Beancount.io LogoBeancount.io

La Llei d'IA de la UE arriba a les empreses SaaS dels EUA aquest agost: Una guia pràctica de compliment

17 minuts de lecturaMike ThriftMike Thrift
La Llei d'IA de la UE arriba a les empreses SaaS dels EUA aquest agost: Una guia pràctica de compliment

Si envieu programari a un client a Berlín, París o Amsterdam —i el vostre producte utilitza la IA de gairebé qualsevol manera—, el 2 d'agost de 2026 és la data que hauríeu de marcar al vostre calendari de compliment. Aquest és el dia en què el Reglament (UE) 2024/1689, més conegut com la Llei d'IA de la UE (EU AI Act), serà plenament exigible pel que fa a les obligacions de transparència i quan s'activaran els poders d'execució de la Comissió sobre els models d'IA d'ús general. Les multes poden arribar al 7% del volum de negoci anual global. I no, no importa que la vostra seu central sigui a San Francisco, que els vostres servidors estiguin a Virgínia i que el vostre equip no hagi trepitjat mai Brussel·les.

La majoria dels fundadors dels EUA amb qui parlem tenen un model mental de la Llei d'IA de la UE manllevat del RGPD: uns quants bàners de galetes, una actualització de la política de privadesa, potser un Annex de Processament de Dades. La Llei d'IA és diferent. Regula el producte, no només les dades. Assigna obligacions per rol —proveïdor, desplegador, distribuïdor, importador, representant autoritzat— i imposa avaluacions de conformitat prèvies a la comercialització, documentació tècnica, seguiment postcomercialització i registre en una base de dades a escala de la UE abans que un sistema d'alt risc pugui arribar legalment a un usuari europeu. Les sancions són més grans que les del RGPD. El radi d'acció dels qüestionaris de contractació és més ampli. I la llei té un abast extraterritorial integrat a l'article 2.

Aquesta guia detalla el que les empreses SaaS dels EUA, els proveïdors de models fundacionals i els desenvolupadors d'agents d'IA realment han de fer d'aquí a les pròximes dates límit, aproximadament en l'ordre en què hauríeu de fer-ho.

Pas u: Esbrineu si la Llei us és aplicable

L'abast de la Llei és més ampli del que esperen la majoria dels fundadors dels EUA. L'article 2 abasta:

  • Proveïdors que comercialitzen sistemes d'IA al mercat de la UE o els posen en servei a la UE, independentment d'on estigui establert el proveïdor
  • Desplegadors (els vostres clients) situats a la UE
  • Proveïdors i desplegadors situats fora de la UE quan el resultat del sistema d'IA s'utilitza a la UE

Aquest últim punt és el parany. Si el vostre sistema d'IA amb seu als EUA processa una transcripció, genera un correu electrònic de màrqueting, puntua un currículum o resumeix un contracte, i el resultat resultant és utilitzat per un destinatari amb seu a la UE, esteu dins de l'abast encara que cap europeu toqui mai directament la vostra API. Un proveïdor de tecnologia jurídica dels EUA els resums del qual acaben en l'expedient d'un bufet d'advocats holandès està dins de l'abast. Una eina de contractació dels EUA les classificacions de candidats de la qual són revisades per un responsable de contractació a Munic està dins de l'abast. Un xatbot dels EUA integrat en una aplicació SaaS venuda a un client francès està dins de l'abast.

El filtre pràctic per a la majoria de les empreses SaaS B2B és més senzill: si algun dels vostres clients que paguen, o els usuaris finals dels vostres clients, es troben a la UE, assumiu que la Llei s'aplica i treballeu a partir d'aquí.

Pas dos: Classifiqueu el vostre rol i el nivell de risc del vostre sistema

La Llei assigna obligacions basant-se en el que feu, no en com us anomeneu. La majoria de les empreses SaaS cauen en una o més d'aquestes categories simultàniament:

  • Proveïdor — comercialitzeu un sistema d'IA al mercat sota el vostre propi nom o marca. Això inclou gairebé tots els proveïdors de SaaS que ofereixen funcions d'IA.
  • Desplegador — utilitzeu un sistema d'IA sota la vostra autoritat (per exemple, utilitzeu un model de tercers dins del vostre producte). Els desplegadors tenen obligacions més lleugeres que els proveïdors, però són reals.
  • Proveïdor de models d'IA d'ús general — desenvolupeu o ajusteu un model fundacional que és capaç de ser utilitzat en moltes tasques. La majoria de les empreses SaaS dels EUA no són proveïdors de GPAI (IA d'ús general); consumiu models de GPAI d'una altra persona. Però si ajusteu Llama o creeu el vostre propi model fundacional, podríeu haver creuat la línia.
  • Representant autoritzat — necessari per als proveïdors de fora de la UE de sistemes d'alt risc i models de GPAI (més informació sobre això a continuació).

