Mistral AI y la Ley de IA de la UE: guía de cumplimiento para el responsable del despliegue
Mistral bajo la Ley de IA: carga con los deberes GPAI (arts. 51-55); tus obligaciones dependen de tu caso de uso y nivel, no del origen UE.
No. Elegir a un fabricante de modelos francés no hace conforme a tu producto.
El establecimiento de Mistral en París es un hecho de residencia de datos y soberanía, no un atajo de cumplimiento. La Ley de IA de la UE asigna las obligaciones por rol y por caso de uso —nunca por dónde se entrenó el modelo. Mistral SA es el proveedor del modelo de IA de propósito general (GPAI); quien integra un modelo de Mistral en un producto o flujo de trabajo es, en los términos de la Ley, un actor separado —el responsable del despliegue o el proveedor posterior— con sus propios deberes separados. El mismo modelo de Mistral puede situarse dentro de un sistema de riesgo mínimo o de uno de alto riesgo, y su origen no lo mueve entre esos niveles.
Esta página separa lo que Mistral debe bajo el capítulo V de lo que tú debes como responsable del despliegue o proveedor posterior, y luego muestra exactamente qué cambia si tu caso de uso es de alto riesgo.
¿Elegir a un fabricante de modelos europeo como Mistral te hace conforme?
Toda la respuesta vive en una línea: la división entre proveedor y responsable del despliegue.
La línea proveedor-versus-responsable del despliegue es toda la respuesta
Conforme al artículo 3 del Reglamento (UE) 2024/1689, el «proveedor» que desarrolla un modelo y el «responsable del despliegue» que lo usa son actores distintos con obligaciones distintas. Mistral SA es el proveedor del modelo GPAI para modelos como las familias Mistral y Mixtral. Si llamas a un modelo de Mistral por su API, o descargas un modelo Mistral de pesos abiertos y lo ejecutas dentro de tus propios sistemas, normalmente eres el responsable del despliegue de cualquier sistema que operes —y si construyes un producto encima, el proveedor posterior de ese sistema.
Esto importa porque los responsables del despliegue y los proveedores posteriores se hacen una pregunta distinta de la del fabricante del modelo. La pregunta de Mistral es: ¿hemos cumplido nuestras obligaciones GPAI del capítulo V? Tu pregunta es: ¿cuál es mi caso de uso, y de qué me hace responsable ese caso de uso? La nacionalidad del modelo no responde a ninguna.
Por qué «hecho en la UE» es un hecho de datos y soberanía, no un atajo de cumplimiento
La ventaja genuina de un proveedor de la UE es más estrecha y concreta. El tratamiento y el almacenamiento de datos pueden quedarse dentro de la UE/EEE, lo que simplifica tu análisis de transferencias internacionales del RGPD (capítulo V del RGPD) y puede facilitar las normas de compra y de contratación del sector público. Eso es valor real. Pero el RGPD y la Ley de IA de la UE son regímenes distintos. Un origen UE no te exime de clasificar tu propio sistema, y no rebaja tu nivel de riesgo. Si tu caso de uso es de alto riesgo, es de alto riesgo tanto si el modelo subyacente vino de París, de San Francisco o de tu propio clúster de GPU.
¿Qué debe Mistral como proveedor de GPAI (artículos 51 a 55)?
Las obligaciones de Mistral son útiles de entender precisamente porque determinan qué documentación fluye hacia ti.
La base que carga todo proveedor de modelo GPAI — artículo 53
Las obligaciones del modelo GPAI del capítulo V aplican desde el 2 de agosto de 2025. Conforme al artículo 53, todo proveedor de modelo GPAI debe mantener documentación técnica (anexo XI), proporcionar a los integradores posteriores la información que necesitan para cumplir (anexo XII), poner en marcha una política de cumplimiento de los derechos de autor, y publicar un resumen suficientemente detallado del contenido usado para el entrenamiento. Estos son deberes de Mistral, no tuyos —pero el paquete del anexo XII es la documentación que heredas cuando integras.
