14/02/2026 12:10 h.

Què implica el Reglament Europeu d’IA (RIA) en el teu dia a dia?

Comparteix

Endinsant-nos en les Guies del Sandbox d'IA de l'AESIA 1, 2 i 3, què implica el Reglament Europeu d’IA (RIA) en el dia a dia d’un ens local?

El RIA estableix les bases perquè l’ús de la IA a l’administració sigui segur, ètic i transparent. Per als ens locals, això implica conèixer uns mínims imprescindibles: què és un sistema d’IA, quins riscos pot comportar, qui assumeix cada responsabilitat i quins requisits s’han de complir abans de posar-lo en funcionament.

Abans d’implantar qualsevol sistema —especialment si és d’alt risc— cal garantir una Avaluació d’Impacte en Drets Fonamentals (AIDF ó FRIA, sigles en anglès), establir supervisió humana, disposar de documentació i traçabilitat, activar mecanismes de vigilància contínua i assegurar que el proveïdor compleix l’avaluació de conformitat que exigeix el RIA.

Tots aquests elements s’han d’integrar des de la fase de licitació i consolidar-se en els procediments de posada en marxa, per protegir la ciutadania i garantir un ús responsable i fiable de la IA en l’àmbit públic.

1) Posa nom a les coses: què és un Sistema d’IA, què és un Model d’IA i què queda fora

Quan parlem d’intel·ligència artificial, és important distingir bé els conceptes bàsics. Aquesta diferència et permetrà saber què regula el RIA i què no entra dins del seu abast.

Sistema d’IA

És un sistema basat en una màquina dissenyat per funcionar amb diversos nivells d’autonomia i que pot mostrar capacitat d’adaptació després del desplegament. Utilitza dades d'entrada per inferir com generar sortides (prediccions, recomanacions o decisions).

Model d’IA

És el nucli matemàtic o estadístic que fa possible la intel·ligència del sistema.
Normalment està pre‑entrenat amb grans quantitats de dades i dota el sistema de capacitats com predir, classificar o generar continguts (com passa amb els models de propòsit general).

Què NO és IA

No considerem IA els sistemes que funcionen amb regles fixes i predeterminades, com ara algoritmes totalment deterministes que només segueixen instruccions del tipus “si passa A, fes B”.
Aquests sistemes no aprenen ni s’adapten i, per tant, queden fora del marc del RIA.

Idees clau

Si un sistema no aprèn, no s’adapta i no mostra autonomia, no és IA: és automatització tradicional.
I només els sistemes d’IA, tal com s’han definit, queden subjectes a les obligacions del RIA.

2) El RIA, dit planer: exclusions i pràctiques prohibides

El RIA no regula tecnologies, sinó els casos d’ús de la intel·ligència artificial. L’objectiu és garantir que la implantació de la IA a Europa sigui segura, ètica i transparent, i que les administracions i les empreses operin en un marc de seguretat jurídica dins d’un mercat únic coherent i fiable.

El reglament s’aplica tant als sistemes d’IA com als models d’IA de propòsit general, però deixa fora determinats àmbits, com ara:

  • projectes de recerca i desenvolupament,
  • programari de codi obert mentre no es comercialitza ni es posa en servei al mercat de la Unió,
  • aplicacions d’ús militar o de seguretat nacional,
  • i usos exclusivament personals.

En resum: el RIA entra en joc allà on la IA interactua amb la societat, afecta drets o participa en serveis públics o essencials. Allà on no hi ha impacte extern, el reglament no hi intervé.

Atenció: IA Prohibida. Abans de contractar, verifica que el sistema no incorpora pràctiques prohibides, com ara:

  • Tècniques subliminals o manipuladores.
  • Sistemes de puntuació social (social scoring).
  • Identificació biomètrica remota en temps real en espais públics per a l'aplicació de la llei (tret d'excepcions molt limitades).

