Las obligaciones del Reglamento Europeo de Inteligencia Artificial (RIA o AI Act) para la IA de propósito general ya están en vigor y pueden ser exigidas por las autoridades de control, en España, fundamentalmente, la Agencia Española de Supervisión de Inteligencia Artificial.

Desde el 2 de agosto de 2025, ha entrado en vigor en la Unión Europea uno de los hitos más esperados, y temidos, por la industria tecnológica: las obligaciones específicas para proveedores de modelos de inteligencia artificial de propósito general (GPAI) bajo la citada normativa comunitaria de inteligencia artificial (AI Act).

Aunque el reglamento se aprobó en 2024, su aplicación se ha realizado de forma progresiva. Ahora es el turno de un segmento clave: modelos capaces de realizar una amplia gama de tareas como generación de texto, imagen o vídeo y entrenados con recursos computacionales masivos. Su potencia y adaptabilidad han motivado un marco legal diferenciado para garantizar seguridad, transparencia y respeto a los derechos fundamentales.

¿Qué es la “IA de propósito general”?

La AI Act define un modelo GPAI como aquel entrenado con recursos superiores a 10²³ operaciones de coma flotante (FLOPs) y que pueda generar o comprender lenguaje natural, imágenes o vídeos con alto grado de autonomía. Estos sistemas no se limitan a un caso de uso específico, sino que sirven como base para múltiples aplicaciones. Por ello se entiende que incrementan sus riesgos potenciales.

Principales obligaciones en vigor

A partir de ahora, los proveedores de GPAI deben cumplir con una serie de requisitos técnicos y organizativos, entre los que destacan:

  1. Transparencia reforzada
    -Documentar las capacidades y limitaciones del modelo.
    -Identificar claramente los contenidos generados por IA (marcadores de procedencia, watermarks o marcas de agua y/o metadatos).
     
  2. Respeto a la propiedad intelectual
    -Proporcionar información sobre el uso de obras protegidas entre los datos de entrenamiento o data sets.
    -Facilitar mecanismos para que los titulares de derechos puedan verificar y reclamar (entre los cuales, que se puedan oponer a que su obra sea utilizada para entrenar sistemas de IA).
     
  3. Evaluación y mitigación de riesgos
    -Análisis de posibles impactos sobre la salud, la seguridad, los derechos fundamentales.
    -Medidas para prevenir usos abusivos, dañinos o potencialmente peligrosos.
     
  4. Supervisión humana y control de uso
    -Los sistemas han de permitir tanto a operadores, responsables del despliegue (usuarios) como a autoridades limitar comportamientos no deseados.
     
  5. Obligaciones adicionales para modelos de “riesgo sistémico”
    -Cuando el modelo pueda generar impactos masivos en la sociedad o economía, se exige requisitos y obligaciones reforzadas como la monitorización continua, la realización de auditorías externas y el establecimiento de protocolos de respuesta rápida.

El código de conducta voluntario

En paralelo, la Comisión Europea ha impulsado un Código de Buenas Prácticas para GPAI ( o código de conducta) que no sustituye la ley, pero ofrece vías simplificadas de cumplimiento para quienes lo adopten. Los proveedores que lo firmen antes del 1 de agosto de 2025 serán incluidos en un registro público y podrán beneficiarse de menor carga administrativa y mayor seguridad jurídica. La mayor parte de las big tech desarrolladoras de IA ya lo han suscrito, pero también hay sonadas excepciones como Meta.

La existencia de este código, desarrollado por un amplio grupo de expertos con una metodología estricta y varias iteraciones, busca incentivar una autorregulación responsable. Ahora bien, la adhesión no exime de la supervisión por parte de la Oficina Europea de IA, o de la autoridad nacional que corresponda.

Es decir, sin perjuicio de que un proveedor de IA haya firmado el código, podría incurrir en responsabilidades y, en su caso, en sanciones, si se demuestra que está vulnerando la AI Act. Junto al código, la Comisión Europea también ha publicado nuevas directrices oficiales para ayudar a los proveedores de modelos GPAI a cumplir adecuadamente con el Reglamento de IA desde el 2 de agosto.

Entre los aspectos clave, las directrices establecen los siguientes aspectos:

-Definen qué es un modelo de IA de propósito general: aquel entrenado con recursos computacionales superiores a 102310^{23}1023 operaciones de coma flotante y capaz de generar texto, imágenes o vídeo.
-Aclaran quién es considerado “proveedor” y qué significa “comercializar un modelo” en el contexto europeo.
-Reconocen excepciones para modelos desarrollados bajo licencias libres y de código abierto, siempre que cumplan con condiciones mínimas de transparencia.Ç
-Detallan obligaciones adicionales para proveedores de modelos avanzados con riesgos sistémicos, incluyendo la necesidad de evaluaciones de riesgo y medidas de mitigación reforzadas.

Los riesgos y las sanciones

El incumplimiento de las obligaciones para GPAI puede acarrear, según la AI Act multas de hasta 35 millones de euros o el 7% del volumen de negocio global, según la gravedad de la infracción. Además, las autoridades nacionales de supervisión tendrán potestad para suspender o prohibir temporalmente el uso de modelos que representen un riesgo inaceptable.

Lo que deben hacer las empresas ahora:

-Mapear y clasificar sus modelos para determinar si entran en la definición de GPAI.
-Revisar contratos y licencias que tengan con desarrolladores de IA para incluir cláusulas de cumplimiento con la AI Act.
-Implementar trazabilidad de datos usados en el entrenamiento.
-Formar a equipos técnicos y legales, y la plantilla, en su conjunto, sobre las nuevas obligaciones.

Como se ha dicho, con la entrada en vigor de estas normas, la UE se consolida como líder mundial en regulación de IA, apostando por un enfoque basado en derechos y seguridad y en una IA ética y responsable. Sin embargo, para empresas y desarrolladores, este momento marca, teóricamente, la finalización de un periodo de adaptación intensa que está requiriendo o requerirá inversiones significativas en compliance, auditoría y gobernanza tecnológica.

La incógnita, se ha dicho, es si este marco de referencia podrá suponer un freno a la innovación o, por el contrario, generará, como quiere la UE, un ecosistema más fiable y competitivo. Lo que está claro es que, desde este agosto, el reloj de la regulación de la IA ya está corriendo y no hay vuelta atrás.