Obligaciones de los modelos de GPAI con arreglo a la Ley de IA de la UE: un resumen práctico

Los modelos de IA de uso general (GPAI) se sitúan en su propio capítulo de la Ley de IA de la UE — el capítulo V, Artículos 51 a 56 —, completamente separado del régimen de alto riesgo del capítulo III. Las obligaciones en vigor desde el 2 de agosto de 2025 se aplican a las empresas que entrenan e introducen modelos de GPAI en el mercado, no a la población mucho mayor de empresas que simplemente utilizan esos modelos. Si compra acceso a un LLM a través de una API, es casi con seguridad un usuario posterior que recibe el paquete de información del Anexo XII, no un proveedor de GPAI. Esa distinción rige todo lo que sigue.

Para el tratamiento jurídico detallado de cada Artículo de este capítulo, véase nuestra guía en profundidad sobre el Artículo 53. Esta página le ofrece el mapa práctico.

---

¿Qué cuenta como modelo de GPAI?

Un modelo de GPAI, definido en el Artículo 3, punto 63, del Reglamento (UE) 2024/1689, es un modelo entrenado con grandes volúmenes de datos mediante aprendizaje autosupervisado a escala y capaz de realizar una amplia variedad de tareas distintas. Los grandes modelos de lenguaje, los modelos multimodales de visión-lenguaje y los modelos fundacionales de uso general entran dentro de esta definición. Los modelos estrechos y específicos de tareas no.

La definición es agnóstica respecto del uso — se aplica al propio modelo, no a lo que cualquier aplicación posterior haga con él. Un modelo de GPAI puede acabar integrado en un sistema de IA de alto riesgo, en un chatbot de riesgo mínimo o en una aplicación prohibida; esos usos posteriores se clasifican con arreglo a disposiciones separadas (Artículos 5 y 6). El capítulo sobre GPAI rige la capa del modelo.

---

Sobre quién recaen las obligaciones

El Artículo 53 impone obligaciones a los proveedores de GPAI — las entidades que entrenan un modelo de GPAI y lo introducen en el mercado de la UE o lo ponen en servicio. Tanto si el modelo es propietario, de código abierto o de acceso por API, el proveedor soporta las obligaciones.

La mayoría de las empresas no son proveedores de GPAI. Si integra un modelo de un tercero en su producto, es un proveedor posterior (y posiblemente un proveedor de un sistema de IA de alto riesgo con arreglo al Artículo 25 si su uso entra en el Anexo III) — pero no es el proveedor de GPAI. Está en el extremo receptor: el proveedor de GPAI está obligado a facilitarle la información del Anexo XII para que pueda cumplir sus propias obligaciones posteriores.

---

Obligaciones de base para todos los proveedores de GPAI (Artículo 53)

Todo proveedor de GPAI, con independencia del tamaño del modelo, debe cumplir cuatro requisitos:

Documentación técnica (Anexo XI). Elaborar y mantener actualizada la documentación técnica especificada en el Anexo XI. Esta cubre la arquitectura del modelo, la metodología de entrenamiento, la composición de los datos, el cómputo utilizado en el entrenamiento, el enfoque de evaluación y las limitaciones conocidas. Debe estar a disposición de la Oficina de IA y, previa solicitud, de las autoridades competentes.

Información a los proveedores posteriores (Anexo XII). Facilitar la información especificada en el Anexo XII a todo proveedor posterior que integre el modelo de GPAI en su propio sistema de IA. Este es el paquete estructurado que permite a los proveedores posteriores comprender sobre qué están construyendo y cumplir sus propias obligaciones.

Política de derechos de autor (Artículo 4, apartado 3, de la Directiva 2019/790). Publicar una política que demuestre el cumplimiento del mecanismo de exclusión voluntaria de la minería de textos y datos con arreglo al Derecho de autor de la UE. Los titulares de derechos pueden reservar sus contenidos frente a los datos de entrenamiento; los proveedores deben tener un proceso documentado para respetar esas reservas.

Resumen de los datos de entrenamiento (plantilla de la Oficina de IA). Publicar un resumen suficientemente detallado de los datos de entrenamiento utilizados, siguiendo la plantilla establecida por la Oficina de IA. Este resumen es de cara al público; la documentación completa del Anexo XI no lo es.

Los modelos de GPAI de código abierto se benefician de una exención parcial con arreglo a la Ley: quedan eximidos de algunas de las obligaciones del Artículo 53 (principalmente los deberes de documentación del Anexo XI/XII), salvo que el modelo conlleve riesgo sistémico. El requisito de la política de derechos de autor se aplica en cualquier caso.