Alerta jurídica: quan l'Ajuntament passa a ser "Proveïdor"

Com a norma general, l'ens local és el responsable del desplegament (deployer). No obstant això, passarà a assumir totes les obligacions legals del proveïdor si:

  • Posa el seu nom o marca en un sistema d'alt risc ja existent.
  • Realitza una modificació substancial en un sistema d'alt risc.
  • Modifica la finalitat prevista del sistema perquè passi a ser d'alt risc

3) Qui vigila què (i a qui truquem)?

El RIA estableix un sistema de supervisió amb diversos actors, cadascun amb un paper diferent en la garantia que els sistemes d’IA funcionin de manera segura, conforme i sota control. Els tres rols principals són:

Autoritat Notificant (AN)

És l’òrgan que designa i supervisa els Organismes Notificats (ON). Vetlla perquè aquests organismes compleixin tots els requisits de competència i independència establerts pel RIA.

Organisme Notificat (ON)

És l’entitat encarregada de fer la certificació dels sistemes d’IA d’alt risc. Quan correspon, avalua la conformitat del sistema abans de la seva posada en marxa i emet els certificats corresponents.

Autoritat de Vigilància del Mercat (AVM)

Supervisa el correcte compliment del RIA tant abans com després de la posada en servei d’un sistema d’IA. Pot controlar, inspeccionar i sancionar en cas d’incompliment, i té un paper reforçat en àmbits sensibles com la identificació biomètrica en contextos policials, migratoris o d’asil.

I a la pràctica, a qui correspon cada àmbit a Espanya?

  • Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA): supervisa els sistemes d’alt risc en infraestructures crítiques, educació, ocupació, accés a serveis públics i priorització de serveis d’emergència.
  • Ministeri d’Indústria: sistemes d’IA integrats en maquinària, ascensors, equips a pressió i entorns industrials similars.
  • Agència Espanyola del Medicament (AEMPS): productes sanitaris i diagnòstic in vitro.
  • Agència Espanyola de Protecció de Dades (AEPD): sistemes d’identificació biomètrica utilitzats per a l’aplicació de la llei i la gestió de fronteres.
  • Altres autoritats sectorials: Consum (joguines), Transports (embarcacions de recreació), CGPJ (Justícia) i organismes del sector financer (BCE i CNMV).

En resum

Hi ha tres nivells de vigilància (AN, ON i AVM) i diverses autoritats sectorials que en garanteixen l’aplicació. Saber qui és qui t’ajuda a identificar a qui adreçar-te quan el teu projecte d’IA toca àmbits sensibles o d’alt risc.

4) Semàfor de riscos: del prohibit al mínim

El RIA classifica els sistemes d’IA en quatre nivells de risc. Aquesta classificació determina quines obligacions s’apliquen i quin grau de control cal exercir en cada cas.

Risc inacceptable (prohibits)

Inclou aquells usos que vulneren drets fonamentals de manera directa o potencialment irreversible. El reglament els prohibeix, amb comptades excepcions: manipulació subliminalexplotació de vulnerabilitatspuntuació socialidentificació biomètrica massiva en espais públics per a finalitats policials.

Abans de contractar, assegura't que el sistema no incorpora pràctiques prohibides pel RIA, aquest tipus de sistemes no es poden licitar.

Alt risc

Aplega sistemes que poden tenir un impacte significatiu en la vida de les persones o en el funcionament de serveis essencials. Requereixen avaluació de conformitat, supervisió humana, gestió de riscos i documentació exhaustiva.
Inclou sistemes relacionats amb: biometriainfraestructures crítiqueseducacióocupacióaccés a serveis públics o privats essencialsadministració de justíciaprocessos democràtics.

Risc limitat

Sistemes que poden generar confusió o manipulació si no s’informa adequadament l’usuari. Per això, estan subjectes a obligacions de transparència. En formen part: xatbotsdeepfakescontinguts sintètics generats per IA.