El recargo de riesgo sistémico y el umbral de 10^25 FLOP — artículos 51 a 55
Los artículos 51 y 52 fijan el umbral de riesgo sistémico: se presume que un modelo conlleva riesgo sistémico cuando el cómputo acumulado usado para el entrenamiento supera los 10^25 FLOP, con un procedimiento de notificación para los proveedores que lo cruzan. El artículo 55 añade entonces deberes adicionales para cualquier modelo designado como portador de riesgo sistémico —evaluación del modelo, pruebas adversariales, seguimiento de incidentes graves y protección de ciberseguridad. Si un modelo concreto de Mistral cruza esa línea es determinación de Mistral y de Mistral notificarla; no es tu obligación en ningún caso.
Modelos Mistral de pesos abiertos: más ligeros, no exentos
Mistral publica algunos modelos bajo pesos abiertos y ofrece otros como modelos comerciales solo por API. El artículo 53(2) alivia ciertos deberes de documentación para los modelos publicados bajo una licencia libre y abierta —pero la política de cumplimiento de los derechos de autor y el resumen del contenido de entrenamiento siguen aplicando, y el alivio desaparece por completo en el momento en que un modelo se designa como portador de riesgo sistémico. El planteamiento aquí es educación regulatoria sobre cómo aplican las reglas a un proveedor de GPAI en la posición de Mistral. No es una afirmación de que Mistral haya cumplido plenamente estas obligaciones; el cumplimiento de GPAI en todo el mercado aún está madurando.
¿Cuáles son tus obligaciones como responsable del despliegue o proveedor posterior de Mistral?
Tus deberes empiezan en el momento en que clasificas tu caso de uso —y escalan desde ahí.
La alfabetización en IA del artículo 4 aplica a todos, ya
Las obligaciones de alfabetización en IA del artículo 4 aplican desde el 2 de febrero de 2025 a proveedores y responsables del despliegue por igual. El personal que construye con el resultado impulsado por Mistral o actúa sobre él necesita una comprensión básica de las capacidades y limitaciones del sistema adecuada a su rol. No hay aplazamiento en esto, ni exención por origen UE.
Cuándo la integración te convierte en proveedor — artículos 16 y 25
El despliegue puro —usar los modelos alojados de Mistral dentro de tus propias operaciones internas— te mantiene en el rol de responsable del despliegue. Pero construir un producto sobre un modelo de Mistral e introducirlo en el mercado con tu propio nombre te convierte en general en el proveedor de ese sistema de IA posterior bajo el artículo 16. El artículo 25 afina el punto: una modificación sustancial, poner tu propio nombre o marca en un sistema de alto riesgo, o reorientar un modelo GPAI a un uso de alto riesgo puede trasladar el conjunto completo de obligaciones de proveedor sobre ti. Esta es la trampa del artículo 25, y aplica de forma idéntica tanto si el modelo subyacente es de un fabricante UE como de uno no UE.
Deberes de transparencia bajo el artículo 50
Si tu sistema impulsado por Mistral interactúa con personas —un chatbot, un agente virtual—, el artículo 50 te exige revelar que tratan con un sistema de IA, salvo que sea obvio por el contexto. Si el sistema genera contenido sintético, ese resultado debe marcarse como generado por máquina. Las nuevas reglas de marcado de contenido y marca de agua del artículo 50 aterrizan el 2 de diciembre de 2026.
Documentación que heredas frente a documentación que debes redactar
Cuando integras, recibes la información posterior del anexo XII de Mistral. La incorporas a tu propia documentación técnica bajo el artículo 11. Heredar el paquete no satisface tu obligación —la alimenta. El límite es el punto entero: Mistral redacta el paquete a nivel de modelo; tú redactas el registro a nivel de sistema.
¿Qué cambia si construyes un sistema de alto riesgo sobre Mistral?
El modelo sigue siendo el mismo. Tu conjunto de obligaciones no.
