El AI Act de la Unión Europea y sus obligaciones han comenzado a aplicarse de manera efectiva. Desde el 2 de agosto de 2025, los proveedores de modelos de IA de propósito general (GPAI) deben cumplir con nuevas exigencias en transparencia, documentación y derechos de autor. Este hito marca un antes y un después, ya no se trata solo de desarrollar IA con potencia técnica, sino de hacerlo bajo un marco regulatorio que busca seguridad, confianza y responsabilidad. Para las empresas, esto significa incorporar la Vigilancia Tecnológica como parte central de su estrategia de adaptación.
¿Qué son los GPAI?
Los modelos de IA de propósito general (GPAI) son sistemas entrenados con cantidades masivas y heterogéneas de datos, capaces de ejecutar una amplia gama de tareas sin estar limitados a un solo objetivo. A diferencia de los algoritmos diseñados para una función concreta (por ejemplo, detectar fraude en transacciones bancarias), los GPAI pueden ser reutilizados y adaptados como “plataformas” sobre las que terceros construyen aplicaciones específicas. Desde asistentes conversacionales y motores de búsqueda, hasta diagnósticos médicos asistidos o herramientas de diseño industrial. Esta versatilidad es precisamente la razón por la que el AI Act los sitúa en el centro de la regulación, dado que su impacto potencial se extiende a sectores críticos y plantea riesgos transversales en materia de seguridad, derechos fundamentales y propiedad intelectual.
Qué ha empezado a aplicar y a quién afecta
Las obligaciones que ya son exigibles alcanzan a todos los proveedores de GPAI que comercialicen modelos en la Unión Europea, aunque estén radicados fuera. Entre los puntos más destacados:
- Los proveedores deben ofrecer documentación técnica del modelo a las autoridades y a los clientes que lo integren en sus sistemas.
- Existe una plantilla oficial para publicar resúmenes de entrenamiento que homogeneiza la transparencia sobre los datos empleados.
- Los proveedores deben establecer una política de derechos de autor que garantice el respeto a la normativa europea de copyright.
- Los modelos considerados de riesgo sistémico tienen obligaciones reforzadas: evaluaciones de riesgos, medidas de ciberseguridad, notificación al AI Office y reporte de incidentes graves.
- Además, la Comisión ha publicado directrices interpretativas para delimitar quién es proveedor, cuándo aplican estas reglas y cómo deben cumplirse.
Cronograma verificado para planificar la vigilancia tecnológica
El calendario del AI Act se ha diseñado en fases que conviene integrar en cualquier estrategia de vigilancia. Tras su entrada en vigor el 1 de agosto de 2024 (nota oficial), llegaron las primeras medidas en febrero de 2025, cuando empezaron a aplicarse las prohibiciones a prácticas inaceptables como los sistemas de puntuación social, según el marco regulatorio de IA.
El gran hito fue el 2 de agosto de 2025, fecha en la que comenzaron a aplicarse las obligaciones para GPAI y se activó el marco de gobernanza del AI Office. Un año más tarde, en agosto de 2026, el reglamento será plenamente aplicable, salvo excepciones. Finalmente, en agosto de 2027, los modelos GPAI que ya estaban en el mercado antes de 2025 deberán haber completado su adaptación, según confirmó la Comisión en un comunicado oficial.
El papel del AI Office y cómo afecta
La supervisión de este marco corresponde al AI Office, que coordina a los Estados miembros, solicita información a los proveedores y desarrolla metodologías de cumplimiento. Además, impulsa un Código de Buenas Prácticas GPAI para que los proveedores puedan demostrar diligencia y las empresas usuarias tengan una guía de confianza. Para los equipos de Vigilancia Tecnológica e Inteligencia Competitiva, esto significa activar un radar constante sobre las guías, FAQs y plantillas que este organismo vaya publicando.
Qué hacer ahora si integras IA de terceros
Para las organizaciones que no desarrollan modelos, pero sí los utilizan, es el momento de actuar:
- Exige evidencias de cumplimiento: solicita a los proveedores la documentación técnica, el resumen de entrenamiento y la política de copyright, apoyándote en las obligaciones GPAI y en la plantilla oficial de resumen.
- Actualiza contratos y compras: incorpora cláusulas de transparencia, notificación de incidentes y garantías de cumplimiento con el AI Act, tal y como recoge el Q&A GPAI.
- Mapea tus casos de uso: identifica dónde utilizas GPAI en la organización y quién es responsable de cada uno, alineándote con la línea temporal oficial.
- Activa la vigilancia regulatoria: suscríbete a las actualizaciones del AI Office y a las directrices GPAI.
Por qué importa a negocio y VTIC
Cumplir con las obligaciones del AI Act UE no se limita a evitar sanciones. Para las empresas supone:
- Reducción de riesgos: disponer de evidencias de cumplimiento disminuye la exposición a sanciones, como recoge la sección de gobernanza y ejecución del AI Act.
- Ventaja competitiva: la transparencia exigida permite comparar proveedores con criterios objetivos como documentación o capacidad de respuesta ante incidentes.
- Velocidad de adopción: al estandarizar lo que se debe pedir a cada proveedor, se reducen los tiempos de due diligence y despliegue, algo facilitado por la guía oficial para resúmenes de entrenamiento.
Checklist mínimo para responsables de VTIC
- Inventario de todos los modelos GPAI utilizados o adquiridos.
- Dossier por proveedor con documentación técnica, resumen de entrenamiento y política de copyright.
- Matriz de riesgos y evidencias internas.
- Cláusulas contractuales adaptadas al AI Act.
- Suscripción activa a las páginas del AI Office, a las guías GPAI y a la fact page de obligaciones.
Conclusión
El AI Act no es un mero ejercicio jurídico, sino un cambio estructural que redefine la innovación en Europa. Las obligaciones que ya se aplican desde agosto de 2025 son solo el primer paso de un calendario que se completará en 2026 y 2027. Las empresas que activen su vigilancia regulatoria, adapten sus contratos y documenten sus casos de uso estarán no solo cumpliendo la norma, sino también construyendo una ventaja competitiva en un mercado donde la confianza y la transparencia serán tan determinantes como la tecnología.