---

GPAI con riesgo sistémico: obligaciones adicionales con arreglo al Artículo 55

El Artículo 51 fija el umbral de clasificación. Se presume que un modelo de GPAI presenta riesgo sistémico si el cómputo de entrenamiento acumulado supera los 10²⁵ FLOP. La Oficina de IA también puede designar un modelo como de riesgo sistémico por motivos cualitativos con arreglo al Artículo 52. Una vez clasificado, se aplica el procedimiento de notificación del Artículo 52.

Los proveedores de GPAI con riesgo sistémico deben cumplir todo lo del Artículo 53 más una capa adicional con arreglo al Artículo 55:

• Evaluación del modelo y pruebas adversarias. Realizar evaluaciones — incluidas pruebas adversarias de equipo rojo — de acuerdo con los protocolos de la Oficina de IA, antes y después de introducir el modelo en el mercado.
• Evaluación y mitigación del riesgo sistémico. Hacer seguimiento, documentar y mitigar los riesgos sistémicos identificados a través de esas evaluaciones, actualizándolos a medida que evolucionan las capacidades.
• Notificación de incidentes. Notificar los incidentes graves y las medidas correctoras a la Oficina de IA sin demora indebida.
• Ciberseguridad. Implementar medidas de ciberseguridad adecuadas para proteger el modelo, sus pesos y su infraestructura.

En la práctica, los modelos de frontera actuales de un pequeño número de grandes desarrolladores — no las empresas europeas en general — se sitúan por encima del umbral de 10²⁵ FLOP. Si no está seguro de si su modelo cumple los requisitos, la cifra de cómputo es la primera prueba; también debería revisar las orientaciones de la Oficina de IA sobre la designación cualitativa con arreglo al Artículo 52.

---

Representantes autorizados y códigos de buenas prácticas

Si un proveedor de GPAI está establecido fuera de la UE pero introduce un modelo en el mercado de la UE, debe designar un representante autorizado en la UE con arreglo al Artículo 54 — exactamente igual que deben hacer los proveedores de sistemas de IA de alto riesgo con arreglo al Artículo 22.

El Artículo 56 establece los códigos de buenas prácticas como la principal herramienta práctica para demostrar el cumplimiento. La Oficina de IA coordina y respalda estos códigos; los proveedores que se adhieren a un código se benefician de una presunción de conformidad con las obligaciones correspondientes. Los primeros códigos se están desarrollando a lo largo de 2025-2026.

---

Cuándo se aplican las obligaciones

Las obligaciones sobre GPAI están en vigor desde el 2 de agosto de 2025. Los modelos de GPAI que ya estaban en el mercado antes de esa fecha tienen hasta el 2 de agosto de 2027 para alcanzar el cumplimiento — el período de gracia de dos años de la Ley para los modelos preexistentes. El aplazamiento del Ómnibus Digital que llevó el plazo de alto riesgo del Anexo III al 2 de diciembre de 2027 no afecta al capítulo V; las fechas de los GPAI no varían.

---

Sanciones

Las multas a los proveedores de GPAI las impone la Comisión Europea (no las autoridades nacionales) con arreglo al Artículo 101: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. La Comisión también puede exigir el acceso al modelo de GPAI a efectos de investigación.

---

Qué necesitan hacer realmente la mayoría de las empresas

La mayoría de las empresas que utilizan herramientas construidas sobre modelos de GPAI — ChatGPT, Gemini, Mistral, Azure OpenAI y similares — son usuarias posteriores. Su obligación práctica es recibir y conservar la documentación del Anexo XII de su proveedor de GPAI, y tenerla en cuenta en sus propias evaluaciones de cumplimiento al construir sistemas de IA.

Si está construyendo un sistema de IA sobre un modelo de GPAI y ese sistema entra dentro del Anexo III (por ejemplo, una herramienta de cribado para la contratación o un modelo de solvencia), sus obligaciones son las de un proveedor de un sistema de IA de alto riesgo con arreglo al capítulo III — las obligaciones del proveedor del modelo de GPAI son suyas, no de usted. El Artículo 25 rige el punto en el que un proveedor posterior puede asumir responsabilidades de nivel de proveedor.

---

Cómo ayuda Confir

El flujo de trabajo de admisión de Confir registra sus dependencias de GPAI — los modelos que utiliza, los proveedores y la documentación del Anexo XII que ha recibido. Como la lógica de clasificación, delimitación de alcance y conclusiones es determinista basada en reglas, el sistema mapea de forma coherente su función (usuario posterior, no proveedor de GPAI) y saca a la luz las obligaciones que realmente se le aplican. El registro de IA recoge qué modelos de GPAI alimentan qué sistemas de IA de su cartera, dándole una cadena auditable desde el modelo hasta el despliegue. Para el raro caso en que sea proveedor de GPAI, la misma admisión señala las obligaciones del Artículo 53 y la cuestión del umbral de riesgo sistémico.

---

Preguntas frecuentes

¿Cuál es la diferencia entre un proveedor de GPAI y un proveedor de un sistema de IA posterior?

Un proveedor de GPAI entrena e introduce un modelo de IA de uso general en el mercado — piense en la empresa que construyó y lanzó el LLM. Un proveedor de un sistema de IA posterior construye un producto o sistema de IA específico utilizando ese LLM. El proveedor de GPAI tiene las obligaciones del Artículo 53 (documentación del Anexo XI, paquete posterior del Anexo XII, política de derechos de autor, resumen de los datos de entrenamiento); el proveedor posterior tiene las obligaciones que corresponden a la clasificación de riesgo de su sistema — obligaciones de alto riesgo del capítulo III si el sistema entra en el Anexo III, obligaciones de transparencia con arreglo al Artículo 50 si es de cara al cliente y de riesgo limitado. El proveedor de GPAI nunca es responsable de cómo un proveedor posterior utiliza el modelo.

¿Están los modelos de GPAI de código abierto exentos del Artículo 53?

Parcialmente. Los proveedores de GPAI de código abierto quedan eximidos de los deberes de documentación técnica del Anexo XI y de información posterior del Anexo XII del Artículo 53. Aun así, deben mantener una política de cumplimiento en materia de derechos de autor con arreglo al Artículo 4, apartado 3, de la Directiva 2019/790 y publicar el resumen de los datos de entrenamiento de la Oficina de IA. La exención de código abierto desaparece por completo para los modelos que conllevan riesgo sistémico — todas las obligaciones del Artículo 53 y los deberes adicionales del Artículo 55 se aplican con independencia del modelo de licencia.

¿Qué desencadena la clasificación de riesgo sistémico con arreglo al Artículo 51?

La presunción de riesgo sistémico se desencadena cuando el cómputo de entrenamiento acumulado supera los 10²⁵ FLOP (operaciones en coma flotante). Los proveedores se autoevalúan y notifican a la Oficina de IA con arreglo al procedimiento del Artículo 52. La Oficina de IA también puede designar un modelo como de riesgo sistémico sobre la base de criterios cualitativos — como un gran número de usuarios posteriores, la integración en infraestructuras críticas o capacidades demostradas que plantean efectos adversos graves —, aunque el modelo se sitúe por debajo del umbral de cómputo.

¿Se aplican las obligaciones de GPAI a los modelos entrenados antes del 2 de agosto de 2025?

Sí, con el tiempo. Los modelos que ya estaban en el mercado de la UE antes del 2 de agosto de 2025 deben cumplir el capítulo V antes del 2 de agosto de 2027. Los modelos introducidos en el mercado después del 2 de agosto de 2025 deben cumplir de inmediato. El aplazamiento del Ómnibus Digital se aplica únicamente al régimen de alto riesgo del capítulo III; no tiene efecto sobre los plazos de GPAI del capítulo V.

¿Qué es el paquete de información posterior del Anexo XII?

El Anexo XII especifica lo que un proveedor de GPAI debe facilitar a los proveedores posteriores que integran el modelo de GPAI: información sobre las capacidades y limitaciones del modelo, cómo se entrenó, el resumen de los datos de entrenamiento, la política de derechos de autor y cualquier otra cosa que el proveedor posterior necesite para cumplir sus propias obligaciones. Si es un proveedor posterior y no ha recibido este paquete de su proveedor de GPAI, solicítelo — lo necesita para sustentar su propia documentación técnica y sus registros de gestión de riesgos.

¿Cuáles son las multas por incumplimiento de las obligaciones de GPAI?

Con arreglo al Artículo 101, la Comisión Europea puede multar a los proveedores de GPAI con hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Estas multas las impone directamente la Comisión — no las autoridades de los Estados miembros —, lo que refleja el papel de la Comisión como supervisora central de los modelos de GPAI.

¿Sustituye un código de buenas prácticas con arreglo al Artículo 56 a las obligaciones del Artículo 53?

No. Un código de buenas prácticas respaldado por la Oficina de IA otorga a un proveedor una presunción de conformidad — es una prueba sólida de que el proveedor está cumpliendo las obligaciones correspondientes. Las obligaciones en sí están establecidas en el Reglamento. La adhesión a un código respaldado es la vía práctica para demostrar el cumplimiento; no sustituye al cumplimiento efectivo de los requisitos sustantivos.

---

Guías relacionadas

• procedimiento y notificación de riesgo sistémico del Artículo 52
• clasificación de riesgo sistémico de los modelos de GPAI del Artículo 51
• obligaciones de base del proveedor de GPAI del Artículo 53
• marco de cumplimiento de la API de OpenAI
• obligaciones de transparencia del Artículo 50
• definiciones y ámbito de aplicación del Artículo 2
• comparación de herramientas de gestión de riesgos