¿Cuándo se vuelven realmente aplicables las reglas GPAI de la EU AI Act?

Las obligaciones sustantivas para los proveedores de modelos de IA de propósito general bajo el Capítulo V de la EU AI Act entraron en aplicación el 2 de agosto de 2025. Sin embargo, los poderes de aplicación de la Comisión Europea, incluyendo la autoridad para solicitar información, realizar evaluaciones, ordenar medidas correctivas e imponer multas bajo el Artículo 101, solo se vuelven ejercibles el 2 de agosto de 2026. Los proveedores de modelos GPAI colocados en el mercado antes del 2 de agosto de 2025 tienen una pista de cumplimiento más larga y deben ser puestos en conformidad para el 2 de agosto de 2027.

¿Cuál es el umbral de riesgo sistémico para los modelos GPAI?

Bajo el Artículo 51(2) de la EU AI Act, se presume que un modelo de IA de propósito general tiene capacidades de alto impacto y, por tanto, presenta riesgo sistémico, cuando el cómputo acumulado utilizado para su entrenamiento supera los 10^25 floating-point operations (FLOPs). La presunción es rebatible: un proveedor por encima del umbral puede presentar argumentos fundamentados bajo el Artículo 52(2) de que el modelo de hecho no presenta riesgo sistémico. La Comisión también puede designar modelos por debajo del umbral y puede actualizar el propio umbral mediante acto delegado a medida que el estado del arte evolucione.

¿Necesito firmar el Código de Buenas Prácticas de GPAI?

No. El Código de Buenas Prácticas, publicado el 10 de julio de 2025, es voluntario. Firmarlo otorga una presunción de conformidad con las obligaciones relevantes del Artículo 53 y (para proveedores con riesgo sistémico) del Artículo 55, lo que reduce la fricción administrativa durante las evaluaciones de la Oficina de IA. A mediados de 2025, 26 organizaciones habían firmado, incluyendo Anthropic, Google, Microsoft y OpenAI. Meta declinó firmar. Los no firmantes deben demostrar el cumplimiento a través de medios alternativos adecuados y pueden esperar mayor escrutinio cuando comience la aplicación del Artículo 101.

¿Cuáles son las multas máximas por incumplimiento de GPAI?

Bajo el Artículo 101 de la EU AI Act, la Comisión Europea puede multar a los proveedores de modelos GPAI hasta el 3 % de su volumen de negocios anual global o 15 millones EUR, lo que sea mayor, por infracciones intencionadas o negligentes de las obligaciones GPAI o por fallos en proporcionar la información solicitada. Esto se sitúa separadamente de los niveles más amplios del Artículo 99, que incluyen hasta 35 millones EUR o el 7 % del volumen de negocios por prácticas de IA prohibidas. Las pymes y start-ups están limitadas al menor del porcentaje o la cantidad absoluta.

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act: los poderes de supervisión de GPAI entran en vigor en agosto de 2026

El 2 de agosto de 2026, la Oficina de IA de la Comisión Europea obtiene plenos poderes de supervisión sobre los proveedores de modelos de IA de propósito general (GPAI), incluyendo multas de hasta el 3 % del volumen de negocios global o 15 millones EUR. Los modelos anteriores a 2025 tienen hasta el 2 de agosto de 2027 para cumplir.

Qué desbloquea realmente el hito del 2 de agosto de 2026

Las obligaciones de GPAI en sí entraron en aplicación el **2 de agosto de 2025**, pero a los proveedores se les concedió una ventana de adaptación de un año antes de que la Comisión Europea pudiera empezar a ejercer la supervisión y aplicación. Esa ventana se cierra el **2 de agosto de 2026**, cuando entran en vigor los poderes de aplicación de la Oficina de IA bajo el Capítulo V.