Risc mínim

Inclou aplicacions d’IA d’ús comú amb impacte social baix o nul. No tenen requisits específics segons el RIA. Exemples: filtres spamIA en videojocsfuncionalitats bàsiques d’automatització.

Exemples d'usos a administració local (i per què sovint són d’alt risc)

En l’àmbit municipal, molts usos encaixen en la categoria d’alt risc segons el RIA i requereixen el màxim compliment. Alguns exemples:

  • Control d’assistència mitjançant reconeixement biomètric, especialment quan s’utilitzen trets facials o empremtes per verificar la presència del personal. Aquesta tecnologia afecta dades especialment sensibles i requereix garanties reforçades.
  • Avaluació i promoció d’empleats públics, quan les decisions es basen parcialment o totalment en resultats generats per sistemes d’IA. Aquest ús pot tenir impacte directe en la trajectòria professional de les persones i és considerat alt risc.
  • Predicció del risc d’exclusió social i valoració d’ajudes o subvencions, on la IA influeix en l'accés a serveis essencials o prestacions públiques. Són casos amb afectació clara a drets fonamentals i que exigeixen supervisió humana i una avaluació rigorosa.
    Per a la majoria de sistemes que utilitzaria un ens local (educació, ocupació, serveis socials essencials, etc.), l'avaluació de la conformitat es basa en un control intern realitzat pel propi proveïdor.
    Avaluant els exemples anteriors només el sistemes de control d’assistència a la feina mitjançant reconeixement biomètric requereix la intervenció d'un Organisme Notificat (ON).

5) Avaluació d’Impacte en Drets Fonamentals (AIDF ó FRIA, sigles en anglès): la teva assegurança de drets

Abans de desplegar un Sistema d'IA d'alt risc, els operadors del sector públic han de realitzar obligatòriament una AIDF. Aquesta avaluació ha d'identificar els riscos per a col·lectius afectats i les mesures de supervisió humana.

Pas administratiu final: Abans de la posada en servei, l'ens local s'ha de registrar a si mateix i al sistema en la base de dades de la UE gestionada per la Comissió Europea.

Així doncs, quan un ens públic vol posar en marxa un sistema d’IA d’alt risc, el primer pas obligatori és elaborar una AIDF. Aquesta avaluació és l’eina que permet anticipar com afectarà el sistema a les persones i garantir que la seva implantació es fa amb totes les garanties que exigeix el RIA.

La AIDF ha d’incloure, com a mínim:

  • una descripció dels processos d’ús del sistema,
  • la freqüència i el context d’aplicació,
  • els col·lectius potencialment afectats,
  • els riscos de perjudici que es poden produir,
  • les mesures de supervisió humana previstes,
  • i els mecanismes de reclamació perquè les persones usuàries puguin exercir els seus drets si cal.

En definitiva, la AIDF actua com una mesura de protecció preventiva, assegurant que qualsevol ús d’IA amb impacte rellevant s’implanta de forma responsable, transparent i respectuosa amb els drets fonamentals.

6) Obligacions clau en sistemes d’IA d’alt risc (el llistat que no et pots saltar)

Quan un sistema d’IA es classifica com a d’alt risc, el RIA estableix un conjunt d’obligacions que són irrenunciables. Aquestes obligacions garanteixen que el sistema es desenvolupa, es desplega i s’utilitza amb totes les garanties de seguretat, fiabilitat i protecció de drets

Les principals obligacions són:

  • Avaluació de conformitat: verificar que el sistema compleix tots els requisits aplicables abans de la seva posada en marxa.
  • Gestió de la qualitat: disposar d’un sistema formal que asseguri coherència, traçabilitat i bones pràctiques en totes les fases del cicle de vida.
  • Gestió de riscos: identificar, analitzar i mitigar els riscos potencials derivats de l’ús del sistema.
  • Supervisió humana: garantir que sempre hi ha un control efectiu per part de persones, amb capacitat d’intervenir i aturar el sistema si cal.
  • Governança de les dades: assegurar qualitat, integritat, representativitat i traçabilitat de les dades d’entrenament, validació i prova.
  • Transparència: proporcionar informació suficient perquè usuaris i afectats entenguin com funciona el sistema i en puguin detectar anomalies.
  • Precisió: mantenir nivells de rendiment i exactitud adequats i documentats.
  • Solidesa: garantir que el sistema funciona de manera estable, fiable i resilient davant variacions i errors.
  • Ciberseguretat: protegir el sistema contra vulneracions, manipulacions i accessos no autoritzats.
  • Registres: mantenir logs que permetin rastrejar el funcionament i les decisions del sistema.
  • Vigilància postcomercialització: monitorar el sistema un cop en ús, detectar comportaments anòmals i garantir que segueix complint els requisits.
  • Notificació d’incidents: comunicar de manera diligent qualsevol incident greu o fallada rellevant a les autoritats competents.
  • Documentació tècnica: recopilar i mantenir tota la documentació necessària perquè autoritats i usuaris puguin entendre, auditar i supervisar el sistema.

En conjunt, aquestes obligacions asseguren que els sistemes d’alt risc es despleguin amb màxima responsabilitat, minimitzant impactes adversos i garantint la protecció dels drets fonamentals.

7) Avaluació de conformitat: el "segell" de seguretat

L’avaluació de conformitat és el mecanisme que garanteix que un sistema d’IA d’alt risc compleix tots els requisits del RIA abans d’arribar a l’ús real. És un procés estructurat, però no ha de ser complicat si es té clar qui fa què, quan i per què.

Qui n’és responsable?

Sempre és responsabilitat del proveïdor demostrar que el sistema és conforme amb el reglament.

Quines vies hi ha?

Hi ha dues maneres de dur a terme aquesta avaluació:

  1. Control intern
    Per a la gran majoria de sistemes municipals (ajudes, ocupació, educació), l'avaluació la realitza el propi proveïdor mitjançant el seu sistema de gestió de la qualitat.
  2. Organisme Notificat (ON)
    Només cal un certificat d'un tercer independent en el cas de biometria (si no hi ha normes harmonitzades) o en productes regulats.

Quan s’ha de fer?

  • Abans de posar el sistema en servei.
  • Novament, si es produeixen modificacions substancials que puguin afectar el comportament, l’abast o els riscos del sistema.

Per què és necessari?

Per garantir tres elements essencials:

  • la seguretat de les persones,
  • la protecció de la salut,
  • i el respecte als drets fonamentals.

Suport a Pimes: El RIA preveu taxes reduïdes i documentació simplificada per a pimes i startups. Els ens locals poden fomentar la innovació local facilitant que aquestes empreses participin en sandboxes regulatoris.

Per garantir que un sistema d’IA d’alt risc compleix el RIA, el proveïdor ha d’aportar un conjunt d’evidències completes i verificables. Entre les més importants hi trobem:

  • Sistema de gestió de la qualitat
    Ha d’incloure processos, procediments i mecanismes que assegurin coherència, traçabilitat i control al llarg de tot el cicle de vida del sistema.
  • Pla de vigilància post‑comercialització
    Document que explica com es monitorarà el sistema un cop en ús: detecció d’anomalies, seguiment del rendiment, gestió de riscos i notificació d’incidents.
  • Documentació tècnica completa, que ha d'incloure com a mínim:
    • Finalitat prevista del sistema.
    • Perfils d’usuaris finals i context d’ús.
    • Característiques essencials del sistema i del model.
    • Accés al model i al sistema (incloent-hi condicions, limitacions i interfícies disponibles).
    • Conjunts de dades d’entrenament, validació i prova, amb les seves propietats i justificació d’ús.
    • Proves realitzades i resultats, incloent validació, verificació i avaluació de rendiment.
    • Documentació de l’API o d’altres eines d’accés remot que permetin auditar, monitorar i supervisar el sistema.

