L'estructura de l'AI Act el 2026

L'AI Act és la primera regulació horitzontal integral del món sobre intel·ligència artificial. La seva arquitectura per nivells de risc és la clau per entendre quines obligacions s'apliquen a quins sistemes.

Els nivells de risc

La Llei classifica els sistemes d'IA en quatre nivells en funció del risc que representen:

• Sistemes prohibits — pràctiques totalment prohibides, incloent tècniques subliminars manipulatives, explotació de vulnerabilitats, puntuació social per part d'autoritats públiques i certes formes de categorització biomètrica i reconeixement d'emocions
• Sistemes d'alt risc — sistemes utilitzats en contextos específics d'alt risc, subjectes a la majoria de les obligacions substantives de la Llei, incloent gestió de riscos, governança de dades, transparència, supervisió humana i requisits de precisió
• Sistemes de risc limitat — sistemes amb obligacions específiques de transparència, incloent la majoria dels recomanadors de contingut impulsats per IA i els chatbots que interactuen directament amb els usuaris
• Sistemes de risc mínim — tot el reste, subjecte únicament a codis de conducta voluntaris generals

On se situen la publicitat i els sistemes de recomanació

La majoria de la IA orientada a la publicitat — puntuació d'audiències, optimització de licitació programàtica, recomanadors de contingut, motors de personalització — se situa en el nivell de risc limitat en lloc del nivell d'alt risc. Això sembla un alleujament, però el nivell de risc limitat encara comporta obligacions de transparència significatives, i diversos casos límit empenten sistemes específics a nivells més alts. Críticament, les normes de pràctiques prohibides poden arribar als sistemes publicitaris si entren en territori de manipulació o explotació, i el EDPB ha senyalat la seva voluntat d'interpretar aquestes disposicions àmpliament.

La progressió

El calendari del 2026 és important: les obligacions d'alt risc per als nous sistemes entren en vigor l'agost del 2026, les obligacions per als sistemes ja al mercat entren en vigor el 2027, i les obligacions dels proveïdors d'IA de propòsit general ja estan en vigor. Els editors i anunciants haurien de mapejar el seu inventari d'IA contra aquest calendari per saber quines obligacions s'apliquen quan.

Com l'AI Act se superposa al GDPR

L'AI Act no substitueix el GDPR. Se situa per sobre d'ell. Un sistema que processa dades personals per produir resultats impulsats per IA ha de satisfer ambdós règims, i les obligacions són acumulatives en lloc d'alternatives.

La capa GDPR

El GDPR continua regint la licitud del tractament de dades personals. El consentiment per al perfilatge publicitari, la base jurídica per a la mesura, el conjunt de drets dels interessats, les obligacions de transferència transfronterera — tot continua aplicant-se sense canvis.

La capa AI Act

Per sobre del GDPR, l'AI Act afegeix obligacions específicament sobre el propi sistema d'IA: com va ser entrenat, quines dades van entrar en l'entrenament, com es documenten els seus resultats, quins mecanismes de supervisió existeixen, quina transparència rep l'usuari. Aquestes obligacions s'uneixen al sistema d'IA independentment de si el tractament de dades subjacent es basa en el consentiment, en un contracte o en una altra base jurídica.

La implicació pràctica

Un editor que gestiona un recomanador de contingut sobre dades personals necessita tant una base jurídica GDPR vàlida per al tractament de dades com una divulgació de transparència compliant de l'AI Act. Cap d'ells sol és insuficient. La superfície de compliment és ara genuïnament bidimensional, i la cadena de documentació ha de cobrir tots dos eixos.

Pràctiques prohibides i publicitat

La llista de pràctiques prohibides de la Llei és curta però conseqüent, i diverses entrades tenen implicacions per al disseny publicitari.

Tècniques manipulatives

La Llei prohibeix els sistemes d'IA que despleguen tècniques subliminars, pràctiques manipulatives o exploten vulnerabilitats de grups específics de maneres que probablement causin danys significatius. La majoria del disseny publicitari no s'acosta a aquesta línia — però la publicitat que apunta a vulnerabilitats identificades (dificultats financeres, estats de salut mental, patrons d'addicció) mitjançant perfilatge impulsat per IA podria creuar-la. El EDPB ho ha assenyalat en les seves primeres orientacions.

Categorització biomètrica

La Llei prohibeix la categorització biomètrica que infereix atributs sensibles com ara la raça, l'opinió política, la pertinença a sindicats, les creences religioses, la vida sexual o l'orientació sexual. Els segments d'audiència construïts a partir de dades biomètriques que infereixen aquests atributs es troben ara en territori prohibit.

Reconeixement d'emocions en contextos específics

El reconeixement d'emocions és prohibit en contextos laborals i educatius. Els casos d'ús de detecció d'emocions en publicitat fora d'aquests contextos poden ser permesos però s'enfronten a un escrutini reforçat.

Obligacions de transparència de risc limitat

Aquí és on se situa la majoria del treball de compliment de l'AI Act per a editors i anunciants el 2026.

La divulgació del sistema de recomanació

Els recomanadors de contingut que personalitzen el que veuen els usuaris — ja sigui a la pàgina d'inici d'un editor, en un feed dins de l'aplicació o en una col·locació d'anunci programàtic — entren dins del nivell de risc limitat. Cal informar els usuaris que estan interactuant amb un sistema d'IA, i el sistema ha de ser dissenyat de manera que la naturalesa d'IA de la interacció sigui clara.

La divulgació del chatbot

Qualsevol sistema d'IA que interactui directament amb els usuaris en forma conversacional ha de divulgar la seva naturalesa d'IA. Els editors i anunciants que gestionen interfícies de xat d'IA — per a atenció al client, descoberta de contingut o qualsevol altra finalitat — han de satisfer aquest requisit bàsic.

La divulgació de contingut sintètic

Les imatges, l'àudio, el vídeo i el contingut de text generats per IA han de ser marcats com a tals. Els editors que utilitzen visuals o textos generats per IA en contingut editorial, creative publicitari o imatges de productes han d'aplicar les obligacions de marcatge. Les orientacions d'implementació del 2026 han aclarit les especificacions tècniques per al marcatge, incloent estàndards de filigrana per al contingut visual.

La superfície de consentiment combinada el 2026

El CMP i l'avís de privacitat ara han de fer feina per a tots dos règims. El CMP d'editor del 2026 és significativament més elaborat que el seu predecessor del 2024.

Finalitats de consentiment granulars

El CMP exposa finalitats de consentiment que distingeixen entre la publicitat general, el perfilatge per a publicitat, la presa de decisions automatitzada i la personalització de recomanacions. Cadascuna correspon a un límit específic de l'AI Act i el GDPR, i cadascuna requereix el seu propi consentiment afirmatiu.

Divulgacions del sistema d'IA

L'avís de privacitat o un document de divulgació d'IA acompanyant descriu els sistemes d'IA en ús, les seves finalitats, les categories de dades d'entrada, la lògica general dels resultats i els mecanismes de supervisió humana existents. Això és més que la divulgació de presa de decisions automatitzada de l'Article 22 del GDPR — és una història de transparència d'IA més completa.

El dret a oposar-se

El dret del GDPR a oposar-se al perfilatge continua aplicant-se, i l'AI Act afegeix altres drets d'usuari al voltant de la personalització del recomanador impulsat per IA. Els usuaris poden deixar de rebre la personalització de recomanacions sense perdre l'accés al servei subjacent, i la baixa ha de ser almenys tan fàcil com l'alta.

Patrons operatius que funcionen el 2026

Els editors i anunciants que gestionen programes madurs del 2026 estan convergint en alguns patrons operatius.

L'inventari d'IA

Manteniu un inventari en viu de cada sistema d'IA en ús a tota la pila de l'editor o anunciant: el sistema, el seu nivell de risc en virtut de la Llei, les dades personals que processa, la seva base jurídica en virtut del GDPR, les divulgacions de transparència aplicades i la supervisió humana vigent. Aquest és l'artefacte de compliment fonamental i és el que els reguladors voldran veure primer.

L'avís de privacitat combinat

Un avís de privacitat i transparència d'IA combinat únic — en portuguès, alemany, francès o en qualsevol idioma que sigui adequat per al públic — que aborda tant les obligacions del GDPR com les de l'AI Act en una narrativa coherent. Intentar mantenir dues divulgacions separades convida a contradiccions i confusió del lector.

L'auditoria d'IA del proveïdor

Per a cada proveïdor de publicitat o anàlisi que processa resultats impulsats per IA en nom de l'editor, el contracte ha d'abordar l'assignació d'obligacions de l'AI Act, l'accés a la documentació tècnica i la notificació d'incidents. Els acords de tractament de dades estàndard del 2023 no aborden l'AI Act i cal renovar-los.

Sancions i posició d'aplicació

L'AI Act introdueix un règim de sancions escalonat amb multes administratives que poden superar els màxims del GDPR.

Els nivells de sanció

• Fins a EUR 35 milions o el 7 per cent de la facturació anual global per infraccions de pràctiques prohibides
• Fins a EUR 15 milions o el 3 per cent per a la majoria de les altres infraccions substantives
• Fins a EUR 7,5 milions o l'1 per cent per subministrar informació incorrecta

L'arquitectura d'aplicació

Cada Estat membre designa autoritats nacionals competents per a l'aplicació de l'AI Act, i l'Oficina Europea d'IA coordina la supervisió dels models d'IA de propòsit general. L'aplicació contra editors i anunciants s'executarà principalment a través de les autoritats nacionals, sovint en estreta coordinació amb les autoritats de protecció de dades existents. S'esperen les primeres accions d'aplicació significatives de l'AI Act durant el 2026 a mesura que les obligacions d'alt risc entrin plenament en vigor.

Llista de verificació d'auditoria per a publicitat impulsada per IA el 2026

• Inventari en viu de cada sistema d'IA a la pila amb classificació del nivell de risc
• Base jurídica GDPR documentada per a cada sistema d'IA que processa dades personals
• Divulgacions de transparència de l'AI Act aplicades a cada sistema de risc limitat, incloent la personalització de recomanacions i els chatbots
• Marcatge de contingut sintètic aplicat a creatius, imatges, àudio i vídeo generats per IA
• Avís de privacitat i transparència d'IA combinat en l'idioma local rellevant
• El CMP exposa el perfilatge, la presa de decisions automatitzada i la personalització de recomanacions com a finalitats amb consentiment separat
• Els segments d'audiència es revisen contra la llista de categorització biomètrica prohibida
• Contractes de proveïdors actualitzats per abordar l'assignació d'obligacions de l'AI Act
• Mecanismes de supervisió humana documentats per a qualsevol sistema que s'acosti al límit d'alt risc
• El flux de treball de drets dels interessats i d'usuaris de l'AI Act pot respondre a sol·licituds de baixa, explicació i revisió humana dins dels períodes de resposta aplicables

La perspectiva del 2026

L'AI Act no substitueix el GDPR — se superposa a ell, i la superfície combinada és significativament més elaborada que qualsevol dels règims per separat. Per als editors i anunciants que gestionen personalització, perfilatge, sistemes de recomanació o contingut generatiu impulsats per IA, el 2026 és l'any en què l'arquitectura de compliment ha de madurar més enllà d'una postura GDPR pura. Els que tracten l'AI Act com una preocupació futura trobaran que el futur arriba més ràpid del que s'esperava, amb autoritats nacionals emetent les seves primeres accions d'aplicació durant el 2026 i fins al 2027. Els que construeixin el compliment combinat des del principi trobaran que l'arquitectura compensa: les obligacions de transparència de l'AI Act, ben implementades, també enforteixen la història de consentiment i confiança del GDPR, i la disciplina operativa de mantenir un inventari d'IA en viu resulta útil molt més enllà del compliment regulador.