Modelo de IA de uso general (GPAI)

Un modelo de IA de uso general (modelo GPAI) es un modelo entrenado con grandes cantidades de datos mediante autosupervisión a gran escala que muestra una generalidad significativa y es capaz de realizar de manera competente una amplia variedad de tareas distintas, con independencia de cómo se introduzca en el mercado o se integre en sistemas descendentes. El término se define formalmente en el Artículo 3 del Reglamento (UE) 2024/1689 (la Ley de IA de la UE, punto 63). Los modelos utilizados exclusivamente para investigación, desarrollo o creación de prototipos antes de cualquier comercialización quedan excluidos de la definición.

La definición de la Ley de IA de la UE

El Artículo 3, apartado 63, define un modelo de IA de uso general como un modelo de IA — incluso uno entrenado con una gran cantidad de datos mediante autosupervisión a gran escala — que muestra una generalidad significativa y es capaz de realizar de manera competente una amplia variedad de tareas distintas, con independencia de cómo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones descendentes. La exclusión para la investigación y la creación de prototipos previas a la comercialización significa que un modelo que aún está en desarrollo interno, sin distribución comercial, todavía no genera obligaciones de GPAI.

El reglamento traza una línea deliberada entre un modelo GPAI y un sistema GPAI. Un modelo GPAI es el modelo en sí mismo — los pesos entrenados, la arquitectura, la capa de capacidades. Un sistema GPAI es un producto o servicio construido sobre ese modelo y puesto a disposición de los usuarios finales. Las obligaciones del Capítulo V recaen sobre el modelo y su proveedor, no sobre toda empresa que despliegue una aplicación construida sobre él. Esa distinción importa enormemente en la práctica: una empresa que integra un modelo fundacional en una herramienta de selección de personal no hereda las obligaciones del proveedor de GPAI. Es responsable, en cambio, de clasificar el sistema que ha construido — que bien podría ser de alto riesgo con arreglo al Artículo 6 y al Anexo III.

Por qué importa

El Capítulo V del Reglamento (UE) 2024/1689 establece un marco de cumplimiento específico para los proveedores de modelos GPAI, independiente de la clasificación de riesgo en cuatro niveles que rige los sistemas de IA. Estas obligaciones se aplican desde el 2 de agosto de 2025.

Las obligaciones de base (Artículo 53) se aplican a todos los proveedores de modelos GPAI sin excepción. Son:

• Elaborar y mantener documentación técnica sobre el modelo (incluido cómo se entrenó, su arquitectura y sus capacidades), utilizando la plantilla del Anexo XI.
• Facilitar esa documentación a los proveedores descendentes que integren el modelo, además de información suficiente para que esos proveedores cumplan sus propias obligaciones.
• Establecer y publicar una política de cumplimiento del Derecho de autor de la UE, en concreto la Directiva 2001/29/CE y la Directiva 2019/790/CE.
• Publicar un resumen suficientemente detallado del contenido de entrenamiento — una medida de transparencia dirigida a los titulares de derechos de autor y al público, utilizando la plantilla del Anexo XII.

Estos cuatro deberes constituyen el suelo. De un proveedor de modelos GPAI que no haga nada más se sigue esperando que los cumpla todos.

Las obligaciones por riesgo sistémico (Artículo 55) se aplican a un subconjunto de modelos GPAI: los que plantean un riesgo sistémico. El Artículo 51 define cómo obtiene un modelo esa designación. El umbral principal es la potencia de cálculo: se presume que todo modelo entrenado utilizando más de 10²⁵ operaciones de coma flotante (FLOP) plantea un riesgo sistémico. La Comisión Europea también puede designar un modelo como de riesgo sistémico sobre la base de otros criterios — incluidos su alcance, su perfil de capacidades o las evaluaciones aportadas por el grupo científico de expertos independientes — con arreglo al procedimiento del Artículo 51. Una vez designado, el Artículo 55 exige:

• Pruebas adversarias (red-teaming) para identificar los modos de fallo.
• Evaluación del modelo frente a los parámetros de referencia y las metodologías desarrollados en cooperación con la Oficina de IA.
• Seguimiento, documentación y notificación de los incidentes graves a la Oficina de IA sin demora indebida.
• Protección de ciberseguridad adecuada para el modelo y su infraestructura.

El organismo supervisor es la Oficina de IA de la UE, con sede en Bruselas. Para los proveedores de modelos GPAI — a diferencia del resto de la Ley, donde lideran las autoridades nacionales competentes — la Oficina de IA ejerce la supervisión directa. Tiene la facultad de solicitar documentación, encargar auditorías independientes e iniciar el procedimiento de designación de riesgo sistémico. El incumplimiento por parte de un proveedor de GPAI puede acarrear multas impuestas por la Comisión de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, con arreglo al Artículo 101.

La fecha del 2 de agosto de 2025 conviene tenerla firmemente presente. El Ómnibus Digital, acordado en mayo de 2026, aplazó las obligaciones de los sistemas de alto riesgo al 2 de diciembre de 2027 (sistemas autónomos del Anexo III) y al 2 de agosto de 2028 (componentes de seguridad de productos del Anexo I). Ese aplazamiento no afecta al Capítulo V. Las obligaciones de GPAI no se aplazaron.

Ejemplos

Los ejemplos más claros de modelos GPAI son los grandes modelos de lenguaje (LLM) y los modelos fundacionales multimodales distribuidos a terceros para su integración. Un modelo entrenado con texto y código a escala de internet que puede redactar prosa, resumir documentos, responder preguntas, generar software y traducir entre lenguas muestra «una generalidad significativa» en «una amplia variedad de tareas distintas» — encaja directamente en la definición del Artículo 3, apartado 63.

La distinción entre modelo y sistema descendente se concreta en cuanto se traza la cadena de valor. Un proveedor de modelos entrena y lanza el modelo. Una empresa de software lo integra como capa de razonamiento dentro de un producto que evalúa a los candidatos a un empleo. Ese producto es un sistema de IA descendente construido sobre un modelo GPAI. La empresa del producto es el proveedor del sistema de IA con arreglo al Artículo 3, apartado 3, y soporta las obligaciones que se derivan del uso del sistema — en este caso, el Anexo III, punto 4, y toda la pila de alto riesgo de los Artículos 9 a 15. El proveedor del modelo conserva sus deberes del Capítulo V. Ninguna de las partes hereda el conjunto de obligaciones de la otra.

La exclusión de la investigación y la creación de prototipos también se concreta en la práctica. Un grupo de investigación universitario que entrena un modelo grande en un clúster de cálculo público, sin intención de lanzarlo, no es un proveedor de GPAI. En el momento en que cualquier versión de ese modelo se pone a disposición de terceros — aunque sea a través de una API, aunque sea gratis — la exclusión deja de aplicarse.

Cómo afecta a su cumplimiento

Si está construyendo una aplicación sobre un modelo fundacional, las obligaciones de GPAI siguen recayendo sobre el proveedor del modelo. Su obligación es clasificar el sistema que ha construido.

Comience por el Artículo 6 y el Anexo III. ¿Entra su sistema en uno de los ocho ámbitos de uso de alto riesgo (biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, garantía del cumplimiento del Derecho, migración y control fronterizo, o administración de justicia)? En caso afirmativo, el filtro del Artículo 6, apartado 3, todavía puede excluirle del nivel de alto riesgo si el sistema no plantea un riesgo significativo de perjuicio — pero debe documentar esa evaluación. Si el filtro no se aplica, los requisitos completos de alto riesgo (Artículos 9 a 15, evaluación de la conformidad con arreglo al Artículo 43, registro con arreglo al Artículo 49) le vinculan antes del lanzamiento.

Si su sistema interactúa directamente con personas físicas, las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026: divulgación de que la persona está interactuando con una IA, etiquetado de contenidos sintéticos y deberes conexos.

Las obligaciones de GPAI (Artículo 53, Artículo 55) no son de su incumbencia como desarrollador descendente — recaen sobre el proveedor del modelo. No obstante, debería solicitar el paquete de documentación del Artículo 53 a cualquier modelo fundacional que integre. Ese paquete — la documentación técnica del Anexo XI y el resumen del contenido de entrenamiento del Anexo XII — es uno de los insumos de su propio expediente de documentación técnica del Artículo 11 / Anexo IV, que registra los componentes y las capacidades del sistema que está introduciendo en el mercado.

El motor de clasificación basado en reglas de Confir codifica la lógica del Artículo 6, del Anexo III y del Artículo 50 que determina dónde se sitúa su sistema. Dado que el motor es determinista — las mismas entradas, el mismo resultado, siempre — la salida es defendible ante una auditoría sin depender de ninguna capa de inferencia descendente.

Preguntas frecuentes

¿Es un modelo GPAI lo mismo que un sistema de IA de alto riesgo?

No. Los modelos GPAI son una categoría separada y transversal regulada por el Capítulo V de la Ley de IA de la UE. La clasificación de riesgo en cuatro niveles (inaceptable, alto, limitado, mínimo) se aplica a los sistemas de IA clasificados según su finalidad prevista. Un modelo GPAI no es automáticamente de alto riesgo; puede sustentar sistemas que sean de alto riesgo, de riesgo limitado o de riesgo mínimo según cómo se desplieguen. Clasificar el sistema descendente por su uso es el paso pertinente para la mayoría de las empresas.

¿Cuándo empezaron a aplicarse las obligaciones de GPAI?

Las obligaciones del Capítulo V — los deberes de base del Artículo 53 y los deberes por riesgo sistémico del Artículo 55 — se aplican desde el 2 de agosto de 2025. Los modelos GPAI ya presentes en el mercado antes de esa fecha tenían hasta el 2 de agosto de 2027 para adecuar su documentación al cumplimiento. El aplazamiento del Ómnibus Digital (plazo de alto riesgo trasladado a diciembre de 2027 / agosto de 2028) no se aplica al Capítulo V.

¿Qué activa la designación de riesgo sistémico con arreglo al Artículo 51?

El desencadenante principal es un umbral de potencia de cálculo de entrenamiento: se presume que todo modelo entrenado por encima de 10²⁵ FLOP conlleva un riesgo sistémico. La Comisión Europea también puede designar un modelo como de riesgo sistémico sobre la base de otros factores — incluidas sus capacidades, su alcance en el mercado o una alerta cualificada del grupo científico de expertos independientes con arreglo al Artículo 90 — aun cuando no se alcance el umbral de potencia de cálculo. Los proveedores pueden solicitar una reevaluación si consideran que una presunción no se sostiene.

¿Se aplican las obligaciones de GPAI a los modelos de código abierto?

Parcialmente. El Artículo 53, apartado 2, prevé una exención específica para los modelos GPAI publicados con una licencia libre y de código abierto: los proveedores quedan relevados de los deberes de documentación técnica del Anexo XI y de información descendente del Anexo XII. Sin embargo, la política de cumplimiento del Derecho de autor y el resumen público del contenido de entrenamiento siempre subsisten — no quedan dispensados por la exención de código abierto. Los modelos con riesgo sistémico no reciben exención de código abierto alguna; el Artículo 55 se aplica con independencia de la licencia.

¿Quién supervisa a los proveedores de modelos GPAI?

La Oficina de IA de la UE en Bruselas supervisa directamente a los proveedores de modelos GPAI. Esto es distinto del resto de la Ley de IA, donde lideran la ejecución las autoridades nacionales competentes. La Oficina de IA puede solicitar documentación técnica, encargar auditorías independientes, iniciar procedimientos de designación de riesgo sistémico y recomendar que la Comisión imponga multas con arreglo al Artículo 101.

¿Cuáles son las multas para un proveedor de GPAI que no cumple?

Con arreglo al Artículo 101, la Comisión Europea puede multar a un proveedor de modelos GPAI con hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Estas multas son independientes de las sanciones del Artículo 99 que se aplican a los proveedores y responsables del despliegue de sistemas de IA — los dos marcos son distintos.

Términos relacionados

• Obligaciones de cumplimiento de la GPAI — Artículo 53 y Artículo 55
• Cumplimiento de los modelos fundacionales para los desarrolladores descendentes
• Artículo 51 — Clasificación por riesgo sistémico de los modelos GPAI
• Artículo 53 — Obligaciones de base para todos los proveedores de GPAI
• Clasificación de riesgo de la IA — los cuatro niveles y cómo aplicarlos
• Glosario: sistema de IA