En conjunt, aquesta documentació permet a l’ens públic entendre com funciona el sistema, què pot fer, quins riscos té, i si es pot supervisar de manera efectiva durant tota la seva vida útil.

8) Traducció a plecs (licitació)

Inclou aquests requisits com a clàusules mínimes quan el projecte pugui ser d’alt risc:

  • Exigeix l’avaluació de conformitat
    Demana la Declaració UE de Conformitat i la documentació tècnica.. (Nota: en biometria o productes amb regulació específica, cal adjuntar també el certificat de l'ON)
  • Demana documentació tècnica i governança de dades
    Inclou finalitat prevista, context i usuaris, característiques essencials, i traçabilitat dels conjunts de dades d’entrenament/validació/prova (origen, qualitat, representativitat i mesures contra biaixos).
  • Demana fitxes descriptives (Model Cards): Exigeix documents visuals que resumeixin el rendiment, les limitacions i els biaixos detectats en el sistema.
  • Estableix la supervisió humana
    Defineix rols i responsabilitats, parades segures, criteris d’escalat i revisió de decisions/outputs; assegura capacitat d’intervenció de l’ens.
  • Garanteix la transparència amb la ciutadania
    Obliga a informar quan s’interactua amb xatbots o es mostren continguts sintètics; preveu textos d’avís i mecanismes de consulta/reclamació.
  • Assegura ciberseguretat i solidesa
    Requereix proves d’estrès, gestió de vulnerabilitats, plans de resiliència i criteris de disponibilitat i integritat.
  • Obliga a la conservació de registres i monitoratge
    Demana logs d’activitat, mètriques de precisió/rendiment, traçabilitat de versions de model i alertes d’incidents; defineix freqüència d’informes.
    El sistema ha de generar logs automàtics que l'ens local ha de conservar durant un mínim de sis mesos.
  • Activa la vigilància post‑comercialització
    Exigeix eines i canals perquè l’ens pugui monitorar, detectar anomalies, notificar incidents i sol·licitar correccions al proveïdor.
  • Preveu la FRIA abans del desplegament
    Inclou el compromís del proveïdor d’aportar tota la informació necessària i de col·laborar perquè l’ens elabori la FRIA prèvia a la posada en marxa.
  • Inclou formació i alfabetització en IA
    Demana formació inicial i contínua per al personal usuari i tècnic (ús segur, lectura de logs, resposta a incidents, criteris d’escalat i parada).

9) Un cop el sistema ja funciona: què has de controlar

La posada en marxa d’un sistema d’IA no n’és el punt final, sinó l’inici d’una fase crítica: la de l’ús real, on poden aparèixer comportaments nous o imprevistos. Per això, el RIA exigeix un monitoratge continu del sistema, especialment en el cas dels sistemes no deterministes i evolutius, que poden modificar el seu rendiment amb el temps.

A la pràctica, això implica:

  • Supervisar el funcionament de manera regular, revisant mètriques, resultats i qualsevol desviació respecte del comportament esperat.
  • Recollir experiències i incidències dels usuaris i del personal que interactua amb el sistema, per identificar senyals d’alerta o possibles danys.
  • Notificar qualsevol incident rellevant a les autoritats competents, d’acord amb el que estableix el RIA.
  • Aturar el sistema de manera segura si cal, informant el proveïdor.

Un cop el sistema funciona, l'ens local ha de monitorar-lo seguint el pla de vigilància postcomercialització del proveïdor. Notificació d'incidents: Si detectes un incident greu, has de notificar-ho immediatament al proveïdor. Només s'informarà directament l'Autoritat de Vigilància del Mercat (AESIA) si no s'aconsegueix contactar amb el proveïdor.

Aquesta fase és el que el reglament anomena vigilància post‑comercialització: un procés permanent que assegura que el sistema continua complint els requisits al llarg de tota la seva vida útil.