Cumplimiento de los modelos fundacionales conforme a la Ley de IA de la UE: qué deben hacer los proveedores
Los proveedores de GPAI afrontan deberes del Art. 53 desde el 2 ago 2025. El riesgo sistémico (>10²⁵ FLOP) añade el Art. 55. Reglas de código abierto, representantes del Art. 54 y multas del Art. 101 explicadas.
«Modelo fundacional» no es una categoría legal separada en el Reglamento (UE) 2024/1689. La Ley los denomina modelos de IA de uso general (GPAI) — modelos entrenados con grandes cantidades de datos, capaces de servir a una amplia gama de finalidades y puestos a disposición de terceros. Si ha entrenado o ajustado un modelo y lo pone a disposición de proveedores o responsables del despliegue aguas abajo, usted es un proveedor de un modelo de IA de uso general con arreglo al Capítulo V de la Ley. Esa condición desencadena obligaciones que están en vigor desde el 2 de agosto de 2025.
Este artículo explica cuáles son esas obligaciones, cómo los modelos con riesgo sistémico atraen una capa adicional y qué cubre realmente la excepción de código abierto.
¿Qué es un modelo de IA de uso general conforme a la Ley de IA de la UE?
El Artículo 3, apartado 63, define un modelo de IA de uso general como un modelo de IA entrenado con grandes cantidades de datos mediante autosupervisión a gran escala, que muestra una notable generalidad y es capaz de realizar una amplia variedad de tareas distintas. Puede integrarse en una variedad de sistemas o aplicaciones aguas abajo. El término cubre lo que la industria denomina modelos fundacionales, grandes modelos de lenguaje y modelos base multimodales — GPT-4, Llama 3, Mistral Large, Gemini 1.5 y arquitecturas comparables.
Un sistema de IA de uso general (Artículo 3, apartado 66) es un modelo de IA de uso general que se despliega como un sistema de IA completo por derecho propio. Las obligaciones del Capítulo V se adhieren al modelo, no solo al sistema.
La distinción respecto de la IA de alto riesgo importa aquí. La IA de uso general es una categoría transversal, no uno de los cuatro niveles de riesgo. La clasificación de alto riesgo con arreglo al Artículo 6 se aplica al sistema aguas abajo en función de su uso — un chatbot construido sobre un modelo de IA de uso general se evalúa por lo que hace el chatbot, no por el modelo subyacente.
Capítulo V en vigor: 2 de agosto de 2025
Las obligaciones de los modelos de IA de uso general con arreglo al Capítulo V (Artículos 51 a 56) se aplican desde el 2 de agosto de 2025. El acuerdo del Ómnibus Digital de mayo de 2026, que aplazó los plazos del Anexo III de alto riesgo al 2 de diciembre de 2027, no toca el Capítulo V. Si su modelo ya estaba en el mercado antes del 2 de agosto de 2025, tiene hasta el 2 de agosto de 2027 para cumplir.
Obligaciones de base para todos los proveedores de GPAI (Artículo 53)
Todo proveedor de un modelo de IA de uso general — con independencia del tamaño del modelo — debe satisfacer cuatro obligaciones de base con arreglo al Artículo 53.
Documentación técnica (Anexo XI). Debe elaborar y mantener documentación que cubra la descripción general del modelo, el proceso de desarrollo, la metodología de entrenamiento y ajuste, los datos de entrenamiento (tipo, procedencia, conservación), los procedimientos de prueba y evaluación, la potencia de cálculo utilizada, las limitaciones y riesgos conocidos y las medidas de mitigación. El Anexo XI establece el contenido en detalle.
Información para los proveedores aguas abajo (Anexo XII). Cuando suministra su modelo a otro proveedor que construye un producto o servicio sobre él, debe facilitarle la información que necesita para cumplir sus propias obligaciones: una descripción del modelo, sus usos previstos, sus limitaciones y detalle técnico suficiente para que el proveedor aguas abajo lleve a cabo su propia gestión de riesgos.
Cumplimiento de los derechos de autor — la exclusión voluntaria de la minería de textos y datos. El Artículo 53, apartado 1, letra c), exige que respete la exclusión voluntaria legible por máquina que los titulares de derechos pueden aplicar con arreglo al artículo 4, apartado 3, de la Directiva (UE) 2019/790. Si un sitio web o una base de datos ha publicado una reserva de derechos, su proceso de entrenamiento debe respetarla. Documente su política y cómo se implementó.