*Este artículo es una orientación general, no asesoramiento legal. Consulta a un asesor cualificado en la UE para decisiones de cumplimiento.*

A partir de esa fecha, la Oficina de IA puede solicitar formalmente documentación e información, realizar evaluaciones de modelos, exigir medidas de cumplimiento (incluyendo mitigación del riesgo, restricción de mercado, recall o retirada) e imponer multas bajo el **Artículo 101** del Reglamento. Las sanciones máximas para los proveedores de GPAI son **hasta el 3 % del volumen de negocios anual global o 15 millones EUR, lo que sea mayor**, por infracciones intencionadas o negligentes. El nivel más estrecho del Artículo 99 de hasta 35 millones EUR o el 7 % del volumen de negocios se aplica a las prácticas de IA prohibidas, no a las obligaciones GPAI. El 2 de agosto de 2026 no es por tanto una nueva fecha de obligación; es la fecha en la que las obligaciones existentes se vuelven directamente aplicables por la Comisión.

Quién cuenta como proveedor GPAI (y el umbral de riesgo sistémico)

Un modelo de IA de propósito general se define como un modelo entrenado con datos amplios, que muestra generalidad significativa y es capaz de realizar competentemente una amplia gama de tareas distintas independientemente de cómo se coloque en el mercado. El proveedor es la entidad que desarrolla o hace desarrollar el modelo y lo coloca en el mercado de la UE bajo su propio nombre o marca.

Una segunda categoría más estrecha, **modelos GPAI con riesgo sistémico**, activa las obligaciones más pesadas de los Artículos 55 y 56. Bajo el **Artículo 51**, se presume que un modelo tiene capacidades de alto impacto cuando el cómputo acumulado utilizado para el entrenamiento supera los **10^25 floating-point operations (FLOPs)**. Esta es una presunción rebatible: bajo el Artículo 52(2), un proveedor por encima del umbral puede presentar argumentos fundamentados de que el modelo de hecho no presenta riesgo sistémico, y la Comisión también puede designar modelos por debajo del umbral basándose en otros criterios. La Comisión puede actualizar el umbral mediante acto delegado.

Críticamente, las directrices de la Comisión de julio de 2025 aclararon que un **actor downstream se convierte en el nuevo proveedor GPAI cuando el cómputo de entrenamiento utilizado para la modificación supera un tercio del cómputo original de entrenamiento**. El fine-tuning menor no cambia el rol; el preentrenamiento continuado a gran escala sí puede.

Deberes de transparencia, copyright y documentación downstream

Todos los proveedores GPAI, independientemente del estatus de riesgo sistémico, deben cuatro deberes base bajo el **Artículo 53**:

1. **Documentación técnica (Anexo XI)** que describa el diseño del modelo, proceso de entrenamiento, datasets, consumo energético, tareas previstas, arquitectura y licencias, mantenida y puesta a disposición de la Oficina de IA bajo solicitud. 2. **Documentación downstream (Anexo XII)** que proporcione a los integradores la información necesaria para entender las capacidades y limitaciones del modelo, los usos previstos y las restricciones de integración. 3. **Política de copyright** consistente con la ley de copyright de la UE, incluyendo las exclusiones de text-and-data-mining de la Directiva 2019/790. Esto significa respetar las reservas de derechos legibles por máquina (como robots.txt) durante el rastreo web y evitar fuentes legalmente inaccesibles. 4. **Resumen público del contenido de entrenamiento** siguiendo la plantilla obligatoria de la Oficina de IA, lo bastante amplio para permitir a los titulares de derechos y al público entender qué categorías de contenido se utilizaron.

Los modelos totalmente libres y de código abierto que no presenten riesgo sistémico están exentos de los deberes 1 y 2, pero **no** de la política de copyright ni del resumen público de entrenamiento.

Plazos de gracia para modelos anteriores a 2025

El Reglamento distingue entre modelos colocados en el mercado después del 2 de agosto de 2025 (que tenían que cumplir desde el primer día) y **modelos heredados colocados en el mercado antes del 2 de agosto de 2025**, que tienen hasta el **2 de agosto de 2027** para alinear documentación y políticas.

Este período de gracia es estrecho de dos maneras. Primero, no retrasa la aplicación contra los modelos posteriores a agosto de 2025, que la Oficina de IA puede perseguir inmediatamente una vez que sus poderes se activen en agosto de 2026. Segundo, se aplica al *modelo* tal como existía antes del corte. La modificación sustancial posterior al corte, particularmente cualquier reentrenamiento que supere el disparador del tercio de cómputo descrito antes, puede arrastrar un modelo heredado al régimen posterior a 2025 y reiniciar el reloj.

Los proveedores que se apoyen en la ventana heredada deberían esperar igualmente compromiso informal de la Oficina de IA durante 2025-2027. La Comisión ha señalado que la colaboración de buena fe durante el período de adaptación es un factor en cómo se ejercerá la discreción de aplicación una vez que el Artículo 101 esté disponible.

Código de Buenas Prácticas de GPAI: beneficios y riesgos del opt-in

El **Código de Buenas Prácticas de IA de Propósito General**, publicado el **10 de julio de 2025**, es un instrumento voluntario redactado por expertos independientes a través de un proceso multistakeholder. Tiene tres capítulos: **Transparencia** y **Copyright** se aplican a todos los proveedores GPAI; **Seguridad** se aplica solo a los proveedores con riesgo sistémico.

Firmar el Código otorga una **presunción de conformidad** con las obligaciones correspondientes de la AI Act: los firmantes se benefician de una carga administrativa más ligera en las evaluaciones y mayor seguridad jurídica. A mediados de 2025, **26 organizaciones** habían firmado, incluyendo Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI y OpenAI. **Meta declinó firmar.** xAI firmó solo el capítulo de Seguridad, lo que significa que debe demostrar el cumplimiento de transparencia y copyright a través de medios alternativos sujetos a evaluación de la Oficina de IA.

El lado del riesgo es real. Los firmantes aceptan compromisos estructurados como el Formulario estandarizado de Documentación de Modelo, puntos de contacto designados para copyright y cadencia continua de reporte. Los no firmantes no cargan con obligaciones extra, pero también pierden la presunción de conformidad y pueden enfrentar mayor escrutinio cuando la Comisión empiece a ejercer los poderes del Artículo 101 en agosto de 2026.

Checklist práctico de cumplimiento para desplegadores downstream

Usar un modelo GPAI conforme **no** libera las obligaciones downstream. Los proveedores de *sistemas* de IA construidos sobre un modelo GPAI cargan con sus propios deberes, particularmente si el sistema resultante es de alto riesgo bajo el Anexo I o III, o si se aplican las obligaciones de transparencia del Artículo 50 (por ejemplo, a chatbots, deepfakes o sistemas de reconocimiento emocional).

Un checklist realista para el desplegador:

**Solicita y archiva el paquete de información del Anexo XII** de cada modelo GPAI que integres; verifica la postura de cumplimiento del Capítulo V del proveedor upstream.
**Mapea los casos de uso previstos contra el Anexo III** para determinar si tu sistema es de alto riesgo; si lo es, prepara evidencia de evaluación de conformidad bajo el Capítulo III.
**Incorpora la model card y limitaciones del upstream en tu propia documentación técnica**, evaluación de riesgos y plan de monitorización postmercado.
**Implementa los avisos de transparencia del Artículo 50** donde las salidas generativas o interactivas sean visibles para el usuario.
**Mantén logs de auditoría y controles de supervisión humana** proporcionales al riesgo del sistema; las obligaciones de alfabetización en IA bajo el Artículo 4 se aplican desde febrero de 2025.

Las obligaciones del desplegador son independientes del estatus del proveedor del modelo, así que una model card upstream incompleta o vaga es *tu* problema a escalar, no una razón para retrasar tu propia documentación.

Por qué las rutas autoalojadas y BYOK simplifican el rastro de auditoría

Los deberes del desplegador presuponen que puedes responder dos preguntas bajo demanda: *qué modelo produjo esta salida, bajo qué configuración y en la infraestructura de quién*, y *qué datos salieron de tu entorno para llegar allí*. Los endpoints de inferencia compartidos multi-tenant hacen ambas preguntas más difíciles, porque la superficie de logging, retención y enrutamiento es propiedad de un tercero cuyas divulgaciones pueden o no coincidir con tu paquete del Anexo XII.

Los patrones de inferencia autoalojada y de despliegue bring-your-own-key (BYOK) estrechan la superficie de una manera útil. Cuando el modelo se ejecuta en infraestructura que controlas, posees los logs de inferencia, la postura de residencia de datos y el rastro de auditoría que una solicitud de aplicación eventualmente pedirá. Cuando BYOK enruta las llamadas directamente desde tu tenant al proveedor upstream bajo tus términos contractuales, la ruta de metadatos es auditable de extremo a extremo. Las plataformas diseñadas en torno a este patrón, como **osFoundry**, tratan los logs de auditoría, los controles de residencia de datos y los predeterminados privacy-first como parte de la capa de orquestación en lugar de como complementos.

Nada de esto sustituye las obligaciones sustantivas del Artículo 53 sobre el proveedor upstream, pero acorta materialmente la cadena de evidencia que tienes que ensamblar cuando los reguladores pregunten.

Frequently asked questions

¿Cuándo se vuelven realmente aplicables las reglas GPAI de la EU AI Act?: Las obligaciones sustantivas para los proveedores de modelos de IA de propósito general bajo el Capítulo V de la EU AI Act entraron en aplicación el 2 de agosto de 2025. Sin embargo, los poderes de aplicación de la Comisión Europea, incluyendo la autoridad para solicitar información, realizar evaluaciones, ordenar medidas correctivas e imponer multas bajo el Artículo 101, solo se vuelven ejercibles el 2 de agosto de 2026. Los proveedores de modelos GPAI colocados en el mercado antes del 2 de agosto de 2025 tienen una pista de cumplimiento más larga y deben ser puestos en conformidad para el 2 de agosto de 2027.
¿Cuál es el umbral de riesgo sistémico para los modelos GPAI?: Bajo el Artículo 51(2) de la EU AI Act, se presume que un modelo de IA de propósito general tiene capacidades de alto impacto y, por tanto, presenta riesgo sistémico, cuando el cómputo acumulado utilizado para su entrenamiento supera los 10^25 floating-point operations (FLOPs). La presunción es rebatible: un proveedor por encima del umbral puede presentar argumentos fundamentados bajo el Artículo 52(2) de que el modelo de hecho no presenta riesgo sistémico. La Comisión también puede designar modelos por debajo del umbral y puede actualizar el propio umbral mediante acto delegado a medida que el estado del arte evolucione.
¿Necesito firmar el Código de Buenas Prácticas de GPAI?: No. El Código de Buenas Prácticas, publicado el 10 de julio de 2025, es voluntario. Firmarlo otorga una presunción de conformidad con las obligaciones relevantes del Artículo 53 y (para proveedores con riesgo sistémico) del Artículo 55, lo que reduce la fricción administrativa durante las evaluaciones de la Oficina de IA. A mediados de 2025, 26 organizaciones habían firmado, incluyendo Anthropic, Google, Microsoft y OpenAI. Meta declinó firmar. Los no firmantes deben demostrar el cumplimiento a través de medios alternativos adecuados y pueden esperar mayor escrutinio cuando comience la aplicación del Artículo 101.
¿Cuáles son las multas máximas por incumplimiento de GPAI?: Bajo el Artículo 101 de la EU AI Act, la Comisión Europea puede multar a los proveedores de modelos GPAI hasta el 3 % de su volumen de negocios anual global o 15 millones EUR, lo que sea mayor, por infracciones intencionadas o negligentes de las obligaciones GPAI o por fallos en proporcionar la información solicitada. Esto se sitúa separadamente de los niveles más amplios del Artículo 99, que incluyen hasta 35 millones EUR o el 7 % del volumen de negocios por prácticas de IA prohibidas. Las pymes y start-ups están limitadas al menor del porcentaje o la cantidad absoluta.