses tecnològiques a canviar la manera de llançar productes d'IA. La revisió legal ja no pot arribar al final, quan el producte està dissenyat, venut i connectat a dades reals. Ha de formar part del cicle de desenvolupament.

Abans de llançar un sistema d'IA a Espanya, una empresa ha de saber quin rol té, quin nivell de risc assumeix, quines dades tracta, què ha d'informar a l'usuari, quins contractes necessita, quina documentació pot mostrar i com controlarà el sistema després del llançament.

A Conesa Legal assessorem empreses tecnològiques, startups i companyies que integren intel·ligència artificial en els seus productes o processos interns. Revisem l'encaix del sistema sota l'AI Act, la seva relació amb la assessoria en protecció de dades, el compliance empresarial, els contractes amb proveïdors i clients des d'una assessoria mercantil, la implantació del canal de denúncies i la due diligence prèvia a operacions o inversions.

Expliqui'ns el seu cas i revisarem què necessita la seva empresa abans de llançar o escalar un sistema d'intel·ligència artificial a Espanya.

 

Preguntes freqüents sobre l'AI Act 2026 per a empreses tecnològiques

L'AI Act s'aplica a qualsevol empresa que utilitzi intel·ligència artificial?

No totes les empreses tindran les mateixes obligacions. El nivell d'exigència depèn del rol de la empresa, del tipus de sistema, del sector i del risc que generi. No és el mateix utilitzar IA per filtrar correu brossa que fer-la servir per seleccionar personal, avaluar crèdit o donar suport a decisions sanitàries.

Una startup que utilitza una API d'IA externa també pot tenir obligacions?

Sí. Encara que el model sigui d'un tercer, la startup pot assumir obligacions si integra la IA en el seu producte, en defineix la finalitat, la comercialitza sota la seva marca o la utilitza per afectar clients, usuaris o treballadors.

Quins sistemes d'IA són d'alt risc?

Poden ser d'alt risc, entre d'altres, els sistemes utilitzats en ocupació, educació, infraestructures crítiques, accés a serveis essencials, determinats usos biomètrics, migració, justícia o productes regulats. Cada cas s'ha d'analitzar segons la finalitat real del sistema.

Quan s'aplica l'AI Act?

L'AI Act va entrar en vigor l'1 d'agost de 2024. Algunes obligacions ja són aplicables des del 2025 i el marc general es desplega el 2026, amb calendaris específics per a determinats sistemes d'alt risc.

L'AI Act substitueix el RGPD?

No. Si el sistema tracta dades personals, l'empresa ha de complir també el RGPD. En molts projectes d'IA, la revisió de protecció de dades serà tan important com la revisió de l'AI Act.

Quina documentació ha de preparar una empresa abans de llançar IA?

Com a mínim, convé preparar un inventari del sistema, la classificació de risc, la documentació tècnica, la revisió de dades, els contractes amb proveïdors, la informació a l'usuari, la política de supervisió humana, els registres, les proves i el procediment d'incidències.

Qui supervisa l'AI Act a Espanya?

Espanya va crear l'Agència Espanyola de Supervisió d'Intel·ligència Artificial, AESIA, mitjançant el Reial Decret 729/2023. El seu estatut preveu funcions de supervisió, certificació, formació, sensibilització i suport a l'ús responsable de la IA.

 

Continua llegint

 

Fonts principals

Té previst llançar o escalar un sistema d'IA a Espanya?

Revisem l'encaix legal del seu producte abans que es converteixi en un problema comercial, contractual o regulatori. En una primera conversa identifiquem el seu rol sota l'AI Act, el nivell de risc i els passos prioritaris següents.

  • Rol de la seva empresa: proveïdor, integrador o responsable del desplegament.
  • Classificació de risc del sistema i full de ruta documental.
  • Encaix combinat de l'AI Act, RGPD i els contractes amb clients i proveïdors.

Nueva llamada a la acción

Data de publicació: 12 de juliol, 2026

Última actualització: 12 de juliol, 2026