Resumen de los datos de entrenamiento. El Artículo 53, apartado 1, letra d), exige un «resumen suficientemente detallado sobre los datos de entrenamiento utilizados». La Oficina de IA ha publicado una plantilla. El resumen está disponible públicamente y es distinto de la documentación más detallada del Anexo XI enviada a los reguladores y a los proveedores aguas abajo.
¿Cuándo acarrea un modelo de IA de uso general un riesgo sistémico?
El Artículo 51 introduce un segundo nivel: los modelos de IA de uso general con riesgo sistémico. Se presume que un modelo acarrea riesgo sistémico si la cantidad acumulada de potencia de cálculo utilizada para el entrenamiento supera las 10^25 operaciones de coma flotante (FLOP). Ese umbral capta actualmente un pequeño número de modelos de frontera — pero es la línea legal, y puede ser revisada por acto delegado de la Comisión.
Un modelo por debajo del umbral también puede ser designado como portador de riesgo sistémico por la Comisión a través del procedimiento del Artículo 52, sobre la base de criterios cualitativos como el número de usuarios, el alcance del modelo a través de los sectores o su potencial de impacto adverso significativo. Los proveedores también pueden notificarlo voluntariamente a la Oficina de IA.
Una vez clasificado, un modelo sigue siendo de riesgo sistémico hasta que la Comisión determine lo contrario.
Obligaciones adicionales para los proveedores de GPAI con riesgo sistémico (Artículo 55)
Los proveedores de GPAI con riesgo sistémico asumen cuatro obligaciones además de las del Artículo 53.
Evaluación del modelo y pruebas adversarias (Artículo 55, apartado 1, letras a) y b)). Debe realizar evaluaciones del modelo conforme a protocolos normalizados y llevar a cabo pruebas adversarias — equipo rojo — para identificar modos de fallo, incluido frente a terceros cuando sea necesario. El objetivo es descubrir los riesgos antes de que el modelo llegue al mercado y tras actualizaciones significativas.
Notificación de incidentes a la Oficina de IA (Artículo 55, apartado 1, letra c)). Los incidentes graves — los que causan o podrían causar un daño significativo — deben notificarse a la Oficina de IA sin demora indebida. Es un deber de notificación directa a la Comisión, separado de la notificación a la autoridad de mercado del Artículo 73 que rige a los proveedores de sistemas de alto riesgo.
Mitigación del riesgo sistémico (Artículo 55, apartado 1, letra a)). Tras haber identificado los riesgos mediante la evaluación, debe adoptar medidas proporcionadas para abordarlos: controles técnicos, políticas de uso o restricciones de despliegue.
Ciberseguridad (Artículo 55, apartado 1, letra d)). Debe garantizar una protección de ciberseguridad adecuada para el modelo, su infraestructura y la seguridad física cuando proceda.
La excepción de código abierto — y sus límites
El Artículo 53 establece una excepción para los modelos de IA de uso general puestos a disposición con una licencia libre y de código abierto que permite a los usuarios acceder al modelo, utilizarlo, modificarlo y distribuir sus parámetros. Para tales modelos, los requisitos de documentación técnica (Anexo XI) e información aguas abajo (Anexo XII) no se aplican.
La obligación de política de derechos de autor (Artículo 53, apartado 1, letra c)) y el resumen de los datos de entrenamiento (Artículo 53, apartado 1, letra d)) siguen aplicándose a los modelos de código abierto.
De forma crítica, la excepción de código abierto desaparece por completo si el modelo acarrea riesgo sistémico. Un modelo de parámetros abiertos que supere el umbral de 10^25 FLOP — o que sea designado de riesgo sistémico por la Comisión — debe cumplir las pilas completas del Artículo 53 y del Artículo 55.
Esta es la línea más importante que hay que mantener al asesorar a los desarrolladores de modelos de código abierto: la licencia compra alivio de los deberes de documentación e intercambio de información para los modelos no sistémicos, no de las obligaciones de transparencia y derechos de autor, y no compra nada en la frontera.
