El AI Act de la Unión Europea ha iniciado una nueva fase de aplicación para los modelos de IA de propósito general. Desde el 2 de agosto de 2025, los proveedores de GPAI que introduzcan modelos en el mercado europeo deben cumplir obligaciones específicas en materia de documentación, transparencia y derechos de autor, con un régimen transitorio para modelos ya comercializados antes de esa fecha. Para las empresas que integran soluciones basadas en IA, este calendario refuerza la necesidad de una vigilancia regulatoria continua y estructurada.
Para muchas organizaciones, el riesgo no está en desconocer el reglamento, sino en tratarlo como una novedad jurídica estática. En la práctica, el marco sobre GPAI evoluciona a través de guías, criterios del AI Office, códigos de práctica, plantillas documentales y expectativas de cumplimiento que afectan tanto a proveedores como a empresas que integran estos modelos en procesos, productos o decisiones internas. Ahí es donde la vigilancia regulatoria deja de ser accesoria y pasa a formar parte del sistema de inteligencia.
Por qué 2026 cambia el seguimiento del AI Act GPAI
El punto de partida es conocido. Las obligaciones para proveedores de modelos GPAI entraron en aplicación el 2 de agosto de 2025. Sin embargo, 2026 introduce una diferencia práctica de mayor calado: el paso desde la entrada en aplicación de obligaciones a una fase de supervisión y enforcement más exigente por parte de la Comisión Europea.
Ese cambio modifica la forma en que las empresas deberían observar el entorno regulatorio. Ya no basta con revisar titulares o resumir el reglamento en una presentación interna. Lo relevante es seguir qué interpreta el AI Office, qué documentos deben presentarse, cómo se articula el cumplimiento para signatarios o no signatarios del Code of Practice y qué exigencias empiezan a consolidarse alrededor de transparencia, copyright, incidentes graves o modelos con riesgo sistémico.
Desde una perspectiva de Vigilancia Tecnológica e Inteligencia Competitiva, esto implica algo muy concreto, convertir la regulación en un flujo estructurado de señales. La norma es el marco. La ventaja está en detectar antes qué cambia en su aplicación, cómo afecta a proveedores concretos y qué exposición genera dentro de la organización.
Qué debe vigilar una empresa cuando usa o evalúa modelos GPAI
La primera señal relevante no es tecnológica, sino documental. Una empresa que contrata, integra o depende de modelos de IA de propósito general necesita vigilar qué evidencias de cumplimiento puede aportar su proveedor. Esto incluye documentación técnica, resúmenes públicos del contenido de entrenamiento cuando proceda, políticas vinculadas a derechos de autor y señales de alineación con las obligaciones que el AI Act impone a los proveedores de GPAI.
La segunda señal es institucional. El AI Office no solo actúa como referencia informativa. También articula guías, preguntas y respuestas, plantillas y mecanismos de relación con proveedores. Seguir estas publicaciones permite detectar cambios interpretativos antes de que se traduzcan en problemas contractuales, operativos o reputacionales.
La tercera señal tiene que ver con la clasificación del riesgo. No todos los modelos GPAI se sitúan en el mismo plano. Cuando aparecen obligaciones específicas para modelos con riesgo sistémico, la vigilancia debe ser más intensa. Una empresa no siempre controla esa clasificación, pero sí puede verse afectada por sus consecuencias si integra uno de esos modelos en procesos sensibles.
La cuarta señal es contractual. En muchos casos, el punto débil no está en la tecnología que se adopta, sino en la relación con terceros. Si los contratos no contemplan transparencia documental, notificación de incidentes relevantes, actualizaciones regulatorias o responsabilidades sobre cumplimiento, la organización queda expuesta a una dependencia poco gobernada.
La quinta señal es interna. Ninguna vigilancia regulatoria será útil si la empresa no sabe dónde está usando modelos GPAI, con qué finalidad, bajo qué supervisión humana y con qué impacto potencial. Vigilar el entorno sin mapear los casos de uso propios produce una falsa sensación de control.
De la norma al sistema de vigilancia regulatoria
El error habitual es leer el AI Act como un texto que se consulta una vez. Un enfoque más maduro consiste en diseñar un sistema de vigilancia regulatoria con fuentes, responsables, criterios de alerta y rutinas de revisión.
La base mínima debería incluir el seguimiento de la página oficial del AI Office, las directrices sobre GPAI, el Code of Practice, las preguntas frecuentes oficiales y las actualizaciones del texto y documentos asociados en EUR-Lex. A partir de ahí, cada organización debe decidir qué señales son realmente críticas para su contexto.
No es lo mismo una empresa que experimenta de forma limitada con asistentes internos que una organización que integra modelos de propósito general en servicios para clientes, automatización documental, análisis de información sensible o flujos con impacto reputacional. La vigilancia útil no nace de acumular fuentes, sino de conectar cada fuente con una decisión posible.
En la práctica, conviene traducir este seguimiento en alertas concretas:
- Nuevas guías o interpretaciones del AI Office.
- Publicación o actualización de plantillas documentales.
- Cambios en el Code of Practice o en su aplicación.
- Nuevas exigencias sobre incidentes graves.
- Modificaciones contractuales comunicadas por proveedores.
- Aparición de limitaciones, exclusiones o condiciones de uso que alteren el riesgo asumido por la empresa.
Este punto es especialmente relevante para los equipos de inteligencia y vigilancia. Su función no debería limitarse a recopilar novedades regulatorias, sino a filtrar cuáles alteran de verdad la exposición de la organización, cuáles exigen coordinación con legal o compliance y cuáles obligan a revisar proveedores, procesos o casos de uso.
Qué errores debilitan el seguimiento del AI Act GPAI
Uno de los errores más frecuentes es delegar todo el seguimiento en el proveedor. Esa lógica puede simplificar la operación, pero debilita la capacidad de anticipación. El proveedor gestiona su cumplimiento. La empresa debe gestionar su exposición.
Otro error es confundir actualidad regulatoria con cumplimiento real. Que una organización conozca los hitos del AI Act no significa que haya traducido esa información en inventario interno, revisión contractual, criterios de supervisión o evidencias documentales.
También es habitual separar la regulación del proceso de inteligencia. Cuando eso ocurre, el seguimiento normativo queda aislado en un área jurídica y pierde capacidad de alimentar decisiones de producto, tecnología, compras, seguridad o dirección. En entornos donde la IA se integra cada vez más en operaciones críticas, esa separación resulta poco eficiente.
Un cuarto error es seguir la norma de forma genérica. El AI Act GPAI no debería vigilarse como un tema abstracto, sino como un conjunto de señales conectadas a modelos concretos, proveedores concretos y usos concretos dentro de la empresa.
Qué conviene adelantar antes de agosto de 2026
La recta hacia agosto de 2026 debería aprovecharse para ordenar tres frentes. El primero es el inventario. Saber qué modelos GPAI están presentes en la organización, directa o indirectamente, es una condición básica para cualquier vigilancia seria.
El segundo es la evidencia. Conviene identificar qué documentación existe hoy, cuál falta, qué depende del proveedor y qué debe construir internamente la propia empresa para justificar criterios de uso, supervisión y control.
El tercero es la gobernanza. No basta con saber que existe una obligación. Hace falta decidir quién sigue las fuentes, quién revisa alertas, quién evalúa impacto y quién puede escalar una revisión cuando cambian las condiciones regulatorias o contractuales.
Aquí es donde una plataforma de vigilancia e inteligencia aporta valor real. No por sustituir el criterio humano, sino por ordenar señales dispersas, priorizarlas y distribuirlas a las personas adecuadas en el momento oportuno. En un entorno regulatorio en movimiento, la diferencia no suele estar en acceder a la información, sino en convertirla en criterio operativo.
Conclusión
El AI Act no debe leerse únicamente como una obligación jurídica. Para los equipos de vigilancia regulatoria, innovación, compras, compliance y tecnología, funciona también como una fuente de señales sobre cómo evolucionará el mercado europeo de IA. La diferencia estará en detectar esas señales con tiempo, interpretarlas con criterio y convertirlas en decisiones documentadas.
