La Unión Europea activa una nueva fase crucial en su histórica Ley de Inteligencia Artificial, imponiendo desde el 2 de agosto de 2025 obligaciones específicas para desarrolladores de IA de propósito general, desde Silicon Valley hasta Shenzhen. Las sanciones por incumplimiento alcanzan los €35 millones o el 7% de la facturación global, cifras que evidencian la determinación europea en esta materia.

Los nuevos requisitos se aplican a cualquier empresa que coloque, importe o modifique modelos fundacionales de IA para su uso dentro del bloque de 27 países, constituyendo las primeras reglas globales específicamente diseñadas para la llamada «IA de propósito general» (GPAI). Esta normativa cierra un vacío regulatorio que había dejado a proveedores y sus clientes empresariales en la incertidumbre sobre derechos de autor, pruebas de seguridad y obligaciones de documentación.

Aunque los legisladores celebraron en marzo de 2024 el primer estatuto horizontal de IA del mundo, hoy sus disposiciones más relevantes se han convertido en un asunto de nivel directivo. Pese a ser legislación europea, su diseño extraterritorial significa que empresas de cualquier lugar que ajusten o incorporen modelos de lenguaje como GPT-5, Claude o Llama deben demostrar la debida diligencia exigida por Bruselas o arriesgarse a sanciones comparables a las del Reglamento General de Protección de Datos (RGPD).

Un reglamento por fases

La Ley de IA sigue un calendario escalonado, a diferencia del inicio simultáneo del RGPD. Un primer plazo el 2 de febrero de 2025 prohibió ciertos usos de «riesgo inaceptable» —como la calificación social de ciudadanos— y obligó a las organizaciones a formar a su personal en alfabetización en IA. La atención se ha desplazado ahora hacia la IA de propósito general, después de que el portal oficial de la Comisión Europea confirmara que las obligaciones para esta categoría entraron en vigor legalmente el 2 de agosto de 2025 digital-strategy.ec.europa.eu.

Para ayudar a las empresas a interpretar el estatuto, la Comisión publicó el 18 de julio de 2025 directrices preliminares que aclaran cómo se evaluarán en las acciones de cumplimiento conceptos fundamentales como «proveedor», «ajuste fino» y «documentación técnica» artificialintelligenceact.eu. El documento de consulta establece ejemplos que incluyen a muchos proveedores de software como servicio (SaaS) dentro del ámbito de aplicación, incluso cuando no construyen modelos desde cero.

Qué deben hacer los proveedores de GPAI

Según la ley, se considera proveedor a una empresa que desarrolla, ajusta o modifica sustancialmente un modelo fundacional antes de ponerlo a disposición en la UE. Desde el 2 de agosto deben:

• Demostrar el uso legal de datos de entrenamiento con derechos de autor o mostrar que se respetaron las exclusiones voluntarias.
• Realizar «pruebas adversarias» para identificar vulnerabilidades de seguridad y sesgos.
• Mantener controles sólidos de seguridad de la información para los pesos del modelo y los procesos de entrenamiento.
• Publicar documentación técnica detallada —a veces llamada «fichas de modelo»— que describa capacidades, limitaciones y condiciones de uso seguro.
• Registrar el modelo en una base de datos gestionada por la UE para transparencia pública.

El incumplimiento de estas obligaciones puede generar sanciones administrativas que alcanzan los €35 millones o el 7% de los ingresos mundiales, según un análisis legal difundido antes del plazo gtlaw.com.

Efectos en cadena para usuarios empresariales

Dado que muchas empresas integran modelos de terceros en productos orientados al cliente, las reglas de GPAI se extienden a través de las cadenas de suministro. Si una empresa ajusta un modelo de lenguaje en datos propios, o combina múltiples modelos en una capa de orquestación, la ley considera a esa empresa «proveedora», no simplemente usuaria. En consecuencia, obligaciones como transparencia, pruebas de seguridad y documentación de conjuntos de datos se trasladan hacia abajo.

Esto amplía la red de cumplimiento a plataformas en la nube, proveedores de tecnología de recursos humanos y consultorías especializadas en IA que antes presumían inmunidad. Existen excepciones para aplicaciones de riesgo mínimo como filtros de spam, pero los reguladores han enfatizado el amplio alcance de la ley y su principio rector de proporcionalidad: cuanto mayor es el riesgo potencial para la seguridad o los derechos fundamentales, más estrictos son los controles.

Arquitectura basada en riesgos

Los legisladores diseñaron la Ley de IA en torno a una jerarquía de cuatro niveles:

  1. Riesgo inaceptable: Sistemas como calificación social o herramientas manipuladoras dirigidas a grupos vulnerables están completamente prohibidos.
  2. Alto riesgo: La IA que influye en la contratación, préstamos, diagnósticos médicos, infraestructura crítica o decisiones policiales sigue siendo legal pero está fuertemente regulada. Las obligaciones de conformidad para este nivel comienzan el 2 de agosto de 2026.
  3. Riesgo limitado: Los chatbots y generadores de contenido deben informar a los usuarios que están interactuando con IA o medios sintéticos.
  4. Riesgo mínimo: La mayoría de las utilidades empresariales se encuentran aquí, sin atraer reglas especiales más allá de las obligaciones generales de alfabetización en IA.

