Primer, una precisió que els titulars d'avui no estan fent bé: la llei NO s'ha votat al Congrés. El que ha passat avui és que el Consell de Ministres ha aprovat el projecte de llei i comença la tramitació parlamentària per via d'urgència. Encara pot tenir esmenes. Però l'estructura base ja està definida i, sobretot, el Reglament Europeu d'IA (l'AI Act) ja és vigent i s'aplica per fases: les prohibicions des del febrer del 2025, les obligacions dels models d'IA d'ús general (GPAI) des de l'agost del 2025, i les obligacions de transparència i les d'alt risc a partir de l'agost del 2026 (amb un retard probable de l'alt risc que t'explico més avall).
Què vol dir això per a tu, que tens una pime al Penedès, a Tarragona o on sigui? Que tinguis o no la llei espanyola publicada al BOE, l'AI Act europeu ja t'obliga. La llei espanyola només adapta l'AI Act al nostre ordenament jurídic i defineix qui inspecciona i qui sanciona aquí: l'AESIA (Agència Espanyola de Supervisió de la IA), amb seu a la Corunya.
L'AESIA ja opera des de febrer de 2025 i té plena autoritat sancionadora des del 2 d'agost de 2025. La novetat d'avui és que el projecte de llei espanyola fixa les sancions concretes en l'ordenament intern, defineix pràctiques prohibides addicionals (com els deepfakes sexuals) i estableix com es coordinaran les diferents autoritats.
Per què t'afecta encara que "només" facis servir ChatGPT
Aquesta és la confusió més habitual: "però jo no construeixo IA, només la faig servir". L'AI Act distingeix dos rols: proveïdor (qui desenvolupa el sistema d'IA i el comercialitza) i desplegador (qui el fa servir dins la seva organització). El segon ets tu si:
- Utilitzes ChatGPT, Claude, Gemini o qualsevol assistent per generar text que arribarà a clients.
- Tens un agent IA al WhatsApp o al web que respon consultes.
- Utilitzes eines amb IA per scoring de leads, classificació de currículums o avaluació de proveïdors.
- Fas servir generació d'imatges o vídeo amb IA per a campanyes.
- Tens algun sistema de recomanació o personalització que aprèn dels usuaris.
Si fas qualsevol d'aquestes coses, ets desplegador d'IA als ulls de la llei. I tens obligacions. Diferents segons el risc, però existeixen.
Les quatre categories de risc (i on caus tu)
L'AI Act classifica els sistemes d'IA en quatre nivells. Cada nivell té obligacions diferents.
1. Risc inacceptable (prohibits)
Sistemes que no es poden utilitzar mai. Si la teva pime fa alguna d'aquestes coses, has de parar avui:
- Tècniques subliminals o manipulació psicològica per influir en decisions sense consentiment.
- Explotació de vulnerabilitats per edat, situació socioeconòmica o discapacitat.
- Puntuació social de persones (estil social credit).
- Classificació biomètrica per raça, orientació política o religiosa.
- Identificació biomètrica remota en temps real a espais públics (amb excepcions estrictes).
- Nou a Espanya: generació de deepfakes sexuals no consentits i chatbots que identifiquin usuaris amb addicció al joc per atraure'ls a plataformes.
2. Alt risc (obligacions estrictes)
Sistemes permesos però amb compliance fort. Inclou:
- Selecció de personal i avaluació laboral (filtres de CV amb IA).
- Concessió de crèdit i scoring crediticí.
- Educació reglada (qualificacions automàtiques, admissions).
- Sanitat (suport diagnòstic).
- Infraestructures crítiques (xarxes elèctriques, aigua, transport).
- Accés a serveis essencials (públics o privats).
Si caus aquí (per exemple, una gestoria que fa servir un sistema d'IA per pre-filtrar CVs de candidats), la teva carrega de compliance és seriosa: avaluació de riscos documentada, governança de dades, documentació tècnica, registre d'activitats, supervisió humana real (no només "el botó d'aprovar"), transparència cap a l'usuari afectat i declaració de conformitat.
3. Risc limitat (transparència)
On cau la majoria de pimes que utilitzen IA generativa:
- Chatbots i agents conversacionals.
- Generació de contingut amb IA (text, imatge, vídeo) destinat al públic.
- Sistemes de reconeixement d'emocions (en contextos no prohibits).
- Deepfakes legítims (no els sexuals, que estan prohibits).
L'obligació principal aquí és transparència: l'usuari ha de saber clarament que està interactuant amb una IA o que un contingut ha estat generat per IA. No hi ha multes draconianes si compleixes això i, en general, els proveïdors d'IA grans (OpenAI, Anthropic, Google) ja t'ho posen fàcil amb marques visibles i metadades.
4. Risc mínim (sense obligacions específiques)
Filtres de spam, recomanadors bàsics, generadors d'imatges no destinats al públic. Sense obligacions específiques, però la norma exigeix que tinguis "alfabetització d'IA" suficient en l'equip: que la gent que fa servir aquestes eines entengui què fan i quins són els seus límits.
Les sancions: el rang que importa
Aquí és on els titulars criden l'atenció: fins a 35 milions d'euros o el 7% de la facturació anual mundial, el que sigui més gran. Però cal entendre el rang:
- Lleus: fins a 500.000 € o el 0,5% de la facturació.
- Greus: fins a 7,5 milions o l'1,5% de la facturació (incompliment d'obligacions per a sistemes d'alt risc).
- Molt greus: fins a 35 milions o el 7% de la facturació (utilitzar sistemes prohibits).
Per a una pime de 500K€ de facturació anual, una sanció lleu seria de 2.500 € (el 0,5%). No és catastròfic, però sumat al cost reputacional i al fet que AESIA pot retirar el sistema d'IA del mercat provisionalment, és un risc innecessari.
El meu missatge aquí és simple: les pimes no han de patir per multes milionàries del titular. Han d'entendre quina és la seva categoria de risc, complir les obligacions corresponents (que en risc limitat són senzilles) i documentar-ho mínimament. La complicació real és per a sistemes d'alt risc, que poques pimes despleguen.
El calendari real
Les dates que importen:
- 2 de febrer de 2025: Prohibicions ja en vigor. Si fas servir un sistema prohibit, ja estàs en infracció.
- 2 d'agost de 2025: AESIA assumeix plena autoritat sancionadora a Espanya.
- 2 d'agost de 2026: data per defecte per a les obligacions dels sistemes d'alt risc (Annex III) i per a la transparència (art. 50): avisar que un chatbot és una IA i revelar determinats continguts sintètics quan escaigui.
- 2 d'agost de 2027: sistemes d'IA d'alt risc integrats en productes regulats (Annex I).
I aquí hi ha un matís important. La Comissió Europea va proposar el novembre del 2025 el Digital Omnibus (COM(2025)836), un paquet que proposa retardar l'aplicació de les obligacions d'alt risc: l'Annex III (ocupació, puntuació creditícia, serveis essencials) passaria del 2 d'agost de 2026 a finals del 2027 (la proposta situa l'Annex III al 2 de desembre de 2027), i l'Annex I (IA dins de productes regulats) cap al 2 d'agost de 2028. Però compte: el juny de 2026 això és una proposta en tramitació (procediment 2025/0359(COD)), no dret vigent. Mentre no es publiqui al Diari Oficial de la UE, la data aplicable per a l'alt risc de l'Annex III continua sent el 2 d'agost de 2026. I l'Omnibus no ajorna ni les prohibicions (vigents des del febrer del 2025) ni la data general d'aplicació de la transparència de l'art. 50.
Què faig jo amb això? Planifico de manera conservadora cap a l'agost del 2026, perquè el retard encara no és segur, sabent que probablement tindré més marge del que diu el calendari per defecte. Comprova la data definitiva abans de decidir res amb impacte jurídic.
Què has de fer aquesta setmana (els 5 passos pragmàtics)
Si tens una pime i fas servir IA d'alguna manera, fes això aquest any (les prohibicions i la formació ja estan en vigor des del febrer del 2025, i la transparència arriba a l'agost del 2026):
1. Inventari real d'IA en ús.
Fes una llista de tots els sistemes d'IA que utilitza el teu equip. Inclou ChatGPT (i amb quin nivell: Free, Plus, Business?), Claude, Gemini, Copilot, eines de scoring de leads, generadors d'imatges, recomanadors a la web, agents al WhatsApp, etc. Tothom hi tendeix a oblidar el 30% real.
2. Classifica cada sistema en una categoria de risc.
Per a cadascun, identifica si està prohibit, és d'alt risc, de risc limitat o de risc mínim. La eina de diagnòstic gratuïta que he creat et fa aquesta classificació en cinc minuts.
3. Documenta el propòsit i les dades de cada sistema.
Per a cada IA, anota: per a què la utilitzes (cas d'ús concret), quines dades li dones (especialment si són personals), qui supervisa les seves sortides, i com informes els usuaris afectats. No cal un PDF de 50 pàgines; un document de 2 pàgines per sistema és suficient per a la majoria de pimes.
4. Posa marcadors de transparència on calgui.
Si tens un chatbot, ha de dir clarament que és una IA al primer missatge. Si publiques imatges generades per IA al teu web o xarxes, marca-les. Si fas servir scoring automàtic per a clients (per exemple, per decidir qui rep una proposta abans), informa que hi ha un component automatitzat i ofereix revisió humana a petició.
5. Forma l'equip (alfabetització d'IA).
L'AI Act exigeix que les persones que utilitzen IA entenguin què fan aquests sistemes. Per a una pime, això vol dir una sessió formativa d'una o dues hores explicant com funciona la IA generativa, què pot fer bé i què no, quins biaixos pot tenir i com revisar les seves sortides. No cal un màster: cal entendre els fonaments.
Si caus en alt risc: la conversa és més seriosa
Si la teva pime té sistemes d'alt risc (selecció de personal, scoring crediticí, sanitat, infraestructures), no facis-ho pel teu compte. Necessites un compliance officer o un consultor extern que t'ajudi a muntar el sistema de gestió de riscos, la documentació tècnica i el procés de declaració de conformitat. El cost d'aquest compliance és real (entre 5K i 20K en consultoria per a una pime típica), però és una fracció del que pots pagar en sancions o en haver de retirar el sistema.
Per què sóc relativament optimista (però alerta)
L'AI Act és la primera regulació seriosa d'IA al món i, en general, està ben dissenyada. La distinció per nivells de risc és sensata: no posa la mateixa càrrega a algú que fa servir ChatGPT per escriure correus que a algú que decideix qui rep un crèdit hipotecari. Per a la majoria de pimes catalanes que fan servir IA generativa "normal", el compliance real és gestionable: transparència, supervisió humana, documentació mínima.
Però hi ha tres alertes que cal recordar:
- L'AESIA pot inspeccionar i sancionar sense necessitat que t'haguessin avisat abans. No hi ha període de gràcia formal per a sistemes prohibits o per a transparència bàsica.
- Les denúncies poden venir de competidors, clients descontents o exempleats. No cal que sigui inspecció proactiva de l'AESIA.
- El cost real no és la sanció: és haver de retirar un sistema d'IA que ja tens integrat al negoci.
Recursos oficials
- AESIA: Agència Espanyola de Supervisió de la IA
- Text complet de l'AI Act (en anglès, amb explicacions)
- Reglament UE 2024/1689 al BOE europeu (en castellà)
- Espanya Digital 2026: informació del Govern espanyol
Eina pràctica: classifica la teva IA en 5 minuts
He construït una eina de diagnòstic gratuïta. Respons sis preguntes sobre com fa servir IA la teva empresa i et dóna: la categoria de risc on caus, una llista concreta d'obligacions específiques per al teu cas, i una checklist de passos pràctics per posar-te al dia.
Cap registre, cap email, res que enviem a tercers. Tot el processament passa al teu navegador. La fas servir, te'n vas amb el resultat.
Emporta't la guia pràctica (gratis, sense registre)
He reunit tot això en una guia pràctica en PDF per preparar la teva pime davant l'AI Act, el DSA i el RGPD, amb una checklist d'autoavaluació d'una pàgina. Descarrega-les directament, sense deixar el correu:
Informació general i orientativa, no assessorament jurídic individual ni certificació de compliment. Sense afiliació ni aval de l'AESIA, l'AEPD ni la UE. Edició tancada el juny del 2026: verifica les dates i l'estat de tramitació abans de prendre decisions amb impacte legal.
Si caus en alt risc o vols ajuda per documentar el teu compliance
No vull ser el teu compliance officer permanent: això ho fan millor els despatxos jurídics especialitzats. Però sí puc ajudar-te a muntar el inventari inicial, classificar els teus sistemes, posar els marcadors de transparència on calgui i fer la formació d'alfabetització d'IA per al teu equip. Tres o quatre sessions i tens la base feta.
Parlem-ne 15 minuts