A partir del 2 de agosto de 2025, los proveedores de modelos de inteligencia artificial de uso general (GPAI) que operan dentro de la Unión Europea estarán sujetos a secciones específicas de la Ley de AI de la UE, que exige el mantenimiento de la documentación técnica actualizada y los resúmenes de los datos de capacitación.
La Ley de AI de la UE, publicada en la revista oficial de la UE el 12 de julio de 2024 y efectiva a partir del 1 de agosto de 2024, establece un marco regulatorio basado en el riesgo para garantizar el uso seguro y ético de la IA en toda la UE. Este marco clasifica los sistemas de IA en función de sus riesgos potenciales e impacto en las personas.
Si bien las obligaciones regulatorias para los proveedores de modelos GPAI comenzarán el 2 de agosto de 2025, se proporciona un período de gracia de un año para el cumplimiento, diferiendo el riesgo de sanciones hasta el 2 de agosto de 2026.
Hay cinco conjuntos básicos de reglas que los proveedores de modelos GPAI deben tener en cuenta y cumplir desde el 2 de agosto de 2025, que abarca:
- Cuerpos notificados (Capítulo III, Sección 4)
- Modelos GPAI (Capítulo V)
- Gobierno (Capítulo VII)
- Confidencialidad (artículo 78)
- Sanciones (artículos 99 y 100)
Cuerpos notificados: Los proveedores de modelos GPAI de alto riesgo deben comprometerse con los cuerpos notificados para las evaluaciones de conformidad, alineándose con la estructura regulatoria que respalda estas evaluaciones. Los sistemas de IA de alto riesgo se definen como aquellos que representan amenazas significativas para la salud, la seguridad o los derechos fundamentales. Estos sistemas se utilizan como componentes de seguridad de los productos regidos por las leyes de seguridad de productos de la UE o se implementan en casos de uso delicados, incluida la identificación biométrica, la gestión crítica de la infraestructura, la educación, el empleo y los recursos humanos, y la aplicación de la ley.
Modelos GPAI: Se considera que los modelos GPAI, que tienen múltiples propósitos, representan “riesgo sistémico” si exceden las 10^25 operaciones de punto flotante por segundo (FLOPS) durante la capacitación y son designadas como tales por la Oficina de AI de la UE. Ejemplos de modelos que se ajustan a estos criterios incluyen ChatGPT de OpenAI, Meta’s Llama y Gemini de Google.
Todos los proveedores de modelos GPAI deben mantener la documentación técnica, los resúmenes de datos de capacitación, las políticas de cumplimiento de los derechos de autor, la orientación para los implementadores posteriores y las medidas de transparencia con respecto a las capacidades, las limitaciones y el uso previsto. Los proveedores de modelos GPAI que representan riesgos sistémicos también deben realizar evaluaciones de modelos, informar incidentes, implementar estrategias de mitigación de riesgos y salvaguardas de seguridad cibernética, revelar el uso de energía y llevar a cabo el monitoreo posterior al mercado.
Gobernancia: Este conjunto de reglas define la arquitectura de gobernanza y aplicación tanto a nivel de la UE como nacional. Los proveedores de modelos GPAI deberán cooperar con la oficina de la UE AI, la Junta Europea de AI, el Panel Científico y las Autoridades Nacionales para cumplir con sus obligaciones de cumplimiento, responder a las solicitudes de supervisión y participar en procesos de monitoreo de riesgos e informes de incidentes.
Confidencialidad: Todas las solicitudes de datos realizadas a los proveedores de modelos GPAI por las autoridades estarán legalmente justificadas, manejadas de forma segura y sujetas a protecciones de confidencialidad, especialmente para propiedad intelectual (IP), secretos comerciales y código fuente.
Sanciones: El incumplimiento de las prácticas de IA prohibidas en virtud del Artículo 5, como la manipulación del comportamiento humano, la puntuación social, el raspado de datos de reconocimiento facial o la identificación biométrica en tiempo real en público, puede dar lugar a sanciones de hasta € 35,000,000 o 7% de la gran cantidad anual mundial del proveedor, lo que sea mayor. Otras violaciones de las obligaciones regulatorias, como las relacionadas con la transparencia, la gestión de riesgos o las responsabilidades de implementación, pueden dar como resultado multas de hasta € 15,000,000 o 3% de la facturación. El suministro de información engañosa o incompleta a las autoridades puede conducir a multas de hasta € 7,500,000 o 1% de la facturación.
Para las pequeñas y medianas empresas (PYME) y las nuevas empresas, se aplica la cantidad o porcentaje más baja. Las sanciones tendrán en cuenta la gravedad de la violación, su impacto, el nivel de cooperación del proveedor y si la violación fue intencional o negligente.
Para facilitar el cumplimiento, la Comisión Europea ha publicado el Código de Práctica de AI, un marco voluntario que las compañías tecnológicas pueden adoptar para alinearse con la Ley de IA. Google, Openai y Anthrope se han comprometido con este marco, mientras que Meta se ha negado públicamente a hacerlo.
La Comisión tiene la intención de publicar pautas complementarias al Código de Práctica de AI antes del 2 de agosto de 2025, aclarando los criterios para las empresas que califican como proveedores de modelos de uso general y modelos de IA de uso general con riesgo sistémico.
La Ley de AI de la UE se está implementando en fases:
- 2 de febrero de 2025: Entró en vigencia la prohibición de ciertos sistemas de IA que se consideran un riesgo inaceptable, como los utilizados para la puntuación social o la vigilancia biométrica en tiempo real en público. Las empresas también deben asegurarse de que su personal tenga un nivel suficiente de alfabetización de IA.
- 2 de agosto de 2026: Los modelos GPAI colocados en el mercado después del 2 de agosto de 2025 deben cumplir con esta fecha. Las reglas para ciertos sistemas de IA de alto riesgo enumerados también se aplican a los colocados en el mercado después de esta fecha, y a las que se colocan en el mercado antes de esta fecha que han sufrido una modificación sustancial desde entonces.
- 2 de agosto de 2027: Se requiere un cumplimiento total para los modelos GPAI colocados en el mercado antes del 2 de agosto de 2025. Los sistemas de alto riesgo utilizados como componentes de seguridad de los productos regidos por las leyes de seguridad de productos de la UE también deben cumplir con obligaciones más estrictas.
- 2 de agosto de 2030: Todos los sistemas de IA utilizados por organizaciones del sector público que se dividen en la categoría de alto riesgo deben ser totalmente compatibles.
- 31 de diciembre de 2030: Los sistemas de IA que son componentes de sistemas de TI de la UE a gran escala específicos y se colocaron en el mercado antes del 2 de agosto de 2027, deben cumplir con el cumplimiento de esta fecha límite final.
Un grupo que representa a Apple, Google, Meta y otras compañías había solicitado que los reguladores pospongan la implementación de la Ley en al menos dos años; Sin embargo, esta solicitud fue rechazada por la UE.
Source: Las reglas de la Ley de AI de la UE para modelos GPAI entran en vigencia el 2 de agosto