Para empresas que desarrollan motores de selección de currículos, algoritmos de puntuación crediticia o herramientas de diagnóstico, la cuenta atrás hacia 2026 ya ha comenzado. Los proveedores de alto riesgo necesitarán un sistema certificado de gestión de calidad, monitoreo continuo de riesgos, registros auditables de gobernanza de datos y una marca CE tras una evaluación de terceros —requisitos más comúnmente asociados con dispositivos médicos o componentes automotrices.

Derechos de autor y gobernanza de datos

Uno de los temas destacados de la ley es la legalidad de los datos de entrenamiento. La guía de julio insta a los desarrolladores de GPAI a mantener «documentación de procedencia de datos», explicando por qué cada conjunto de datos está en el dominio público, tiene licencia o se acoge a una excepción de derechos de autor de la UE. Las empresas deben estar preparadas para presentar estos registros a las autoridades supervisoras nacionales cuando lo soliciten.

Las expectativas de seguridad son igualmente explícitas. Los proveedores deben ejecutar ejercicios de equipo rojo que exploren la inyección de instrucciones, la apropiación del modelo y la generación de contenido no permitido. Los resultados deberían alimentar un plan de seguimiento posterior a la comercialización, y los incidentes graves deben notificarse a los reguladores en un plazo de 15 días.

Pequeñas empresas y código abierto

Las startups que publican modelos de código abierto solicitaron alivio a los legisladores, pero solo lo consiguieron parcialmente. Aunque las versiones comunitarias están exentas de algunos pasos de registro, aún deben incluir documentación y un resumen de cumplimiento de derechos de autor. Los inversores han comenzado a requerir evidencia de dicha documentación durante verificaciones de diligencia debida, señalando que las fuerzas del mercado reforzarán el mandato legal.

Precedente global

Aunque Estados Unidos, Reino Unido y Japón persiguen marcos voluntarios más ligeros, el enfoque de la UE puede convertirse en política global de facto. Como con el RGPD, las multinacionales a menudo adoptan el régimen más estricto para garantizar la coherencia transfronteriza. Los proveedores de nube ya están implementando «modos de cumplimiento de IA de la UE», y los acuerdos empresariales incluyen cada vez más apéndices de gobernanza de datos que reflejan el lenguaje de Bruselas.

Preparación para el horizonte de 2026

Los asesores legales recomiendan tratar el plazo de GPAI como un ensayo para la conformidad de alto riesgo. Las empresas deberían comenzar con un inventario de sistemas de IA: registrar cada modelo, su propósito, origen de datos de entrenamiento e historial de modificaciones. Luego, mapear cada sistema según los niveles de riesgo de la Ley de IA, anotando cualquier migración futura de riesgo limitado a alto —común cuando los chatbots adquieren capacidades transaccionales o sugerencias diagnósticas.

Las empresas que obtienen modelos externamente deberían conseguir garantías actualizadas de los proveedores sobre derechos de autor, pruebas de seguridad y transparencia. Donde surjan brechas, las empresas pueden necesitar añadir controles adicionales o cambiar de proveedores. La documentación técnica debería almacenarse en un repositorio de cumplimiento dedicado junto con los registros del RGPD para agilizar las auditorías.

Una oportunidad, no solo una carga

Análisis: Los plazos regulatorios a menudo se perciben como burocracia, pero la historia muestra que estimulan las mejores prácticas. El RGPD aceleró la adopción del cifrado y clarificó los derechos de los interesados; la Ley de IA podría profesionalizar similarmente la gobernanza de modelos. Los pioneros que incorporen el cumplimiento en el diseño de productos pueden ganar confianza del mercado y acceso más fluido a los canales de contratación de la UE que cada vez más especifican la conformidad con la Ley de IA.

La ley también fomenta la innovación en herramientas de seguridad —la generación de datos sintéticos, la evaluación comparativa de sesgos y los paneles de riesgo de modelos están preparados para crecer. A su vez, estas soluciones reducen el coste marginal del cumplimiento, particularmente para pequeñas y medianas empresas.

Mirando hacia adelante

Se espera que Bruselas finalice el borrador de directrices de julio antes de fin de año, tras incorporar los comentarios de la industria. Las autoridades nacionales están dotando de personal a nuevas unidades de aplicación de IA, y la Comisión está construyendo un registro público para las divulgaciones de modelos GPAI. Las empresas que se alineen con las obligaciones actuales estarán mejor preparadas cuando los requisitos de alto riesgo lleguen en agosto de 2026 —y cuando otras jurisdicciones inevitablemente sigan el ejemplo de la UE.

Por ahora, el mensaje es claro: los modelos de propósito general están en el centro de las pilas de software modernas, y los reguladores han trazado sus líneas rojas. Las empresas que entiendan —y operacionalicen— esas reglas tienen la oportunidad de convertir el cumplimiento en ventaja competitiva.

Fuentes

  • https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • https://artificialintelligenceact.eu/
  • https://www.gtlaw.com/en/insights/2025/7/eu-ai-act-key-compliance-considerations-ahead-of-august-2025

Tags