IA de uso general (GPAI) en el Reglamento de IA de la UE
Guía completa de las obligaciones de los modelos GPAI en virtud del Reglamento de IA de la UE — requisitos de transparencia, evaluación de riesgo sistémico y qué deben hacer los proveedores de modelos fundacionales.
Los modelos de IA de uso general — los grandes modelos de lenguaje, los sistemas multimodales y los modelos fundacionales que alimentan una gama cada vez más amplia de aplicaciones — recibieron un tratamiento específico en el Reglamento de IA de la UE. El Capítulo V y los Artículos 51 a 56 del Reglamento 2024/1689 establecen un marco regulatorio específico para estos modelos, reconociendo que presentan desafíos únicos que el sistema de clasificación basado en riesgos por sí solo no puede abordar.
La cuestión central es sencilla: cuando un modelo puede utilizarse para prácticamente cualquier aplicación posterior, no se puede clasificar su nivel de riesgo examinando el propio modelo. Un gran modelo de lenguaje podría alimentar un generador de poesía inofensivo o una herramienta de diagnóstico médico de alto riesgo. El Reglamento de IA aborda esto regulando los modelos GPAI a nivel del modelo, por separado y además de las normas basadas en riesgos que se aplican a los despliegues de sistemas de IA específicos.
Las obligaciones de GPAI se aplican desde el 2 de agosto de 2025, lo que las convierte en una de las disposiciones que entran en vigor más tempranamente.
Qué se considera un modelo de IA de uso general
El Artículo 3(63) define un modelo de IA de uso general como "un modelo de IA, también cuando dicho modelo de IA se entrene con una gran cantidad de datos utilizando la autosupervisión a escala, que muestre una generalidad significativa y sea capaz de realizar de manera competente una amplia gama de tareas distintas, independientemente de la forma en que el modelo se introduzca en el mercado, y que pueda integrarse en una variedad de sistemas o aplicaciones posteriores".
Las características clave son:
- Generalidad significativa — el modelo no está diseñado para una única tarea estrecha
- Amplia gama de tareas distintas — puede realizar muchas funciones diferentes
- Integrabilidad — puede incorporarse en varios sistemas posteriores
La definición es deliberadamente amplia. Abarca grandes modelos de lenguaje (como GPT-4, Claude, Gemini, Llama), modelos multimodales y otros modelos fundacionales. También abarca variantes ajustadas de estos modelos si mantienen una generalidad significativa.
El marco de dos niveles
El Reglamento de IA crea dos niveles de obligaciones GPAI:
Nivel 1: Todos los modelos GPAI
Todos los proveedores de modelos de IA de uso general deben cumplir con las obligaciones básicas de transparencia y documentación. Estas se aplican independientemente de las capacidades o perfil de riesgo del modelo.
Nivel 2: Modelos GPAI con riesgo sistémico
Los modelos GPAI que presentan un riesgo sistémico enfrentan obligaciones adicionales más exigentes. Se presume que un modelo presenta riesgo sistémico cuando la cantidad acumulada de computación utilizada para su entrenamiento, medida en operaciones de punto flotante (FLOP), supera los 10^25 FLOP.
High RiskLa Comisión Europea también puede designar un modelo GPAI como de riesgo sistémico basándose en criterios distintos de la computación, incluidos el número de usuarios finales registrados, las capacidades del modelo y su alcance a través de la cadena de valor.
El umbral de 10^25 FLOP es una presunción, no un límite rígido. La Comisión puede designar modelos por debajo de este umbral como de riesgo sistémico, y los proveedores pueden argumentar que modelos por encima del umbral no presentan realmente riesgo sistémico. Sin embargo, rebatir la presunción requiere pruebas sustanciales.
Obligaciones de Nivel 1: Lo que deben hacer todos los proveedores de GPAI
Documentación técnica
Los proveedores deben elaborar y mantener actualizada la documentación técnica del modelo, incluido su proceso de entrenamiento y pruebas y los resultados de su evaluación. Esta documentación debe contener, como mínimo:
- Una descripción general del modelo GPAI, incluidas las tareas que pretende realizar y los tipos de sistemas de IA en los que puede integrarse
- Una descripción de los datos utilizados para el entrenamiento, las pruebas y la validación
- Los recursos computacionales utilizados para el entrenamiento
- El consumo de energía conocido o estimado del modelo
- Las opciones de diseño y metodologías de entrenamiento
- Una descripción de las capacidades y limitaciones del modelo
- Los procedimientos y resultados de evaluación y pruebas
Cumplimiento de la política de derechos de autor
Los proveedores de GPAI deben establecer una política para cumplir con la legislación de la UE sobre derechos de autor, incluida la Directiva 2019/790 (la Directiva sobre los derechos de autor en el mercado único digital). Esto incluye respetar las reservas de derechos expresadas por los titulares de derechos y elaborar y hacer públicamente disponible un resumen suficientemente detallado del contenido utilizado para el entrenamiento.
El requisito del resumen de datos de entrenamiento es uno de los aspectos más debatidos del marco GPAI. Los proveedores deben poner a disposición un resumen "suficientemente detallado" para permitir a los titulares de derechos identificar si se utilizaron sus obras.
Información a proveedores posteriores
Los proveedores de modelos GPAI deben poner a disposición de los proveedores de sistemas de IA que pretendan integrar el modelo información y documentación suficientes para permitirles comprender las capacidades y limitaciones del modelo y cumplir con sus propias obligaciones.
¿Construyendo sobre modelos GPAI? Garantice el cumplimiento posterior.
Ctrl AI proporciona la infraestructura de transparencia y auditoría necesaria para demostrar el cumplimiento al desplegar sistemas construidos sobre modelos de IA de uso general.
Learn About Ctrl AIObligaciones de Nivel 2: Modelos GPAI con riesgo sistémico
Los proveedores de modelos GPAI clasificados como de riesgo sistémico deben cumplir con todas las obligaciones de Nivel 1 más requisitos adicionales.
Evaluación del modelo
Los proveedores deben realizar evaluaciones del modelo, incluidas pruebas adversariales (red-teaming), para identificar y mitigar riesgos sistémicos. Esto incluye pruebas de vulnerabilidad a la inyección de prompts, propensión a generar contenido dañino, capacidad de asistir en actividades de riesgo sistémico y tendencia a producir resultados sesgados a escala.
Evaluación y mitigación de riesgos sistémicos
Los proveedores deben evaluar y mitigar los posibles riesgos sistémicos, incluidas sus fuentes: uso indebido a escala, concentración del poder de mercado, potencial de fallos en cascada e influencia en los ecosistemas de información.
Seguimiento e informes de incidentes
Los proveedores deben realizar un seguimiento, documentar e informar de los incidentes graves y las posibles medidas correctoras a la Oficina de IA.
Protecciones de ciberseguridad
Los proveedores deben garantizar un nivel adecuado de protección de ciberseguridad para el modelo GPAI y la infraestructura física del modelo.
Modelos GPAI de código abierto
El Reglamento de IA prevé exenciones parciales para los modelos GPAI de código abierto. El Artículo 53(2) establece que los proveedores de modelos GPAI publicados bajo una licencia libre y de código abierto están exentos de varios requisitos de Nivel 1, siempre que hagan públicamente disponibles los parámetros del modelo (pesos) y proporcionen información suficiente sobre la arquitectura y el entrenamiento del modelo.
Sin embargo, esta exención no se aplica a la obligación de cumplimiento de derechos de autor ni a los modelos GPAI de código abierto con riesgo sistémico (deben cumplir con todos los requisitos de Nivel 2).
Código abierto no significa exento. Si un modelo GPAI de código abierto supera el umbral de 10^25 FLOP o se designa como de riesgo sistémico, se aplican las obligaciones de Nivel 2 en su totalidad.
Códigos de buenas prácticas
El Reglamento de IA fomenta el desarrollo de códigos de buenas prácticas como mecanismo para que los proveedores de GPAI demuestren el cumplimiento. La adhesión a un código de buenas prácticas aprobado crea una presunción de conformidad con las obligaciones pertinentes de GPAI.
Aplicación y la Oficina de IA
Las disposiciones de GPAI son aplicadas principalmente por la Oficina de IA, un organismo dentro de la Comisión Europea. Esto difiere de la mayoría de las demás disposiciones del Reglamento de IA, que son aplicadas por las autoridades nacionales de vigilancia del mercado.
Las multas para los proveedores de GPAI pueden alcanzar hasta 15 millones de EUR o el 3 % del volumen de negocios anual global, lo que sea mayor.
Calendario de cumplimiento de GPAI
Implicaciones para los operadores posteriores
Si su organización construye sistemas de IA sobre modelos GPAI — por ejemplo, utilizando una API de un proveedor de modelos fundacionales — no es un proveedor de GPAI. Sus obligaciones entran en el marco estándar basado en riesgos para sistemas de IA. Sin embargo, debe tener en cuenta varias cosas:
Obtenga documentación adecuada. Tiene derecho a recibir información suficiente del proveedor de GPAI para cumplir con sus propias obligaciones.
Evalúe el riesgo posterior de forma independiente. El hecho de que el modelo subyacente cumpla con las obligaciones de GPAI no hace que su sistema sea automáticamente conforme.
Supervise las actualizaciones del modelo. Cuando el modelo GPAI del que depende se actualice, el perfil de riesgo de su sistema puede cambiar.
Salvaguardias contractuales. Asegúrese de que sus acuerdos con los proveedores de GPAI incluyan disposiciones para recibir documentación actualizada y notificación de cambios materiales.
Conclusión
El marco GPAI representa el reconocimiento de la UE de que los modelos fundacionales requieren enfoques de gobernanza que van más allá de la regulación tradicional de seguridad de productos. Al regular a nivel del modelo e introducir el nivel de riesgo sistémico, el Reglamento de IA crea un marco proporcionado que impone obligaciones básicas a todos los proveedores de GPAI exigiendo más de aquellos cuyos modelos podrían causar daño a escala.
Con las obligaciones de GPAI aplicándose desde el 2 de agosto de 2025, el momento de prepararse es ahora.
Make Your AI Auditable and Compliant
Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.
Explore Ctrl AIArtículos relacionados
Obligaciones de transparencia del Reglamento de IA de la UE: Qué debe divulgar
Guía sobre los requisitos de transparencia del Reglamento de IA de la UE — obligaciones de divulgación para sistemas de IA, chatbots, deepfakes y reconocimiento de emociones. Artículos 50-52 explicados.
Implementación del Reglamento de IA de la UE por países
Cómo los distintos Estados miembros de la UE están implementando el Reglamento de IA — autoridades nacionales competentes, espacios controlados de pruebas regulatorias y enfoques nacionales a la gobernanza de la IA.
Prácticas de IA prohibidas en virtud del Reglamento de IA de la UE
Lista completa de las prácticas de IA prohibidas por el Reglamento de IA de la UE — puntuación social, IA manipuladora, vigilancia biométrica en tiempo real y más. Comprenda qué está prohibido y por qué.