IA de propósito general (GPAI)
La IA de propósito general (GPAI, por sus siglas en inglés) es una categoría de la Ley de IA de la UE para los modelos que pueden realizar una amplia gama de tareas e integrarse en muchos sistemas distintos aguas abajo. Los grandes modelos de lenguaje y otros modelos fundacionales son los ejemplos más claros. Como un solo modelo así puede dar potencia a incontables aplicaciones, la Ley regula el modelo en sí, por separado de los usos específicos de alto riesgo en los que podría terminar.
Fue una decisión de diseño deliberada. En lugar de esperar a ver cómo cada aplicación usa un modelo, la Ley impone obligaciones a quienes desarrollan y suministran el modelo, para que la información y las salvaguardas fluyan hacia abajo hasta todos los que construyen sobre él.
Qué cuenta como GPAI
La Ley define un modelo GPAI como uno entrenado con una gran cantidad de datos, que muestra una generalidad significativa y es capaz de realizar de forma competente una amplia gama de tareas distintas, sin importar cómo se publique. Eso abarca grandes modelos de lenguaje, generadores de imágenes y modelos fundacionales similares, ya sea que se ofrezcan a través de una API, se publiquen como pesos descargables o se integren en un producto.
El alcance es el modelo, no la aplicación. Una empresa que toma un modelo GPAI y construye, por ejemplo, una herramienta de contratación es un proveedor aguas abajo de ese sistema de alto riesgo y carga con sus propias obligaciones. El desarrollador original del modelo es el proveedor de GPAI. Los dos conjuntos de deberes se acumulan en lugar de reemplazarse.
El nivel de riesgo sistémico
No toda la GPAI recibe el mismo trato. La Ley crea un nivel superior para los modelos GPAI con riesgo sistémico, es decir, modelos lo bastante capaces como para que sus problemas pudieran repercutir en todo el mercado o la sociedad.
Se presume que un modelo plantea riesgo sistémico si el cómputo acumulado usado para entrenarlo supera las 10^25 operaciones de punto flotante (FLOPs). Este umbral de cómputo es un indicador indirecto de capacidad. La Comisión Europea también puede designar un modelo como de riesgo sistémico con base en otros criterios, incluso si está por debajo del umbral.
Los modelos de este nivel cargan obligaciones extra más allá de la base, porque las consecuencias de equivocarse con ellos son mayores.
Obligaciones básicas del proveedor
Todo proveedor de GPAI, sin importar el nivel, tiene que cumplir un conjunto básico de deberes.
Documentación técnica. Los proveedores deben preparar y mantener al día documentación que describa el modelo, incluido su proceso de entrenamiento y prueba y los resultados de evaluación, disponible para la Oficina de IA y las autoridades nacionales cuando lo soliciten.
Información para los proveedores aguas abajo. Deben dar a los desarrolladores que construyen sobre el modelo información suficiente para entender sus capacidades y limitaciones y cumplir sus propias obligaciones. No puedes cumplir la Ley para tu aplicación si el modelo que tiene debajo es una caja negra para ti.
Política de derechos de autor. Los proveedores deben establecer una política para respetar la legislación de derechos de autor de la UE, incluidas las reservas de derechos para la minería de textos y datos.
Resumen de los datos de entrenamiento. Deben publicar un resumen suficientemente detallado del contenido usado para entrenar el modelo, siguiendo una plantilla que provee la Oficina de IA.
Obligaciones adicionales para los modelos de riesgo sistémico
Los proveedores de GPAI con riesgo sistémico asumen más.
Deben evaluar el modelo usando protocolos estandarizados, incluidas pruebas adversarias y red teaming, para identificar y mitigar riesgos sistémicos. Deben evaluar y mitigar posibles riesgos sistémicos a nivel de la UE, incluidas sus fuentes. Deben rastrear, documentar y reportar incidentes graves y posibles medidas correctivas a la Oficina de IA. Y deben garantizar un nivel adecuado de protección de ciberseguridad para el modelo y su infraestructura física.
Estos deberes reconocen que una falla en un modelo de frontera ampliamente usado no es solo el problema de una empresa.
Las obligaciones de GPAI de agosto de 2025
La Ley de IA de la UE se aplica por fases. Las obligaciones para los proveedores de GPAI se volvieron aplicables el 2 de agosto de 2025. A partir de esa fecha, se espera que los proveedores que colocan modelos GPAI en el mercado de la UE cumplan los deberes de documentación, transparencia, derechos de autor y, donde corresponda, riesgo sistémico descritos arriba.
Para ayudar a los proveedores a demostrar el cumplimiento, la Oficina de IA facilitó un Código de Buenas Prácticas de GPAI. Firmar y seguir el Código es una forma voluntaria de demostrar adhesión a las obligaciones, aunque no es la única vía. Los modelos que ya estaban en el mercado antes de esa fecha recibieron tiempo adicional para ponerse en cumplimiento.
Por qué las reglas de GPAI importan para los equipos de gobernanza
Aunque tu organización no entrene modelos fundacionales, las reglas de GPAI dan forma a tus obligaciones. Si construyes sobre un modelo GPAI, la documentación y la información que aporta el proveedor son las que te permiten completar tu propia evaluación de riesgos, tus divulgaciones de transparencia y tu expediente técnico. Elegir un proveedor que se tome en serio estos deberes es una cuestión de adquisición y de debida diligencia.
Si desarrollas o modificas de forma sustancial un modelo GPAI, puedes pasar tú mismo al rol de proveedor, incluido el nivel de riesgo sistémico si tu cómputo de entrenamiento cruza el umbral. En cualquier caso, el trabajo práctico es mantener la documentación al día, llevar registro de qué modelos usas y anotar cómo los evaluaste.
Preguntas frecuentes
¿Qué hace que un modelo sea de propósito general bajo la Ley de IA de la UE?
Está entrenado con una gran cantidad de datos, muestra una generalidad significativa y puede realizar de forma competente una amplia gama de tareas distintas, sin importar cómo se publique. Los grandes modelos de lenguaje y los generadores de imágenes son ejemplos típicos. La clasificación se adhiere al modelo en sí, no a ninguna aplicación concreta construida sobre él.
¿Cuál es el umbral de cómputo para el riesgo sistémico?
Se presume que un modelo GPAI plantea riesgo sistémico cuando el cómputo acumulado usado para entrenarlo supera las 10^25 operaciones de punto flotante (FLOPs). El umbral es un indicador indirecto de capacidad. La Comisión Europea también puede designar un modelo como de riesgo sistémico por otros motivos, y el umbral puede ajustarse con el tiempo.
¿Cuándo empezaron a aplicarse las obligaciones de GPAI?
Las obligaciones para los proveedores de GPAI se volvieron aplicables el 2 de agosto de 2025. A partir de esa fecha se espera que los proveedores cumplan los deberes de documentación, transparencia y derechos de autor, además de los deberes adicionales de riesgo sistémico cuando aplican. Los modelos que ya estaban en el mercado antes recibieron tiempo extra para cumplir.
¿Cuáles son las obligaciones básicas de un proveedor de GPAI?
Mantener documentación técnica, dar a los desarrolladores aguas abajo información suficiente para entender el modelo y construir sobre él de forma segura, establecer una política para cumplir la legislación de derechos de autor de la UE y publicar un resumen suficientemente detallado del contenido de entrenamiento usando la plantilla de la Oficina de IA. Esto aplica a todo proveedor de GPAI sin importar el nivel.
¿Las reglas de GPAI afectan a las empresas que solo usan estos modelos?
Sí, de forma indirecta pero relevante. La documentación y la información que aporta un proveedor de GPAI son las que permiten a quien construye aguas abajo completar su propia evaluación de riesgos, transparencia y expediente técnico. Así que el cumplimiento del proveedor alimenta tu cumplimiento, lo que lo vuelve una cuestión de adquisición y debida diligencia aunque nunca entrenes un modelo.
¿Qué es el Código de Buenas Prácticas de GPAI?
Es un marco voluntario que facilitó la Oficina de IA para ayudar a los proveedores de GPAI a demostrar que cumplen sus obligaciones. Firmarlo y seguirlo es una forma de demostrar cumplimiento, aunque los proveedores pueden cumplir por otros medios. No cambia los deberes legales subyacentes, ofrece una vía reconocida para satisfacerlos.
Resumen
La IA de propósito general (GPAI) es la categoría de la Ley de IA de la UE para los modelos de amplia capacidad, como los grandes modelos de lenguaje, que pueden integrarse en muchos sistemas aguas abajo, y la Ley regula el modelo en sí en lugar de solo sus usos. Todo proveedor de GPAI debe mantener documentación técnica, informar a los desarrolladores aguas abajo, seguir una política de derechos de autor y publicar un resumen de los datos de entrenamiento. Los modelos que plantean riesgo sistémico, presumido por encima de un umbral de cómputo de entrenamiento de 10^25 FLOPs, cargan deberes extra en torno a evaluación, mitigación de riesgos, reporte de incidentes y ciberseguridad. Estas obligaciones se volvieron aplicables el 2 de agosto de 2025, e importan incluso para las organizaciones que solo construyen sobre GPAI, porque la documentación del proveedor es lo que habilita el cumplimiento aguas abajo.