Fa uns dies començàvem la nostra sèrie d’articles sobre legislació i IA, explicant la importància de l’AI Act a la Unió Europea com a peça central del marc que regula l’ús de la intel·ligència artificial. No obstant això, la regulació es recolza en tot un ecosistema de “peces” que ja s’havien vingut desenvolupant a mesura que la tecnologia ha anat avançant i donant forma al nostre dia a dia.
RGPD i directiva ePrivacy
La RGPD i la directiva ePrivacy són bases fonamentals per a qualsevol llei que concerneixi a la intel·ligència artificial ja que és ben sabut que està basada en dades i la privacitat i protecció dels mateixos és clau.
Encara que acceptem cookies, termes i condicions per a poder fer ús de tants serveis en el nostre dia a dia hi ha una sèrie de regulacions perquè les nostres dades tinguin una certa privacitat i protecció.
El Comitè Europeu de Protecció de Dades ha publicat l’Opinió 28/2024 sobre models de IA per a dilucidar:
- Quan poden considerar-se anònims les dades usades per a entrenar els models.
- En quines condicions es pot considerar d’interès legítim.
- Quin límit hauria de tenir l’abast del scraping (el buscar i recollir dades d’internet de manera massiva) per a entrenar la IA.
La llei de protecció de dades és un assumpte de gran extensió en si mateix i cobreix moltíssims punts, com per exemple, les dades d’un ciutadà europeu no poden sortir físicament d’Europa si no hi ha una sèrie de garanties legals de protecció de dades sobre el lloc físic en el qual s’emmagatzemaran fora de la Unió.
Altres normes
A més de la IA Act comptem amb altres 2 normes sobre com es desplega la IA o el que podríem dir “les canonades” per on circula:
La DSA o Digital Services Act que afecta directament les grans plataformes i negocis de màrqueting en línia, com Google, ja que obliga una certa transparència, a limitar el targeting sensible i a menors.
D’altra banda, la DMA o Digital Markets Act regula als grans “gatekeepers” d’internet i prohibeix el seu autoprivilegi o reforça la interoperabilitat i accés a dades entre IAs de tercers.
Després tenim la Data Act que va entrar en aplicació fa relativament poc, el 12 de setembre de 2025, un pilar en l’estratègia europea de dades que pretén regular l’ús de dades en dispositius connectats (Internet de les Coses), dona als consumidors la possibilitat de tenir més interoperabilitat entre proveïdors de serveis en el núvol, prohibeix contractes abusius, etc. També permet que els governs dels Estats membres, en casos justificats, accedeixin a dades d’empreses privades en pro de l’interès públic com en casos d’emergència.
De qui és el copyright de les creacions?
Finalment, una peça molt important per a encaixar el nostre puzle regulador i que afecta precisament el món de la publicitat, la creativitat i el màrqueting de manera especial és la regulació sobre copyright. Precisament es tracta d’un terreny pantanós. La Directiva DSM permet unes certes formes de TDM (mineria de textos i dades) sobre obres protegides, però reconeix un “opt-out” per a usos comercials: els titulars de drets poden excloure els seus continguts, per exemple, mitjançant senyals machine-*readable.
Estudis recents del Parlament Europeu subratllen que el contingut generat per IA pot no estar clarament protegit per copyright si falta “creativitat humana”, la qual cosa deixa a empreses i creadors en uns llimbs sobre propietat i explotació.
No obstant això, no es tracta directament d’una llei. Autors i entitats de gestió han criticat que l’AI Act deixi un “forat de copyright” i no abordi de manera frontal la remuneració per usos massius en entrenament. L’article 50 de l’AI Act és on es presenten les regles específiques sobre IA generativa i contingut sintètic.
Què empara cada normativa?
A mode resumeixen, podem dir que:
- AI Act: defineix què pots fer amb IA i amb quines garanties segons el nivell de risc.
- RGPD / ePrivacy: continuen manant en tot el que impliqui dades personals, inclosos prompts i logs.
- DSA / DMA: obliguen a les grans plataformes i gatekeepers a fer els seus algorismes més transparents i controlables, la qual cosa canvia el “terreny de joc” per als qui fan negoci damunt: mitjans, ecommerce o publicitat.
- Data Act: regula l’accés i ús de dades industrials/IoT i la portabilitat en el núvol, afectant els datasets que alimenten la IA.
Copyright: encara està en fase d’ajust, intentant encaixar entrenament massiu i outputs generats en un marc pensat per a obres humanes.
Queda clar que la regulació d’una tecnologia tan completa i tan usada, suposa un estudi minuciós de tots els usos i escenaris en els quals s’aplica i que els supòsits amb els quals els responsables es troben aniran cada vegada a més.
