Skip to content
Confir.
Prueba gratuita
Blog

Riesgo de los modelos de IA de uso general (GPAI) en la Ley de IA de la UE: clasificación, obligaciones y lo que realmente debe cumplir la mayoría de las empresas

Guide24 February 2026· 14 min de lectura

Los modelos GPAI se sitúan en el Capítulo V, separados de los cuatro niveles de riesgo. Riesgo sistémico del artículo 51, obligaciones de base del artículo 53 y lo que deben los usuarios posteriores de la cadena.

La Ley de IA de la UE no trata los modelos de IA de uso general (GPAI) como un quinto nivel de riesgo. Se sitúan en un capítulo separado y transversal —el Capítulo V, artículos 51 a 56— que discurre en paralelo al marco de los cuatro niveles de riesgo, no dentro de él. Esa distinción importa enormemente en la práctica, porque las obligaciones que crea recaen casi por completo en las empresas que entrenan y publican los modelos GPAI, no en el número mucho mayor de empresas que los utilizan.

Este artículo explica a quién vinculan realmente las normas sobre GPAI, qué significa la clasificación de riesgo sistémico del artículo 51 y por qué la mayoría de las organizaciones son usuarios posteriores de la cadena y no proveedores de GPAI.

Qué hace diferente a un modelo GPAI

La Ley de IA de la UE define un modelo GPAI (artículo 3, apartado 63) como un modelo de IA entrenado con grandes cantidades de datos, capaz de servir a una amplia variedad de finalidades y diseñado para integrarse en sistemas o aplicaciones de IA posteriores de la cadena. Los ejemplos clásicos son los grandes modelos de lenguaje, los modelos de generación de imágenes y los modelos fundacionales multimodales.

El punto crítico: un modelo GPAI no es en sí mismo un «sistema de IA» en el sentido primario de la Ley. Pasa a formar parte de un sistema de IA cuando un proveedor lo integra en un producto y lo despliega para una finalidad específica. En ese momento, el sistema de IA posterior de la cadena puede entrar en el Anexo III y heredar obligaciones de alto riesgo, pero esas obligaciones recaen sobre el sistema posterior de la cadena, no sobre el modelo GPAI subyacente. El modelo GPAI tiene sus propias obligaciones, separadas, en virtud del Capítulo V.

Se puede construir un sistema de IA de alto riesgo sobre un modelo GPAI. También se puede construir un bot de atención al cliente de riesgo mínimo sobre el mismo modelo. Las obligaciones del Capítulo V del modelo GPAI son constantes en ambos casos. Las obligaciones del Anexo III del sistema posterior de la cadena dependen por completo de lo que ese sistema posterior haga.

Dos niveles de obligación de GPAI

El Capítulo V crea dos niveles de obligación para los proveedores de modelos GPAI.

Nivel 1 — Obligaciones de base para todos los proveedores de GPAI (artículo 53)

Todo proveedor de un modelo GPAI introducido en el mercado de la UE debe cumplir el artículo 53. Las cuatro obligaciones esenciales son:

  1. Documentación técnica — elaborar y mantener la documentación técnica especificada en el Anexo XI del Reglamento, que abarca la arquitectura del modelo, la metodología de entrenamiento, los datos de entrenamiento, los valores de referencia de rendimiento y las limitaciones conocidas.
  2. Información para la cadena posterior — poner a disposición de los proveedores que integran el modelo GPAI en sus productos la información y la documentación especificadas en el Anexo XII, suficiente para que esos proveedores posteriores cumplan sus propias obligaciones con arreglo a la Ley.
  3. Política de derechos de autor — establecer una política para cumplir el Derecho de la Unión en materia de derechos de autor, incluidas las excepciones de minería de textos y datos de la Directiva 2019/790.
  4. Resumen de los datos de entrenamiento — publicar un resumen suficientemente detallado del contenido utilizado para el entrenamiento.

Estas obligaciones se aplican desde el 2 de agosto de 2025. Los modelos GPAI que ya estaban en el mercado antes de esa fecha tienen hasta el 2 de agosto de 2027 para cumplirlas. El aplazamiento del Ómnibus Digital que llevó el plazo de alto riesgo del Anexo III al 2 de diciembre de 2027 no se aplica al Capítulo V: el calendario de GPAI no varía.

Nivel 2 — Obligaciones de riesgo sistémico para modelos GPAI con riesgo sistémico (artículos 51 y 55)

Algunos modelos GPAI tienen una clasificación superior: modelo GPAI con riesgo sistémico. El artículo 51 establece cómo se determina.

Un modelo GPAI se clasifica como dotado de riesgo sistémico si posee «capacidades de gran impacto» —definidas como capacidades que «igualan o superan el estado de la técnica en la mayoría de los valores de referencia pertinentes»— a un nivel que da lugar a riesgos significativos. El artículo 51, apartado 1, crea además una presunción iuris tantum: se presume que todo modelo GPAI entrenado con una potencia de cálculo acumulada superior a 10^25 FLOP tiene riesgo sistémico. La Comisión Europea puede designar modelos adicionales en virtud del artículo 51, apartado 2, atendiendo a criterios como el número de usuarios, la multimodalidad del modelo o su accesibilidad a través de API.

El artículo 52 y el artículo 90 (el mecanismo de alerta cualificada del grupo de expertos científicos) dan a la Comisión herramientas para activar la designación de modelos que no alcancen el umbral de cálculo pero que aun así puedan plantear riesgo sistémico.

Los proveedores de GPAI con riesgo sistémico deben cumplir el artículo 55 además del artículo 53. Las obligaciones del artículo 55 son:

  • Realizar evaluaciones del modelo, incluidas pruebas adversariales, antes y después de su publicación.
  • Evaluar y mitigar los riesgos sistémicos, incluidos los riesgos para la seguridad pública, la salud pública, los procesos democráticos y los derechos fundamentales.
  • Notificar incidentes graves y medidas correctoras a la Oficina de IA (no a las autoridades nacionales).
  • Implantar salvaguardas de ciberseguridad.

El techo sancionador por incumplimiento del proveedor de GPAI es el artículo 101: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Estas multas las impone la Comisión (a través de la Oficina de IA), no las autoridades nacionales.

¿Quién es realmente un proveedor de GPAI?

El artículo 3, apartado 3, define al proveedor de un modelo GPAI como una entidad que desarrolla —incluso mediante entrenamiento— un modelo GPAI y lo introduce en el mercado con su propio nombre o marca, ya sea a título oneroso o gratuito. La expresión clave es «desarrolla, incluso mediante entrenamiento».

En la práctica, las entidades que cumplen esta definición son los grandes laboratorios de IA: OpenAI, Google DeepMind, Meta AI, Mistral y un número relativamente reducido de organizaciones comparables. Una empresa que ajuste (fine-tune) un modelo GPAI existente de pesos abiertos con datos propios también puede tener la condición de proveedor si el resultado es un modelo genuinamente distinto introducido en el mercado. Las orientaciones de la Comisión sobre dónde se sitúa exactamente esa línea aún están desarrollándose.

La mayoría de las empresas —incluidas la mayoría de las empresas emergentes de SaaS, las empresas tecnológicas de tamaño medio y cualquier negocio que llame a una API— son usuarios posteriores de la cadena, no proveedores de GPAI. Si utiliza GPT-4 a través de una API para potenciar una función de atención al cliente, es usted responsable del despliegue de un sistema de IA posterior de la cadena. Las obligaciones del artículo 53 del modelo GPAI recaen en OpenAI, no en usted. Lo que sí hereda es lo que se aplique al sistema posterior de la cadena que construya, que puede ser o no de alto riesgo con arreglo al Anexo III.

Las reglas de cambio de papel del artículo 25 de la Ley también se aplican aquí. Si toma un modelo GPAI y lo modifica sustancialmente, o si lo introduce en el mercado con su propio nombre sin el consentimiento del proveedor original para hacerlo, asume el papel de proveedor y hereda las obligaciones del Capítulo V.

La cuestión de la cadena posterior: ¿cuándo genera obligaciones el uso de un modelo GPAI?

Ser usuario posterior de la cadena de un modelo GPAI no le convierte en proveedor de GPAI. Pero puede convertirle en proveedor o responsable del despliegue de un sistema de IA de alto riesgo con arreglo al marco principal de los cuatro niveles.

Si construye una herramienta de cribado para selección de personal sobre un modelo GPAI, es usted el proveedor de un sistema de IA de alto riesgo en virtud del Anexo III, punto 4, letra a). Sus obligaciones son: gestión de riesgos con arreglo al artículo 9, documentación técnica con arreglo al artículo 11, conservación de registros con arreglo al artículo 12, transparencia con arreglo al artículo 13, supervisión humana con arreglo al artículo 14, exactitud y robustez con arreglo al artículo 15, evaluación de la conformidad con arreglo al artículo 43 y registro con arreglo al artículo 49. El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 (en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026).

El deber del proveedor del modelo GPAI, con arreglo al artículo 53, de suministrar la información del Anexo XII a la cadena posterior es precisamente lo que hace esto viable: el proveedor le facilita información técnica suficiente sobre el modelo para que usted cumplimente las secciones de su documentación técnica del Anexo IV que se refieren al modelo subyacente.

Un modelo GPAI no convierte automáticamente en de alto riesgo a ninguna aplicación posterior de la cadena. La clasificación de alto riesgo depende de lo que la aplicación posterior hace —en qué categoría del Anexo III entra, si supera el filtro del artículo 6, apartado 3, y quién la despliega y en qué contexto—.

El umbral de 10^25 FLOP en su contexto

La presunción de cálculo del artículo 51, apartado 1, letra b), ofrece un indicador nítido, pero es importante no sobreinterpretarlo. Diez elevado a 25 FLOP es un volumen de entrenamiento extremadamente grande: se estima que los modelos punteros actuales, de la clase de GPT-4, han utilizado aproximadamente entre 10^23 y 10^24 FLOP en el preentrenamiento. El umbral de 10^25 representa un salto claro por encima de los mayores modelos actuales.

Lo que esto significa:

  • Una empresa que ajuste un modelo existente con unas pocas centenas de horas de GPU de cálculo está lejísimos de este umbral.
  • Incluso una empresa de tamaño medio que entrene desde cero un modelo específico de un dominio es poco probable que se aproxime a él.
  • La presunción está diseñada para captar los mayores modelos punteros y evitar la captura regulatoria mediante la inflación del tamaño del modelo.

El umbral es iuris tantum (un proveedor puede demostrar que un modelo de alto cálculo no tiene, de hecho, riesgo sistémico) y la Comisión puede designar modelos de menor cálculo que, no obstante, tengan capacidades de gran impacto. Se prevé que los códigos de buenas prácticas de GPAI que se están desarrollando en virtud del artículo 56 aporten orientaciones operativas adicionales sobre la metodología de evaluación.

La GPAI y el marco de los cuatro niveles: no es una quinta categoría

Los cuatro niveles de riesgo de la Ley de IA de la UE son: (1) riesgo inadmisible —prohibido en virtud del artículo 5—; (2) alto riesgo —artículo 6 y Anexo III—; (3) riesgo limitado/de transparencia —artículo 50—; (4) riesgo mínimo —todo lo demás—. Los modelos GPAI no son un quinto nivel de esta escala.

Un modelo GPAI puede cruzarse con el marco de los cuatro niveles de dos maneras. En primer lugar, el propio modelo se sitúa en el Capítulo V, una vía paralela. En segundo lugar, un sistema construido utilizando el modelo GPAI puede entrar en cualquiera de los cuatro niveles según su despliegue.

Esta distinción importa cuando se mapean las responsabilidades de cumplimiento a lo largo de una cadena de suministro. Una empresa que utiliza un modelo GPAI de pesos abiertos para construir una herramienta de reconocimiento de emociones empleada en el lugar de trabajo no tiene un problema, sino dos: la herramienta puede estar prohibida en virtud del artículo 5, apartado 1, letra f) (el reconocimiento de emociones en el lugar de trabajo es una práctica prohibida) y, por separado, el proveedor del modelo de la cadena anterior tiene obligaciones en virtud del artículo 53. Son cuestiones de cumplimiento distintas con destinatarios distintos.

Cómo ayuda Confir

La mayoría de los usuarios de Confir son organizaciones posteriores de la cadena: empresas que integran o despliegan aplicaciones construidas sobre modelos GPAI, no empresas que entrenan modelos fundacionales. El motor de clasificación de Confir, determinista y basado en reglas, registra sus dependencias de GPAI (hasta dos por entrada de sistema de IA) y distingue con claridad entre sus obligaciones como responsable del despliegue o proveedor posterior de la cadena y las obligaciones separadas del Capítulo V del proveedor del modelo GPAI. Las preguntas de admisión señalan si un sistema utiliza un modelo GPAI como componente subyacente, mapean el sistema posterior de la cadena a su clasificación correcta del Anexo III y confirman qué información de la cadena posterior del artículo 53 tiene usted derecho a recibir del proveedor del modelo.

Si está preparando documentación técnica con arreglo al artículo 11 para un sistema de alto riesgo construido sobre un modelo GPAI, el paquete del Anexo IV de Confir incluye las secciones que se remiten al modelo de la cadena anterior y le pide que documente qué información del Anexo XII ha recibido.

Preguntas frecuentes

¿Es un modelo GPAI, por sí mismo, un sistema de IA de alto riesgo?

No. Un modelo GPAI se clasifica con arreglo al Capítulo V (artículos 51 a 56) como modelo GPAI estándar o como modelo GPAI con riesgo sistémico. No se clasifica con arreglo al Anexo III. Si un modelo GPAI se integra en un sistema de IA posterior de la cadena que entra en una categoría del Anexo III, ese sistema posterior es de alto riesgo, pero las obligaciones del modelo GPAI subyacente siguen rigiéndose por el Capítulo V, no por el marco de alto riesgo.

¿Cuándo empezaron a aplicarse las obligaciones de GPAI?

Las obligaciones de base del artículo 53 y las obligaciones de riesgo sistémico del artículo 55 pasaron a ser aplicables el 2 de agosto de 2025. Los modelos GPAI que ya estaban en el mercado antes de esa fecha deben cumplir antes del 2 de agosto de 2027. El aplazamiento del Ómnibus Digital (sistemas de alto riesgo del Anexo III: 2 de diciembre de 2027) no afecta al Capítulo V.

¿Cuál es el umbral de cálculo para la clasificación de riesgo sistémico?

El artículo 51, apartado 1, letra b), establece una presunción de riesgo sistémico para los modelos GPAI entrenados con un cálculo acumulado superior a 10^25 operaciones de coma flotante (FLOP). La presunción es iuris tantum. La Comisión también puede designar modelos por debajo de ese umbral si demuestran capacidades de gran impacto (artículo 51, apartado 2, a través del procedimiento de alerta cualificada de los artículos 52 y 90).

¿Qué multas se aplican a los proveedores de GPAI que no cumplen?

El artículo 101 —separado de los niveles sancionadores principales del artículo 99— permite a la Comisión multar a los proveedores de modelos GPAI con hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Estas multas las impone la Comisión, no las autoridades nacionales de vigilancia del mercado.

Utilizo una API de un LLM para crear un producto. ¿Soy un proveedor de GPAI?

Casi con seguridad, no. Llamar a la API de un modelo le convierte en responsable del despliegue o proveedor posterior de la cadena de la aplicación que construya sobre ella. El proveedor de GPAI es la empresa que entrenó el modelo y lo introdujo en el mercado. Lo que necesita evaluar es si la aplicación que construye activa la clasificación de alto riesgo del Anexo III, lo cual depende de lo que su aplicación haga, no de la arquitectura del modelo subyacente.

¿Un modelo GPAI con riesgo sistémico convierte automáticamente en de alto riesgo a cualquier aplicación construida sobre él?

No. La clasificación de riesgo sistémico recae sobre el modelo y crea obligaciones del artículo 55 para el proveedor del modelo. Que una aplicación posterior de la cadena construida sobre ese modelo sea de alto riesgo depende de su propia clasificación con arreglo al artículo 6 y al Anexo III —en concreto, de si entra en una de las ocho categorías del Anexo III y de si supera el filtro del artículo 6, apartado 3—.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.