Bruselas revela un panorama transformador para la tecnología global desde el 2 de agosto de 2025, cuando la Unión Europea comenzó a aplicar una nueva parte de su histórica Ley de Inteligencia Artificial, obligando a empresas de todo el mundo que desarrollan, importan, venden o modifican significativamente modelos de IA de propósito general (GPAI) a cumplir con estrictos estándares de transparencia, seguridad y respeto a los derechos de autor, o enfrentar multas de hasta 35 millones de euros o el 7 por ciento de su facturación global.

Los requisitos inmediatos se aplican no solo a empresas europeas, sino a cualquier organización cuyos productos o servicios de IA lleguen al mercado de la UE. Al activar las disposiciones para GPAI este verano, los reguladores han transformado la legislación de un simple plan a una ley vinculante con una rapidez que ha tomado por sorpresa a parte de la industria tecnológica e intensificado la necesidad de hojas de ruta detalladas para el cumplimiento.

En la preparación para la aplicación, la Comisión Europea publicó directrices prácticas y un Código de Prácticas voluntario diseñado para ayudar a los proveedores a interpretar las normas y documentar sus medidas de mitigación de riesgos. El Código recibió aprobación formal el 1 de agosto de 2025, apenas 24 horas antes de que las obligaciones fueran exigibles, dando a las empresas poco tiempo para asimilar sus más de 30 páginas de protocolos de prueba recomendados y controles de gobernanza de datos Skadden.

La Ley de IA fue adoptada en 2024, pero sus requisitos se implementan por etapas. Febrero de 2025 marcó el primer hito significativo, prohibiendo los sistemas de puntuación social y cierta vigilancia biométrica en tiempo real, mientras obligaba a las organizaciones a garantizar que su personal posea conocimientos básicos de IA. El segundo —y más amplio— hito llegó esta semana, dirigido a los potentes modelos fundamentales que cada vez más sustentan chatbots, asistentes de código y herramientas de apoyo a la decisión en todos los sectores de la economía.

Novedades para proveedores de GPAI

Bajo las disposiciones ahora vigentes, las organizaciones que entrenan, ajustan o ponen sistemas GPAI en el mercado de la UE deben:

• Demostrar que cualquier material con derechos de autor utilizado para el entrenamiento se obtuvo legalmente y se registró en un resumen público.
• Realizar y documentar pruebas adversariales para identificar y corregir vulnerabilidades de seguridad.
• Publicar documentación técnica detallada que los reguladores puedan auditar a demanda.
• Implementar sólidas salvaguardias de ciberseguridad, procesos de monitoreo de incidentes y políticas claras de uso para desarrolladores posteriores.

Como la Ley deliberadamente lanza una red amplia, los proveedores de software como servicio que personalizan modelos de código abierto como Llama, Mistral o Falcon pueden ser tratados como «proveedores», no meramente «usuarios», y por tanto heredar estas obligaciones, señalaron analistas legales de Baker McKenzie cuando se firmó el texto final Baker McKenzie.

Sanciones con alcance global

La aplicación estará a cargo de autoridades supervisoras nacionales y se coordinará a través de la recién creada Junta Europea de Inteligencia Artificial. Para infracciones que los reguladores clasifiquen como «graves» o «reiteradas», la Ley autoriza multas administrativas de hasta 35 millones de euros o el 7 por ciento de los ingresos anuales mundiales de una empresa, lo que sea mayor Greenberg Traurig. Las multinacionales enfrentan, por tanto, exposiciones comparables a las observadas bajo el Reglamento General de Protección de Datos (RGPD) de la UE, pero con un calendario de cumplimiento aún más rápido.

Aunque los reguladores han prometido un enfoque «basado en el riesgo y proporcionado», es poco probable que las empresas que ignoren los plazos escalonados del estatuto reciban indulgencia. «Las reglas sobre GPAI entran en vigor a partir de agosto de 2025», reiteró en un boletín de abril el portal independiente que rastrea la legislación, ArtificialIntelligenceAct.eu, resumiendo las orientaciones de la Comisión ArtificialIntelligenceAct.eu.

Cuatro niveles de riesgo—y otro reloj en marcha

La Ley organiza los sistemas de IA en cuatro categorías:

  1. Riesgo inaceptable (prohibido): sistemas manipuladores o explotadores como puntuación social o reconocimiento de emociones en escuelas.
  2. Alto riesgo (fuertemente regulado): herramientas utilizadas para contratación, puntuación crediticia, diagnóstico médico, gestión de infraestructuras críticas o fines policiales.
  3. Riesgo limitado (normas de transparencia): chatbots y generadores de contenido que podrían confundirse con producción humana.
  4. Riesgo mínimo: filtros de spam, gestores de inventario y aplicaciones similares de bajo impacto.

Las actuales obligaciones GPAI se sitúan algo aparte de esa escala de riesgo; se aplican a cualquier modelo de amplio despliegue, independientemente de su uso final inmediato. Sin embargo, para muchas empresas el siguiente —y posiblemente más oneroso— plazo es el 2 de agosto de 2026, cuando los sistemas de alto riesgo deben superar un proceso completo de evaluación de conformidad, obtener el marcado CE e incorporar mecanismos para la supervisión humana en tiempo real.

Por qué los usuarios finales deben prestar atención ahora

Las cadenas de suministro de IA corporativas suelen ser opacas: un chatbot de servicio al cliente puede depender de una plataforma SaaS de terceros, que a su vez ajusta un modelo de código abierto entrenado con datos de múltiples proveedores. La Ley hace responsable a cada eslabón de esa cadena de documentar de dónde procede el modelo, a qué datos estuvo expuesto y cómo se monitorizan los resultados.

En consecuencia, los asesores jurídicos de todo el continente han comenzado a mapear sus inventarios de IA, asignando responsables internos y presupuestando auditorías externas. Incluso las empresas que nunca planean entrenar un modelo desde cero deben saber si su proveedor elegido ha cumplido con los estándares del Código de Prácticas para documentación de conjuntos de datos y pruebas adversariales. Un fallo en los eslabones superiores puede cascadear hacia abajo, potencialmente desencadenando responsabilidad conjunta.

Lecciones del RGPD

Muchos ejecutivos recuerdan alarmas similares en 2018, cuando las sanciones y el alcance extraterritorial del RGPD se aclararon por primera vez. La ansiedad inicial eventualmente dio paso a programas de cumplimiento repetibles, y algunas empresas convirtieron los estrictos ajustes de privacidad en una ventaja de confianza del cliente. Veteranos de la industria que han guiado ambos regímenes dicen que la Ley de IA está siguiendo una trayectoria comparable: onerosa a primera vista, pero manejable una vez que se instalan los bloques operativos fundamentales.

«Piense en ello como una maratón por fases, no como un sprint único», dijo un director de tecnología de una firma global de gestión de documentos que supervisó una revisión de preparación de un año. «Invertimos temprano en documentación lista para auditorías para cada modelo que tocamos. Ahora que las reglas GPAI están vigentes, podemos dirigir a los reguladores hacia la evidencia en lugar de apresurarnos a compilarla».

Pasos prácticos para los próximos 12 meses

  1. Mapee sus modelos: Cree un registro de todos los sistemas de IA en producción o desarrollo, anotando si son propietarios, de código abierto o suministrados por proveedores.
  2. Clasifique los casos de uso: Determine el nivel de riesgo de cada sistema según la Ley y si cumple con la definición de GPAI.
  3. Exija transparencia: Solicite a los proveedores prueba de cumplimiento de derechos de autor, pruebas de seguridad y documentación técnica alineada con el nuevo Código de Prácticas.
  4. Incorpore supervisión humana: Diseñe flujos de trabajo para que los empleados puedan intervenir, reentrenar o desactivar un modelo que se comporte de manera impredecible.
  5. Capacite a la plantilla: La alfabetización en IA ya es obligatoria; la formación adaptada ayuda a los desarrolladores y gestores de producto a entender las obligaciones cambiantes.
  6. Presupueste para auditorías: Las evaluaciones de conformidad externas pueden ser obligatorias para sistemas de alto riesgo el próximo año; las cotizaciones tempranas pueden evitar aumentos de precios de último minuto.

Análisis: lo que señala la nueva fase

Si bien la aplicación comienza en la UE, las reglas GPAI probablemente repercutirán en las hojas de ruta de productos globales. Los proveedores estadounidenses pueden adoptar valores predeterminados compatibles con la UE para evitar mantener bases de código divergentes, reflejando lo ocurrido con los banners de cookies del RGPD. Las empresas con base en China que buscan expandirse en Europa enfrentan una elección entre abrir sus libros de gobernanza de datos o ceder cuota de mercado a competidores dispuestos a hacerlo.

La Ley también acelera un debate político más amplio: cómo equilibrar la innovación con las salvaguardias cuando los modelos subyacentes son cada vez más potentes y de propósito general. Al separar GPAI de los sistemas de alto riesgo específicos de cada sector, Bruselas ha colocado la responsabilidad en aquellos mejor posicionados para entender el comportamiento de un modelo —sus creadores y afinadores— en lugar de solo en las empresas usuarias finales.

Con más jurisdicciones redactando legislación sobre IA, las obligaciones actuales pueden convertirse en la línea base del mañana. Las empresas que tratan agosto de 2025 como un evento europeo aislado corren el riesgo de repetir errores pasados cometidos por firmas que esperaron una ley federal de privacidad estadounidense en lugar de prepararse para el RGPD. Por el contrario, las organizaciones que incorporan los requisitos de documentación, pruebas y supervisión humana de la Ley en su ciclo de desarrollo estándar podrían encontrarse por delante de los reguladores en otros lugares.

La conclusión es clara: la ventana para el cumplimiento reactivo se está cerrando. La UE ha encendido la mecha, y la cuenta atrás para el siguiente acantilado de cumplimiento —agosto de 2026 para sistemas de alto riesgo— ya ha comenzado.

Fuentes

  • https://www.skadden.com/insights/publications/2025/08/eus-general-purpose-ai-obligations
  • https://www.bakermckenzie.com/en/insight/publications/2025/08/general-purpose-ai-obligations
  • https://www.gtlaw.com/en/insights/2025/7/eu-ai-act-key-compliance-considerations-ahead-of-august-2025
  • https://artificialintelligenceact.eu/

Tags