Cumplimiento de la GPAI conforme a la Ley de IA de la UE: qué tienes que hacer realmente
Las obligaciones de los modelos GPAI se aplican desde el 2 ago 2025. Base del Art. 53, riesgo sistémico del Art. 55 y lo que deben en su lugar los proveedores posteriores. Reparto claro por rol.
El Capítulo V del Reglamento (UE) 2024/1689 — el marco de la GPAI — está en vigor desde el 2 de agosto de 2025. No es una obligación de futuro. Está vigente. Si tu organización entrenó un modelo de IA de uso general, o si construiste un producto sobre uno, esta guía explica qué reglas se te aplican y cuáles no.
El capítulo de la GPAI responde a una de las preguntas peor entendidas del cumplimiento de la Ley de IA de la UE: ¿soy el proveedor de la GPAI o soy la empresa que construye algo sobre uno? La respuesta lo determina casi todo. Si te equivocas, o bien sobredimensionas obligaciones que no son tuyas, o bien pasas por alto las que sí lo son.
Qué significa GPAI — y qué no es
Un modelo de IA de uso general se define en el Reglamento (UE) 2024/1689 como un modelo de IA entrenado con grandes cantidades de datos a una escala computacional significativa, que muestra una generalidad significativa y es capaz de realizar una amplia gama de tareas distintas. La cualidad definitoria es la amplitud: el modelo no se construyó para un único cometido.
La GPAI es una categoría regulatoria independiente y transversal — no un quinto nivel de riesgo junto al riesgo inaceptable, alto, limitado y mínimo. No dejes que nadie te diga que un modelo GPAI es automáticamente de alto riesgo. El capítulo de la GPAI (Artículos 51 a 56) regula el modelo en sí. El marco de niveles de riesgo (Artículos 5 y 6) regula aquello para lo que se utiliza el modelo aguas abajo.
Un modelo de lenguaje alojado en un servidor no se clasifica con arreglo a los niveles de riesgo. El chatbot de atención al cliente que construyes con él podría ser de riesgo limitado con arreglo al Artículo 50. La herramienta de decisión crediticia que construyes con él es de alto riesgo con arreglo al Artículo 6 y al Anexo III, punto 5, letra b). Esas son clasificaciones del sistema posterior, no del modelo.
Dos públicos, dos situaciones muy diferentes
El capítulo de la GPAI se dirige a dos grupos de personas, y las obligaciones recaen casi por completo sobre uno de ellos.
Si entrenaste y lanzaste el modelo, eres un proveedor de un modelo GPAI con arreglo al Artículo 3, apartado 3. La base completa del Artículo 53 se te aplica y, si tu potencia de cálculo de entrenamiento superó las 10²⁵ operaciones de coma flotante, la capa de riesgo sistémico del Artículo 55 se aplica por encima.
Si construiste un producto utilizando la API o los pesos de un modelo GPAI de un tercero, eres un proveedor posterior o un responsable del despliegue. No estás sujeto a los Artículos 51 a 55. Tu obligación es clasificar el sistema que construiste por lo que hace — con arreglo a los Artículos 5, 6 y 50 — y utilizar la documentación que te facilita el proveedor de la GPAI para fundamentar tu propio cumplimiento.
La línea divisoria es real, pero tiene una trampa importante, que se trata más abajo.
Parte 1: si eres un proveedor de un modelo GPAI
Desarrollas y lanzas un modelo fundacional — ya sea a través de una API, una licencia comercial o pesos abiertos. Esto es lo que exige la ley.
Artículo 53: las obligaciones de base para todos los proveedores de GPAI
Todo proveedor de un modelo GPAI, con independencia del tamaño del modelo, debe hacer cuatro cosas.
Mantener la documentación técnica del Anexo XI. No es lo mismo que la documentación del Anexo IV exigida para los sistemas de IA de alto riesgo. El Anexo XI cubre la descripción general del modelo, los casos de uso previstos y las limitaciones conocidas, las fuentes y la metodología de los datos de entrenamiento, la potencia de cálculo de entrenamiento en FLOP, la arquitectura y los parámetros del modelo, la metodología de entrenamiento y evaluación y los riesgos conocidos. La Oficina de IA puede solicitar esta documentación en cualquier momento.
Facilitar la información del Anexo XII a los proveedores posteriores. Cualquiera que construya sobre tu modelo necesita información suficiente para cumplir sus propias obligaciones de la Ley de IA de la UE. El Anexo XII fija el mínimo: casos de uso previstos, restricciones de uso, sesgos y limitaciones conocidos y el material necesario para que los proveedores posteriores implementen la gestión de riesgos del Artículo 9 y las divulgaciones de transparencia del Artículo 13. Las fichas de modelo (model cards), las políticas de uso y las fichas de sistema (system cards) que los proveedores de GPAI acreditados ya publican son la forma práctica de este deber — la diferencia es que el Reglamento las hace obligatorias.
Implementar y documentar una política de cumplimiento en materia de derechos de autor. Esto significa tener un enfoque documentado de las obligaciones de derechos de autor en los datos de entrenamiento, incluida la observancia de las exclusiones voluntarias de los titulares de derechos con arreglo al artículo 4 de la Directiva 2019/790 (la excepción de minería de textos y datos). Las declaraciones procedimentales vagas no bastarán; necesitas pruebas de los pasos adoptados.
Publicar un resumen suficientemente detallado de los datos de entrenamiento. «Entrenado con datos de internet» no satisface el Artículo 53. El resumen debe cubrir los tipos de datos, las fuentes y la metodología de procesamiento con el suficiente detalle como para permitir una comprensión significativa de qué configuró las capacidades del modelo y sus posibles sesgos.
Artículo 51: el umbral de riesgo sistémico
Se presume que un modelo GPAI tiene riesgo sistémico si la potencia de cálculo de entrenamiento acumulada supera los 10²⁵ FLOP. La Comisión Europea también puede designar modelos concretos por motivos cualitativos — las capacidades del modelo, su alcance de usuarios, la dependencia posterior — con independencia de las cifras de cálculo.
El umbral de 10²⁵ importa porque determina si se aplica el Artículo 55. La mayoría de las empresas que entrenan modelos de IA están muy lejos de él. Si lo estás, casi con seguridad lo sabes.
Artículo 52: el procedimiento de notificación
Cuando un proveedor de GPAI tiene motivos para creer que la potencia de cálculo de entrenamiento de un nuevo modelo superará los 10²⁵ FLOP, el Artículo 52 exige la notificación a la Oficina de IA antes de que el modelo se introduzca en el mercado. La Comisión puede entonces exigir una evaluación de la conformidad o imponer condiciones. Esta es la puerta procedimental antes de que los modelos con riesgo sistémico entren en funcionamiento.
Artículo 55: obligaciones del proveedor con riesgo sistémico
Si tu modelo cruza el umbral — o lo designa la Comisión — se aplica lo siguiente por encima de la base del Artículo 53.
Evaluación del modelo. Realizar pruebas adversariales (red-teaming) y otras evaluaciones antes del lanzamiento y tras las actualizaciones significativas, documentadas frente a protocolos estandarizados. La Oficina de IA puede realizar sus propias evaluaciones; los proveedores deben cooperar.
Evaluación del riesgo sistémico. Documentar los riesgos — probabilidad de perjuicio, gravedad, amplitud, reversibilidad, dependencias de infraestructuras críticas — y actualizar la evaluación cuando el modelo cambie materialmente.
Medidas de mitigación de riesgos. Implementar salvaguardias técnicas, restricciones de uso y políticas de líneas rojas proporcionadas a los riesgos identificados.
Notificación de incidentes. Los incidentes graves se notifican directamente a la Oficina de IA — no a las autoridades nacionales de vigilancia del mercado (esa vía es para los proveedores de IA de alto riesgo con arreglo al Artículo 73). Un incidente grave incluye los casos en los que el modelo contribuyó a un perjuicio significativo o en los que un incidente revela un riesgo sistémico inesperado.
Protecciones de ciberseguridad. Proteger los pesos del modelo, la infraestructura de entrenamiento y las API de despliegue frente a la manipulación adversarial y la extracción del modelo.
Artículo 54: representantes autorizados
Los proveedores de GPAI establecidos fuera de la UE que ponen modelos a disposición en la UE deben designar un representante autorizado en la UE — el equivalente específico de la GPAI al Artículo 22 para los proveedores de alto riesgo. El representante es el punto de contacto para la Oficina de IA.
Artículo 56: el código de buenas prácticas
El Artículo 56 prevé códigos de buenas prácticas elaborados con la facilitación de la Oficina de IA, con aportaciones de proveedores, investigadores, sociedad civil y partes interesadas posteriores. El cumplimiento de un código aplicable crea una presunción de cumplimiento de las correspondientes obligaciones de la GPAI. La Oficina de IA viene impulsando el proceso de elaboración desde 2025, y los proveedores deben seguir los borradores y participar en la consulta.
Si optas por no seguir un código, debes demostrar el cumplimiento de las obligaciones subyacentes por otros medios aceptables para la Oficina de IA.
Artículo 101: multas a los proveedores de GPAI
La ejecución específica de la GPAI corre a cargo de la Comisión Europea, no de las autoridades nacionales. Con arreglo al Artículo 101, la Comisión puede imponer a los proveedores de GPAI multas de hasta 15 millones EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, por incumplimientos de los Artículos 53 y 55. Esta es una vía sancionadora independiente del Artículo 99, que se aplica a las obligaciones de los sistemas de alto riesgo.
GPAI de código abierto: obligaciones reducidas, pero no nulas
Los modelos GPAI de código abierto — en los que los pesos se publican públicamente bajo una licencia suficientemente abierta — se benefician de obligaciones reducidas. El Artículo 53, apartado 2, exime a los lanzamientos de pesos abiertos que reúnan los requisitos de los requisitos de documentación técnica del Anexo XI y de información posterior del Anexo XII. La política de cumplimiento en materia de derechos de autor (Artículo 53, apartado 1, letra c)) y el resumen de los datos de entrenamiento (Artículo 53, apartado 1, letra d)) siguen aplicándose a todo proveedor de GPAI con independencia del tipo de licencia. La exención desaparece por completo si el modelo presenta riesgo sistémico: si la potencia de cálculo de entrenamiento supera los 10²⁵ FLOP, se aplican las pilas completas del Artículo 53 y del Artículo 55.
Plazos: cuándo se aplican las obligaciones de la GPAI
El Capítulo V se aplica desde el 2 de agosto de 2025. Los modelos GPAI que ya estaban en el mercado antes de esa fecha tienen hasta el 2 de agosto de 2027 para cumplir. El acuerdo del Ómnibus Digital de mayo de 2026, que aplazó el plazo de alto riesgo del Anexo III al 2 de diciembre de 2027, no toca el Capítulo V. El calendario de la GPAI no cambia.
Parte 2: si eres un proveedor posterior o un responsable del despliegue
La mayoría de las empresas que leen esta guía no son proveedores de modelos GPAI. Construyen productos y servicios utilizando API de modelos fundacionales o pesos abiertos suministrados por otra persona. Para este grupo, la idea clave es que los Artículos 51 a 55 no son tu preocupación directa — pero lo que construyes sí lo es, y mucho.
Clasificas el sistema que construyes, no el modelo
Clasifica el sistema de IA que desarrollas y despliegas por su uso previsto, aplicando los Artículos 5 y 6 en secuencia.
Primero: ¿hace el sistema algo prohibido con arreglo al Artículo 5? Manipulación subliminal, identificación biométrica remota en tiempo real en espacios públicos para la garantía del cumplimiento del Derecho, puntuación social por parte de las autoridades públicas, reconocimiento de emociones en el lugar de trabajo o en centros educativos — si la respuesta es sí, no puede desplegarse, con independencia del modelo subyacente.
Segundo: ¿entra el sistema en una categoría del Anexo III? Selección de personal y cribado (punto 4, letra a)), evaluación de la solvencia (punto 5, letra b)), asignación y supervisión en el empleo (punto 4), admisión educativa (punto 3) — estos activan la pila completa de alto riesgo: Artículos 9 a 15, 17, 43, 47, 48, 49, 72 y 73. Plazo para los sistemas autónomos del Anexo III: 2 de diciembre de 2027 con arreglo al Ómnibus Digital.
Tercero: ¿es el sistema de cara al cliente de una manera que activa los requisitos de transparencia del Artículo 50? Si tu producto interactúa con personas físicas que podrían no saber que están hablando con una IA, el Artículo 50, apartado 1, se aplica a partir del 2 de agosto de 2026.
Ejecutar una aplicación de alto riesgo sobre un modelo GPAI no reduce tus obligaciones. Tampoco las transfiere al proveedor de la GPAI.
Utilizar el paquete de documentación del Anexo XII
La información del Anexo XII del proveedor de la GPAI es el dato de entrada de tu propio ejercicio de gestión de riesgos del Artículo 9 — no un sustituto de este. Una empresa que construye una aplicación de IA de alto riesgo sobre la API de un modelo GPAI debe: obtener y conservar el paquete actual del Anexo XII del proveedor del modelo; incorporarlo a tu sistema de gestión de riesgos del Artículo 9 como un dato de entrada documentado; realizar tu propia evaluación de la conformidad para el sistema posterior (autoevaluación interna del Anexo VI para la mayoría de los usos del Anexo III; vía del organismo notificado del Anexo VII para los sistemas biométricos del punto 1); y generar tu propia documentación técnica del Anexo IV. No puedes citar el Anexo XI del proveedor de la GPAI como tu expediente técnico.
Dar por supuesto que el cumplimiento del proveedor de la GPAI cubre tu aplicación es el error más habitual y de mayores consecuencias en este ámbito.
La trampa del Artículo 25: cuándo pasas a ser el proveedor de la GPAI
El Artículo 25 rige los cambios de rol. Un distribuidor, importador o responsable del despliegue pasa a ser el proveedor — con la pila completa de obligaciones de proveedor — si pone su nombre o marca en un sistema de IA, lo modifica sustancialmente o cambia su finalidad prevista.
Lo mismo se aplica a la GPAI. Si reetiquetas un modelo GPAI como propio o lo modificas sustancialmente (un ajuste fino que cambia las capacidades generales del modelo), puedes pasar a ser el proveedor del modelo GPAI. En ese punto, la base del Artículo 53 — y si la potencia de cálculo cruza los 10²⁵ FLOP, el Artículo 55 — se traslada a ti. Un ajuste fino que produce un sistema estrechamente especializado probablemente no crea un nuevo modelo GPAI; un ajuste por instrucciones a gran escala que produce un modelo de uso general ampliamente capaz tiene más probabilidades de activar la condición de proveedor de GPAI. Si la cuestión es relevante para tu organización, evalúala antes del lanzamiento.
Cómo ayuda Confir
Confir registra las dependencias de modelos GPAI como parte de su admisión de sistemas de IA — qué modelos GPAI utiliza el sistema, qué información del Anexo XII se ha obtenido y si algún ajuste fino o modificación plantea una cuestión de cambio de rol del Art. 25.
Para los proveedores posteriores, el motor de clasificación basado en reglas de Confir aplica los Artículos 5 y 6 al sistema que construyes, no al modelo que utilizas, produciendo una conclusión determinista sobre el nivel de riesgo y el rol. La misma admisión → el mismo resultado, siempre, con la regla que se activó mostrada explícitamente. Para las empresas que operan a la vez un modelo GPAI y sistemas posteriores construidos sobre él, las vías de cumplimiento se gestionan por separado.
Confir tiene en su hoja de ruta ampliar la cobertura del flujo de trabajo de la GPAI a los Artículos 53/55 en su totalidad. La versión actual registra las dependencias de GPAI y clasifica los sistemas posteriores.
Guías relacionadas
- Artículo 51: clasificación de riesgo sistémico para los modelos GPAI
- Artículo 52: procedimiento y notificación para la GPAI con riesgo sistémico
- Artículo 53: obligaciones de base para todos los proveedores de GPAI
- Riesgo sistémico de la GPAI: qué significa el umbral de 10²⁵ FLOP
- Cumplimiento de los modelos fundacionales: la vía del proveedor posterior
Preguntas frecuentes
¿Se nos aplica el capítulo de la GPAI si solo utilizamos la API de un modelo?
No. Utilizar un modelo a través de una API te convierte en proveedor posterior o responsable del despliegue de tu propio sistema de IA, no en proveedor de un modelo GPAI. Los Artículos 51 a 55 se aplican a la entidad que entrenó y lanzó el modelo. Tu obligación es clasificar el sistema que construyes por su uso — potencialmente de alto riesgo con arreglo al Artículo 6 o de riesgo limitado con arreglo al Artículo 50 — y obtener el paquete de documentación del Anexo XII del proveedor del modelo para fundamentar tu propia gestión de riesgos.
Se suponía que el cumplimiento de la GPAI comenzaba en agosto de 2025 — ¿qué pasa con el retraso del Ómnibus Digital?
El acuerdo del Ómnibus Digital de mayo de 2026 aplazó el plazo de alto riesgo del Anexo III para los sistemas autónomos al 2 de diciembre de 2027. No afectó al Capítulo V. Las obligaciones de los modelos GPAI se aplican desde el 2 de agosto de 2025, y los modelos que ya estaban en el mercado antes de esa fecha deben cumplir antes del 2 de agosto de 2027. Esas fechas no se ven afectadas.
¿Cómo funciona el umbral de 10²⁵ FLOP si hemos ajustado el modelo de otra persona?
Si tu ajuste fino fue menor y el modelo base es ampliamente capaz, la cifra de cálculo pertinente puede ser la potencia de cálculo de entrenamiento acumulada del modelo base — lo que significa que el umbral podría ya estar cruzado aunque tu propia contribución de cálculo fuera pequeña. Si el ajuste fino fue lo bastante sustancial como para producir un nuevo modelo de uso general, el cálculo combinado probablemente cuenta. Esto requiere una evaluación técnica cuidadosa; la orientación de la Oficina de IA sobre la medición del cálculo es el punto de partida.
¿Qué sanciones se aplican por incumplimiento de la GPAI?
Las multas a los proveedores de modelos GPAI las impone la Comisión Europea con arreglo al Artículo 101 — no las autoridades nacionales y no con arreglo al Artículo 99. El techo es de 15 millones EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para una organización que es a la vez proveedor de GPAI y proveedor de sistemas posteriores de alto riesgo, tanto el Artículo 101 como el Artículo 99 pueden aplicarse simultáneamente a infracciones distintas.
¿Seguir el código de buenas prácticas (Artículo 56) sustituye al cumplimiento de los Artículos 53 y 55?
No. El código de buenas prácticas crea una presunción de cumplimiento — operacionaliza los requisitos regulatorios. El cumplimiento del código es la vía práctica esperada, pero no sustituye a las obligaciones jurídicas subyacentes. Si el código aún no está finalizado o eliges un enfoque alternativo, debes seguir satisfaciendo directamente los Artículos 53 y 55 y demostrarlo a la Oficina de IA.
¿Puede un modelo GPAI en sí clasificarse como de alto riesgo con arreglo al Artículo 6?
No. La clasificación por niveles de riesgo con arreglo a los Artículos 5 y 6 se aplica a los sistemas de IA construidos para finalidades específicas — no se aplica a los modelos GPAI a nivel de modelo. Un modelo GPAI puede integrarse en un sistema de IA posterior que sea de alto riesgo, pero la clasificación de alto riesgo se adhiere a ese sistema posterior y las obligaciones recaen sobre quien lo desarrolla y despliega, no sobre el proveedor del modelo GPAI en su condición de proveedor del modelo.
Última revisión: 1 de junio de 2026.
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →