Per què la vostra organització necessita V-PROOF i no una plataforma aliena a la Unió Europea
Per què la vostra organització necessita V-PROOF
i no una plataforma aliena a la Unió Europea
Al juny del 2026, Gartner va publicar el primer Magic Quadrant d'AI Governance Platforms. Dels 13 vendors avaluats, cap no pertany a la Unió Europea. Mentre el EU AI Act exigeix sobirania de la dada, la majoria d'organitzacions europees segueix avaluant eines subjectes a jurisdiccions alienes al marc jurídic de la UE – EUA, Regne Unit post-Brexit, o proveïdors d'origen asiàtic. Aquesta anàlisi explora per què aquesta decisió pot ser el risc regulador més gran de l'exercici.
El que aquesta anàlisi conclou
Un mercat de 100+ vendors dominat per jurisdiccions alienes a la UE
Al juny de 2026, Gartner va publicar el seu primer Magic Quadrant for AI Governance Platforms , una fita que confirma la maduresa del mercat. Tretze vendors van ser avaluats. La conclusió del mateix Gartner és reveladora: "amb més de 100 vendors comercialitzant capacitats d'AI Governance, avaluar les opcions es pot tornar ràpidament aclaparador" . Molt pocs d'aquests productes, afegeix Gartner, satisfan les necessitats integrals dels líders d'AI Governance a nivell d'enterprise.
El que Gartner no diu explícitament, però que el mercat europeu hauria de llegir entre línies: cap dels 13 vendors avaluats no pertany a la Unió Europea. La majoria són d'origen nord-americà, però també n'hi ha de britànics (post-Brexit, fora de l'RGPD), i fins i tot d'origen asiàtic. Quan una organització espanyola o europea avalua un proveïdor d'AI Governance, està escollint, en la majoria dels casos, entre eines construïdes per a mercats aliens al marc jurídic europeu.
Aquesta asimetria —eines de països tercers per complir una norma de la UE— no és una qüestió de preferències. És una contradicció jurídica que els equips legals i els DPO de les organitzacions europees han de resoldre abans de signar cap contracte.
AI Governance globalment
(Gartner, 2026)
primer Gartner MQ
AI Governance (jun. 2026)
per incompliment
(Art. 99)
La jurisdicció del proveïdor: la clàusula que ningú no esmenta en els demos
Quan un proveïdor d'AI Governance aliè a la UE presenta la seva plataforma, mostra dashboards de compliance, mapejats del EU AI Act i fluxos daprovació de models. El que no apareix en cap diapositiva és la realitat jurídica de la seva seu legal: quin país pot requerir les seves dades, sota quina llei, i sense que ho pugui impedir.
El cas més documentat és l'americà:
La Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) permet a les autoritats judicials nord-americanes exigir a qualsevol empresa amb seu als EUA que lliuri dades emmagatzemades a qualsevol part del món, incloent-hi servidors ubicats a Europa. Aquesta obligació és unilateral: no requereix el consentiment del país on hi ha les dades ni passa pels mecanismes de cooperació judicial de la UE.
L'impacte directe sobre la gestió del EU AI Act és clar: si la vostra organització utilitza una plataforma americana per registrar la documentació tècnica dels seus sistemes d'IA d'alt risc -les dades d'entrenament, els registres d'auditoria, les avaluacions de risc, les metadades dels models-, aquesta informació pot, en teoria, quedar exposada a requeriments del govern dels EUA sense que ho sàpiga i sense que ho pugui impedir.
L' EU AI Act , Art. 10 i 16 exigeixen que els proveïdors de sistemes d'alt risc mantinguin documentació tècnica i dades d'entrenament sota control adequat. El RGPD, Art. 28 i 46 restringeix la transferència de dades a tercers països sense garanties equivalents. Un proveïdor subjecte al CLOUD Act no pot garantir aquestes condicions amb certesa jurídica absoluta, independentment d'on siguin els servidors.
El risc no és hipotètic. Des del 2020, la tensió entre el CLOUD Act i el RGPD ha estat objecte de litigis, dictàmens del Supervisor Europeu de Protecció de Dades i anàlisi de la Comissió Europea. I el CLOUD Act no és l'únic vector: proveïdors amb seu al Regne Unit (post-Brexit), la Xina o qualsevol altre país fora de la UE estan igualment subjectes a marcs jurídics incompatibles amb el RGPD i el EU AI Act . La conclusió sempre és la mateixa: l'única solució estructural és triar proveïdors amb seu legal dins de la Unió Europea.
Els principals players del Gartner MQ i la seva bretxa de sobirania
A continuació es presenten els cinc players més rellevants del mercat d'AI Governance amb presència a Europa, la seva posició al Gartner MQ 2026 i la seva bretxa estructural per a organitzacions que han de complir EU AI Act sota sobirania europea. Cap no té seu legal a la Unió Europea.
Posició Gartner MQ: Challenger. Nº1 a AI Risk & Compliance Use Case. Plataforma end-to-end amb AI discovery, testing de biaix i enforcement de compliance. Sòlida cobertura tècnica de EU AI Act , NIST i ISO 42001.
Posició Gartner MQ: Visionary. Forrester Wave Customer Favorite. Forta en assegurances i serveis financers USA. Cicle de vida complet de models amb gestió de polítiques i validació automatitzada.
Posició Gartner MQ: Present al MQ. Mòdul d'AI Governance afegit a plataforma de privadesa/GRC líder. Ampli ecosistema d'integracions i base instal·lada enterprise a Europa.
Posició Gartner MQ: Present. Mòdul d'AI Risk integrat a la plataforma GRC enterprise. Alta adopció en grans corporacions amb ServiceNow ja desplegat com a ITSM.
Posició Gartner MQ: Present. Històric de Model Risk Management a banca. Forta en sectors regulats amb models ML de scoring, risc de crèdit i underwriting.
Posició: Primera plataforma espanyola i europea de certificació i implementació del EU AI Act amb evidència criptogràfica immutable. Dissenyada des del primer dia per al marc regulador europeu.
Matriu de sobirania: V-PROOF vs. plataformes alienes a la UE
La taula següent avalua els criteris estructurals que determinen si una plataforma d'AI Governance és compatible amb els requisits de sobirania del EU AI Act , RGPD i eIDAS per a organitzacions europees.
| Criteri | V-PROOF Espanya · EU |
Holistic AI UK/US |
Monitaur EE.UU. |
OneTrust EE.UU. |
ServiceNow EE.UU. |
|---|---|---|---|---|---|
| Empresa d'origen europeu/espanyol | ✓ | ✗ | ✗ | ✗ | ✗ |
| No subjecte al CLOUD Act dels EUA. | ✓ | ✗ | ✗ | ✗ | ✗ |
| Desplegament on-premise (dades no surten del client) | ✓ | ✗ | ✗ | ✗ | ✗ |
| Evidència criptogràfica immutable (SHA-256 + DLT) | ✓ | ✗ | ✗ | ✗ | ✗ |
| Alineació nativa amb eIDAS 2.0 | ✓ | ✗ | ✗ | ✗ | ✗ |
| Verificació independent sense accés a la dada original | ✓ | ✗ | ✗ | ✗ | ✗ |
| EU AI Act nadiu (no retrofitat) | ✓ | Parcial | ✗ | Parcial | Parcial |
| Cicle de vida complet de models interns / LLMs | ✓ | ✓ | Parcial | ✗ | ✗ |
| Human-in-the-Loop verificable amb ràtio IA/humà registrat | ✓ | Parcial | Parcial | ✗ | ✗ |
| RGPD by design (no transferències a tercers països) | ✓ | Parcial | ✗ | Parcial | Parcial |
| Cobertura Copyright & GenAI (datasets, opt-out, litigis) | ✓ | Parcial | ✗ | ✗ | ✗ |
| API-first, integració CI/CD i entorn corporatiu existent | ✓ | ✓ | ✓ | ✓ | ✓ |
Font: anàlisi V-PROOF basat en documentació pública de cada vendor, Gartner MQ AI Governance Platforms (juny 2026) i marc regulador EU AI Act / RGPD / eIDAS. Cap dels vendors comparats té seu legal a la Unió Europea. "Parcial" indica cobertura incompleta o dependent de configuració específica.
El checklist de sobirania: 10 preguntes abans d'escollir la plataforma d'AI Governance
Abans de signar amb qualsevol proveïdor d'AI Governance, el DPO, el CISO i l'equip legal haurien de poder respondre afirmativament a aquests deu criteris. V-PROOF els compleix íntegrament.
Primera plataforma espanyola i europea de certificació i implementació del EU AI Act
Quan el EU AI Act entra en la fase d'obligacions més exigent -agost del 2026 per a sistemes d'alt risc de l'Annex III- el mercat europeu necessita proveïdors que no només coneguin el Reglament, sinó que hagin estat dissenyats específicament per a ell, des d'una jurisdicció compatible amb les seves exigències.
V-PROOF Protocol és la primera plataforma espanyola i, a la seva categoria específica d'evidència criptogràfica probatòria per a AI Governance, la primera europea. No va néixer com a plataforma de privadesa a la qual es va afegir un mòdul d'IA. No va néixer com GRC americà amb una capa de EU AI Act . Va néixer com a infraestructura de confiança per a l'economia de la IA, construïda sobre els principis del dret europeu.
La primera capa de confiança tècnica construïda des d'Europa, per a Europa
Evidència criptogràfica immutable. Cicle de vida complet de models. Validació humana verificable. Alineació nativa amb EU AI Act , RGPD i eIDAS. Desplegament on-premise. Sense jurisdicció americana.
La sobirania tecnològica no és un argument de vendes. És el requisit jurídic que emergeix de la intersecció entre el CLOUD Act, el RGPD, el EU AI Act i eIDAS. Les organitzacions europees que gestionin sistemes d'IA d'alt risc amb plataformes subjectes a jurisdicció americana estan assumint un risc legal que, al pitjor escenari, pot invalidar la seva pròpia evidència de compliment.
La pregunta no és si adoptar un estàndard d'AI Governance. La pregunta és si aquest estàndard serà vàlid davant del regulador europeu quan arribi el moment de presentar l?evidència.
V-PROOF al mercat europeu d'AI Governance: posició competitiva
Fortaleses estructurals diferencials davant de plataformes de tercers països
-
Única plataforma europea amb evidència criptogràfica immutable (SHA-256 + DLT) per a AI Governance EU AI Act Art. 12 · eIDAS Art. 41
-
On-premise nadiu: V-PROOF no accedeix ni custodia dades del client. Com a proveïdor espanyol, no està subjecta al CLOUD Act. La sobirania plena es garanteix combinant V-PROOF amb infraestructura EU RGPD Art. 28 · Art. 46 · Schrems II
-
Cicle de vida complet de models ML/LLMs interns: de la ingesta de dades al desplegament en producció amb V-Seal per versió EU AI Act Art. 53-55 (GPAI)
-
Human-in-the-Loop verificable: ràtio IA/humà, identitat i rol registrats per acció en el flux operatiu EU AI Act Art. 14
-
API-first sense redisseny: integració a CI/CD, SAP, Salesforce, Oracle i 8+ ERPs. Sense fricció per a l'equip tècnic EU AI Act Art. 16 · Implementació
La vostra organització està usant una plataforma aliena a la UE per complir una norma europea?
Avaluem el vostre stack d'AI Governance actual, identifiquem l'exposició a jurisdiccions externes a la UE i dissenyem l'arquitectura d'evidència que la vostra organització necessita per a l'agost del 2026. Sense canviar la seva infraestructura.
Parlem →- Reglament (UE) 2024/1689 del Parlament Europeu i del Consell - EU AI Act - Diari Oficial de la UE, juliol 2024.
- Gartner, Magic Quadrant per AI Governance Platforms - Lauren Kornutick, Sumit Agarwal, Priya Sundararaman, Nader Henein, Brandon Medford - 16 de juny de 2026.
- Gartner, Critical Capabilities for AI Governance Platforms — 17 de juny del 2026.
- Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) — 18 USC § 2713 — Govern dels EUA.
- Reglament (UE) 2016/679 - RGPD - Articles 28, 44-46, Transferències internacionals de dades.
- Reglament (UE) 910/2014 - eIDAS - Marc europeu d'identitat digital i serveis de confiança.
- Holistic AI, Holistic AI recollit en first-ever Gartner® Magic Quadrant™ for AI Governance Platforms — juliol 2026
- European Data Protection Supervisor, Preliminary Opinion on the interplay between CLOUD Act and EU data protection law — EDPS, 2021.
Oferit per V-Proof Protocol