La classificació del risc és el segon eix. La Llei crea quatre nivells:

NivellExemplesQuè significa
Inacceptable (Article 5)Classificació social, reconeixement d'emocions al lloc de treball, raspat facial no selectiuProhibit totalment a partir del 2 de febrer de 2025
Alt risc (Annex III)IA utilitzada en la contractació, qualificació creditícia, admissions educatives, identificació biomètrica, infraestructures crítiques, aplicació de la lleiAvaluació completa de conformitat, marcatge CE, registre a la base de dades de la UE
Risc limitat (Article 50)Xatbots, generadors de deepfakes, reconeixement d'emocions (fora del lloc de treball)Només obligacions de transparència
Risc mínimFiltres de correu brossa, IA en videojocs, classificació de cerca millorada per IASense obligacions específiques

La majoria dels productes SaaS B2B dels EUA que han afegit una funció d'IA als fluxos de treball existents entren en la categoria de risc limitat i tenen obligacions de transparència segons l'article 50. Les excepcions són importants: qualsevol cosa que toqui decisions d'ocupació, admissions educatives, solvència creditícia, biometria o serveis públics essencials passa a ser d'alt risc i suposa un esforç significativament més gran.

Pas tres: Poseu al calendari els terminis que us afecten

Les obligacions de la Llei s'estan implementant per fases al llarg de tres anys. Aquesta és la cronologia depurada tal com està actualment:

  • 2 de febrer de 2025 — Les pràctiques d'IA prohibides (Article 5) i les obligacions d'alfabetització en IA (Article 4) han passat a ser d'obligat compliment. Si el vostre producte implementa alguna de les pràctiques prohibides de l'Article 5, atureu-vos. Avui mateix.
  • 2 d'agost de 2025 — Han entrat en vigor les disposicions de governança i les obligacions per als models d'IA d'ús general (GPAI). Els nous models de GPAI llançats després d'aquesta data han de complir-les immediatament. Els models existents abans d'aquesta data tenen fins al 2 d'agost de 2027.
  • 2 d'agost de 2026 — La data clau. Les obligacions de transparència de l'Article 50 passen a ser d'obligat compliment. També s'apliquen les obligacions d'alt risc segons l'Annex III. S'activen els poders d'execució de la Comissió sobre els models de GPAI, inclosa la capacitat d'imposar multes. Esdevé operatiu el requisit del representant autoritzat de l'Article 22 per als proveïdors de sistemes d'alt risc de fora de la UE.
  • 2 d'agost de 2027 — Els models de GPAI preexistents han d'assolir el ple compliment. Els sistemes d'alt risc integrats en productes que ja estan regulats (joguines, dispositius mèdics, maquinària) passen a estar sota el marc de la Llei.
  • 2 de desembre de 2027 — Els sistemes d'alt risc que ja estiguin en servei en categories específiques de l'Annex III (biometria, infraestructures crítiques, educació, ocupació, migració, asil, control de fronteres) han d'assolir el compliment.
  • 2 d'agost de 2028 — Els sistemes d'alt risc integrats en productes regulats (ascensors, joguines, etc.) arriben a l'aplicació total de la normativa.

Per a una empresa SaaS típica dels EUA que ofereix un xatbot o un assistent d'IA a clients de la UE, el termini pràctic a curt termini és el 2 d'agost de 2026 per a la transparència de l'Article 50. Per als proveïdors de models fundacionals i plataformes d'agents d'IA, la finestra d'aplicació per a la GPAI s'obre el mateix dia.

Pas quatre: Realitzeu el treball de transparència de l'Article 50

Si el vostre producte es troba en el nivell de risc limitat, aquesta és la secció que més importa. L'Article 50 exigeix quatre revelacions específiques:

  1. Revelació de xatbot: Si una persona interactua amb un sistema d'IA, ha de ser informada que està interactuant amb una IA, tret que sigui obvi pel context. El concepte "obvi" és molt relatiu. La lectura conservadora és afegir una revelació explícita en la primera interactuació.
  2. Marcatge de contingut sintètic: El contingut d'imatge, àudio, vídeo o text generat o manipulat per IA s'ha de marcar en un format llegible per màquina que sigui detectable com a artificial. Això significa, a la pràctica, l'ús de marques d'aigua o metadades de procedència (com el C2PA).
  3. Etiquetatge de deepfakes: El contingut que constitueixi un deepfake ha d'estar etiquetat com a generat o manipulat artificialment.
  4. Etiquetatge de text d'interès públic: El text generat per IA publicat per informar el públic sobre assumptes d'interès públic s'ha de revelar com a generat per IA, tret que hagi passat per una revisió humana amb responsabilitat editorial.

Construir aquesta capa de transparència no és tècnicament difícil, però requereix coordinació entre producte, disseny i l'equip legal. Alguns patrons que hem vist funcionar són:

  • Un petit distintiu d'"IA assistida" a les interfícies de xat, amb una descripció emergent (tooltip) que enllaça a una pàgina de revelació més detallada.
  • Metadades de procedència incrustades en el moment de la generació, mitjançant l'estàndard C2PA, per a qualsevol sortida multimèdia.
  • Una biblioteca de cadenes de text de revelació aprovades, localitzades a totes les llengües de la UE on s'ofereix el producte.
  • Una política interna segons la qual qualsevol contingut d'"interès públic" (resums de notícies, temes polítics, informació sanitària) passi per una revisió editorial humana i quedi registrat.

Pas cinc: Nomeneu un representant autoritzat de la UE (si en necessiteu un)

L'Article 22 exigeix que els proveïdors establerts en tercers països —això inclou els EUA— nomenin mitjançant mandat escrit un representant autoritzat a la UE abans d'introduir un sistema d'IA d'alt risc al mercat de la Unió. L'Article 54 imposa una obligació similar als proveïdors de models de GPAI.

Si només oferiu sistemes de risc limitat amb obligacions de transparència de l'Article 50, no necessiteu un representant de l'Article 22. Si proporcioneu sistemes d'alt risc o models de GPAI, sí que el necessiteu, i buscar-ne un requereix temps. Les funcions del representant inclouen:

  • Verificar que la Declaració UE de Conformitat i la documentació tècnica estiguin preparades.
  • Mantenir la documentació a disposició de les autoritats nacionals competents durant deu anys.
  • Cooperar amb les autoritats en accions correctores, retirades o recuperacions de productes.
  • Reenviar-vos les queixes, els informes d'incidències i les notificacions d'incidents greus.
  • Finalitzar el mandat (i notificar-ho a les autoritats) si incompliu les vostres obligacions.

El representant no pot assumir les vostres obligacions bàsiques com a proveïdor segons els Articles 9 a 17; aquesta responsabilitat continua sent vostra. Són, essencialment, la vostra presència responsable a la UE i el vostre punt de contacte per a l'Oficina d'IA i les autoritats nacionals de vigilància del mercat.

Els preus dels serveis de representant autoritzat s'han estabilitzat en el rang de 5.000 € a 25.000 € anuals per als proveïdors més petits, depenent de la complexitat del sistema, el nombre d'estats membres de la UE on s'opera i l'abast de la revisió documental. Pressuposteu-ho de la mateixa manera que pressuposteu un agent registrat a Delaware.

Pas sis: Construïu la pila de documentació

Tant si oferiu un sistema d'alt risc com un model de GPAI, heu de generar un rastre documental. La Llei enumera diversos documents que han d'existir i mantenir-se actualitzats:

  • Documentació tècnica (Annex IV per a sistemes d'alt risc, Annex XI per a models de GPAI) — arquitectura del sistema, pràctiques de governança de dades, metodologia d'entrenament, resultats d'avaluació, limitacions conegudes.
  • Documentació del sistema de gestió de riscos (Article 9) — identificació de riscos previsibles, mesures de mitigació, criteris d'acceptació del risc residual.
  • Documentació de governança de dades (Article 10) — fonts de dades d'entrenament, validació i prova, criteris de qualitat de les dades, examen de biaixos.
  • Registres de traçabilitat (Logging) (Article 12) — registres automàtics d'esdeveniments amb prou detall per permetre el seguiment postcomercialització.
  • Disseny de supervisió humana (Article 14) — com els operadors humans poden interpretar les sortides, intervenir, invalidar o apagar el sistema.
  • Pla de seguiment postcomercialització (Article 72) — com recopilareu, analitzareu i respondreu a les dades de rendiment del món real i als incidents.
  • Declaració UE de Conformitat (Article 47) — l'atestació legal que el vostre sistema compleix els requisits de la Llei.
  • Marcatge CE — fixat al producte, indicant-ne la conformitat.

Per als proveïdors de GPAI, el Codi de Bones Pràctiques publicat per l'Oficina d'IA el juliol de 2025 s'ha convertit en el llistó de compliment de facto. És voluntari, però adherir-s'hi demostra una voluntat de compliment de bona fe i us ofereix un tracte favorable en qualsevol avaluació posterior d'execució. Els tres capítols del Codi —Transparència, Drets d'Autor, i Seguretat i Protecció— segueixen de prop el que l'Oficina d'IA buscarà quan comenci a exercir els seus poders d'execució l'agost de 2026.

Setè pas: Planificar per a l'onada de qüestionaris de contractació

Per a la majoria d'empreses SaaS dels EUA, la primera manifestació pràctica de la Llei d'IA de la UE no serà una trucada a la porta de l'Oficina d'IA. Serà un qüestionari de contractació de l'equip legal d'un client de la UE on es preguntarà quins models utilitzeu, amb quines dades d'entrenament es van construir, quins controls teniu per evitar usos prohibits, com són els vostres acords de residència de dades i si teniu un representant segons l'Article 22.

Aquests qüestionaris estan arribant ara —molt abans de la data d'aplicació d'agost de 2026— perquè els compradors de la UE volen assegurar proveïdors que compleixin la normativa abans del col·lapse de la data límit. Els cicles de venda s'estan allargant en indústries regulades (finances, sanitat, govern, educació) a mesura que els compradors afegeixen una diligència específica per a la Llei d'IA. Els fundadors que puguin respondre al qüestionari amb confiança en la primera setmana d'un cicle de vendes tancaran acords que els seus competidors menys preparats perdran.

Prepareu ara un dossier informatiu permanent sobre la Llei d'IA. Hauria d'incloure:

  • Un resum d'una pàgina de la vostra funció (proveïdor/desplegador/tots dos), nivell de risc i obligacions aplicables
  • Una llista dels models subjacents que utilitzeu, amb informació sobre subprocessadors i de tipus APD (Acord de Processament de Dades)
  • Les vostres declaracions de transparència (Article 50)
  • La vostra documentació sobre governança de dades i dades d'entrenament, redactada segons sigui necessari
  • El vostre procediment de resposta a incidents i de notificació d'incidents greus
  • Una còpia del mandat del vostre representant autoritzat, si s'escau

Com encaixen el RGPD, la Llei de Dades i la DSA

La Llei d'IA no substitueix la legislació de la UE existent. La superposa. Un sistema d'alt risc que processa dades personals està regulat tant per la Llei d'IA com pel RGPD, i les obligacions s'acumulen. L'Article 26(8) de la Llei d'IA preserva explícitament el requisit d'avaluació d'impacte de la protecció de dades (AIPD) del RGPD per als desplegadors d'alt risc. Les obligacions d'intercanvi de dades i de canvi de proveïdor de la Llei de Dades s'apliquen juntament amb la conformitat de la Llei d'IA. Les regles de transparència dels sistemes de recomanació de la Llei de Serveis Digitals s'apliquen a sobre de l'Article 50.

A la pràctica, això significa que el vostre programa de compliment necessita un registre integrat. Una sola funció d'IA podria activar una AIPD del RGPD, una avaluació de riscos de la Llei d'IA, una declaració de l'Article 50, un informe de transparència del sistema de recomanació de la DSA i un compromís de portabilitat de la Llei de Dades. Tractar aquests temes com a fluxos de treball separats és com es cometen els errors. Tractar-los com un sol programa amb documentació compartida és com es manté el seny.

Com són realment les multes

L'estructura de sancions de la Llei segons l'Article 99 té tres nivells:

  • Pràctiques prohibides (violacions de l'Article 5): Fins a 35 milions d'euros o el 7% del volum de negocis anual mundial, la xifra que sigui més alta
  • La majoria de les altres obligacions (Articles 8-15, Article 50, obligacions de GPAI segons l'Article 101): Fins a 15 milions d'euros o el 3% del volum de negocis anual mundial, la xifra que sigui més alta
  • Informació enganyosa a les autoritats: Fins a 7,5 milions d'euros o l'1% del volum de negocis anual mundial, la xifra que sigui més alta

Per a les Pimes, incloses les startups, les multes estan limitades a la xifra més baixa de les dues en lloc de la més alta. Aquesta és una concessió real, però l'1% dels ingressos continua sent una xifra significativa per a una empresa SaaS de Sèrie B, i "Pime" segons les definicions de la UE té un límit de 50 milions d'euros de volum de negocis —la majoria d'empreses SaaS dels EUA en fase de creixement estan per sobre d'aquesta línia.

La primera onada d'accions d'execució a finals de 2026 i 2027 probablement es dirigirà als proveïdors més grans i visibles: laboratoris de models fundacionals i grans productes d'IA de consum. Però les autoritats nacionals de vigilància del mercat tenen una àmplia discreció, i les investigacions impulsades per denúncies poden dirigir-se a qualsevol proveïdor. Planifiqueu per al cas mitjà, no per al pitjor: probablement no sereu els primers a ser multats, però no voleu ser el fundador que expliqui a un consell d'administració per què els ingressos de l'empresa a la UE estan bloquejats a l'espera d'un pla d'acció correctiva.

Incorporeu el compliment a l'enginyeria, no al voltant d'ella

Els equips de compliment que més pateixen amb la Llei d'IA són els que la tracten com un exercici legal afegit a un producte acabat. Els equips que ho gestionen netament la tracten com una restricció de disseny del sistema: governança de dades integrada a la capa de dades, registre (logging) integrat a la capa d'inferència, supervisió humana integrada a la UX, declaracions de transparència integrades a la biblioteca de components. Els requisits de la Llei són majoritàriament coses que un producte d'IA ben dissenyat ja hauria de fer de totes maneres: avaluació robusta, documentació clara, resposta a incidents estructurada, UX transparent. La Llei només els fa legalment obligatoris.

Per als fundadors dels EUA específicament, el canvi de mentalitat és reconèixer que la UE no és un mercat opcional que es pugui ajornar fins "més tard". L'abast extraterritorial de la Llei mitjançant la sortida de resultats a la UE significa que fins i tot els petits contractes B2B poden fer que estigueu dins de l'àmbit d'aplicació. I la dinàmica dels qüestionaris de contractació significa que la preparació és un avantatge competitiu ara mateix, no només un element de compliment.

Mantingueu els vostres registres financers preparats per a auditories també

Si esteu escalant una empresa SaaS a la UE, el compliment de la Llei d'IA és una peça d'un repte de documentació més ampli. També necessitareu registres financers nets, un reconeixement d'ingressos defendible per a subscripcions multijurisdiccionals, documentació de preus de transferència i declaracions d'IVA MOSS. El mateix instint d'enginyeria que impulsa una documentació de compliment neta i controlada per versions hauria d'impulsar la vostra comptabilitat: en text pla, auditable i revisable per un humà o un auditor d'IA.

Mantingueu les vostres finances tan transparents com la vostra IA

La lliçó més profunda de la Llei d'IA —que la documentació, l'audibilitat i la transparència són ara avantatges competitius— s'aplica igualment a la vostra comptabilitat. Beancount.io ofereix comptabilitat en text pla que us proporciona una transparència total i control de versions sobre els vostres registres financers, amb la mateixa estructura llegible per humans i processable per màquines que exigeix el compliment normatiu modern. Sense caixes negres, sense dependència de proveïdors i amb un llibre diari que un auditor (o el vostre propi agent d'IA) pot llegir directament. Comenceu gratis i descobriu per què els desenvolupadors i professionals de les finances que creen empreses centrades en la IA s'estan passant a la comptabilitat en text pla.