GPAI: obligaciones de los modelos de IA de uso general
Los modelos de IA de uso general —conocidos por su sigla inglesa GPAI, General-Purpose AI— son los grandes modelos que sirven de base a multitud de aplicaciones. El EU AI Act les dedica un capítulo propio (artículos 51 a 56) y, desde el 2 de agosto de 2025, sus obligaciones son exigibles.
Aquí conviene una advertencia temprana, porque es donde más empresas se equivocan: aunque usted no entrene modelos, este capítulo probablemente le afecte. Si integra un modelo de un tercero en su producto, hay obligaciones que le alcanzan —y documentación que debe exigir a su proveedor—.
Qué es un modelo GPAI y cuándo tiene «riesgo sistémico»
El Reglamento distingue dos niveles. Todos los modelos de uso general tienen obligaciones básicas. Y algunos, los más capaces, se consideran de riesgo sistémico, con un régimen reforzado.
La clasificación (artículo 51) atiende a criterios del anexo XIII, pero incorpora una presunción cuantitativa muy concreta: se presume que un modelo tiene capacidades de gran impacto —y por tanto riesgo sistémico— cuando la cantidad acumulada de cálculo utilizada para su entrenamiento, medida en operaciones de coma flotante, supera 10²⁵. La Comisión puede modificar ese umbral mediante actos delegados.
Obligaciones de todo proveedor de GPAI (artículo 53)
Cualquier proveedor de un modelo de uso general debe:
-
Documentación técnica del modelo. Elaborarla y mantenerla actualizada, incluyendo la información sobre el proceso de entrenamiento y de pruebas y los resultados de su evaluación, con el contenido mínimo del anexo XI, para facilitarla —previa solicitud— a la Oficina de IA y a las autoridades nacionales competentes.
-
Información para los proveedores que integren el modelo. Documentación puesta a disposición de quienes vayan a incorporar el modelo en sus propios sistemas de IA (anexo XII), sin perjuicio de la protección de la propiedad intelectual y de la información empresarial confidencial.
-
Política de derechos de autor. Directrices para cumplir el Derecho de la Unión en materia de propiedad intelectual.
-
Resumen del contenido de entrenamiento. Un resumen suficientemente detallado de los contenidos utilizados para entrenar el modelo. El Reglamento precisa su naturaleza: debe ser exhaustivo en su alcance más que técnicamente detallado, y respetar los secretos comerciales.
La excepción del código abierto (y sus límites)
Los modelos publicados con licencias libres y de código abierto quedan exentos de parte de estas obligaciones de transparencia. Pero la exención decae si el modelo se introduce en el mercado como sistema de alto riesgo, o si entra en el ámbito del artículo 5 (prácticas prohibidas) o del artículo 50 (transparencia). Y no exime ni del resumen de contenidos de entrenamiento ni de la política de derechos de autor.
Obligaciones reforzadas si hay riesgo sistémico (artículo 55)
Además de lo anterior, el proveedor de un GPAI con riesgo sistémico debe:
- Evaluar el modelo conforme a protocolos y herramientas normalizados que reflejen el estado de la técnica, incluyendo la realización y documentación de pruebas de simulación de adversarios (red teaming) para detectar y mitigar riesgos sistémicos.
- Evaluar y mitigar los posibles riesgos sistémicos a escala de la Unión derivados del desarrollo, la introducción en el mercado o el uso del modelo.
- Notificar los incidentes graves y garantizar un nivel adecuado de ciberseguridad.
El Código de Buenas Prácticas para GPAI (artículo 56) sirve como vía para demostrar el cumplimiento de estas obligaciones.
Quién sanciona, y con cuánto: aquí manda Bruselas
Este es un punto diferencial que conviene entender. En los sistemas de alto riesgo, quien inspecciona es la autoridad nacional —en España, la AESIA—. Con los modelos GPAI, la supervisión es europea: es la Comisión, a través de la Oficina de IA, quien actúa.
Y el artículo 101 le da un instrumento contundente: la Comisión podrá imponer a los proveedores de modelos de uso general multas de hasta el 3 % de su volumen de negocios mundial total anual o de 15 000 000 EUR, la cifra que sea superior, cuando de forma deliberada o por negligencia hayan infringido el Reglamento o no hayan atendido una solicitud de información o documentos.
Léase de nuevo esa última causa: no responder a un requerimiento de información ya es sancionable.
Si usted no entrena modelos, esto también va con usted
La mayoría de empresas no son proveedores de GPAI: son integradores. Toman un modelo de un tercero y lo incorporan a su producto. Tres consecuencias prácticas:
1. Tiene derecho a documentación —y la necesita. El artículo 53 obliga a su proveedor a ponerle a disposición la información del anexo XII. Sin ella, usted no podrá construir su propia documentación técnica ni acreditar su conformidad. Exíjala por contrato.
2. Su exposición depende de la del proveedor. Si el modelo que integra tiene riesgo sistémico, su cadena de suministro hereda ese escrutinio.
3. Ajustar el modelo puede cambiar su papel. La Oficina de IA ha publicado directrices sobre cuándo quien modifica o ajusta un modelo pasa a ser considerado proveedor del mismo. Si su empresa hace fine-tuning sustancial, este es el punto que debe verificar antes de nada: podría estar asumiendo obligaciones de proveedor sin saberlo.
Qué implica según el tamaño de su empresa
- Pyme y startup: lo prioritario es saber si es integrador o proveedor. Si es integrador, su trabajo es contractual: exigir el anexo XII a quien le presta el modelo.
- Mediana empresa: documente la cadena — qué modelo usa, de quién, con qué información y qué ajustes le aplica.
- Gran empresa: si entrena o ajusta modelos propios a escala, evalúe el umbral de cómputo y prepárese para un interlocutor europeo, no nacional.
El reto de fondo: demostrar, no estimar
El artículo 55 pide evaluar el modelo y documentar las pruebas. Y ahí está la dificultad estructural de la IA generativa: las evaluaciones y el red teaming reducen la incertidumbre, pero entregan una estimación del comportamiento del modelo, nunca una garantía. Ante una multa del 3 % de la facturación mundial impuesta por la Comisión, esa distinción deja de ser académica.
Deflank trabaja precisamente sobre esa brecha: mediante una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable, en lugar de una estimación probabilística. La prueba, no la estimación.
¿Integra o desarrolla modelos de IA de uso general? Solicite un diagnóstico: le decimos qué papel ocupa en la cadena y qué documentación le falta.
Enlaces internos: [EU AI Act: obligaciones y cumplimiento (pilar)] · [AESIA: quién supervisa en España] · [sanciones del AI Act].
Contenido informativo; no constituye asesoramiento jurídico. Fuente: Reglamento (UE) 2024/1689, artículos 51, 53, 55, 56 y 101, y anexos XI, XII y XIII.
Preguntas frecuentes
¿Qué es un modelo GPAI?
Un modelo de IA de uso general: un modelo capaz de realizar una amplia gama de tareas y de integrarse en múltiples sistemas. El AI Act los regula en sus artículos 51 a 56.
¿Cuándo un modelo GPAI tiene riesgo sistémico?
Cuando presenta capacidades de gran impacto según los criterios del anexo XIII. Se **presume** que las tiene si el cálculo acumulado de entrenamiento supera **10²⁵ operaciones de coma flotante**.
¿Desde cuándo se aplican las obligaciones de GPAI?
Desde el **2 de agosto de 2025**.
¿Qué multas hay para los proveedores de GPAI?
La Comisión puede imponer multas de hasta el **3 % del volumen de negocios mundial anual** o **15 M€**, la cifra superior, incluso por no atender una solicitud de información.
¿Los modelos de código abierto están exentos?
Parcialmente. La exención decae si el modelo es de alto riesgo o entra en el ámbito de los artículos 5 o 50, y no libera del resumen de contenidos de entrenamiento ni de la política de derechos de autor.
Integro un modelo de un tercero, ¿tengo obligaciones?
Sí. Debe obtener de su proveedor la documentación del **anexo XII** y, si realiza ajustes sustanciales, verificar si pasa a ser considerado proveedor del modelo conforme a las directrices de la Oficina de IA.