Activar el anexo III: los casos de uso que te empujan al alto riesgo
El anexo III enumera los casos de uso autónomos de alto riesgo: la IA usada en empleo y gestión de trabajadores (incluida la selección), el acceso a servicios privados y públicos esenciales y la evaluación de la solvencia, la educación, cierta biometría y los contextos de garantía del cumplimiento del Derecho. Si tu sistema impulsado por Mistral realiza una finalidad del anexo III y no queda filtrado por la excepción procedimental estrecha, entonces bajo el artículo 6(2) estás operando un sistema de alto riesgo —y los deberes GPAI de Mistral no cubren nada de lo que sigue.
La pila completa de obligaciones de los artículos 9 a 15 que asumes
Como proveedor de alto riesgo debes levantar la pila completa: un sistema de gestión de riesgos (artículo 9), gobernanza de datos sobre los datos de entrenamiento y de entrada (artículo 10), documentación técnica al estándar del anexo IV (artículo 11), conservación de registros y registro de eventos (artículo 12), transparencia e instrucciones de uso (artículo 13), supervisión humana (artículo 14), y exactitud, robustez y ciberseguridad (artículo 15) —más un sistema de gestión de la calidad y la evaluación de la conformidad (artículos 17 y 43).
Calendarios de alto riesgo y la salvedad del aplazamiento que aún no es ley
A junio de 2026, la norma dice 2 de agosto de 2026 para las obligaciones autónomas de alto riesgo del anexo III bajo el artículo 6(2). El Ómnibus Digital alcanzó un acuerdo político provisional el 6-7 de mayo de 2026 (COREPER confirmó el texto en torno al 13 de mayo de 2026), pero a junio de 2026 aún no es ley —todavía necesita una votación del pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta entonces la norma legalmente sigue diciendo 2 de agosto de 2026 para el alto riesgo autónomo del anexo III. Planifica contra el 2 de agosto de 2026 hasta que se promulgue el aplazamiento. El aplazamiento acordado son fechas de calendario fijas; la variante de «parar el reloj» contingente a estándares se rechazó, y no todo está aplazado.
Mapa de cumplimiento de Mistral: quién posee qué obligación
La tabla de abajo divide cada obligación entre Mistral como proveedor del modelo GPAI y tú en tus posibles roles. Lee la columna de Mistral como lo que fluye hacia ti, y tus columnas como lo que debes producir.
| Obligación | Mistral (proveedor GPAI) | Tú (responsable del despliegue) | Tú (proveedor posterior, incl. alto riesgo) |
|---|---|---|---|
| Documentación técnica y posterior del anexo XI / XII | Redacta y suministra (art. 53) | Recibe e incorpora a la documentación del art. 11 | Produce la documentación completa del anexo IV |
| Política de derechos de autor y resumen del contenido de entrenamiento (art. 53) | Deber de Mistral | No es tuyo | No es tuyo |
| Evaluación de riesgo sistémico y seguimiento de incidentes (arts. 51-55) | De Mistral, solo si un modelo se designa de riesgo sistémico | No es tuyo | No es tuyo |
| Alfabetización en IA (art. 4) | Aplica a Mistral | Aplica a ti | Aplica a ti |
| Transparencia a los usuarios finales (art. 50) | Limitada | Tuya si tu sistema interactúa con personas o genera contenido | Tuya |
| Gestión de riesgos, gobernanza de datos, supervisión humana (arts. 9, 10, 14) | No es la base GPAI | No para un responsable del despliegue puro de un sistema que no es de alto riesgo | Pila completa como proveedor de alto riesgo |
Nota sobre la elección entre pesos abiertos y API: traslada sobre todo las responsabilidades de residencia de datos y autoalojamiento hacia ti cuando ejecutas el modelo tú mismo. No cambia tu nivel regulatorio.
Ejemplo trabajado: una empresa de HR-tech de la UE de 40 personas que construye sobre Mistral
TalentReef GmbH, una empresa de software de RR. HH. de 40 personas en Múnich, construye una función de cribado de CV y clasificación de candidatos sobre un modelo Mistral de pesos abiertos, autoalojado en un centro de datos de la UE. Eligieron Mistral deliberadamente por la residencia de datos en la UE.
El escenario y por qué aterriza en el anexo III
El cribado de candidatos para la selección es un caso de uso de empleo del anexo III. Bajo el artículo 6(2), el sistema de TalentReef es de alto riesgo, y como TalentReef desarrolla el sistema y lo introduce en el mercado con su propio nombre, es el proveedor bajo el artículo 16. El origen UE de Mistral y los pesos abiertos no cambian nada de esto —el caso de uso es lo que clasifica el sistema.
Recorrido de obligaciones y el calendario realista
TalentReef debe levantar la gestión de riesgos del artículo 9, la gobernanza de datos del artículo 10 sobre los datos de entrenamiento y de entrada, la documentación técnica del artículo 11 / anexo IV (incorporando el paquete del anexo XII de Mistral), las instrucciones de uso del artículo 13 para los empleadores que despliegan, la supervisión humana del artículo 14 de modo que un reclutador revise las clasificaciones en vez de autorrechazar candidatos, y las pruebas de exactitud y robustez del artículo 15.
Como empresa pequeña, TalentReef se beneficia del artículo 99(6): para una infracción aplicable, la multa se limita a la menor de la cantidad fija o el porcentaje del volumen de negocios —pero las obligaciones en sí no se reducen. Para las infracciones de alto riesgo el techo antes de ese límite es de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, la cifra que sea mayor (artículo 99(4)).
Sobre el calendario, TalentReef planifica contra el 2 de agosto de 2026 para las obligaciones de alto riesgo del anexo III mientras vigila el aplazamiento del Ómnibus Digital, y ya cumple la alfabetización en IA del artículo 4 y cualquier deber de divulgación del artículo 50.
Qué se queda con Mistral, qué recae en TalentReef
Mistral conserva su documentación GPAI del artículo 53, su política de derechos de autor y su resumen del contenido de entrenamiento. TalentReef hereda el paquete posterior del anexo XII pero posee el trabajo de conformidad a nivel de sistema de extremo a extremo. Punto final.
Cómo te ayuda Confir a mantenerte del lado correcto de la línea
La línea proveedor-versus-responsable del despliegue debe documentarse, no adivinarse. El motor de síntesis determinista y basado en reglas de Confir —sin inferencia de modelo, sin alucinación— asigna cada caso de uso de IA, impulsado por Mistral o no, a su nivel de riesgo de la Ley de IA de la UE y a tu rol de actor: responsable del despliegue, proveedor posterior o proveedor de alto riesgo.
Rastrea qué obligaciones heredas del paquete del anexo XII de un proveedor de GPAI frente a cuáles debes redactar tú mismo bajo el artículo 11 y el anexo IV, manteniendo ese límite explícito. Y mantiene un inventario de IA versionado con evidencia de apoyo, de modo que cuando las obligaciones de alto riesgo muerdan, el registro ya esté listo para auditoría frente a las fechas estatutarias vigentes. (El soporte del flujo de trabajo de proveedor de GPAI para los artículos 51 a 55 es parcial y está en el roadmap, no un módulo terminado.)
Preguntas frecuentes
¿Es Mistral AI conforme con la Ley de IA de la UE?
El cumplimiento no es un sí/no único para un fabricante de modelos. Como proveedor de IA de propósito general establecido en la UE, Mistral carga con las obligaciones del capítulo V bajo los artículos 51 a 55, en vigor desde el 2 de agosto de 2025: documentación técnica del anexo XI, información posterior del anexo XII, una política de derechos de autor y un resumen del contenido de entrenamiento. Esos deberes pertenecen a Mistral, no a ti. Lo crucial: usar Mistral no hace conforme a tu producto —tus obligaciones provienen de tu propio caso de uso y nivel de riesgo, que debes evaluar por separado con independencia del origen del modelo.
¿Usar un proveedor de IA europeo reduce mis obligaciones bajo la Ley de IA de la UE?
No. La Ley de IA de la UE asigna las obligaciones por rol y por caso de uso, no por dónde está establecido el fabricante del modelo. Elegir un proveedor de la UE como Mistral no mueve tu sistema entre niveles de riesgo ni aligera tus deberes de responsable del despliegue. El beneficio real es más estrecho: el tratamiento y el almacenamiento de datos pueden quedarse dentro de la UE/EEE, lo que simplifica tu análisis de transferencias internacionales del RGPD y la contratación. Pero el RGPD y la Ley de IA de la UE son regímenes separados, y un origen UE no te exime de clasificar tu propio sistema.
¿Soy el proveedor o el responsable del despliegue cuando construyo sobre Mistral?
Depende de lo que publiques. Si simplemente usas los modelos de Mistral dentro de tus propias operaciones, eres el responsable del despliegue. Si construyes un producto sobre un modelo de Mistral y lo introduces en el mercado con tu propio nombre, te conviertes en general en el proveedor de ese sistema de IA posterior bajo el artículo 16. El artículo 25 también puede volcar el rol completo de proveedor sobre ti si modificas sustancialmente un sistema o reorientas un modelo de propósito general a un uso de alto riesgo. El origen UE del modelo no cambia este análisis.
¿Tienen los modelos de pesos abiertos de Mistral menos obligaciones bajo la Ley de IA de la UE?
Para Mistral, en parte. El artículo 53(2) alivia algunos deberes de documentación para los modelos GPAI publicados bajo una licencia libre y abierta, pero la política de cumplimiento de los derechos de autor y el resumen del contenido de entrenamiento siguen aplicando, y el alivio desaparece por completo si un modelo se designa como portador de riesgo sistémico bajo el artículo 51. Para ti como integrador, la elección de pesos abiertos casi no cambia nada sobre tu nivel regulatorio; traslada sobre todo las responsabilidades de residencia de datos y autoalojamiento hacia ti cuando ejecutas el modelo tú mismo.
¿Qué pasa si construyo un sistema de alto riesgo sobre Mistral?
Tus obligaciones se expanden bruscamente, y los deberes GPAI de Mistral no cubren ninguna de ellas. Si tu caso de uso cae bajo el anexo III —por ejemplo, cribado de selección o evaluación de la solvencia—, tu sistema es de alto riesgo bajo el artículo 6(2) y eres su proveedor. Debes entonces cumplir la pila completa de los artículos 9 a 15: gestión de riesgos, gobernanza de datos, documentación técnica del anexo IV, conservación de registros, transparencia, supervisión humana, y exactitud, robustez y ciberseguridad, más la evaluación de la conformidad bajo el artículo 43. Que el modelo de Mistral siga siendo el mismo no reduce nada de esto.
¿Cuándo aplican las obligaciones de alto riesgo para un sistema basado en Mistral?
A junio de 2026, la norma dice 2 de agosto de 2026 para las obligaciones autónomas de alto riesgo del anexo III bajo el artículo 6(2). El Ómnibus Digital alcanzó un acuerdo político provisional el 6-7 de mayo de 2026 (COREPER confirmó el texto en torno al 13 de mayo de 2026), pero aún no es ley —todavía necesita una votación del pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta entonces planifica contra el 2 de agosto de 2026. El aplazamiento acordado son fechas de calendario fijas; la variante contingente a estándares se rechazó, y no todas las obligaciones están aplazadas.
¿Qué documentación obtengo de Mistral y cuál debo crear yo mismo?
Como integrador recibes la información posterior del anexo XII de Mistral, que describe las capacidades y limitaciones del modelo. La incorporas a tu propia documentación técnica del artículo 11 —recibirla no satisface tu deber, lo alimenta. Si tu sistema es de alto riesgo, debes producir el conjunto completo de documentación del anexo IV, ejecutar tu propia gestión de riesgos y gobernanza de datos, y completar una evaluación de la conformidad. Las obligaciones del artículo 53 de Mistral, incluida su política de derechos de autor y su resumen del contenido de entrenamiento, se quedan con Mistral.
Guías relacionadas
- build a complete EU AI Act AI system inventory
- how GPAI obligations split between providers and downstream users
- where GPAI models sit in the risk-classification framework
- how the EU AI Act treats open-source and open-weight models
- the provider-versus-deployer split when building on a model API
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →