Calendari d'aplicació de la EU AI Act : el que obliga avui i el que canvia amb el Digital Omnibus
Anàlisi pràctica del Reglament (UE) 2024/1689, les seves obligacions escalonades i els ajornaments aprovats pel Consell el 29 de juny de 2026.
Troballes principals
- L'AI Act està en vigor des de l'agost del 2024, però la seva aplicació és escalonada: no tot obliga alhora.
- El 2 d'agost del 2026 és la data general d'aplicació del Reglament per a la qual cosa no té calendari específic, incloent-hi l'article 50 (transparència i marcatge de contingut sintètic).
- El Digital Omnibus ha desplaçat les obligacions d'alt risc de l'Annex III al 2 de desembre de 2027 i ha donat 16 mesos addicionals respecte al calendari original.
- La prohibició de contingut íntim/sexual no consentit i CSAM generat per IA entra en vigor el 2 de desembre de 2026 , data nova introduïda per l'Omnibus.
- Les empreses que ja operen amb IA tenen feina pendent abans del 2 d'agost del 2026: inventari, classificació de riscos, documentació i polítiques de supervisió humana.
Un reglament vigent, però que s'aplica per capes
El Reglament (UE) 2024/1689, conegut com a AI Act o Reglament d'Intel·ligència Artificial, va ser publicat al Diari Oficial de la Unió Europea el 12 de juliol de 2024 i va entrar en vigor l'1 d'agost de 2024. Tanmateix, «estar en vigor» no significa «aplicar-se íntegrament des d'aquell moment».
A diferència d'un reglament ordinari que produeix efectes l'endemà de la publicació, l'AI Act estableix un règim transitori deliberadament esglaonat. El legislador europeu va reconèixer que l‟adaptació de les organitzacions, el desenvolupament d‟estàndards tècnics harmonitzats i la construcció de la infraestructura institucional de supervisió requerien temps. El resultat és un calendari d'implantació que s'estén des del febrer del 2025 fins al 2031.
Aquest escalonament té una conseqüència directa per a les empreses: no hi ha un únic moment de «compliment o no compliment». Cada tipologia d'ús d'IA té el propi termini, les obligacions i la lògica de supervisió. Entendre aquest mapa és la primera tasca de qualsevol responsable legal, tècnic o directiu que vulgui gestionar el risc regulatori de manera informada.
Aquesta anàlisi es basa en el text consolidat del Reglament (UE) 2024/1689 (EUR-Lex, CELEX 02024R1689-20240712) i en els canvis aprovats pel Consell de la UE al Digital Omnibus sobre IA (PE-CONS 30/26). la versió consolidada a EUR-Lex a la data d'utilització.
Les dates clau de l'AI Act: de l'origen al 2031
La taula següent recull les dates i fites principals del Reglament (UE) 2024/1689 en la versió base, abans de les modificacions del Digital Omnibus. S'hi indica la base normativa i la lectura pràctica per a organitzacions que despleguen o utilitzen IA.
| Data | Base normativa | Obligació / fita | Lectura pràctica |
|---|---|---|---|
| 13 jun. 2024 | Reglament (UE) 2024/1689 | Data de lacte legislatiu del Parlament Europeu i del Consell. | Text base de l'AI Act. Referència per a qualsevol interpretació legal. |
| 12 jul. 2024 | DOUE L 2024/1689 | Publicació oficial al Diari Oficial de la Unió Europea. | Inici del còmput per a l'entrada en vigor (20 dies després). |
| 1 ag. 2024 | Art. 113 | Entrada en vigor del Reglament. | La norma existeix i comença el desplegament esglaonat. |
| Des d'ago. 2024, anual | Art. 112.1 | Comissió: avaluació anual de la necessitat de modificar l'Annex III i la llista de pràctiques prohibides. | Rellevant per a supervisió institucional i possibles ampliacions regulatòries. |
| Feb. 2025 | Art. 113.a; arts. 1-5 | Aplicació de capítols I i II: disposicions generals, definicions, alfabetització a IA i pràctiques prohibides. | Data clau: formació del personal (art. 4) i exclusió de pràctiques prohibides (art. 5). Ja en vigor. |
| 2 mai. 2025 | Art. 56.9 | Codis de bones pràctiques sobre models dIA dús general: data prevista de finalització. | Suport per a proveïdors de models GPAI i compliment voluntari. |
| 2 ag. 2025 | Arts. 113.b; arts. 70.2 i 70.6 | Aplicació del capítol III, secció 4; caps. V, VII, VIII, XII, art. 78. Comunicació dautoritats nacionals competents. | Models GPAI, governança institucional, confidencialitat. Permet identificar supervisors i estructura de control. |
| 2 febr. 2026 | Arts. 6.5 i 72.3 | Comissió: directrius sobre classificació de sistemes d'alt risc i model de pla de vigilància postcomercialització. | Suports dinterpretació. L'art. 72.3 va quedar afectat per l'Omnibus. |
| 2 ag. 2026 ★ | Art. 113, regla general | Data general d'aplicació del Reglament per a allò no subjecte a calendari específic. Inclou art. 50 (transparència i marcatge de contingut sintètic). | Transparència de l'art. 50 obliga des d'avui. L'alt risc (Annex III) ha estat ajornat per l'Omnibus al 2 des. 2027. |
| 2 ag. 2027 | Art. 113.c original; art. 111.3 | Aplicació darts. 6.1 i obligacions de sistemes dalt risc introduïts abans del 2 ag. 2025. (Modificat per Omnibus: Annex III → 2 des. 2027.) | Data desplaçada. Vegeu Taula 2 per detall d'ajornaments. |
| 2 ag. 2028 | Art. 112.2; arts. 112.5-7 | Primeres avaluacions de la Comissió sobre GPAI, transparència, governança, Oficina d'IA i eficiència energètica. | Fita de revisió institucional; pot donar lloc a modificacions. |
| 2 ag. 2029 | Art. 112.3 | Primer informe general davaluació i revisió del Reglament. | Seguiment dexecució i possible proposta de modificació. |
| 2 ag. 2030 | Art. 111.2 | Sistemes dIA dalt risc destinats a ús per autoritats públiques: mesures de compliment obligatòries. | Règim transitori específic per a usos públics preexistents. |
| 31 des. 2030 | Art. 111.1 | Sistemes d'IA components de sistemes informàtics de gran magnitud de l'Annex X, posats al mercat abans del 2 ag. 2025. | Data límit per a grans sistemes informàtics regulats. |
| 2 ag. 2031 | Art. 112.13 | Avaluació de lexecució del Reglament després dels primers anys daplicació. | Possible obertura de revisió estructural del model daplicació. |
★ Data de referència d'aquesta anàlisi. La data general inclou art. 50 exclou l'alt risc de l'Annex III, ajornat pel Digital Omnibus.
Els canvis del Digital Omnibus: què s'ha desplaçat i per què importa
El 29 de juny del 2026, el Consell de la UE va aprovar el Digital Omnibus sobre IA (PE-CONS 30/26), un paquet de modificacions a l'AI Act que ajusta terminis, introdueix noves prohibicions i simplifica alguns requisits. La seva entrada en vigor es produeix tres dies després de la seva publicació al DOUE.
El canvi més rellevant per a la majoria de les empreses és el desplaçament de les obligacions de l'alt risc de l'Annex III des del 2 d'agost del 2026 al 2 de desembre del 2027 . Això dóna 16 mesos addicionals a proveïdors i implementadors de sistemes que operen en categories com ara biometria, infraestructures crítiques, ocupació, educació, serveis essencials, migració i administració de justícia.
El desplaçament a 2 de desembre de 2027 aplica a l'Annex III en conjunt, però no afecta l'article 50 (transparència i marcatge de contingut sintètic), que manté la data d'aplicació general del 2 d'agost de 2026. Tampoc no s'ajorna la prohibició de pràctiques de manipulació o les obligacions d'alfabetització (art. 4) ja vigent.
| Matèria | Data inicial prevista | Nova data / canvi | Base normativa | Abast pràctic | |
|---|---|---|---|---|---|
| Alt risc de l'Annex III | 2 ag. 2026 | → | 2 des. 2027 | Art. 113.c modificat; PE-CONS 30/26 | Biometria, infraestructures crítiques, ocupació, educació, serveis essencials, migració, justícia, processos democràtics. |
| Alt risc integrat en productes de l'Annex I | 2 ag. 2027 | → | 2 ag. 2028 | Art. 113.c modificat; PE-CONS 30/26 | Sistemes de IA en productes de seguretat (directives sectorials preexistents). |
| Pràctiques prohibides noves: contingut íntim/sexual no consentit i CSAM | No previst en text inicial | → | 2 des. 2026 | Art. 5 modificat; PE-CONS 30/26; PE 16/06/2026 | Nova prohibició específica per a generació o manipulació de contingut íntim/sexual no consentit i material dabús sexual infantil. |
| Marcatge de contingut sintètic per a sistemes ja comercialitzats | 2 ag. 2026 | → | 2 des. 2026 | Art. 111.4 nou; art. 50.2; PE-CONS 30/26 | Proveïdors de sistemes, inclosos GPAI, que generessin àudio, imatge, vídeo o text sintètic i ja estiguessin al mercat abans del 2 ag. 2026 disposen de quatre mesos addicionals. |
| Sandbox regulatori nacional d'IA | 2 ag. 2026 | → | 2 ag. 2027 | Art. 57.1 modificat; Consell 29/06/2026 | Cada Estat membre ha de tenir almenys un espai controlat de proves; termini ampliat un any. |
| Pla de vigilància postcomercialització | Obligatori abans del 2 febr. 2026 | → | Guia voluntària abans del 2 set. 2027 | Art. 72.3 modificat; PE-CONS 30/26 | Se substitueix el model obligatori per orientació de la Comissió més flexible per a proveïdors d'alt risc. |
| Maquinària i solapament normatiu | Règim de l'Annex I de l'AI Act | → | Actes delegats aplicables abans del 2 ag. 2028 | PE-CONS 30/26; Reglament (UE) 2023/1230 | Es reordena la interacció entre AI Act i Reglament de Màquines per evitar doble càrrega reguladora. |
"No s'aprecia ajornament general de l'alfabetització a IA: continua aplicant des del 2 de febrer de 2025. Tampoc no es desplaça el bloc de models d'IA d'ús general, aplicable des del 2 d'agost de 2025, sense perjudici de règims transitoris específics." - Taula 2 de l'informe Actiaris, Governança d'IA · Juliol 2026
Què han de controlar les organitzacions, i quan
El valor del calendari no és a memoritzar dates, sinó a ordenar el compliment per capes. Una organització que desplega IA té tres tasques diferents: saber quins usos de l'IA hi ha i qui els utilitza; decidir si cada ús encaixa en alguna categoria regulada; i conservar evidències suficients per demostrar que opera amb supervisió humana, controls adequats i documentació traçable.
Les quatre obligacions estructurals que no tenen ajornament
Més enllà de les dates, el Reglament articula quatre blocs d'obligacions que, en diferent mesura, ja apliquen o apliquen sense pròrroga des de l'agost del 2026:
Alfabetització a IA
Els operadors i els implementadors han de garantir que el personal que treballa amb sistemes d'IA té competències adequades. No exigeix titulació, però sí evidència de formació i capacitació.
Ja obligatoriTransparència i marcatge de contingut sintètic
Obligació d'informar l'usuari quan interactua amb una IA i de marcar tècnicament detectable qualsevol contingut generat artificialment (imatges, vídeo, àudio, text).
Des de 2 ag. 2026Supervisió humana efectiva
S'han de dissenyar els sistemes d'alt risc per permetre la supervisió per persones físiques. La intervenció humana ha de poder interrompre, modificar o rebutjar els outputs del sistema en temps real.
Ajornat a des. 2027Documentació tècnica i gestió de riscos
Sistema de gestió de riscos, qualitat de dades, documentació tècnica de lannex IV, registres dactivitat automàtics, transparència, precisió, solidesa i ciberseguretat.
Ajornat a des. 2027El que les organitzacions no poden ignorar abans de finals del 2026
L'ajornament de l'Annex III no elimina el risc; ho desplaça. Les empreses que esperen el desembre del 2027 per començar a construir traçabilitat, documentació i supervisió humana arribaran tard. L'experiència del GDPR va mostrar que les organitzacions que van començar l'adaptació amb dos o tres anys d'antelació van ser les que van demostrar compliment real; les que van esperar el darrer mes van optar per solucions formals que no van resistir una auditoria.
Hi ha tres accions que qualsevol organització hauria de tenir completades o en marxa abans del gener del 2027:
Identificar tots els sistemes de IA desplegats o en ús: proveïdor, funció, dades processades, si pren o assisteix decisions, si afecta persones físiques. Sense inventari, no hi ha cap classificació possible.
Per a cada sistema de l'inventari: és general (GPAI)? Encaixa en alguna categoria de l'Annex III? Genera contingut sintètic? Pren decisions sobre persones? La classificació determina quin règim aplica i en quina data.
Per als usos de més impacte, començar a documentar: qui supervisa l'output de la IA, com es registren les intervencions humanes, quina evidència hi ha que el procés té control real. Aquesta documentació val tant per a una auditoria del regulador com per a una disputa contractual o un litigi.
Aquestes tres accions no són obligacions formals de l'AI Act per a tots els sistemes, però són la base mínima per poder respondre davant de qualsevol autoritat supervisora o contrapart que exigeixi acreditar la governança del sistema d'IA utilitzat.
L'evidència criptogràfica com a resposta a les obligacions de l'article 50
L'obligació de transparència de l'article 50 —marcat tècnicament detectable del contingut generat per IA— exigeix una cosa que els sistemes de gestió documental tradicionals no proporcionen: evidència verificable i independent que un contingut té un origen determinat, que va ser revisat per un humà, i que aquesta evidència no ha estat alterada.
V-PROOF Protocol opera com a capa d'evidència criptogràfica sobre els outputs d'IA: genera un hash SHA-256 del document o contingut, l'ancora a través d'IPFS i el registra a Base L2, creant un segell on-chain verificable per qualsevol tercer sense necessitat de credencials ni dependència del proveïdor. L?evidència no caduca. No requereix que el regulador confiï en el sistema de lempresa; podeu verificar-la de forma independent.
A més de l'article 50, V-PROOF cobreix la dimensió probatòria de l'article 14 (supervisió humana: registre immutable d'intervencions i autoritzacions crítiques) i de l'article 16 (traçabilitat i integritat de dades en sistemes d'alt risc).
Més informació a vproofprotocol.com →Què cobreix V-PROOF en el marc del EU AI Act ?
Fortaleses, limitacions, oportunitats regulatòries i riscos d'adopció
- Evidència criptogràfica immutable d'outputs d'IA — hash SHA-256 + IPFS + Base L2, verificable per qualsevol tercer sense credencials ni dependència del proveïdor. Art. 50 · Marcat de contingut generat per IA
- Registre immutable d‟intervencions i autoritzacions de supervisió humana sobre sistemes d‟IA. Art. 14 · Supervisió humana
- Segell d'integritat i traçabilitat de dades processades per sistemes d'alt risc, amb timestamp on-chain . Art. 16 · Obligacions proveïdors alt risc
- Documentació tècnica verificable i audit trail de logs d'esdeveniments crítics del sistema. Art. 12 · Registre de logs · Art. 13 · Transparència
- Sense infraestructura addicional. Sense onboarding complex. Integració sobre outputs existents. Tots els articles aplicables · Implementació transversal
- L'art. 50 està vigent des del 2 ag. 2026: qualsevol organització que generi contingut sintètic necessita marcatge tècnic detectable. Art. 50 · Vigència immediata
- Digital Omnibus: 16 mesos addicionals per preparar l'evidència d'alt risc. Finestra per a implantació sense pressió. Art. 113 modificat · PE-CONS 30/26
- Sectors regulats -salut, finances, RRHH, educació- sota Annex III amb obligacions de traçabilitat demostrable davant de supervisors. Annex III · Sistemes d'alt risc
- Contractes B2B amb clàusules d'audit trail d'IA: els implementadors exigeixen evidència als proveïdors de models. Art. 25 · Responsabilitats a la cadena de valor
- No substitueix l'avaluació de conformitat per organisme notificat per a sistemes d'alt risc. Art. 43 · Avaluació de conformitat
- No cobreix l'auditoria de l'arquitectura tècnica del model ni la validació de dades d'entrenament. Art. 10 · Governança de dades
- No s'aplica a sistemes que no generen outputs documentables o que operen sense outputs intermedis registrables. Sistemes embeguts o sense output estructurat
- No realitza l'inventari inicial de sistemes IA de l'organització — és el punt de partida previ a V-PROOF . Art. 4 · Alfabetització · Pas zero de compliance
- Organitzacions que posterguen el compliance fins al 2027 per l'ajornament de l'Annex III, sense considerar que l'art. 50 ja obliga. Art. 50 vs. Art. 113 modificat · Risc de confusió
- Confusió entre «avaluació de conformitat» i «evidència probatòria»: les empreses creuen que una auditoria puntual els cobreix davant del regulador. Art. 43 vs. Art. 12-14-16 · Malentès estructural
- Plataformes GRC i documentals que ofereixen compliance d'IA sense garantia criptogràfica, creant falsa sensació de cobertura. Mercat · Competència no equivalent
- Incertesa sobre la data de publicació del Digital Omnibus al DOUE pot generar paràlisi en decisions d'inversió en compliance. PE-CONS 30/26 · Pendent publicació DOUE
Sap la seva organització en quin punt és davant de l'AI Act?
Identifiquem-ne l'exposició reguladora, classifiquem els seus sistemes d'IA i generem l'evidència criptogràfica que exigeix el Reglament. Sense inventari previ, sense infraestructura addicional.
Parlem →Fonts oficials i referències
- Text consolidat del Reglament (UE) 2024/1689 — EUR-Lex · CELEX 02024R1689-20240712
- Publicació oficial de l'AI Act a DOUE — EUR-Lex · ELI / OJ
- Article 113 i calendari base - AI Act Service Desk · Comissió Europea
- Pàgina oficial d'implementació de l'AI Act — Comissió Europea · Shaping Europe's digital future
- Text aprovat del Digital Omnibus sobre IA — Consell de la UE · PE-CONS 30/26
- Aprovació final del Consell, 29 de juny de 2026 — Consell de la UE · comunicat oficial
