Exenciones de código abierto de la Ley de IA de la UE: dónde se detienen

La Ley de IA de la UE sí da a las publicaciones de código abierto un auténtico respiro — pero la exención tiene bordes afilados que pillan desprevenidos a desarrolladores y empresas. Esta página cartografía esos bordes con precisión. Para una introducción general a cómo trata la Ley los modelos de código abierto, consulte Modelos de código abierto y la Ley de IA de la UE. La pregunta aquí es más específica: ¿puede realmente confiar en la exención para lo que pretende hacer? En muchos casos, la respuesta es no.

---

Qué le da realmente la exención

Dos disposiciones distintas extienden el alivio a las publicaciones de código abierto, y funcionan de manera diferente.

Para los sistemas de IA — Artículo 2, apartado 12: Un sistema de IA publicado con una licencia libre y de código abierto queda fuera del ámbito de aplicación de la mayor parte del Reglamento, siempre que no se introduzca en el mercado ni se ponga en servicio como un sistema de alto riesgo (tal como se define en el Artículo 6 y el Anexo III) y no se considere un sistema prohibido en virtud del Artículo 5. El efecto práctico es que un modelo de código abierto de uso general distribuido para que los desarrolladores lo utilicen a su elección queda en gran medida fuera del alcance de la Ley. El proveedor de ese modelo en bruto no tiene, por defecto, que producir la documentación técnica del Artículo 11, realizar una evaluación de la conformidad en virtud del Artículo 43 ni registrar el sistema en virtud del Artículo 49.

Para los modelos GPAI — Artículo 53, apartado 2: Los proveedores de modelos de IA de uso general que publican con una licencia libre y de código abierto quedan eximidos de dos obligaciones específicas: el requisito de documentación técnica del Anexo XI (que abarca la metodología de entrenamiento, los parámetros, la arquitectura y los datos de entrenamiento) y la información de transparencia del Anexo XII que los proveedores de GPAI deben transmitir aguas abajo a las empresas que construyen sobre sus modelos. Esta es la exclusión de los GPAI de código abierto — de alcance estrecho, limitada a esos dos deberes del Artículo 53.

Esas son concesiones genuinas. No son una salida limpia de la Ley.

---

Seis cosas que la exención no cubre

1. Las prácticas prohibidas del Artículo 5 — siempre prohibidas

Ningún tipo de licencia elimina las prohibiciones del Artículo 5. La categorización biométrica basada en características sensibles, la manipulación de grupos vulnerables, la puntuación social por parte de las autoridades públicas, la identificación biométrica remota en tiempo real en espacios públicos, la actuación policial predictiva basada únicamente en la elaboración de perfiles, la extracción facial no selectiva y el reconocimiento de emociones en los lugares de trabajo y los centros educativos — están prohibidos de forma terminante desde el 2 de febrero de 2025. Incorporar cualquiera de estos a una publicación de código abierto crea responsabilidad con independencia de la licencia. El techo: 35 millones de euros o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3).

Una licencia no le protege de las consecuencias de un uso prohibido si introdujo el modelo en el mercado conociendo su aplicación previsible.

2. Obligaciones de despliegue de alto riesgo en virtud del Anexo III y del Anexo I

La exención del Artículo 2, apartado 12, desaparece en el momento en que un sistema de código abierto se pone en servicio para una finalidad del Anexo III. El Anexo III cubre ocho ámbitos de alto riesgo: sistemas de identificación biométrica; IA en infraestructuras críticas; educación y formación profesional; empleo y gestión de los trabajadores (contratación, cribado, promoción, asignación de tareas, supervisión); acceso a servicios esenciales (solvencia, fijación de precios de seguros de salud y de vida, servicios de emergencia, prestaciones públicas); garantía del cumplimiento del Derecho; migración, asilo y control fronterizo; y la administración de justicia y los procesos democráticos.

Despliegue un modelo de código abierto para cualquiera de esas finalidades — cribado de RR. HH., calificación crediticia, verificación de documentos fronterizos — y es usted el proveedor de un sistema de IA de alto riesgo. Se aplica la pila completa de obligaciones: gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica con arreglo al Anexo IV (Artículo 11), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y ciberseguridad (Artículo 15) y una evaluación de la conformidad en virtud del Artículo 43. También debe registrar el sistema en virtud del Artículo 49.

Lo mismo se aplica al Anexo I: la IA de código abierto integrada como componente de seguridad en un producto regido por la legislación de la UE sobre seguridad de los productos hereda la vía de alto riesgo a través del Artículo 6, apartado 1, con una evaluación de la conformidad integrada y una fecha de aplicación del 2 de agosto de 2028.

Incumplimiento: 15 millones de euros o el 3 % del volumen de negocios anual mundial total (Artículo 99, apartado 4). Plazo para los sistemas autónomos del Anexo III: el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.

3. Obligaciones de transparencia del Artículo 50 para asistentes conversacionales y ultrasuplantaciones

El Artículo 50 se aplica a partir del 2 de agosto de 2026, sea de código abierto o no. Despliegue un asistente conversacional que utilice un LLM de código abierto y pueda interactuar con personas físicas en tiempo real, y los usuarios deben ser informados de que están hablando con una IA (Artículo 50, apartado 1). Genere audio, vídeo o texto sintético destinado a representar a personas reales, y se aplica la divulgación de las ultrasuplantaciones (Artículo 50, apartado 4). Utilice tecnología de reconocimiento de emociones o de categorización biométrica, y la persona evaluada debe ser informada (Artículo 50, apartado 3). Infracción: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial (Artículo 99, apartado 4).

4. GPAI de riesgo sistémico — la exclusión del Artículo 53, apartado 2, se evapora

El alivio del Artículo 53, apartado 2, para los proveedores de GPAI de código abierto tiene una exclusión explícita: no se aplica a los modelos que presentan un riesgo sistémico. En virtud del Artículo 51, se presume que un modelo GPAI presenta un riesgo sistémico si se ha entrenado utilizando una capacidad de cómputo superior a 10²⁵ operaciones en coma flotante. La Oficina de IA también puede designar modelos de menor cómputo basándose en evaluaciones de la capacidad.

Para las publicaciones de código abierto que alcanzan o se aproximan a ese umbral, los deberes del Artículo 55 se aplican íntegramente: evaluación del modelo (incluidas las pruebas adversarias), medidas de mitigación de riesgos, notificación de incidentes a la Oficina de IA y salvaguardias de ciberseguridad. La política de derechos de autor y el resumen de los datos de entrenamiento del Artículo 53, apartado 1, letras c) y d), también subsisten — véase más adelante. No existe ninguna excepción de código abierto a las obligaciones de riesgo sistémico. Varias publicaciones de código abierto de vanguardia ya se encuentran en este territorio, y la Oficina de IA tiene discrecionalidad para ampliarlo aún más.

5. La política de derechos de autor y el resumen de los datos de entrenamiento — siempre se aplican a los proveedores de GPAI

El Artículo 53, apartado 2, excluye el Anexo XI y el Anexo XII de los deberes del proveedor de GPAI para los modelos de código abierto. Lo que no excluye es el Artículo 53, apartado 1, letras c) y d): la obligación de mantener una política de cumplimiento en materia de derechos de autor (que abarque la minería de textos y datos con arreglo al Derecho de la UE) y la obligación de publicar un resumen suficientemente detallado de los datos de entrenamiento utilizados.

Estos dos deberes se aplican a todo proveedor de GPAI con independencia del tipo de licencia. Si publica un modelo GPAI en código abierto, sigue necesitando una política de derechos de autor documentada y un resumen público de los datos de entrenamiento. Los códigos de buenas prácticas de la Oficina de IA están desarrollando el nivel de detalle esperado, pero la obligación jurídica existe hoy — el Capítulo V de los GPAI se aplica desde el 2 de agosto de 2025.

6. Los responsables del despliegue posteriores que ajustan o renombran se convierten en proveedores

El Artículo 25 regula los cambios de responsabilidad. Un responsable del despliegue o distribuidor que ajusta un modelo de código abierto y lo publica con su propio nombre, lo modifica sustancialmente o cambia su finalidad prevista, se convierte en el proveedor del sistema resultante — con la pila completa de obligaciones de los Artículos 9 a 15 y la evaluación de la conformidad del Artículo 43 para los casos de uso de alto riesgo.

Una empresa que toma Llama, lo ajusta con historias clínicas y lo ofrece como herramienta de ayuda a la toma de decisiones clínicas es el proveedor de un sistema de IA de alto riesgo. La licencia de código abierto del modelo subyacente es irrelevante para esa clasificación.

---

La definición de licencia es controvertida

La Ley no define «licencia libre y de código abierto» en ninguna parte del Reglamento (UE) 2024/1689. La Oficina de IA aún no ha publicado orientaciones vinculantes sobre qué licencias cumplen los requisitos. Esto importa porque varias licencias destacadas utilizadas para modelos fundacionales contienen restricciones de campo de uso, límites de uso comercial o cláusulas de «IA responsable» que restringen cómo puede desplegarse el modelo.

Una licencia que prohíba determinados usos comerciales, exija la atribución de una manera que limite el renombrado o condicione el uso al cumplimiento de normas externas puede no satisfacer el sentido literal de «libre y de código abierto» — un término que, en la tradición del software, exige libertad para usar, estudiar, modificar y distribuir con cualquier finalidad. Los modelos publicados con la licencia comunitaria de Llama 3 (que restringe el uso por parte de empresas por encima de un determinado número de usuarios) y algunas variantes de las licencias Creative Commons no comerciales son ejemplos en los que la cualificación es genuinamente incierta.

Si se basa en la exención del Artículo 2, apartado 12, o del Artículo 53, apartado 2, el primer paso es verificar que la licencia que utiliza su modelo cumpliría realmente los requisitos. Si tiene restricciones de uso, la posición más segura es tratar la exención como no disponible y evaluar sus obligaciones como si fuera un proveedor estándar.

---

Lista de comprobación de decisión: ¿puedo confiar en la exención de código abierto?

Trabaje estas preguntas en orden. Un solo «no» en las tres primeras preguntas elimina la exención por completo.

1. ¿Hace el sistema algo de lo enumerado en el Artículo 5? En caso afirmativo, la prohibición se aplica con independencia de la licencia. Deténgase y evalúe si el sistema puede publicarse siquiera.

2. ¿Se está poniendo en servicio el sistema para una finalidad del Anexo III? En caso afirmativo, la exención del Artículo 2, apartado 12, no se aplica. Es usted un proveedor de un sistema de IA de alto riesgo y se aplica la pila de los Artículos 9 a 15/43/49.

3. ¿Es el sistema un componente de seguridad de un producto del Anexo I? En caso afirmativo, la misma conclusión que la anterior, con el plazo del 2 de agosto de 2028.

4. ¿Interactúa el sistema con personas físicas (asistente conversacional) o genera medios sintéticos? En caso afirmativo, las obligaciones de transparencia del Artículo 50 se aplican a partir del 2 de agosto de 2026. Confirme que los mecanismos de divulgación están implantados.

5. ¿Es el modelo un modelo GPAI entrenado con más de 10²⁵ FLOP, o lo ha designado la Oficina de IA como de riesgo sistémico? En caso afirmativo, el alivio del Artículo 53, apartado 2, no se aplica; los deberes del Artículo 55 se aplican íntegramente.

6. Aunque no sea de riesgo sistémico: ¿es usted un proveedor de GPAI? En caso afirmativo, el Artículo 53, apartado 1, letras c) y d) — política de derechos de autor y resumen de los datos de entrenamiento — se aplica de todos modos.

7. ¿Está ajustando, renombrando o cambiando la finalidad prevista del modelo de código abierto de otra persona? En caso afirmativo, el Artículo 25 puede convertirle en el proveedor del sistema resultante. Evalúe como proveedor a partir de ese punto.

8. ¿Contiene la licencia en la que se basa restricciones de campo de uso o comerciales? En caso afirmativo, puede no cumplir los requisitos de «libre y de código abierto» a efectos de la Ley. Obtenga asesoramiento jurídico antes de tratar la exención como disponible.

Si llega a este punto con todas las respuestas apuntando a confiar en la exención, la obligación restante es asegurarse de que su uso previsto se mantenga genuinamente dentro del ámbito de la exención a medida que evolucione su sistema — un ajuste para un nuevo caso de uso, o un despliegue comercial a escala, puede desplazar su posición con rapidez.

---

Cómo ayuda Confir

Determinar dónde termina la exención de código abierto es exactamente el tipo de pregunta de alcance que maneja el motor de clasificación de Confir. La admisión pregunta sobre la licencia del modelo, el caso de uso previsto, las categorías del Anexo III y del Anexo I que puede tocar y cómo se está poniendo en servicio el sistema — y después aplica las reglas de clasificación de la Ley de forma determinista para identificar qué obligaciones le corresponden. Si la exención se sostiene, la herramienta muestra un conjunto de obligaciones mínimo. Si deja de aplicarse — por un uso del Anexo III, una designación de GPAI de riesgo sistémico o un cambio de rol del Artículo 25 —, la pila completa de obligaciones aflora de inmediato.

El motor está basado en reglas y es reproducible: las mismas entradas, el mismo resultado, cada vez. Esa previsibilidad importa cuando está decidiendo si publicar un modelo, añadir un caso de uso de despliegue o ajustar para una nueva aplicación.

---

Preguntas frecuentes

¿Publicar un modelo con una licencia de código abierto lo exime automáticamente de la Ley de IA de la UE?

No. La exención del Artículo 2, apartado 12, solo se aplica a los sistemas de IA que no se ponen en servicio como sistemas de alto riesgo con arreglo al Anexo III o al Anexo I, y que no se utilizan para finalidades prohibidas del Artículo 5. En el momento en que despliega el modelo para un uso del Anexo III — cribado en el empleo, evaluación de crédito o cualquier otra finalidad enumerada —, la pila de obligaciones de alto riesgo se aplica íntegramente. La licencia afecta a sus obligaciones como distribuidor original del modelo; no exime al sistema una vez que alguien lo despliega para una finalidad de alto riesgo, y no le exime a usted si es quien realiza ese despliegue.

Estoy construyendo un producto sobre un LLM de código abierto. ¿Soy el proveedor o el responsable del despliegue?

Es el proveedor del producto que está construyendo y comercializando con su nombre (Artículo 25). Las obligaciones del modelo GPAI — la documentación técnica del Anexo XI, la información aguas abajo del Anexo XII — permanecen con el proveedor del modelo fundacional, y la exclusión de código abierto del Artículo 53, apartado 2, puede reducir lo que ese proveedor debe. Pero su producto se clasifica por lo que hace. Si su producto desempeña una función del Anexo III, usted asume las obligaciones del proveedor de alto riesgo con independencia de la licencia del modelo subyacente.

¿Se aplica la exención de código abierto a los modelos GPAI de riesgo sistémico?

No. El Artículo 53, apartado 2, establece explícitamente que el alivio de los deberes del Anexo XI y del Anexo XII no se extiende a los modelos GPAI que presentan un riesgo sistémico. Se presume que los modelos entrenados por encima del umbral de 10²⁵ FLOP son de riesgo sistémico en virtud del Artículo 51. Esos modelos deben cumplir el Artículo 55: pruebas adversarias, mitigación de riesgos, notificación de incidentes a la Oficina de IA y medidas de ciberseguridad — con independencia de que se publiquen en código abierto.

¿Qué obligaciones de transparencia siguen aplicándose a un asistente conversacional de código abierto?

Las obligaciones de transparencia del Artículo 50 se aplican a partir del 2 de agosto de 2026 y no están condicionadas a la licencia del modelo. Si despliega un asistente conversacional capaz de interactuar en tiempo real con personas físicas, debe informar a los usuarios de que están hablando con una IA (Artículo 50, apartado 1). Si el sistema genera ultrasuplantaciones o representaciones sintéticas de personas reales, se exige la divulgación (Artículo 50, apartado 4). Las obligaciones del Artículo 50 son independientes de si el sistema es de alto riesgo, y el carácter de código abierto del modelo subyacente no cambia eso.

Ajustamos un modelo de código abierto para uso interno de RR. HH. ¿Tenemos obligaciones de proveedor?

Depende de si está introduciendo el sistema resultante en el mercado o poniéndolo en servicio con su propio nombre o marca comercial, modificándolo sustancialmente o desplegándolo para una finalidad distinta de la original. Si ha ajustado y desplegado el modelo para decisiones de contratación o cribado de empleados — un caso de uso del Anexo III, punto 4 — y lo ha hecho bajo la autoridad de su organización, es el proveedor de un sistema de IA de alto riesgo en virtud del Artículo 25. La pila completa de obligaciones de los Artículos 9 a 15, 43 y 49 se aplica a partir del 2 de diciembre de 2027.

¿Qué licencias de código abierto cumplen realmente los requisitos de la exención?

La Ley no define «licencia libre y de código abierto» y la Oficina de IA aún no ha publicado criterios vinculantes. La definición tradicional exige libertad para usar, modificar y distribuir con cualquier finalidad sin restricción. Las licencias que restringen el uso comercial, limitan el número de usuarios o condicionan el uso al cumplimiento de normas externas pueden no cumplir los requisitos. Si se basa en la exención, haga evaluar la licencia antes de dar por sentado que se aplica.

---

Guías relacionadas

• Modelos de código abierto y la Ley de IA de la UE
• Obligaciones de los modelos GPAI en virtud del Artículo 53
• Artículo 5: prácticas de IA prohibidas
• Sistemas de IA de alto riesgo: el Anexo III explicado
• Artículo 25: responsabilidades a lo largo de la cadena de valor
• Artículo 50: transparencia para la IA de riesgo limitado
• Clasificación de IA de alto riesgo del Artículo 6
• Obligaciones del responsable del despliegue en virtud del Artículo 26