La regulació de la intel·ligència artificial a Europa continua evolucionant. El Parlament Europeu ha aprovat una modificació del Reglament d’Intel·ligència Artificial (AI Act) amb un doble objectiu: facilitar el compliment normatiu per part de les empreses i, alhora, reforçar la protecció de la ciutadania davant alguns dels usos més perillosos de la IA, com ara la generació d’imatges íntimes falses sense consentiment.
Aquestes novetats afecten directament les empreses que desenvolupen, comercialitzen o utilitzen sistemes d’intel·ligència artificial, per la qual cosa és important conèixer què canvia i com preparar-se.
Per què es modifica ara la Llei d’IA?
L’AI Act es va aprovar l’any 2024 com la primera regulació integral sobre intel·ligència artificial del món. Tanmateix, la seva implantació pràctica ha generat dubtes entre empreses, desenvolupadors i autoritats competents.
Moltes de les normes tècniques necessàries per aplicar correctament el Reglament encara no estaven disponibles, fet que podia generar inseguretat jurídica i dificultar el compliment de determinades obligacions.
Per aquest motiu, la Unió Europea ha aprovat un paquet de simplificació normativa («Digital Omnibus») que manté intacta la filosofia del Reglament —basada en la gestió del risc—, però adapta alguns terminis i elimina duplicitats amb altres normes sectorials.
Principals canvis aprovats
1. S’ajornen algunes obligacions per als sistemes d’IA d’alt risc
Un dels canvis més importants és l’ajornament de determinades obligacions aplicables als sistemes considerats d’alt risc.
Els nous terminis seran:
- 2 de desembre de 2027: obligacions per als sistemes d’IA d’alt risc independents.
- 2 d’agost de 2028: obligacions per als sistemes d’IA que formin part de productes regulats per normativa sectorial europea (com ara maquinària o determinats dispositius).
L’objectiu és donar més temps a empreses i organismes perquè disposin d’estàndards tècnics clars i facilitar una implementació homogènia.
És important destacar que aquest ajornament no suposa una suspensió de l’AI Act, sinó únicament d’algunes obligacions concretes.
2. S’ajorna l’obligació d’identificar determinats continguts generats per IA
Un altre dels canvis afecta l’obligació d’identificar mitjançant marques d’aigua («watermark») determinats continguts generats amb intel·ligència artificial.
Concretament, els sistemes comercialitzats abans del 2 d’agost de 2026 disposaran fins al 2 de desembre de 2026 per adaptar-se a aquesta obligació de transparència. A partir d’aquesta data, els continguts generats per IA hauran de poder identificar-se mitjançant mecanismes adequats de detecció.
Aquesta mesura pretén facilitar l’adaptació tecnològica sense renunciar a un dels principis fonamentals del Reglament: que els usuaris puguin distingir quan un contingut ha estat generat artificialment.
La gran novetat: prohibits els «nus falsos»
Probablement el canvi que ha tingut més repercussió mediàtica és la prohibició expressa de les eines conegudes com a «nudificadors» o generadors de nus falsos mitjançant intel·ligència artificial.
A partir de l’entrada en vigor d’aquesta modificació, quedaran prohibits els sistemes capaços de generar:
- imatges íntimes falses de persones identificables;
- vídeos sexualment explícits creats sense consentiment;
- àudios amb contingut sexual no consentit;
- material d’abús sexual infantil generat mitjançant IA.
Aquesta prohibició respon al fort increment dels anomenats deepfakes sexuals, utilitzats per humiliar, assetjar o extorsionar persones mitjançant imatges completament falses creades amb intel·ligència artificial.
El Parlament Europeu ha assenyalat que aquest tipus d’eines afecten especialment dones i menors, constituint un greu atac contra la dignitat, la privacitat i els drets fonamentals.
Què són exactament els «nus falsos»?
Es tracta d’aplicacions d’intel·ligència artificial capaces de modificar fotografies reals per simular que una persona apareix nua o participant en actes de contingut sexual.
Tot i que la imatge sigui completament falsa, sovint resulta extremadament difícil distingir-la d’una fotografia autèntica.
Durant els darrers anys aquest fenomen ha crescut de manera exponencial a causa de la facilitat amb què qualsevol usuari pot accedir a aquestes eines a través d’Internet.
Precisament per aquest motiu, la Unió Europea ha decidit prohibir directament la seva comercialització i utilització.
Es manté l’enfocament basat en el risc
Malgrat aquestes modificacions, l’estructura principal de l’AI Act es manté intacta.
La regulació continua classificant els sistemes d’intel·ligència artificial segons el nivell de risc que representen:
- Risc inacceptable (prohibits).
- Alt risc.
- Risc limitat.
- Risc mínim.
Cada categoria continuarà tenint obligacions específiques en matèria de documentació, transparència, supervisió humana, qualitat de les dades o gestió del risc.
Què significa això per a les empreses?
Encara que alguns terminis s’hagin ampliat, les empreses no haurien d’interpretar aquesta decisió com una invitació a esperar.
De fet, moltes obligacions ja són plenament aplicables.
Entre elles destaquen:
- el compliment del RGPD quan s’utilitzen eines d’IA que tracten dades personals;
- l’obligació de garantir un nivell suficient d’alfabetització en IA per al personal que utilitza aquests sistemes (article 4 de l’AI Act);
- la necessitat d’implantar polítiques internes d’ús responsable de la intel·ligència artificial;
- l’avaluació dels riscos dels sistemes utilitzats.
En altres paraules, el temps addicional concedit per Europa s’ha d’aprofitar per preparar-se correctament.
La intel·ligència artificial ja forma part del dia a dia de les empreses
Avui és habitual trobar organitzacions que utilitzen eines com ChatGPT, Copilot, Gemini o Claude per:
- redactar documents;
- atendre consultes de clients;
- elaborar informes;
- generar codi;
- automatitzar processos interns.
No obstant això, moltes d’aquestes empreses encara no disposen de:
- una política interna d’ús de la IA;
- criteris sobre quina informació es pot compartir;
- revisió dels contractes amb els proveïdors;
- documentació adaptada al RGPD i a l’AI Act.
Aquesta situació genera riscos legals que poden evitar-se mitjançant una adequada governança de la intel·ligència artificial.
Com es poden preparar les empreses?
La millor estratègia consisteix a començar al més aviat possible un procés d’adaptació progressiva.
Entre les principals actuacions destaquen:
- identificar totes les eines d’IA utilitzades dins l’organització;
- analitzar els tractaments de dades personals associats;
- revisar els contractes amb els proveïdors tecnològics;
- actualitzar la documentació de protecció de dades;
- elaborar polítiques internes d’ús responsable;
- formar els treballadors;
- implantar mecanismes de supervisió i control.
D’aquesta manera, quan entrin en vigor les noves obligacions, l’organització ja disposarà d’una base sòlida de compliment normatiu.
La Unió Europea continua apostant per una intel·ligència artificial segura, ètica i respectuosa amb els drets fonamentals.
Les modificacions aprovades recentment busquen oferir una major seguretat jurídica a les empreses mitjançant l’ajornament de determinats terminis, però al mateix temps reforcen la protecció de les persones prohibint expressament eines especialment perilloses, com els generadors de nus falsos mitjançant intel·ligència artificial.
La intel·ligència artificial continuarà transformant la manera de treballar de les organitzacions, però aquesta transformació s’ha de dur a terme amb garanties jurídiques, tècniques i organitzatives.
La teva empresa utilitza eines d’intel·ligència artificial?
A PymeLegal ajudem empreses i organitzacions a implantar la intel·ligència artificial de manera segura i conforme al RGPD i al Reglament Europeu d’Intel·ligència Artificial (AI Act).
Analitzem els riscos, revisem la documentació necessària, elaborem polítiques internes d’ús de la IA i acompanyem les empreses en el seu procés d’adaptació normativa perquè puguin aprofitar tot el potencial de la intel·ligència artificial amb seguretat i confiança.