La Comisión Europea aclarará las obligaciones de los proveedores de modelos de IA de uso general en virtud del Reglamento de IA de la UE

Publicado el 26 de mayo 2025

Unas directrices y un código de buenas prácticas complementarán el Reglamento de IA para establecer un régimen armonizado y basado en el riesgo para los modelos GPAI

AI photo

El Reglamento de Inteligencia Artificial de la Unión Europea (Reglamento de IA) establece un marco jurídico armonizado para garantizar el desarrollo y la utilización de sistemas de inteligencia artificial (IA) que sean seguros, transparentes y fiables en el mercado único. En virtud de dicho instrumento, las obligaciones aplicables a los proveedores de modelos de IA de uso general (general-purpose AI models, GPAI) serán exigibles a partir del 2 de agosto de 2025. Con el fin de facilitar una aplicación coherente y efectiva de estas disposiciones, la Comisión Europea ha iniciado un proceso de consulta pública para recabar observaciones de las partes interesadas, con el objetivo de delimitar el alcance de las obligaciones regulatorias, identificar lagunas y abordar los desafíos operativos derivados.

Modelos de IA de Uso General: Concepto y Desafíos Normativos

Los modelos de IA de uso general, conforme a la definición contenida en el Reglamento de IA, son aquellos modelos caracterizados por una capacidad general significativa, aptos para desempeñar de forma competente una amplia gama de tareas, y susceptibles de ser integrados o adaptados en múltiples sistemas o aplicaciones de IA posteriores. Su desarrollo se basa, en términos generales, en el uso de grandes volúmenes de datos heterogéneos y técnicas de aprendizaje auto-supervisado, lo que permite habilitar funcionalidades avanzadas como la generación automática de lenguaje, la síntesis de contenidos multimodales, y otros servicios basados en IA.

La flexibilidad e importancia fundamental de los modelos GPAI plantean retos regulatorios únicos:

  • Difusión de la responsabilidad jurídica: la reutilización y adaptación posterior por parte de terceros dificulta la atribución clara de responsabilidades respecto al cumplimiento normativo y la gestión de riesgos asociados.
  • Complejidad en la identificación del proveedor: cuando un tercero realiza modificaciones sustanciales sobre un modelo GPAI preexistente, puede adquirir la condición jurídica de “proveedor” en virtud del Reglamento. No obstante, la distinción entre proveedor y usuario no siempre es inequívoca.
  • Rápida evolución tecnológica: la mejora continua de las capacidades de estos modelos complica la definición de umbrales regulatorios estáticos, lo que genera incertidumbre para operadores económicos y autoridades competentes.
  • Limitaciones de transparencia: la opacidad inherente a los datos empleados en el entrenamiento —por razones técnicas, comerciales o legales— dificulta el cumplimiento de la normativa sobre propiedad intelectual y la evaluación de posibles sesgos algorítmicos.

Enfoque del Reglamento de IA sobre los Modelos GPAI

El Reglamento de IA establece obligaciones claras para los proveedores que introduzcan modelos GPAI en el mercado de la UE o los pongan en servicio, independientemente de si están establecidos dentro o fuera de la UE. El término “proveedor” incluye tanto a los desarrolladores originales como a quienes modifiquen sustancialmente un modelo GPAI antes de su comercialización. Los proveedores no comunitarios deben designar un representante autorizado dentro del territorio.

Entre las principales obligaciones destacan:

  • Elaboración y mantenimiento de documentación técnica exhaustiva, que incluya información sobre el diseño, el proceso de entrenamiento, las pruebas de validación y los procedimientos de evaluación de riesgos, accesible para autoridades competentes y agentes económicos relevantes.
  • Publicación de un resumen transparente del contenido utilizado para el entrenamiento, con el fin de facilitar la rendición de cuentas y mitigar riesgos jurídicos y éticos.
  • Implementación de medidas que garanticen el cumplimiento de la normativa europea sobre derechos de autor, en particular en relación con el ejercicio del derecho de oposición a la minería de datos. En el caso de modelos GPAI considerados de riesgo sistémico —esto es, aquellos cuya escala, funcionalidad o impacto potencial pueda generar daños significativos en la UE— se imponen obligaciones adicionales en materia de gestión de riesgos, notificaciones de incidentes y obligaciones específicas sobre ciberseguridad.

Cabe subrayar que los modelos GPAI de código abierto están exentos de ciertas obligaciones de documentación y transparencia, salvo que se clasifiquen como de riesgo sistémico. Esta exención refleja el interés de la normativa en preservar y fomentar la innovación abierta. Así mismo, los proyectos en fase de investigación y desarrollo quedan excluidos del ámbito de aplicación del Reglamento hasta su comercialización efectiva.

Los proveedores deberán, además, compartir con los usuarios posteriores la información necesaria para facilitar el cumplimiento de las disposiciones aplicables a los sistemas de IA derivados. Se prevé que el futuro Código de Buenas Prácticas voluntario para GPAI proporcione documentación orientativa práctica sobre la implementación de estas obligaciones.

Aspectos abordados por las Directrices de la Comisión

Aunque el Reglamento de IA establece un marco jurídico general para los modelos GPAI, su aplicación práctica puede presentar ambigüedades. Las Directrices inminentes de la Comisión Europea tienen como finalidad clarificar elementos clave para promover una interpretación uniforme y funcional del Reglamento:

  • Definición y clasificación de modelos GPAI: dada la naturaleza cualitativa de la definición actual, las Directrices propondrán el uso de umbrales de capacidad computacional (por ejemplo, FLOPs de entrenamiento) como criterios orientativos, incluyendo supuestos en los que dichos umbrales no resulten aplicables.
  • Determinación del estatus de proveedor: se incluirán criterios normativos objetivos para establecer cuándo un agente que adapta o reutiliza un modelo GPAI adquiere la condición de proveedor a efectos regulatorios.
  • Delimitación del alcance de las obligaciones y exenciones: las Directrices especificarán en qué supuestos los modelos de código abierto pueden beneficiarse de exenciones y en qué casos subsisten obligaciones por riesgo sistémico.
  • Estimación de la capacidad computacional de entrenamiento: se proporcionarán metodologías y ejemplos técnicos para permitir una autoevaluación coherente por parte de los operadores.
  • Normas transitorias: los modelos GPAI introducidos en el mercado antes del 2 de agosto de 2025 deberán adecuarse al nuevo marco antes del 2 de agosto de 2027. Las Directrices explicarán cómo se aplicarán estas disposiciones de forma efectiva.
  • Supervisión y cumplimiento: se detallará el papel de la Oficina Europea de IA, su coordinación con las autoridades nacionales y los mecanismos de supervisión que se aplicarán.

Limitaciones de las Directrices

Aunque proporcionarán claridad, las Directrices presentan varias limitaciones:

  • Naturaleza jurídica no vinculante: por su naturaleza, las Directrices no generan obligaciones jurídicas directas, pero sí influirán en la interpretación y aplicación por parte de las autoridades competentes.
  • Necesidad de actualización constante: la rápida evolución tecnológica exigirá revisiones periódicas para mantener su relevancia y eficacia.
  • Carga regulatoria para pymes: la implementación de los requisitos documentales y de gestión de riesgos puede representar una carga desproporcionada para operadores de menor tamaño, a pesar de las medidas de simplificación previstas.
  • Falta de concreción en materia sancionadora: es previsible que las Directrices no aborden en profundidad los mecanismos de aplicación coercitiva ni las sanciones correspondientes, lo que requerirá desarrollo ulterior.

Comentario de Osborne Clarke

Tanto el futuro Código de Buenas Prácticas para GPAI como las Directrices de la Comisión complementarán el Reglamento de IA, contribuyendo a la creación de un ecosistema regulador coherente y basado en el riesgo. Su publicación inminente permitirá avanzar en la reducción de la incertidumbre jurídica y en la promoción de una innovación ética y responsable en el ámbito de la IA.

No obstante, sería esencial que se aborden explícitamente cuestiones como la protección de los derechos de propiedad intelectual sobre los datos de entrenamiento, y se definan con mayor precisión los criterios para determinar las obligaciones regulatorias en función de las modificaciones realizadas sobre los modelos GPAI. La naturaleza no vinculante de las Directrices y el carácter dinámico del entorno tecnológico hacen imprescindible una vigilancia normativa continua y una capacidad de adaptación proactiva por parte de los actores del ecosistema de IA.

Related articles
Comercialización de aplicaciones con IA de terceros: principales obligaciones vigentes en España
26/10/2023 2 mins
Reconocimiento facial y protección de datos: nuevas pautas en la Unión Europea
23/06/2023 5 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up