Proveedores no pertenecientes a la UE: representantes autorizados (Artículo 54)
Si está establecido fuera de la UE pero introduce un modelo de IA de uso general en el mercado de la UE o hace que se integre en sistemas de la UE, debe nombrar un representante autorizado en la UE antes de que su modelo entre en el mercado. El representante gestiona las comunicaciones con la Oficina de IA y las autoridades nacionales. El Artículo 54 establece los requisitos del mandato. Esto refleja el mecanismo de representante autorizado para los proveedores de IA de alto riesgo con arreglo al Artículo 22.
Códigos de buenas prácticas (Artículo 56)
La Oficina de IA está coordinando la elaboración de códigos de buenas prácticas para los proveedores de GPAI — instrumentos multilaterales que traducen las obligaciones del Capítulo V en orientación operativa. El cumplimiento de un código de buenas prácticas crea una presunción de conformidad. Los primeros códigos de buenas prácticas estaban en elaboración a mediados de 2026. Los proveedores deben seguir el trabajo de la Oficina de IA y considerar participar en el proceso de redacción; los códigos conformarán significativamente cómo se interpretan en la práctica el Anexo XI y los requisitos de pruebas adversarias.
Sanciones para los proveedores de GPAI (Artículo 101)
La ejecución de las obligaciones de GPAI se gestiona a escala de la UE. La Comisión — no una autoridad de un Estado miembro — puede imponer multas a los proveedores de GPAI con arreglo al Artículo 101. El máximo es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Esto se sitúa en paralelo al régimen sancionador del Artículo 99 que se aplica a los proveedores de IA de alto riesgo; ambos pueden aplicarse en principio al mismo proveedor por infracciones distintas.
El límite de proporcionalidad del Artículo 99, apartado 6, para las pymes (en el que la multa es la menor del porcentaje o la suma fija) no aparece en el Artículo 101, que se dirige principalmente a los proveedores de modelos a gran escala. Dicho esto, la Comisión debe tener en cuenta la proporcionalidad en el ejercicio de su discrecionalidad.
Cómo interactúan las obligaciones de GPAI con la clasificación de alto riesgo aguas abajo
Las obligaciones de GPAI discurren junto al marco de alto riesgo — no en su lugar. Si un proveedor aguas abajo construye una herramienta de cribado de selección de personal sobre su modelo de IA de uso general, ese proveedor aguas abajo es el proveedor del Artículo 16 del sistema de IA de alto riesgo y asume la pila de los Artículos 9, 11, 13, 14 y 43. Sus deberes de documentación del Anexo XI e información del Anexo XII siguen siendo suyos; usted equipa al proveedor aguas abajo, pero no absorbe sus obligaciones.
El Artículo 25 rige el cambio de papel: una empresa que toma un modelo de IA de uso general y construye un producto con su propio nombre se convierte en el proveedor de ese producto. Las obligaciones del proveedor del modelo permanecen en el modelo; las obligaciones del proveedor del producto se adhieren al producto.
Cuando su modelo se utiliza directamente como un sistema de IA de uso general — una API de uso general a la que acceden las organizaciones — las obligaciones de transparencia de riesgo limitado del Artículo 50 también se aplican desde el 2 de agosto de 2026.
Pasos prácticos para un proveedor de un modelo de IA de uso general
1. Confirme su condición de GPAI. ¿Cumple su modelo la definición del Artículo 3, apartado 63 — entrenamiento a gran escala, capacidad general, disponible para terceros? En caso afirmativo, el Capítulo V se aplica desde el 2 de agosto de 2025.
2. Determine la condición de riesgo sistémico. Calcule o estime la potencia de cálculo del entrenamiento. Por encima de 10²⁵ FLOP se activa la presunción y la notificación a la Oficina de IA con arreglo al Artículo 52.
3. Prepare la documentación técnica del Anexo XI. Empiece con los datos de entrenamiento, la potencia de cálculo y las limitaciones conocidas — son los que requieren más coordinación interna. Actualícela con cada cambio significativo del modelo.
4. Redacte un paquete de información aguas abajo del Anexo XII. Identifique a sus proveedores aguas abajo y lo que necesitan para gestionar su propio cumplimiento. Hágalo parte de la incorporación de la API o de la concesión de licencias.
5. Documente su política de derechos de autor. Registre las exclusiones voluntarias de minería de textos y datos encontradas durante el entrenamiento y cómo se gestionaron. Para los modelos nuevos, incorpore la detección de exclusiones voluntarias a la canalización de datos antes de que comience el entrenamiento.
6. Prepare un resumen de los datos de entrenamiento. Utilice la plantilla de la Oficina de IA. Actualícelo cuando la composición de los datos de entrenamiento cambie significativamente.
7. Para los modelos con riesgo sistémico, construya el programa del Artículo 55. Ejecute evaluaciones del modelo antes del despliegue y tras actualizaciones importantes; establezca la notificación de incidentes a la Oficina de IA; revise los controles de ciberseguridad.
8. Nombre un representante autorizado en la UE si está establecido fuera de la UE. Hágalo antes de introducir el modelo en el mercado de la UE.
Cómo ayuda Confir
El registro de cumplimiento de Confir consigna las dependencias de modelos de IA de uso general — de modo que, cuando su organización construye sobre un modelo de IA de uso general o lo integra, la relación aguas arriba queda documentada junto a sus propias obligaciones. Para las organizaciones en la posición aguas abajo, Confir asigna su papel (proveedor del Artículo 25 o responsable del despliegue del Artículo 26), señala la información del Anexo XII que debería recibir de su proveedor del modelo y genera la documentación técnica exigida para su propio sistema con arreglo al Artículo 11 / Anexo IV. La lógica de clasificación y delimitación de alcance es determinista y basada en reglas: las mismas respuestas, el mismo resultado, auditable en cada paso.
Preguntas frecuentes
¿Es «modelo fundacional» un término definido en la Ley de IA de la UE?
No. La Ley utiliza «modelo de IA de uso general» (Artículo 3, apartado 63). «Modelo fundacional» es un término de la industria anterior al Reglamento. A efectos de cumplimiento, asigne su modelo a la definición de GPAI — si encaja, se aplica el Capítulo V.
Nuestro modelo está por debajo de 10^25 FLOP. ¿Quedamos por completo fuera del Artículo 55?
El Artículo 55 no se aplica salvo que su modelo esté clasificado como de riesgo sistémico, y por debajo de 10^25 FLOP no hay presunción automática. Aun así, podría ser designado de riesgo sistémico por la Comisión por motivos cualitativos con arreglo al Artículo 52, así que vigile el registro publicado de la Oficina de IA y cualquier decisión de la Comisión. Las obligaciones de base del Artículo 53 siguen aplicándose.
Publicamos los parámetros con una licencia Apache 2.0. ¿Qué obligaciones quedan?
Los requisitos de documentación técnica del Anexo XI e información aguas abajo del Anexo XII quedan exentos. La política de cumplimiento de los derechos de autor del Artículo 53, apartado 1, letra c), y el resumen de los datos de entrenamiento del Artículo 53, apartado 1, letra d), siguen aplicándose. Si su modelo se clasifica posteriormente como de riesgo sistémico, todas las exenciones decaen.
Somos una empresa estadounidense que ofrece una API de GPAI a clientes de la UE. ¿Qué se activa?
Si el resultado de su modelo se utiliza en la UE, el Capítulo V se le aplica. Debe nombrar un representante autorizado en la UE con arreglo al Artículo 54 antes de que el modelo se introduzca en el mercado de la UE, y cumplir el Artículo 53 desde el 2 de agosto de 2025 (o antes del 2 de agosto de 2027 si su modelo estaba en el mercado antes de esa fecha).
¿Cuál es la multa para un proveedor de GPAI que no cumple?
La Comisión puede imponer multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, con arreglo al Artículo 101. Es independiente de las sanciones del Artículo 99 aplicables a los proveedores de sistemas de alto riesgo — ambas pueden aplicarse a la misma organización por infracciones distintas.
¿Afecta el Ómnibus Digital a los plazos de GPAI?
No. El Ómnibus Digital (acuerdo político de mayo de 2026) aplazó los plazos del Anexo III de alto riesgo de agosto de 2026 al 2 de diciembre de 2027 (sistemas autónomos) y al 2 de agosto de 2028 (sistemas integrados en productos del Anexo I). Las obligaciones de GPAI del Capítulo V no se tocaron. Se aplican desde el 2 de agosto de 2025.
Guías relacionadas
- visión general del cumplimiento de GPAI
- obligaciones del Artículo 53 para los proveedores de GPAI
- riesgo sistémico de GPAI con arreglo al Artículo 51
- herramienta de clasificación de riesgo del Artículo 6
- evaluación de la conformidad del Artículo 43
- definiciones clave del Artículo 3
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →