La governança de la intel·ligència artificial a Europa fa un pas decisiu amb el llançament de l’AI Act Whistleblower Tool, el nou canal europeu per a denunciar infraccions relacionades amb l’ús i desenvolupament de sistemes de IA. L’eina, impulsada per l’Oficina Europea d’Intel·ligència Artificial, introdueix una capa addicional de vigilància en un moment clau: el Reglament d’Intel·ligència Artificial (RIA o AI Act) avança cap a la seva plena aplicació, i les empreses tecnològiques hauran de reforçar la seva cultura de compliment normatiu.
Encara que moltes obligacions del RIA encara no són exigibles, Brussel·les vol anticipar-se a possibles incompliments i converteix a empleats, col·laboradors i socis comercials en aliats estratègics per a detectar riscos. Aquest enfocament se suma al marc ja existent a Espanya, compost per l’Autoritat Independent de Protecció de l’Informant (AIPI), l’Agència Espanyola de Supervisió d’Intel·ligència Artificial (AESIA) i els sistemes interns d’informació obligatoris sota la Llei 2/2023.
En què consisteix l’AI Act Whistleblower Tool?
Es tracta d’un canal de denúncia extern, segur, confidencial i totalment independent dels sistemes interns de les companyies. Permet comunicar presumptes infraccions del RIA, tant en obligacions ja actives com en àmbits connexos afectats pel desplegament de IA:
- Seguretat de productes.
- Protecció del consumidor.
- Privacitat i seguretat de les dades.
- Pràctiques internes que puguin posar en risc drets fonamentals o la confiança pública.
No obstant això, els experts adverteixen que el seu abast encara és limitat: algunes obligacions—com la transparència sobre les dades d’entrenament—no seran exigibles fins a fases posteriors, i la protecció plena dels denunciants no serà aplicable fins al 2 d’agost de 2026.
Un ecosistema de canals que conviurà i se solaparà
El nou canal europeu no substitueix als mecanismes nacionals. Les denúncies podran presentar-se tant per via interna com externa, sense necessitat d’esgotar cap via prèviament. Això obre la porta a investigacions paral·leles i, potencialment, a un solapament de sancions si concorren diferents supervisors.
Davant aquesta falta de claredat pràctica, els especialistes en compliance recomanen reforçar els sistemes interns per a millorar la seva eficàcia i capacitat de resposta. La Llei 2/2023 exigeix que el sistema intern sigui accessible, garanteixi l’anonimat i la confidencialitat, protegeixi enfront de represàlies i compti amb una gestió independent, encara que l’operació pugui externalitzar-se.
A més, les empreses han d’informar no sols del seu canal intern, sinó també dels canals externs disponibles, inclosos els europeus.
Què han de fer ara les tecnològiques?
Amb la posada en marxa del canal europeu, les organitzacions que desenvolupen o integren IA deurien:
- Revisar i actualitzar els seus programes de compliance, incorporant obligacions del RIA i protocols específics de IA.
- Auditar els seus sistemes interns d’informació per a garantir la seva eficiència, accessibilitat i alineació amb la Llei 2/2023.
- Capacitar als equips sobre obligacions de l’AI Act, riscos legals i funcionament dels diferents canals.
- Avaluar l’impacte de possibles recerques simultànies i preparar plans de resposta coordinats.
En un entorn regulador cada vegada més complex, la prevenció i la transparència seran claus per a evitar riscos sancionadors i reputacionals. El missatge és clar: l’era de la supervisió reforçada de la IA ja ha començat, i les empreses han d’estar preparades.
Com sempre, cuideu les dades i cuideu-vos!
