Situación normativa actual del IA Act Entrada 8 — Modelos de IA de propósito general

 

Situación normativa actual del IA Act

Entrada 8 — Modelos de IA de propósito general

Qué es un GPAI según el IA Act

Un GPAI es un modelo entrenado con grandes cantidades de datos, capaz de realizar múltiples tareas distintas y de integrarse en una variedad de sistemas posteriores. La Comisión ha aclarado que, en la práctica, esto incluye:

·       Modelos de lenguaje (LLMs).

·       Modelos multimodales (texto‑imagen‑audio‑vídeo).

·       Modelos fundacionales utilizados en múltiples aplicaciones.

Las guías técnicas introducen un umbral orientativo: modelos entrenados con más de 10²³ FLOPs suelen considerarse GPAI, siempre que tengan capacidades generales y no estén limitados a una tarea específica .

 

Obligaciones para todos los proveedores de GPAI

Estas obligaciones son obligatorias desde el 2 de agosto de 2025 y se aplican a cualquier proveedor que ponga un GPAI en el mercado de la UE. La Comisión Europea resume estas obligaciones en tres grandes bloques :

·       Documentación técnica completa del modelo, incluyendo entrenamiento, pruebas y evaluación.

·       Política de copyright, especialmente para respetar reservas de derechos conforme a la Directiva 2019/790.

·       Resumen público del contenido de entrenamiento, siguiendo la plantilla oficial del AI Office.

El artículo 53 añade que los proveedores deben proporcionar documentación suficiente a quienes integren el modelo en sus propios sistemas, respetando la propiedad intelectual pero permitiendo comprender capacidades y limitaciones .

Los modelos de código abierto están exentos de parte de estas obligaciones, salvo que sean considerados de riesgo sistémico.

 

Modelos GPAI con riesgo sistémico

El IA Act introduce una categoría especial para modelos con impacto potencial a gran escala. La Comisión considera que un modelo tiene riesgo sistémico cuando:

·       Ha sido entrenado con ≥10²⁵ FLOPs, o

·       La Comisión lo designa como tal por sus capacidades o riesgos observados .

Para estos modelos, las obligaciones adicionales incluyen:

·       Notificación a la Comisión antes de alcanzar o prever el umbral de riesgo sistémico.

·       Evaluación y mitigación de riesgos durante todo el ciclo de vida.

·       Medidas reforzadas de ciberseguridad.

·       Reporting de incidentes graves.

Estas obligaciones están confirmadas por la Comisión Europea y desarrolladas en el Código de Prácticas para GPAI, que sirve como herramienta voluntaria para demostrar cumplimiento .

 

Qué implica esto para una organización que desarrolla o integra GPAI

·       Clasificar si el modelo es GPAI y si podría entrar en la categoría de riesgo sistémico.

·       Preparar documentación técnica exhaustiva desde el inicio del entrenamiento.

·       Implementar una política de copyright basada en tecnologías de detección de reservas de derechos.

·       Elaborar el resumen público del contenido de entrenamiento siguiendo la plantilla oficial.

·       Establecer procesos de evaluación continua de riesgos y ciberseguridad.

·       Para modelos sistémicos: preparar notificaciones, reporting y medidas reforzadas.

 

Conexión con la siguiente entrada

Tras entender el régimen de GPAI, el paso natural es analizar la gobernanza, supervisión y reporting de incidentes, que afecta tanto a proveedores como a desplegadores y completa el marco institucional del IA Act.