i
Esto es una traducción automática facilitada por el servicio eTranslation de la Comisión Europea para ayudarle a comprender esta página. Por favor, lea las condiciones de uso
Esta lista de preguntas frecuentes se ha elaborado a partir de las consultas recibidas durante los seminarios web del AI Pact, así como de las contribuciones de las partes interesadas. Esta lista se actualizará periódicamente y cuando sea necesario.
El término «agente de IA» se utiliza a menudo de manera incoherente en el debate público, debido en parte a una demarcación borrosa y aún en evolución entre los agentes de IA y otros tipos de IA. Sin embargo, existe un amplio acuerdo en que un agente de IA debe tener la capacidad de recibir y procesar información de su entorno, y ejecutar acciones basadas en este procesamiento que puedan interactuar con su entorno o afectarlo (por ejemplo, emitir llamadas a funciones). El término «IA genética» se utiliza a veces para describir configuraciones más sofisticadas que integran múltiples agentes de IA. Sin embargo, la interrelación precisa entre estos dos términos todavía está evolucionando.
Por lo general, un agente de IA contendrá al menos un modelo de IA de uso general (GPAI) y constituirá un sistema de IA, ya que normalmente tendrá algún tipo de interfaz, que se considera un componente del sistema (considerando 97 de la Ley de IA). Es difícil hacer una declaración más precisa que «típicamente», ya que el término agente de IA no está definido legalmente y se utiliza coloquialmente para diferentes tipos de artefactos. Por lo tanto, si bien los agentes de IA no son una categoría separada de IA en virtud de la Ley de IA, las definiciones de un sistema de IA en el artículo 3, apartado 1, de la Ley de IA y de un modelo de GPAI en el artículo 3, apartado 63, de la Ley de IA son suficientes para abarcar a los agentes de IA. Esto significa que las normas aplicables a los sistemas de IA y los modelos de IAGP en virtud de la Ley de IA también se aplican a los agentes de IA.
Entre las normas aplicables a los sistemas de IA, son especialmente pertinentes las prohibiciones de manipulación nociva y explotación de vulnerabilidades establecidas en la Ley de IA [artículo 5, apartado 1, letras a) y b), de la Ley de IA], cuyo cumplimiento puede requerir salvaguardias en el diseño y desarrollo de los agentes de IA para evitar prácticas prohibidas que puedan razonablemente causar un perjuicio significativo. A partir del 2 de agosto de 2026, si el agente de IA se clasifica como sistema de IA de alto riesgo, también estará sujeto a requisitos adicionales que garanticen su seguridad y fiabilidad para el uso previsto (capítulo III de la Ley de IA). Además, si se pretende que el agente de IA interactúe con personas físicas o genere contenido, se aplicarán normas de transparencia (artículo 50 de la Ley de IA): se está elaborando un código de buenas prácticas para poner en práctica estas normas.
Por lo que se refiere a los modelos de IAGP normalmente subyacentes a los agentes de IA, factores como el nivel de autonomía o el uso de herramientas del modelo pueden ser decisivos para la designación del modelo como modelo con riesgo sistémico [artículo 51, apartado 1, letra b), y anexo XIII, letra e), de la Ley de IA]. Además, los proveedores de modelos de IAGP con riesgo sistémico están sujetos a obligaciones de gestión de riesgos, que incluyen consideraciones relativas a las capacidades autónomas del modelo y su uso como agente (operado, por ejemplo, en la medida 5.1, punto 7, apéndice 1.3.1, puntos 5 y 7, apéndice 1.3.3, puntos 1, 4 y 12, o apéndice 3.2, párrafo segundo, capítulo sobre seguridad y protección del Código de buenas prácticas de IAGP).
Dado que los avances relacionados con los agentes de IA son recientes y evolucionan rápidamente, las consideraciones reglamentarias de la Comisión Europea solo son preliminares en esta fase. La Oficina de IA sigue supervisando de cerca estos avances y, si es necesario, considerará la posibilidad de desarrollar estrategias para abordar los posibles riesgos que plantean los agentes de IA. Por ejemplo, la reciente licitación de la Oficina de IA sobre asistencia técnica para la seguridad de la IA incluye un lote dedicado a la evaluación de la seguridad y la protección de los agentes de IA.
La Ley de IA entró en vigor el 1 de agosto de 2024. Sigue a una entrada en aplicación escalonada, con algunas partes ya aplicables, como ciertas prohibiciones, alfabetización en IA y reglas para modelos de IA de uso general. Otras partes de la Ley se aplicarán el 2 de agosto de 2026 y el 2 de agosto de 2027.
Este despliegue progresivo nos permite aprovechar la experiencia adquirida en la aplicación de la primera parte de las normas. La Comisión se ha comprometido a seguir aprendiendo e intensificando sus esfuerzos. Esto es particularmente importante en el contexto de una tecnología en rápida evolución como la IA.
Las consultas con las partes interesadas a lo largo de 2025 revelaron retos de aplicación que deben abordarse para que la Ley de IA pueda implantarse con éxito. La presente propuesta presenta modificaciones legislativas a tal efecto y complementa los esfuerzos en curso para facilitar el cumplimiento de la Ley de IA, como la puesta en marcha de un servicio de asistencia técnica para la Ley de IA.
La Comisión está comprometida con una aplicación clara, sencilla y favorable a la innovación de la Ley de IA, tal como se establece en el Plan de Acción para el Continente de IA y en la Estrategia de Aplicación de la IA. La propuesta de la Comisión armoniza la Ley de IA con este enfoque:
Vinculación cuando se aplican normas a la disponibilidad de apoyo
- Vincular la aplicación de las normas para la IA de alto riesgo a la disponibilidad de herramientas de apoyo como las normas. La Comisión está ajustando el calendario para la aplicación de las normas de alto riesgo a un máximo de dieciséis meses.
Introducción de la simplificación:
- ampliar determinadas modalidades simplificadas de cumplimiento de las obligaciones legales de las pymes a las pequeñas empresas de mediana capitalización, como la documentación técnica simplificada;
- Exigir a la Comisión y a los Estados miembros que fomenten la alfabetización en materia de IA y garanticen un apoyo continuo a las empresas aprovechando los esfuerzos existentes (como el repositorio de prácticas de alfabetización en materia de IA de la Oficina de IA) en lugar de imponer obligaciones no especificadas a los operadores, manteniendo al mismo tiempo las obligaciones de formación para los implementadores de alto riesgo.
- suprimir la prescripción de un plan armonizado de seguimiento poscomercialización, dando a las empresas una mayor flexibilidad;
- Reducir la carga de registro de los sistemas de IA utilizados en ámbitos de alto riesgo para tareas que no se consideran de alto riesgo.
Mejorar la eficacia de la gobernanza de la Ley de IA:
- centralizar la supervisión de los sistemas de IA basados en modelos de IA de uso general con la Oficina de IA, a fin de reducir la fragmentación de la gobernanza para los desarrolladores de estos modelos y sistemas;
- Concentrar la supervisión de la IA integrada en plataformas en línea y motores de búsqueda de muy gran tamaño a nivel de la Comisión asignando esta supervisión a la Oficina de IA.
Ampliación de las medidas de apoyo al cumplimiento:
- permitir a los proveedores y responsables del despliegue tratar categorías especiales de datos personales para garantizar la detección y corrección de sesgos, con sujeción a las salvaguardias adecuadas;
- Ampliar el uso de espacios controlados de pruebas de IA y pruebas en el mundo real para que más innovadores puedan beneficiarse de estas herramientas. Esto incluye la creación de un espacio controlado de pruebas a escala de la UE a partir de 2028 para apoyar las pruebas en condiciones reales.
Mejorar los procedimientos y el funcionamiento de la Ley de IA:
- Aclarar la interacción entre la Ley de IA y otras leyes de la UE. Simplificar los procedimientos para fomentar la disponibilidad oportuna de los organismos de evaluación de la conformidad.
Según las primeras estimaciones de la Comisión, se espera que las medidas propuestas en materia de IA reduzcan los costes de cumplimiento para las empresas de toda la UE.
Al mismo tiempo, al ampliar los beneficios concedidos a las PYME para incluir a los SMC, la Comisión está facilitando la aplicación a otras 8.250 empresas en Europa.
En general, las propuestas presentadas por la Comisión ayudarán a las empresas a cumplir sus obligaciones. También abren más oportunidades para innovar en la UE, facilitando aún más el despliegue del marco regulador diseñado para crear un mercado único para una IA fiable.
La propuesta reconoce el reto que supone el retraso de las normas y otras herramientas de apoyo para la aplicación de la Ley de IA.
El calendario de las normas de IA de alto riesgo está en consonancia con la disponibilidad de normas y otras herramientas de apoyo. Una vez que la Comisión confirme que están suficientemente disponibles, las normas comenzarán a aplicarse después de un período transitorio.
Esta flexibilidad tiene una fecha de finalización: las normas para la IA de alto riesgo en ámbitos sensibles como el empleo y la aplicación de la ley (anexo III) se aplicarán en cualquier caso un máximo de dieciséis meses después de lo previsto inicialmente, y las normas para la IA de alto riesgo integrada en productos como los productos sanitarios (anexo I) se aplicarán un máximo de doce meses después.
La propuesta también propone un período de transición de seis meses para los proveedores que necesitan incluir retroactivamente soluciones técnicas en sus sistemas de IA generativa para que sean detectables.
La Ley de IA de la UE es la primera ley global de IA del mundo. Su objetivo es promover la innovación y la adopción de la IA, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales, incluida la democracia y el Estado de Derecho.
La adopción de sistemas de IA tiene un gran potencial para aportar beneficios sociales, crecimiento económico y mejorar la innovación de la UE y la competitividad mundial. Sin embargo, en determinados casos, las características específicas de determinados sistemas de IA pueden crear riesgos relacionados con la seguridad de los usuarios, incluida la seguridad física, y los derechos fundamentales. Algunos modelos de IA potentes que se utilizan ampliamente también podrían plantear riesgos sistémicos.
Esto da lugar a inseguridad jurídica y a una adopción potencialmente más lenta de las tecnologías de IA por parte de las autoridades públicas, las empresas y los ciudadanos, debido a la falta de confianza. Las respuestas normativas divergentes de las autoridades nacionales podrían fragmentar el mercado interior.
En respuesta a estos retos, era necesaria una acción legislativa para garantizar un mercado interior de sistemas y modelos de IA que funcionara correctamente y en el que se abordaran adecuadamente tanto los beneficios como los riesgos.
La Ley de IA se aplica progresivamente, con una plena implantación a más tardar el 2 de agosto de 2027.
Las prohibiciones, definiciones y disposiciones relacionadas con la alfabetización en materia de IA entraron en vigor el 2 de febrero de 2025;
Las normas sobre gobernanza y las obligaciones para los modelos de IA de uso general entraron en vigor el 2 de agosto de 2025;
Las obligaciones relativas a los sistemas de alto riesgo enumerados en el anexo III, los requisitos de transparencia (artículo 50) y las medidas de apoyo a la innovación se aplicarán a partir del 2 de agosto de 2026. Esta es también la fecha en que comenzará la aplicación de la Ley de IA;
Las obligaciones para los sistemas de IA de alto riesgo que se clasifican como de alto riesgo porque están integrados en productos regulados, enumerados en el anexo I (lista de la legislación de armonización de la Unión), entrarán en vigor el 2 de agosto de 2027.
La Ley de IA está concebida como una regulación flexible y preparada para el futuro que permite adaptar las normas al rápido ritmo del desarrollo tecnológico, así como a los posibles cambios en el uso de los sistemas de IA y los riesgos emergentes.
Si bien, en general, la Ley de IA solo puede modificarse mediante el procedimiento legislativo, en determinados casos, la Comisión está facultada para modificar determinadas partes de la Ley de IA. Por ejemplo, la Comisión puede adaptar las siguientes partes de la Ley de IA:
La lista de casos de uso de alto riesgo que figura en el anexo III. La Comisión está obligada a llevar a cabo una revisión anual para evaluar si son necesarios cambios en la lista.
El umbral por encima del cual se presume que los modelos de IA de uso general tienen capacidades de alto impacto y se clasifican como que presentan riesgos sistémicos.
La Comisión también evalúa periódicamente si son necesarios otros cambios en la Ley de IA e informa al Parlamento Europeo y al Consejo. Esta evaluación periódica está prevista directamente en la Ley de IA.
La Ley de IA no se aplica a todas las soluciones de IA, sino solo a aquellas que cumplen la definición de «sistema de IA» en el sentido del artículo 3, apartado 1, de la Ley de IA.
La Ley de IA sigue un enfoque basado en el riesgo e introduce normas para los sistemas de IA basadas en el nivel de riesgo que pueden plantear. Queda prohibida toda práctica de IA con un riesgo inaceptable para la salud, la seguridad o los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales (por ejemplo, los sistemas de IA utilizados para detectar las emociones de los empleados en el trabajo, excepto por razones médicas y de seguridad; determinadas prácticas de puntuación social). Los sistemas de IA con alto riesgo para la salud, la seguridad o los derechos fundamentales deben cumplir determinados requisitos para garantizar que sean seguros y fiables (por ejemplo, los sistemas de IA utilizados en la gestión del control fronterizo; la aplicación de la ley o los vehículos autónomos podrían ser ejemplos de sistemas de IA de alto riesgo). Algunos sistemas de IA deben cumplir requisitos de transparencia (por ejemplo, las falsificaciones profundas tendrán que etiquetarse como generadas por IA; Los chatbots deben informar que una persona no se está comunicando con un ser humano). Todos los demás sistemas de IA siguen sin estar regulados y pueden introducirse en el mercado, ponerse en servicio o utilizarse en la UE sin ningún requisito: en el momento de la preparación de la propuesta de Ley de IA, se estimaba que serían del 85 %.
La Ley de IA no se aplica automáticamente a todos los sistemas de IA introducidos en el mercado antes de su fecha de aplicación. En cambio, las obligaciones de cumplimiento se introducen gradualmente en función de la categoría y de si el sistema sufre modificaciones significativas.
La Ley de IA se aplicará a partir del 31 de diciembre de 2030 a los sistemas de IA que sean componentes de los sistemas informáticos de gran magnitud establecidos por los actos jurídicos enumerados en el anexo X que se hayan introducido en el mercado o puesto en servicio antes del 2 de agosto de 2027. En caso de que se evalúen dichos sistemas informáticos de gran magnitud o de que los actos jurídicos del anexo X se sustituyan o modifiquen antes del 31 de diciembre de 2030, se tendrá en cuenta la Ley de IA.
La Ley de IA también se aplicará a los sistemas de IA de alto riesgo que se hayan introducido en el mercado o puesto en servicio antes del 2 de agosto de 2026 solo en caso de que dichos sistemas se modifiquen significativamente. La Ley de IA también se aplicará a partir del 31 de diciembre de 2030 a los sistemas de IA de alto riesgo que se hayan introducido en el mercado o puesto en servicio antes del 2 de agosto de 2026 y que estén (previstos para ser) utilizados por las autoridades públicas.
Por último, la Ley de IA se aplicará a partir del 2 de agosto de 2027 a los modelos de IA de uso general que se hayan introducido en el mercado antes del 2 de agosto de 2025.
Sin embargo, las normas sobre prácticas de IA prohibidas (artículo 5) se aplican a todos los sistemas de IA, sin tener en cuenta la fecha de su introducción en el mercado.
Centrándose específicamente en la fase de construcción del sistema de IA, el considerando 12 de la Ley de IA aclara además que «las técnicas que permiten la inferencia al construir un sistema de IA incluyen enfoques de aprendizaje automático que aprenden de los datos cómo alcanzar determinados objetivos, y enfoques basados en la lógica y el conocimiento que se deducen del conocimiento codificado o la representación simbólica de la tarea que debe resolverse». Estas técnicas deben entenderse como «técnicas de IA».
Además de varios enfoques de aprendizaje automático, que a menudo se entienden como una técnica de IA, la segunda categoría de técnicas de IA mencionada en el considerando 12 de la Ley de IA son «enfoques lógicos y basados en el conocimiento que se deducen del conocimiento codificado o de la representación simbólica de la tarea que debe resolverse». En lugar de aprender de los datos, estos sistemas de IA aprenden del conocimiento, incluidas las reglas, los hechos y las relaciones codificados por expertos humanos.
Sobre la base de los conocimientos codificados por expertos humanos, estos sistemas pueden «razonar» a través de motores deductivos o inductivos o utilizando operaciones como la clasificación, la búsqueda, la correspondencia y el encadenamiento. Mediante el uso de la inferencia lógica para sacar conclusiones, tales sistemas aplican lógica formal, reglas predefinidas u ontologías a nuevas situaciones. Los enfoques basados en la lógica y el conocimiento incluyen, por ejemplo, la representación del conocimiento, la programación inductiva (lógica), las bases de conocimiento, los motores de inferencia y deducción, el razonamiento (simbólico), los sistemas expertos y los métodos de búsqueda y optimización.
La Ley de IA distingue entre un sistema de IA, definido en el artículo 3, apartado 1, y un modelo de IA de uso general definido en el artículo 3, apartado 63.
La Ley de IA se refiere a los modelos de IA como aquellos que «son componentes esenciales de los sistemas de IA. No constituyen sistemas de IA por sí solos. Los modelos de IA requieren la adición de otros componentes, como por ejemplo una interfaz de usuario, para convertirse en sistemas de IA. Los modelos de IA suelen integrarse en los sistemas de IA y formar parte de ellos» (considerando 97). «Los grandes modelos de IA generativa son un ejemplo típico de un modelo de IA de uso general, dado que permiten la generación flexible de contenido, como texto, audio, imágenes o vídeo, que puede acomodar fácilmente una amplia gama de tareas distintivas» (considerando 99).
La Ley de IA define un sistema de IA como un «sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación después del despliegue, y que, para objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales» (artículo 3, apartado 1, considerando 12).
Para más información, véanse las Directrices sobre la definición de un sistema de inteligencia artificial.
La Ley de IA sigue un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro categorías de riesgo diferentes: riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo o nulo.
Para la categoría de riesgo inaceptable, la Ley de IA enumera prácticas específicas que están prohibidas (artículo 5 de la Ley de IA). Los sistemas de IA de alto riesgo se definen de conformidad con el artículo 6 de la Ley de IA, en relación con el anexo I (lista de la legislación de armonización de la Unión) y el anexo III de la Ley de IA. El anexo III comprende ocho ámbitos en los que el uso de la IA puede ser especialmente sensible y enumera casos de uso concretos para cada ámbito que, según la evaluación del colegislador, plantean riesgos significativos para la salud, la seguridad y los derechos fundamentales. Para determinados sistemas de IA en los que la transparencia es especialmente importante, se prevén normas sobre transparencia. Todos los demás sistemas de IA se consideran sistemas de IA de «riesgo mínimo o nulo» y la Ley de IA no prevé ninguna obligación para ellos. Voluntariamente, los proveedores de dichos sistemas pueden optar por aplicar los requisitos de una IA fiable y adherirse a códigos de conducta voluntarios.
Dependiendo del nivel de riesgo, las obligaciones y los requisitos relacionados con sistemas de IA específicos variarán.
Los proveedores de sistemas de IA de alto riesgo deben garantizar que su sistema de IA de alto riesgo cumpla los requisitos de la Ley de IA antes de su introducción en el mercado o puesta en servicio. Ejemplos de tales requisitos incluyen contar con un sistema de gestión de riesgos, registrar registros y garantizar datos cualitativos y la gobernanza de los datos, así como la supervisión humana. Además, los proveedores deberán registrar su sistema en la base de datos de la UE y acompañarlo de instrucciones para su uso por los implementadores.
Los proveedores de sistemas de riesgo para la transparencia, como los chatbots, los compañeros sociales de IA o las falsificaciones profundas, deben cumplir determinadas obligaciones de transparencia. Esto incluye, por ejemplo, informar a las personas físicas de que están interactuando con un sistema de IA o garantizar que los contenidos generados por la IA puedan detectarse como tales. Los implementadores de sistemas que pueden generar o manipular contenido deben revelar que el contenido es generado por IA.
La Ley de IA no prescribe obligaciones para los sistemas de IA de riesgo mínimo, pero los Estados miembros pueden facilitar la elaboración de códigos de conducta voluntarios para los sistemas de IA que no sean de alto riesgo.
En principio, la evolución de un sistema de IA no tiene implicaciones jurídicas. Sin embargo, en el caso de los sistemas de IA de alto riesgo, estos avances deben anticiparse y abordarse dentro del marco de gestión de riesgos y las obligaciones de cumplimiento conexas. Cuando un sistema de IA sufre modificaciones sustanciales, esto puede dar lugar a consecuencias jurídicas, incluida la necesidad de una nueva evaluación de la conformidad en virtud de la Ley de IA.
La Ley de IA no requiere ningún gobierno interno particular dentro de la empresa.
Sin embargo, en consonancia con el artículo 17, apartado 1, letra m), los proveedores de sistemas de IA de alto riesgo deben establecer un sistema de gestión de la calidad que incluya un marco de rendición de cuentas, estableciendo las responsabilidades de la dirección y de otro personal en relación con todos los aspectos relacionados con el sistema de gestión de la calidad enumerado en el artículo 17 de la Ley de IA.
El Portal de Financiación y Licitaciones de la UE de la Comisión Europea es el lugar central para encontrar oportunidades de financiación de la UE, incluidas las pertinentes para la IA. Entre los programas de financiación revisten especial interés Horizonte Europa y el programa Europa Digital. Dentro de Horizonte Europa, existen diferentes ámbitos de interés, a saber, el clúster 4 y el Consejo Europeo de Innovación. Otros ámbitos, como el Consejo Europeo de Investigación ascendente, también pueden ser pertinentes.
La iniciativa emblemática GenAI4EU ofrece amplias oportunidades para desarrollar y desplegar una IA generativa y fiable en los sectores estratégicos de Europa. Con casi 700 millones de euros comprometidos, hay muchas oportunidades para ayudar a Europa a ser más competitiva e innovadora. Un sitio web específico ofrece una visión general de las diferentes convocatorias de propuestas disponibles en el marco de Horizonte Europa y del programa Europa Digital.
El concepto de alfabetización en materia de IA mencionado en el artículo 4 de la Ley de IA se basa en la definición del término que figura en el artículo 3, apartado 56, de la Ley de IA, según el cual: «alfabetización en materia de IA»: capacidades, conocimientos y comprensión que permiten a los proveedores, implementadores y personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, realizar un despliegue informado de los sistemas de IA, así como sensibilizar sobre las oportunidades y los riesgos de la IA y los posibles daños que puede causar.
No hay un enfoque único que funcione para todos. Depende del tipo de sistema de IA que trate la empresa y del conocimiento del personal en cuestión. Sin embargo, no existe ninguna obligación de formación externa o certificación externa.
Consulte más información sobre AI Literacy - Questions & Answers.
La Ley de IA no exige que las empresas designen funcionarios de IA. Sin embargo, la Ley de IA exige que los proveedores y los implementadores de sistemas de IA garanticen, en la mayor medida posible, un nivel suficiente de alfabetización en materia de IA de su personal y de otras personas que se ocupan del funcionamiento y el uso de sistemas de IA en su nombre.
La Comisión publicó un repositorio permanente para fomentar el aprendizaje y el intercambio sobre la alfabetización en materia de IA, preguntas y respuestas sobre la alfabetización en materia de IA, y un seminario web grabado sobre la alfabetización en materia de IA. El repositorio se ampliará. Hay muchos cursos de capacitación en línea gratuitos. La elección depende de las competencias individuales del personal en cuestión.
Las prohibiciones del artículo 5 de la Ley de IA incluyen determinadas prácticas manipuladoras, la puntuación social, la vigilancia predictiva basada únicamente en la elaboración de perfiles, el raspado de internet y el material de circuito cerrado de televisión para crear o ampliar bases de datos de reconocimiento facial, el reconocimiento de emociones en la educación y el lugar de trabajo, la categorización biométrica para inferir atributos sensibles como la opinión política o la orientación sexual y la identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público (con algunas excepciones limitadas).
Para obtener más información, consulte las Directrices sobre prácticas de inteligencia artificial prohibidas.
Las prohibiciones del artículo 5 incluyen determinadas prácticas manipuladoras, la puntuación social, la vigilancia predictiva basada únicamente en la elaboración de perfiles, el raspado de internet y el material de CCTV para crear o ampliar bases de datos de reconocimiento facial, el reconocimiento de emociones en la educación y el lugar de trabajo, la categorización biométrica para inferir atributos sensibles como la opinión política o la orientación sexual y la identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público (con algunas excepciones limitadas).
Las directrices se publicaron en febrero de 2025.
La Comisión está preparando actualmente directrices sobre la clasificación de los sistemas de IA de alto riesgo, que deben publicarse en febrero de 2026.
Queda prohibida la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los ámbitos del lugar de trabajo y las instituciones educativas. Sin embargo, esta prohibición no se aplica al uso de un sistema de IA cuando el sistema de IA esté destinado a ser puesto en marcha o introducido en el mercado por razones médicas o de seguridad.
El anexo III comprende ocho ámbitos y enumera casos de uso específicos para cada uno de ellos, que el colegislador de la UE ha evaluado como de alto riesgo para la salud y la seguridad o para los derechos fundamentales.
En términos simples, los ámbitos se enumeran como puntos del anexo III (por ejemplo, punto 1 – Biometría, punto 2 – Infraestructuras críticas, punto 3 – Educación y formación profesional, etc.). Los casos de uso se enumeran en cada área. Por ejemplo, el punto 6 del anexo III abarca el ámbito de la aplicación de la ley, que incluye cinco casos de uso [letras a) a e)].
Para ser clasificado como de alto riesgo, un sistema de IA debe incluirse en uno de los ámbitos del anexo III y corresponder a uno de los casos de uso enumerados en él. En otras palabras, no todos los sistemas de IA utilizados en un ámbito determinado (como la aplicación de la ley) se consideran automáticamente de alto riesgo; solo se considerarán admisibles los casos de uso específicos indicados en el anexo III.
El artículo 16 de la Ley de IA ofrece una visión general de las obligaciones que deben cumplir los proveedores de sistemas de IA de alto riesgo para cumplir la Ley de IA.
Antes de colocar su sistema de IA de alto riesgo o ponerlo en servicio, los proveedores de dichos sistemas deben garantizar que su sistema de IA de alto riesgo cumpla lo dispuesto en los artículos 8 a 15 de la Ley de IA y se haya sometido a una evaluación de la conformidad. Esta conformidad debe demostrarse previa solicitud razonable de una autoridad nacional competente.
Tras esta evaluación de la conformidad, los proveedores deben elaborar una declaración UE de conformidad y colocar el marcado CE en el sistema (o en su embalaje o documentación adjunta), así como indicar su información de contacto en el sistema de IA de alto riesgo para que puedan ser contactados. Los proveedores también deben registrar su sistema de IA de alto riesgo en la base de datos de la UE.
Además, los proveedores deben cumplir lo dispuesto en los artículos 17 a 20 de la Ley de IA mediante el establecimiento de un sistema de gestión de la calidad, conservar la documentación durante diez años, conservar los registros generados automáticamente por el sistema de IA de alto riesgo, adoptar las medidas correctoras necesarias y facilitar información relacionada con estas acciones.
Por último, los proveedores de sistemas de IA de alto riesgo deben garantizar que su sistema cumple los requisitos de accesibilidad pertinentes.
Los datos de ubicación normalmente no son biométricos. Por consiguiente, no entra en los casos de uso de alto riesgo enumerados en el anexo III, punto 1, ni en las prácticas prohibidas establecidas en el artículo 5, apartado 1, letra g).
La mayoría de los sistemas de IA biométrica no están prohibidos en virtud de la Ley de IA. Las prácticas de IA prohibidas en relación con los sistemas biométricos son limitadas e incluyen, en particular: reconocimiento de emociones en el lugar de trabajo, determinados sistemas de categorización biométrica e identificación biométrica remota en tiempo real en espacios de acceso público con fines policiales. Estos están sujetos a excepciones estrictamente definidas.
Sin embargo, hay algunas reglas adicionales que se aplican a los sistemas biométricos permitidos. En particular, determinadas aplicaciones biométricas se consideran de alto riesgo (sistemas de identificación biométrica remota, determinados sistemas de IA destinados a la categorización biométrica y sistemas de IA destinados al reconocimiento de emociones). La Ley de IA establece requisitos específicos para los sistemas de IA de alto riesgo. Estos requisitos se refieren, entre otras cosas, a la gobernanza de datos y datos, la documentación y el mantenimiento de registros, la transparencia y el suministro de información a los usuarios, la supervisión humana, la solidez, la precisión y la seguridad.
El uso de sistemas de IA para la verificación biométrica, es decir, para confirmar que una persona es quien afirma ser, no está prohibido en virtud de la Ley de IA y no entra en la categoría de sistemas de alto riesgo.
Para obtener más información, consulte las Directrices sobre prácticas prohibidas de inteligencia artificial.
La Ley de IA de la UE hace hincapié en la importancia de la supervisión humana de los sistemas de IA de alto riesgo. Esto significa que estos sistemas deben ser diseñados y desarrollados para que los humanos puedan monitorearlos mientras están en uso. Deben establecerse herramientas y medidas adecuadas para ayudar a las personas a supervisar eficazmente la IA, garantizando que se prevengan o minimicen los riesgos para la salud, la seguridad o los derechos fundamentales. Cuando el sistema está en uso, la supervisión humana también incluye medidas apropiadas que debe implementar el implementador. Dichas medidas deben describirse en las instrucciones de uso y ser eficaces y proporcionadas al riesgo, el nivel de autonomía del sistema y el contexto de uso del sistema de IA de alto riesgo.
Los responsables del despliegue deben aplicar medidas de supervisión humana y asignar esta tarea a las personas físicas que tengan la competencia, la formación y la autoridad necesarias, así como el apoyo necesario.
La Ley de IA introduce una serie de medidas de apoyo adaptadas a las pequeñas y medianas empresas (pymes). Estas incluyen la posibilidad de preparar documentación técnica simplificada y de aplicar sistemas simplificados de gestión de la calidad para los sistemas de IA de alto riesgo. También se concede a las pymes acceso gratuito a espacios controlados de pruebas para la IA, lo que les permite probar y desarrollar sistemas de IA en un entorno controlado. Además, en virtud del artículo 62, la Comisión Europea y las autoridades nacionales están obligadas a proporcionar medidas de apoyo específicas a las pymes. Sus intereses están más representados a través de una categoría especial de miembros en el foro consultivo, asegurando que sus necesidades se tengan en cuenta en el proceso regulatorio. Por último, las pymes se benefician de una consideración especial cuando se imponen sanciones, lo que refleja su posición particular en el mercado y el impacto potencial de las sanciones.
Cuando un modelo de IA de uso general se integre en un sistema de IA o forme parte de él, el sistema resultante debe considerarse un sistema de IA de uso general si adquiere la capacidad de servir a múltiples fines a través de esta integración. Los sistemas de IA de uso general pueden utilizarse directamente o integrarse en otros sistemas de IA.
Dada su versatilidad, los sistemas de IA de uso general pueden utilizarse como sistemas de IA de alto riesgo por derecho propio o como componentes de otros sistemas de IA de alto riesgo. A fin de garantizar una distribución justa de las responsabilidades a lo largo de toda la cadena de valor de la IA, los proveedores de sistemas de IA de uso general deben cooperar estrechamente con los proveedores de sistemas de IA de alto riesgo pertinentes, a menos que se especifique lo contrario en el presente Reglamento. Esta cooperación debe permitir a los proveedores de sistemas de IA de alto riesgo cumplir sus obligaciones en virtud del presente Reglamento y facilitar las interacciones con las autoridades competentes establecidas por el Reglamento.
Si bien los agentes de IA no son una categoría separada en virtud de la Ley de IA, es posible que tengan que cumplir los requisitos aplicables a los sistemas de IA o las obligaciones de los proveedores de modelos de IA de uso general. Son especialmente pertinentes las prohibiciones de la Ley de IA de la manipulación o explotación perjudiciales de vulnerabilidades, que pueden requerir salvaguardias técnicas en el diseño de un sistema de IA agente. Si el sistema de IA agente se clasifica como de alto riesgo, está sujeto a requisitos adicionales que garantizan su seguridad y fiabilidad.
Además, si el sistema de IA agente está destinado a interactuar con personas físicas o a generar contenido, se aplican normas de transparencia (para más información, véanse estas preguntas frecuentes yesta consulta). Por lo que se refiere a los modelos de IA de uso general, factores como el nivel de autonomía o el uso de herramientas de un modelo pueden ser decisivos en su designación como de riesgo sistémico. Los proveedores de modelos de IA de uso general con riesgo sistémico están sujetos a obligaciones de gestión de riesgos, que incluyen consideraciones relativas a las capacidades autónomas del modelo y su uso como agente.
Dado que la evolución es reciente y está evolucionando rápidamente, las consideraciones reglamentarias de la Comisión Europea solo son preliminares en esta fase, también a la luz del hecho de que la comprensión de lo que constituye un agente de IA varía considerablemente. La Comisión Europea sigue supervisando de cerca el desarrollo de los agentes de IA y, en caso necesario, estudiará medidas a este respecto. Por ejemplo, la reciente licitación de la Oficina de IA sobre asistencia técnica para la seguridad de la IA incluye un lote dedicado a evaluar la seguridad y la protección de los agentes de IA.
La Ley de IA regula, entre otras cosas, los modelos de IA de uso general que se introducen en el mercado de la Unión, incluido su desarrollo y uso. Para más información sobre las condiciones en las que un modelo de IA se considera «de uso general», véase la pregunta «¿Cuándo se considera un modelo un modelo de IA de uso general?» y la sección 2.1 de las Directrices sobre el ámbito de aplicación de las obligaciones aplicables a los modelos de IA de uso general.
«Introducción en el mercado»: el primer suministro de un sistema de IA o un modelo de IA de uso general para su distribución o uso en el mercado de la Unión durante una actividad comercial, ya sea a título oneroso o gratuito (artículo 3, apartado 9, punto 10, de la Ley de IA). En la sección 3.1.2 de las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general pueden encontrarse algunos ejemplos de lo que constituye una comercialización.
Una versión de código abierto puede constituir una comercialización. En particular, el suministro comercial del modelo puede ser gratuito (artículo 3, apartado 10, de la Ley de IA). Sin embargo, los proveedores de un modelo de IA de uso general de código abierto que no presente un riesgo sistémico están exentos de determinadas obligaciones. Para más información, véase la pregunta «¿Cómo se aplica la Ley de IA a los modelos de IA de uso general publicados como de código abierto?» y la sección 4 de las Directrices sobre el ámbito de aplicación de las obligaciones aplicables a los modelos de IA de uso general.
El uso interno de un modelo de IA de uso general constituye una comercialización al menos si es esencial para proporcionar un producto o servicio a terceros en el mercado de la Unión o si afecta a los derechos de las personas físicas en la Unión. En la sección 3.1.2 de las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general se ofrecen otros ejemplos.
Los modelos de IA desarrollados y puestos en servicio específicamente con el único fin de investigación y desarrollo científicos están fuera del ámbito de aplicación de la Ley de IA (artículo 2, apartado 6, de la Ley de IA).
El artículo 3, apartado 63, de la Ley de IA define un «modelo de IA de uso general» como «un modelo de IA, incluso cuando dicho modelo de IA se entrena con una gran cantidad de datos utilizando la autosupervisión a escala, que muestra una generalidad significativa y es capaz de realizar de manera competente una amplia gama de tareas distintas, independientemente de la forma en que se introduzca en el mercado el modelo y que puede integrarse en una variedad de sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado». Esta definición enumera de manera general los factores que determinan si un modelo es un modelo de IA de propósito general. Sin embargo, no establece criterios específicos que los proveedores potenciales puedan utilizar para evaluar si su modelo es un modelo de IA de uso general.
La sección 2.1 de las Directrices sobre el alcance de las obligaciones para los modelos de IA de uso general proporciona un criterio indicativo: un modelo se considera un modelo de IA de uso general si los recursos computacionales utilizados para su entrenamiento superan las 1023 operaciones de punto flotante y puede generar lenguaje (texto o audio), texto a imagen o texto a vídeo. Este umbral de cómputo corresponde a la cantidad típica de cómputo utilizada para entrenar modelos con mil millones de parámetros en grandes conjuntos de datos. Además, las modalidades elegidas permiten una generación de contenido flexible capaz de acomodar una amplia gama de tareas distintas. Sin embargo, esta no es una regla absoluta: los modelos que cumplen este criterio pueden excepcionalmente no considerarse modelos de IA de uso general si carecen de una generalidad significativa, mientras que los modelos por debajo de este umbral pueden seguir siendo modelos de IA de uso general si muestran una generalidad significativa y pueden realizar de manera competente una amplia gama de tareas.
Un modelo de IA de uso general se clasifica como un modelo de IA de uso general con riesgo sistémico si cumple cualquiera de las dos condiciones siguientes.
Primero, si tiene capacidades que coinciden o superan las de los modelos más avanzados. La Ley de IA presupone que los modelos entrenados con una cantidad acumulada de recursos computacionales que supere las 1025 operaciones de coma flotante tienen tales capacidades (artículo 51, apartado 2, de la Ley de IA). El umbral se establece sobre la base de que el uso de esta cantidad de cómputo indica que el modelo podría afectar significativamente al mercado de la Unión debido a su alcance o a sus posibles efectos negativos en la salud pública, la seguridad, la protección, los derechos fundamentales o la sociedad. La Comisión Europea ajustará este umbral cuando sea necesario para tener en cuenta los avances tecnológicos.
En segundo lugar, la Comisión Europea puede designar un modelo como modelo de IA de uso general con riesgo sistémico, ya sea por iniciativa propia o tras una alerta cualificada del panel científico, si el modelo tiene capacidades o un impacto equivalente a los de los modelos más avanzados [artículo 51, apartado 1, letra b), de la Ley de IA]. Esto explica el hecho de que existen modelos que pueden presentar riesgos sistémicos a pesar de no alcanzar el umbral de cálculo.
Para un modelo que cumpla cualquiera de las dos condiciones, su proveedor debe cumplir obligaciones adicionales, incluida la evaluación y mitigación de los riesgos sistémicos (véase la pregunta «¿Cuáles son los requisitos adicionales para los modelos de IA de uso general con riesgo sistémico?»).
No se espera que los proveedores de modelos formados con menos de 1025 operaciones en coma flotante de cómputo acumulativo notifiquen su modelo a la Comisión Europea y cumplan las obligaciones de seguridad y protección, a menos que la Comisión Europea haya designado que su modelo presenta riesgos sistémicos.
El entrenamiento de un modelo de IA de propósito general (con o sin riesgo sistémico) requiere una asignación inicial considerable de recursos informáticos. Por lo tanto, los proveedores pueden saber si su modelo cumplirá el criterio indicativo para constituir un modelo de IA de uso general, que figura en la sección 2.1 de las Directrices sobre el alcance de las obligaciones para los modelos de IA de uso general, o el umbral de cómputo de entrenamiento acumulativo en el artículo 51, apartado 2, de la Ley de IA, antes de que se complete el entrenamiento (considerando 112 de la Ley de IA). En particular, se espera que los proveedores estimen si su modelo será un modelo de IA de propósito general (entrenado con más de 10 ^ 23 operaciones de coma flotante de cómputo acumulativo) y un modelo de IA de propósito general con riesgo sistémico (entrenado con más de 10 ^ 25 operaciones de coma flotante de cómputo acumulativo) antes del inicio de una gran carrera de pre-entrenamiento.
Una vez que un modelo supera el umbral de cómputo de entrenamiento acumulativo de 1025 operaciones de coma flotante, establecido en el artículo 51, apartado 2, de la Ley de IA, o el proveedor sabe que el modelo superará este umbral, el proveedor tiene dos semanas para notificarlo a la Comisión Europea (artículo 52 de la Ley de IA). Para más información sobre la notificación, véase la pregunta «Si un modelo de IA de uso general está por encima del umbral de cálculo para dichos modelos con riesgo sistémico, ¿se considera siempre que tiene riesgo sistémico?».
Los proveedores pueden elegir su método para calcular / estimar el cómputo de entrenamiento acumulativo en operaciones de punto flotante. Las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general, que figuran en su anexo, ofrecen dos enfoques posibles: basada en la arquitectura y en el hardware; así como los principios generales de lo que debe incluirse/excluirse en el cálculo. El cómputo utilizado para generar datos sintéticos —datos de entrenamiento creados artificialmente producidos por algoritmos (incluidos otros modelos) en lugar de recopilados de fuentes del mundo real— debe incluirse en el cálculo del cómputo de entrenamiento acumulativo, además del cómputo utilizado para entrenar sobre los datos sintéticos, si los datos sintéticos no son de acceso público. Sin embargo, el cálculo acumulativo del entrenamiento del modelo padre (es decir, el modelo que genera los datos sintéticos) no necesita ser incluido en el cálculo/estimación.
Los proveedores podrán impugnar la clasificación automática como modelo de IA de uso general con riesgo sistémico cuando cumplan el umbral de cálculo establecido en el artículo 51, apartado 2, de la Ley de IA. Por ejemplo, pueden refutar la presunción de que su modelo tiene capacidades de alto impacto aportando pruebas de que las capacidades de su modelo no coinciden ni superan las registradas en los modelos más avanzados. La sección 2.3 de las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general ofrece orientaciones adicionales sobre cómo hacerlo. Si la Comisión Europea acepta los argumentos del proveedor, el modelo dejará de clasificarse como riesgo sistémico, reduciendo así las obligaciones del proveedor con respecto a este modelo específico a partir del momento de la aceptación.
En consonancia con la aplicación colaborativa y proporcionada de la Ley de IA y el derecho del proveedor a una buena administración, la Comisión Europea podrá tener en cuenta la nueva información presentada por el proveedor después de la notificación, una vez que esté disponible. Además, la decisión de la Comisión Europea de aceptar o rechazar los argumentos del prestador puede tener en cuenta las incertidumbres en la información facilitada y esbozar las condiciones para una posible reevaluación futura en consecuencia. Sin embargo, las obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico se aplican desde el momento en que el modelo cumple la condición del artículo 51, apartado 1, letra a), de la Ley de IA (es decir, capacidades de alto impacto, presumiblemente al cumplir el umbral de cálculo).
En general, no puede recurrirse a medidas de seguridad para mitigar los riesgos sistémicos derivados del modelo de IA de uso general del proveedor con riesgo sistémico. Sin embargo, las mitigaciones no cambian el hecho de que el modelo presenta un riesgo sistémico (aceptable). Si el modelo no presenta riesgos sistémicos, incluso sin medidas de seguridad y protección aplicadas, los proveedores pueden impugnar la clasificación automática con arreglo al artículo 52, apartado 2, de la Ley de IA (véase la pregunta «Si un modelo de IA de uso general está por encima del umbral de cómputo para dichos modelos con riesgo sistémico, ¿se considera siempre que tiene riesgo sistémico?»).
La Comisión Europea considera que cualquier desarrollo posterior del modelo después de su gran ciclo de preformación forma parte del mismo ciclo de vida del modelo y, por tanto, del mismo modelo, si lo realiza el mismo proveedor o en nombre del mismo proveedor (véase la sección 2.2 de las Directrices sobre el alcance de las obligaciones para los modelos de IA de uso general).Se aplican diferentes consideraciones si otro agente modifica el modelo (véase la pregunta «Si un modelo de IA de uso general es modificado por otro agente distinto del proveedor original, ¿se convierte la entidad modificadora en el proveedor?» y la sección 3.2 de las Directrices sobre el alcance de las obligaciones para los modelos de IA de uso general).
Esta comprensión de un modelo fue elegida por la Comisión Europea después de una cuidadosa consideración. En el desarrollo moderno de la IA, es común realizar pequeños cambios iterativos en los modelos de IA después de la colocación en el mercado. Los proveedores también suelen realizar una formación posterior más significativa a su modelo ya introducido en el mercado y el modelo modificado resultante se comercializa con un nuevo nombre, coloquialmente denominado «nuevo modelo». Como nuestra comprensión de la tecnología aún está evolucionando, actualmente es difícil definir un buen límite en lo que cuenta como una modificación relevante o irrelevante con el propósito de delinear versiones de modelos posteriores en modelos distintos. Por lo tanto, por ahora, la Comisión Europea considera que todas las versiones de modelos descendientes de la misma gran formación previa dirigida por el mismo proveedor son el mismo modelo para proporcionar seguridad jurídica. En consecuencia, no todos los «lanzamientos» que los proveedores califican como tales son necesariamente un nuevo modelo a efectos de la Ley de IA, siguiendo la interpretación de las directrices. Pueden ser necesarios detalles técnicos no públicos sobre el proceso de formación para determinar si una «liberación» constituye un nuevo modelo.
Dado que los modelos introducidos en el mercado antes del 2 de agosto de 2025 solo deben cumplir la Ley de IA a partir del 2 de agosto de 2027 (artículo 111, apartado 3, de la Ley de IA), es posible que este período transitorio siga aplicándose a una «liberación» que se produzca ahora.
A diferencia de las disposiciones sobre sistemas de IA, que abarcan múltiples funciones diferentes, como el proveedor, el implementador, el importador o el distribuidor, las disposiciones sobre modelos de IA de uso general solo regulan al «proveedor». Un «proveedor» en este contexto es quien desarrolla un modelo de IA de uso general o tiene un modelo de IA de uso general desarrollado, y lo introduce en el mercado con su propio nombre o marca comercial, ya sea a título oneroso o gratuito (artículo 3, apartado 3, de la Ley de IA). Es importante destacar que «lo introduce en el mercado» se refiere al primer suministro comercial del modelo para su distribución o uso en el mercado de la Unión (artículo 3, apartado 9, punto 10, de la Ley de IA).
Por ejemplo, un empleador que proporcione a sus empleados licencias para un modelo ya disponible en el mercado de la Unión no se consideraría el proveedor de dicho modelo ni estaría obligado a verificar su cumplimiento en virtud de la Ley de IA. Sin embargo, si un agente intermedio integra un modelo que ya se ha comercializado en el mercado de la Unión en su sistema de IA, puede enfrentarse a obligaciones en virtud de las disposiciones de la Ley de IA sobre sistemas de IA.
La Comisión Europea considera que un modificador descendente se convierte en el proveedor del modelo de IA de uso general modificado solo si la modificación da lugar a un cambio significativo en la generalidad, las capacidades o el riesgo sistémico del modelo. Un criterio indicativo para ello es que el cómputo de entrenamiento utilizado para la modificación sea superior a un tercio del cómputo de entrenamiento del modelo original (véase el anexo de las Directrices sobre el alcance de las obligaciones para los modelos de IA de uso general sobre cómo debe entenderse el «cómputo de entrenamiento»). Sin embargo, si no se puede esperar que el modificador descendente conozca este valor y no pueda estimarlo, entonces el umbral debe reemplazarse de la siguiente manera.
Si el modelo original es un modelo de IA de uso general con riesgo sistémico, el umbral debe sustituirse por un tercio del umbral para un modelo que se presume que tiene capacidades de alto impacto (es decir, actualmente 1025 operaciones de punto flotante). De lo contrario, debe sustituirse por un tercio del umbral para un modelo que se presume que es un modelo de IA de uso general (es decir, actualmente 1023 operaciones de punto flotante, véase la sección 2.1 de las Directrices sobre el ámbito de aplicación de las obligaciones para los modelos de IA de uso general).
Este umbral se basa en la expectativa de que un modelo modificado con esta cantidad de cómputo muestre un cambio significativo que justifique que el modificador posterior esté sujeto a las obligaciones de los proveedores o los modelos de IA de uso general y potencialmente de los modelos de IA de uso general con riesgo sistémico. Si bien actualmente pocas modificaciones pueden cumplir este criterio, el número de modificadores posteriores que se convierten en proveedores de modelos de IA de uso general puede aumentar con el tiempo a medida que aumenta el cálculo utilizado para modificar los modelos. Por lo tanto, el criterio es principalmente prospectivo y está en consonancia con el enfoque basado en el riesgo de la Ley de IA. Por lo tanto, el enfoque de la Comisión Europea puede cambiar en el futuro a medida que la tecnología y el mercado evolucionen.
Para más información, véase la sección 3.2 de las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general.
La Ley de IA reconoce que la entidad que entrena el modelo puede no ser la encargada contractual, económica o técnicamente del desarrollo (véase la definición de proveedor que indica «ha desarrollado» en el artículo 3, apartado 3, de la Ley de IA). La cuestión de bajo qué autoridad se forma un modelo requiere una evaluación caso por caso, que puede tener en cuenta las relaciones contractuales entre otros factores. En la sección 3.1.1 de las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general se ofrecen algunos ejemplos.
Los proveedores de modelos de IA de uso general deben (artículo 53 de la Ley de IA):
elaborar y mantener documentación técnica sobre el modelo, incluida información sobre el proceso de desarrollo, para facilitarla a la Oficina de IA previa solicitud; las autoridades nacionales competentes también pueden solicitar a la Oficina de IA que solicite información en su nombre cuando dicha información sea necesaria para el ejercicio de sus funciones de supervisión;
facilitar información y documentación a los proveedores de sistemas de IA descendentes para ayudarles a comprender las capacidades y limitaciones del modelo y a cumplir sus propias obligaciones;
aplicar una política para cumplir la legislación de la Unión en materia de derechos de autor y derechos afines, incluida la identificación y el respeto de las reservas de derechos a través de tecnologías de vanguardia; publicar un resumen suficientemente detallado del contenido utilizado para la formación del modelo; si están establecidos fuera de la UE, designar a un representante autorizado en la Unión antes de introducir su modelo en el mercado.
Los proveedores pueden demostrar el cumplimiento a través del Código de buenas prácticas de IA de uso general, que se consideró adecuado, o a través de medios alternativos adecuados.
Además de las obligaciones estándar para los proveedores de todos los modelos de IA de uso general, los proveedores de modelos de IA de uso general con riesgo sistémico deben (artículo 55 de la Ley de IA):
llevar a cabo la evaluación de modelos utilizando protocolos normalizados y herramientas de vanguardia, incluida la realización y documentación de pruebas contradictorias para identificar y mitigar los riesgos sistémicos;
evaluar y mitigar los posibles riesgos sistémicos a escala de la Unión, incluidas sus fuentes, que puedan derivarse del desarrollo, la introducción en el mercado o el uso de estos modelos;
realizar un seguimiento, documentar y notificar la información pertinente sobre incidentes graves y posibles medidas correctoras a la Oficina de IA y, en su caso, a las autoridades nacionales sin demora indebida;
garantizar una protección adecuada de la ciberseguridad tanto para el modelo como para su infraestructura física, a fin de evitar el acceso no autorizado, el robo o las fugas.
Los proveedores de dichos modelos pueden demostrar el cumplimiento mediante la adhesión al Código de buenas prácticas de IA de uso general o mostrar medios alternativos adecuados de cumplimiento. Si los proveedores optan por cumplir a través de medios alternativos, deben presentar argumentos de por qué dichos medios son adecuados, para su evaluación por la Comisión Europea.
Los proveedores de modelos de IA de uso general publicados como código abierto pueden quedar exentos de determinadas obligaciones (artículo 53, apartado 2, y artículo 54, apartado 6, de la Ley de IA), en particular:
el requisito de mantener la documentación técnica para las autoridades;
el requisito de facilitar documentación a los proveedores de sistemas de IA en sentido descendente;
el requisito de designar un representante autorizado (para proveedores de fuera de la UE).
Estas exenciones exigen que el modelo de IA de uso general:
se libera bajo una licencia libre y de código abierto, lo que permite el acceso, el uso, la modificación y la distribución sin monetización;
tiene sus parámetros, incluidos los pesos, la arquitectura y la información de uso a disposición del público;
no es un modelo de IA de uso general con riesgo sistémico; los proveedores de modelos de IA de uso general con riesgo sistémico deben cumplir todas las obligaciones de los proveedores de modelos de IA de uso general, independientemente de si el modelo se publica como de código abierto.
Estas exenciones reconocen que los modelos de código abierto contribuyen a la investigación y la innovación, al tiempo que ya proporcionan transparencia a través de su naturaleza abierta. No obstante, los proveedores cuyos modelos cumplan los requisitos de código abierto mencionados anteriormente no están exentos de la obligación de la política de derechos de autor ni del requisito de publicar un resumen de los datos de entrenamiento [artículo 53, apartado 1, letra c), letra d), de la Ley de IA], ya que su naturaleza de código abierto no necesariamente facilita información sobre los datos utilizados para entrenar o modificar el modelo, ni sobre cómo se garantizó el cumplimiento de la legislación en materia de derechos de autor.
La sección 4 de las Directrices de la Comisión Europea sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general ofrece orientaciones adicionales sobre la exención de código abierto.
El Código de buenas prácticas de IA de uso general es una herramienta voluntaria, elaborada por expertos independientes en un proceso multilateral, diseñada para ayudar a la industria a cumplir las obligaciones de la Ley de IA para los proveedores de modelos de IA de uso general, garantizando que los modelos de IA de uso general introducidos en el mercado europeo sean seguros y transparentes, incluidos los más potentes.
Describe una manera para que los proveedores de modelos de IA de uso general y de modelos de IA de uso general con riesgo sistémico demuestren el cumplimiento de las obligaciones de la Ley de IA establecidas en los artículos 53 y 55 de la Ley de IA.
El Código consta de tres capítulos: Transparencia y derechos de autor, ambos dirigidos a todos los proveedores de modelos de IA de uso general, y seguridad y protección, pertinentes únicamente para el número limitado de proveedores de los modelos más avanzados que están sujetos a las obligaciones de la Ley de IA para los proveedores de modelos de IA de uso general con riesgo sistémico. Cualquier proveedor (o posible futuro proveedor) de un modelo de IA de uso general puede firmar el código cumplimentando el formulario de firma y enviándolo a EU-AIOFFICE-CODE-SIGNATURES@ec.europa.eu. El formulario debe estar firmado por una persona con autoridad suficiente para obligar al proveedor al Código (por ejemplo, un alto ejecutivo). Puede encontrar más información sobre el proceso de firma en estas preguntas y respuestas.
Para más información sobre qué modelos de IA son «de uso general» y en qué condiciones se clasifican como «riesgo sistémico», véanse las demás preguntas y la sección 2 de las Directrices sobre el ámbito de aplicación de las obligaciones aplicables a los modelos de IA de uso general. Para obtener más información, lea sobre el Código de prácticas de IA de propósito general en estas preguntas y respuestas; A.
La Comisión Europea supervisará y evaluará periódicamente la consecución de los objetivos del Código de buenas prácticas en materia de IA de uso general (Código). El mecanismo de actualización se detalla en la evaluación de adecuación del Código realizada por la Comisión Europea.
En particular, la Comisión Europea estudiará la posibilidad de facilitar actualizaciones formales del Código al menos cada dos años, por ejemplo sobre la base de la aparición de normas, los avances tecnológicos pertinentes o los cambios en el panorama de riesgos.
Para supervisar la consecución de los objetivos del Código, la Comisión Europea mantendrá un intercambio con los signatarios para comprender dónde es necesario el apoyo a la aplicación y podrá cooperar con las autoridades nacionales competentes, los proveedores intermedios, los titulares de derechos y otros agentes. Además, el Código no afecta a la responsabilidad de la Comisión Europea de emitir orientaciones sobre la aplicación de la Ley de IA, que pueden ser pertinentes para los conceptos del Código. En particular, en caso de amenaza inminente de daño irreversible a gran escala o para hacer frente a sus efectos negativos, la Comisión Europea estudiará si son adecuadas orientaciones rápidas sobre la aplicación de la Ley de IA, o una actualización rápida del Código acordada por los signatarios, además de medidas de ejecución adecuadas. Las Directrices sobre el ámbito de aplicación de las obligaciones relativas a los modelos de IA de uso general se revisarán y actualizarán periódicamente, según proceda.
De conformidad con el artículo 53, apartado 1, letra a), y el anexo XI, sección 1, punto 2, letra e), de la Ley de IA, los proveedores de modelos de IA de uso general deben documentar el consumo de energía conocido o estimado de su modelo. Si se desconoce, esta estimación puede basarse en los recursos computacionales utilizados. Además, la Comisión Europea está facultada para adoptar un acto delegado para detallar las metodologías de medición y cálculo que los proveedores deben utilizar para medir o estimar el consumo de energía de sus modelos, a fin de permitir una documentación comparable y verificable. Durante el período hasta la adopción de dicho acto delegado, el modelo de formulario de documentación en relación con el capítulo sobre transparencia del Código de buenas prácticas de IA de uso general (Código) ofrece orientaciones sobre cómo los proveedores pueden demostrar el cumplimiento de este requisito, en el apartado «Consumo de energía (durante el entrenamiento y la inferencia)».
En particular, si un signatario del Código no conoce el consumo de energía de la formación de su modelo, se compromete a informar de una cantidad estimada a menos que carezca de información crítica sobre computación o hardware que les impida poder hacer una estimación. En este caso, el Signatario se compromete a documentar la información de la que carece. A efectos de la estimación del consumo de energía, la Oficina de IA utilizará la información disponible sobre los recursos computacionales utilizados para la formación para obtener una estimación. Para ello, la Oficina de IA se basará en el conocimiento de la información crítica de la que carece el proveedor, en los recursos científicos disponibles, así como en los resultados preliminares del estudio en curso de la Comisión Europea sobre la IA eficiente desde el punto de vista energético y de bajas emisiones, y en la experiencia del panel científico.
Los proveedores de modelos de IA de uso general con riesgo sistémico deben realizar un seguimiento, documentar e informar, sin demora indebida, a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, de la información pertinente sobre incidentes graves y de las posibles medidas correctoras para abordarlos [artículo 55, apartado 1, letra c), de la Ley de IA]. La Comisión Europea considera que esta obligación abarca las infracciones graves de ciberseguridad relacionadas con el modelo o su infraestructura física, incluida la (auto)exfiltración de los parámetros del modelo y los ciberataques, debido a sus posibles implicaciones para las obligaciones establecidas en el artículo 55, apartado 1, letras b) y d), de la Ley de IA. Aparte de esto, la Comisión Europea considera que un «incidente grave» en el contexto del capítulo V de la Ley de IA es cualquier incidente o mal funcionamiento de un modelo de IA de uso general que conduzca directa o indirectamente a cualquiera de los eventos enumerados en la definición correspondiente de sistemas de IA del artículo 3, apartado 49, letras a) a d), de la Ley de IA. El capítulo sobre seguridad y protección del Código de buenas prácticas de IA de uso general, a través de su compromiso 9, proporciona un medio para demostrar el cumplimiento de esta obligación.
La Comisión Europea espera que los proveedores cumplan las obligaciones de los proveedores de modelos de IA de uso general en la Ley de IA, que entró en vigor en agosto de 2025. Algunos de ellos son sencillos: por ejemplo, la notificación a la Oficina de IA cuando un proveedor está entrenando un modelo de IA de uso general con riesgo sistémico en el artículo 52 de la Ley de IA. Se espera que los proveedores envíen estas notificaciones sin más demora. Otras obligaciones son más complejas. Para ellos, los proveedores pueden demostrar el cumplimiento a través del Código de buenas prácticas de IA de uso general (Código) o demostrando medios alternativos adecuados de cumplimiento.
La Comisión Europea entiende que, especialmente en lo que respecta a las obligaciones más complejas, es posible que algunos proveedores no puedan aplicar plenamente las medidas del Código, o medios igualmente adecuados para demostrar el cumplimiento, a más tardar en agosto de 2025. En los casos en que un proveedor no cumpla plenamente todos los compromisos del Código de inmediato, la Comisión Europea considerará que actúa de buena fe y estará dispuesta a colaborar para encontrar formas de garantizar el pleno cumplimiento. En particular, la Comisión Europea fomenta una estrecha cooperación informal con los proveedores durante la formación de sus modelos de IA de uso general con riesgo sistémico para facilitar el cumplimiento y garantizar la comercialización oportuna. Además, la Comisión Europea espera que los proveedores de modelos de IA de uso general con riesgo sistémico informen de forma proactiva, ya sea como parte de los compromisos contraídos en virtud del Código o como parte de medios alternativos para demostrar el cumplimiento. Esto es especialmente importante durante el primer año, en el que la Comisión Europea se centrará en los intercambios técnicos a nivel de trabajo para facilitar el pleno cumplimiento de los proveedores lo antes posible.
Los espacios controlados de pruebas para la IA son entornos seguros y controlados para la experimentación, el desarrollo, la formación y las pruebas de sistemas innovadores de IA. Las autoridades competentes que supervisan los espacios controlados de pruebas pueden proporcionar orientación y asesoramiento sobre la interpretación de las disposiciones de la Ley de IA y de otra legislación pertinente de la Unión o nacional. Cualquier proveedor con un sistema de IA que entre en el ámbito de aplicación de la Ley de IA puede solicitar la participación en un espacio controlado de pruebas para la IA.
Los Estados miembros deben disponer de sus espacios controlados de pruebas para la IA a más tardar el 2 de agosto de 2026, tras lo cual los proveedores (prospectivos) pueden solicitar su participación en los espacios controlados de pruebas. Al menos un espacio controlado de pruebas para la IA estará disponible en cada Estado miembro.
Los Estados miembros deben disponer de un espacio controlado de pruebas para la IA con cobertura nacional a más tardar el 2 de agosto de 2026.
Cualquier proveedor con un sistema de IA que entre en el ámbito de aplicación de la Ley de IA puede solicitar la participación en un espacio controlado de pruebas para la IA. Esto significa que los espacios controlados de pruebas para la IA pueden (entre otros) supervisar proyectos específicos de IA para cumplir los requisitos y obligaciones de la Ley de IA, en particular para la evaluación de la conformidad de los sistemas de IA de alto riesgo, la conformidad de los sistemas de IA interactivos y generativos con los requisitos de transparencia del artículo 50 de la Ley de IA, o para permitir la identificación, el ensayo y la aplicación de medidas preventivas y atenuantes eficaces para garantizar que los casos límite específicos de los sistemas de IA no constituyan prácticas prohibidas.
Se espera que los espacios controlados de pruebas para la IA y el servicio de asistencia de la Ley de IA se complementen mutuamente. Los espacios controlados de pruebas para la IA están diseñados para cuestiones y retos reglamentarios más específicos y complejos, y el objetivo de la mesa de servicio de la Ley de IA es proporcionar respuestas a preguntas más generales relativas a la Ley de IA. Los retos normativos abordados y las preguntas respondidas en los espacios controlados de pruebas para la IA también pueden apoyar el objetivo de la mesa de servicio de la Ley de IA haciendo uso de las lecciones aprendidas, las orientaciones y las respuestas proporcionadas en los espacios controlados de pruebas para la IA.