La nova Llei IA d'Espanya: què canvia per a la teva PIME.

Primer, una precisió que els titulars d'avui no estan fent bé: la llei NO s'ha votat al Congrés. El que ha passat avui és que el Consell de Ministres ha aprovat el projecte de llei i comença la tramitació parlamentària per via d'urgència. Encara pot tenir esmenes. Però l'estructura base ja està definida i, sobretot, el Reglament Europeu d'IA (l'AI Act) ja és vigent i a partir del 2 d'agost de 2026 entrarà en plena aplicació amb règim sancionador inclòs.

Què vol dir això per a tu, que tens una pime al Penedès, a Tarragona o on sigui? Que tinguis o no la llei espanyola publicada al BOE, l'AI Act europeu ja t'obliga. La llei espanyola només adapta l'AI Act al nostre ordenament jurídic i defineix qui inspecciona i qui sanciona aquí: l'AESIA (Agència Espanyola de Supervisió de la IA), amb seu a la Corunya.

L'AESIA ja opera des de febrer de 2025 i té plena autoritat sancionadora des del 2 d'agost de 2025. La novetat d'avui és que el projecte de llei espanyola fixa les sancions concretes en l'ordenament intern, defineix pràctiques prohibides addicionals (com els deepfakes sexuals) i estableix com es coordinaran les diferents autoritats.

Per què t'afecta encara que "només" facis servir ChatGPT

Aquesta és la confusió més habitual: "però jo no construeixo IA, només la faig servir". L'AI Act distingeix dos rols: proveïdor (qui desenvolupa el sistema d'IA i el comercialitza) i desplegador (qui el fa servir dins la seva organització). El segon ets tu si:

• Utilitzes ChatGPT, Claude, Gemini o qualsevol assistent per generar text que arribarà a clients.
• Tens un agent IA al WhatsApp o al web que respon consultes.
• Utilitzes eines amb IA per scoring de leads, classificació de currículums o avaluació de proveïdors.
• Fas servir generació d'imatges o vídeo amb IA per a campanyes.
• Tens algun sistema de recomanació o personalització que aprèn dels usuaris.

Si fas qualsevol d'aquestes coses, ets desplegador d'IA als ulls de la llei. I tens obligacions. Diferents segons el risc, però existeixen.

Les quatre categories de risc (i on caus tu)

L'AI Act classifica els sistemes d'IA en quatre nivells. Cada nivell té obligacions diferents.

1. Risc inacceptable (prohibits)

Sistemes que no es poden utilitzar mai. Si la teva pime fa alguna d'aquestes coses, has de parar avui:

• Tècniques subliminals o manipulació psicològica per influir en decisions sense consentiment.
• Explotació de vulnerabilitats per edat, situació socioeconòmica o discapacitat.
• Puntuació social de persones (estil social credit).
• Classificació biomètrica per raça, orientació política o religiosa.
• Identificació biomètrica remota en temps real a espais públics (amb excepcions estrictes).
• Nou a Espanya: generació de deepfakes sexuals no consentits i chatbots que identifiquin usuaris amb addicció al joc per atraure'ls a plataformes.

2. Alt risc (obligacions estrictes)

Sistemes permesos però amb compliance fort. Inclou:

• Selecció de personal i avaluació laboral (filtres de CV amb IA).
• Concessió de crèdit i scoring crediticí.
• Educació reglada (qualificacions automàtiques, admissions).
• Sanitat (suport diagnòstic).
• Infraestructures crítiques (xarxes elèctriques, aigua, transport).
• Accés a serveis essencials (públics o privats).

Si caus aquí (per exemple, una gestoria que fa servir un sistema d'IA per pre-filtrar CVs de candidats), la teva carrega de compliance és seriosa: avaluació de riscos documentada, governança de dades, documentació tècnica, registre d'activitats, supervisió humana real (no només "el botó d'aprovar"), transparència cap a l'usuari afectat i declaració de conformitat.

3. Risc limitat (transparència)

On cau la majoria de pimes que utilitzen IA generativa:

• Chatbots i agents conversacionals.
• Generació de contingut amb IA (text, imatge, vídeo) destinat al públic.
• Sistemes de reconeixement d'emocions (en contextos no prohibits).
• Deepfakes legítims (no els sexuals, que estan prohibits).

L'obligació principal aquí és transparència: l'usuari ha de saber clarament que està interactuant amb una IA o que un contingut ha estat generat per IA. No hi ha multes draconianes si compleixes això i, en general, els proveïdors d'IA grans (OpenAI, Anthropic, Google) ja t'ho posen fàcil amb marques visibles i metadades.

4. Risc mínim (sense obligacions específiques)

Filtres de spam, recomanadors bàsics, generadors d'imatges no destinats al públic. Sense obligacions específiques, però la norma exigeix que tinguis "alfabetització d'IA" suficient en l'equip: que la gent que fa servir aquestes eines entengui què fan i quins són els seus límits.

Les sancions: el rang que importa

Aquí és on els titulars criden l'atenció: fins a 35 milions d'euros o el 7% de la facturació anual mundial, el que sigui més gran. Però cal entendre el rang:

• Lleus: fins a 500.000 € o el 0,5% de la facturació.
• Greus: fins a 7,5 milions o l'1,5% de la facturació (incompliment d'obligacions per a sistemes d'alt risc).
• Molt greus: fins a 35 milions o el 7% de la facturació (utilitzar sistemes prohibits).

Per a una pime de 500K€ de facturació anual, una sanció lleu seria de 2.500 € (el 0,5%). No és catastròfic, però sumat al cost reputacional i al fet que AESIA pot retirar el sistema d'IA del mercat provisionalment, és un risc innecessari.

El meu missatge aquí és simple: les pimes no han de patir per multes milionàries del titular. Han d'entendre quina és la seva categoria de risc, complir les obligacions corresponents (que en risc limitat són senzilles) i documentar-ho mínimament. La complicació real és per a sistemes d'alt risc, que poques pimes despleguen.

El calendari real

Les dates que importen:

• 2 de febrer de 2025: Prohibicions ja en vigor. Si fas servir un sistema prohibit, ja estàs en infracció.
• 2 d'agost de 2025: AESIA assumeix plena autoritat sancionadora a Espanya.
• 2 d'agost de 2026: Aplicació plena de l'AI Act, incloent obligacions per a sistemes d'alt risc i règim sancionador europeu complet.
• 2 d'agost de 2027: Obligacions plenes per a tots els sistemes d'IA "de propòsit general" (GPAI), és a dir, models foundation com GPT-4, Claude, etc.

Què has de fer aquesta setmana (els 5 passos pragmàtics)

Si tens una pime i fas servir IA d'alguna manera, fes això abans del 2 d'agost:

1. Inventari real d'IA en ús.

Fes una llista de tots els sistemes d'IA que utilitza el teu equip. Inclou ChatGPT (i amb quin nivell — Free, Plus, Business?), Claude, Gemini, Copilot, eines de scoring de leads, generadors d'imatges, recomanadors a la web, agents al WhatsApp, etc. Tothom hi tendeix a oblidar el 30% real.

2. Classifica cada sistema en una categoria de risc.

Per a cadascun, identifica si està prohibit, és d'alt risc, de risc limitat o de risc mínim. La eina de diagnòstic gratuïta que he creat et fa aquesta classificació en cinc minuts.

3. Documenta el propòsit i les dades de cada sistema.

Per a cada IA, anota: per a què la utilitzes (cas d'ús concret), quines dades li dones (especialment si són personals), qui supervisa les seves sortides, i com informes els usuaris afectats. No cal un PDF de 50 pàgines; un document de 2 pàgines per sistema és suficient per a la majoria de pimes.

4. Posa marcadors de transparència on calgui.

Si tens un chatbot, ha de dir clarament que és una IA al primer missatge. Si publiques imatges generades per IA al teu web o xarxes, marca-les. Si fas servir scoring automàtic per a clients (per exemple, per decidir qui rep una proposta abans), informa que hi ha un component automatitzat i ofereix revisió humana a petició.

5. Forma l'equip (alfabetització d'IA).

L'AI Act exigeix que les persones que utilitzen IA entenguin què fan aquests sistemes. Per a una pime, això vol dir una sessió formativa d'una o dues hores explicant com funciona la IA generativa, què pot fer bé i què no, quins biaixos pot tenir i com revisar les seves sortides. No cal un màster — cal entendre els fonaments.

Si caus en alt risc: la conversa és més seriosa

Si la teva pime té sistemes d'alt risc (selecció de personal, scoring crediticí, sanitat, infraestructures), no facis-ho pel teu compte. Necessites un compliance officer o un consultor extern que t'ajudi a muntar el sistema de gestió de riscos, la documentació tècnica i el procés de declaració de conformitat. El cost d'aquest compliance és real (entre 5K i 20K en consultoria per a una pime típica), però és una fracció del que pots pagar en sancions o en haver de retirar el sistema.

Per què sóc relativament optimista (però alerta)

L'AI Act és la primera regulació seriosa d'IA al món i, en general, està ben dissenyada. La distinció per nivells de risc és sensata: no posa la mateixa càrrega a algú que fa servir ChatGPT per escriure correus que a algú que decideix qui rep un crèdit hipotecari. Per a la majoria de pimes catalanes que fan servir IA generativa "normal", el compliance real és gestionable: transparència, supervisió humana, documentació mínima.

Però hi ha tres alertes que cal recordar:

• L'AESIA pot inspeccionar i sancionar sense necessitat que t'haguessin avisat abans. No hi ha període de gràcia formal per a sistemes prohibits o per a transparència bàsica.
• Les denúncies poden venir de competidors, clients descontents o exempleats. No cal que sigui inspecció proactiva de l'AESIA.
• El cost real no és la sanció — és haver de retirar un sistema d'IA que ja tens integrat al negoci.

Recursos oficials

• AESIA — Agència Espanyola de Supervisió de la IA
• Text complet de l'AI Act (en anglès, amb explicacions)
• Reglament UE 2024/1689 al BOE europeu (en castellà)
• Espanya Digital 2026 — informació del Govern espanyol

Eina pràctica: classifica la teva IA en 5 minuts

He construït una eina de diagnòstic gratuïta. Respons sis preguntes sobre com fa servir IA la teva empresa i et dóna: la categoria de risc on caus, una llista concreta d'obligacions específiques per al teu cas, i una checklist de pasos a fer abans del 2 d'agost.

Cap registre, cap email, res que enviem a tercers. Tot el processament passa al teu navegador. La fas servir, te'n vas amb el resultat.