Què obliga exactament l’art. 4

L’article 4 del Reglament (UE) 2024/1689 — el Reglament Europeu d’IA, o "EU AI Act" — obliga els proveïdors i desplegadors de sistemes d’IA a garantir un nivell suficient d’alfabetització en matèria d’IA del seu personal i de les persones que en el seu nom operen o utilitzen aquests sistemes.

Traduït a empresa: si el vostre personal utilitza IA — i sí, ChatGPT en una pestanya compta — heu d’assegurar-vos que saben utilitzar-la bé, i heu de poder demostrar-ho documentalment davant l’autoritat supervisora.

"Els proveïdors i desplegadors de sistemes d’IA adoptaran mesures per garantir, en la mesura del possible, un nivell suficient d’alfabetització en matèria d’IA del seu personal i de les persones que s’ocupin del funcionament i la utilització dels sistemes d’IA en el seu nom." — Art. 4 EU AI Act.

A qui aplica

A tota empresa europea que desplegui IA a la seva operativa. No distingeix per mida. Una gestoria de tres persones que utilitza ChatGPT per redactar correus a clients ha de complir-ho, igual que una multinacional amb cinc mil empleats.

Si creieu que la vostra empresa no utilitza IA, mireu de nou:

  • Copilot integrat a Microsoft 365 · Word, Excel, Outlook, Teams.
  • Assistents IA a Salesforce, HubSpot, Holded, A3 i altres CRM/ERP.
  • ChatGPT, Claude, Gemini en una pestanya oberta · tant és si el compte és personal.
  • Funcions d’IA en programes comptables, fiscals i jurídics.
  • Transcripció automàtica de reunions (Otter, Fireflies, Tactiq, Teams Premium).
  • WhatsApp Business amb respostes suggerides.
  • Email màrqueting amb generació o personalització IA.

Qualsevol d’aquestes compta. Si el vostre personal les utilitza sense formació documentada, esteu fora del marc.

Dates que importen

El Reglament es va aprovar el juliol de 2024. La seva aplicació és esglaonada:

  • 2 febrer 2025 — entra en vigor l’art. 4. Obligació d’alfabetització IA operativa ja. Sense període de gràcia.
  • 2 agost 2025 — obligacions per a models de propòsit general (GPAI). Afecta proveïdors de models fundacionals (OpenAI, Anthropic, Google, Meta, Mistral).
  • 2 agost 2026 — la major part del Reglament és plenament aplicable.
  • 2 agost 2027 — obligacions per a sistemes d’IA d’alt risc ja integrats en productes regulats (sanitat, transport, infraestructures).

El crític per a una PIME avui

L’art. 4 està vigent des del febrer de 2025. L’AESIA pot demanar-vos la documentació d’alfabetització IA del vostre personal en qualsevol moment. No hi ha règim transitori.

Els 5 documents mínims

Per acreditar compliment de l’art. 4 una PIME necessita cinc documents. Si en falta un, esteu fora del marc encara que el vostre equip sàpiga utilitzar bé la IA.

  1. Inventari de sistemes IA — llistat de quina IA utilitza cada professional, en quins comptes (corporatius o personals), amb quin propòsit.
  2. Política IA interna — document signat per direcció que defineix què es pot fer amb IA a l’empresa, què no, quines dades es poden tractar i què passa si algú la incompleix.
  3. Certificació nominal d’alfabetització IA — un document per professional amb el seu nom, rol, casos d’ús concrets, eines que utilitza, formació rebuda, formador, data i signatura. Sense això, "l’equip està format" és paraula contra paraula.
  4. DPA art. 28 RGPD amb cada proveïdor d’IA que tracta dades personals — signat i arxivat. OpenAI, Anthropic, Google, Microsoft tenen els seus DPA disponibles als seus portals empresarials (no en comptes personals gratuïts).
  5. Registre/traçabilitat bàsica d’operacions IA crítiques — què es va generar amb IA, qui ho va revisar, quan. Sol ser suficient amb un full de càlcul o un camp extra al CRM.

Com inspecciona l’AESIA

L’Agència Espanyola de Supervisió de la IA opera des de mitjans de 2024 amb seu a la Corunya. És l’autoritat competent per inspeccionar i sancionar el compliment del Reglament a Espanya.

En una inspecció sobre l’art. 4 el que demanarà és:

  • Identificació dels sistemes d’IA utilitzats (inventari).
  • Política IA interna signada.
  • Certificació nominal del personal que els utilitza.
  • Traçabilitat — qui va fer què amb IA i quan.
  • DPA amb els proveïdors d’IA si tracten dades personals.

La inspecció no exigeix perfecció. Exigeix diligència documentada: que es vegi que l’empresa va prendre mesures, que hi ha un procés, que es renova, que el personal sap el que fa i pot demostrar-ho.

Sancions reals

El règim sancionador és a l’art. 99 del Reglament. Per a infraccions relacionades amb obligacions dels desplegadors (on hi ha l’art. 4), el màxim és de fins a 15 milions d’euros o el 3 % de la facturació anual mundial, el que sigui més gran.

Per a PIMES el Reglament preveu que les sancions es graduïn atenent a la mida i situació financera. Però l’expedient sancionador existeix, i la conseqüència més greu per a una PIME sol ser reputacional: que se sàpiga, que aparegui a la premsa local, que un client important ho descobreixi.

Compliment per sector

L’art. 4 aplica igual a tothom, però com es documenta canvia per sector. A OctIA treballem quatre:

  • Gestories i assessories — la certificació nominal ha de cobrir ús d’IA en redacció fiscal, picat, contestació a inspeccions, comptabilitat assistida. Compatible amb LOPDGDD.
  • Despatxos d’advocats — capa addicional de secret professional (art. 542 LOPJ). La IA no pot veure dades sensibles del client fora de DPA + arquitectura privada.
  • Clíniques privades — capa addicional de RGPD art. 9 (dades de salut). DPO opina, direcció signa, cada cas d’ús documentat.
  • Administradors de finques — català i castellà natius, normativa horitzontal específica de Catalunya, comunicacions a propietaris traçables.

Checklist · començar dilluns

Si avui és divendres i voleu començar dilluns:

  • Dilluns — Llistar quina IA utilitza cada professional, en quins comptes (corporatius o personals).
  • Dimarts — Migrar el personal a comptes Team/Enterprise/Workspace. Signar DPA amb cada proveïdor.
  • Dimecres — Redactar política IA interna basada en plantilla. Passar-la a direcció per signatura.
  • Dijous — Asseure l’equip, mostrar la política, comentar.
  • Divendres — Planificar formació documentable. Això és el que un Octa fa en quatre dilluns consecutius, amb certificació nominal al tancament.

Si després de llegir això us adoneu que la vostra empresa no té res d’això i necessita muntar tot l’expedient — política, certificació nominal, DPA, registre — això és exactament el que la metodologia OctIA resol en quatre dilluns presencials amb certificació al tancament.

Preguntes freqüents

Resum dels dubtes més habituals als diagnòstics.

Serveix un curs en línia genèric de ChatGPT per complir l’art. 4?

No. L’art. 4 exigeix formació adequada al rol i casos d’ús reals del treballador. Un certificat de participació massiu no és certificació nominal.

Què passa si el meu personal utilitza ChatGPT en compte personal?

Doble problema. Primer: probablement esteu exposats a un incompliment RGPD (entrenament amb dades personals sense DPA). Segon: no podeu documentar res perquè no controleu el compte. Cal migrar a compte empresarial amb DPA signat.

Quant de temps és vàlida una certificació nominal art. 4?

El Reglament no fixa data de caducitat. La Comissió Europea recomana revisió anual perquè les eines canvien. OctIA lliura la certificació amb suggeriment de revisió a 12 mesos inclòs.

Hi ha diferències entre AESIA i APDCAT a Catalunya?

L’AESIA supervisa el compliment del Reglament Europeu d’IA. L’APDCAT supervisa protecció de dades a Catalunya (dades personals). Si la vostra empresa tracta dades personals amb IA, ambdues autoritats poden actuar — la primera per l’art. 4, la segona per RGPD/LOPDGDD.

Diagnòstic · 20 min · gratis

La vostra empresa compleix l’art. 4 avui?

Diagnòstic gratuït. Sense guió comercial. Us diem què us falta en concret · sense vendre l’Octa si no encaixa.

Reservar diagnòstic