La implementación del AI Act sigue un calendario escalonado que va del 2 de febrero de 2025 hasta finales de 2027. Esta gradualidad busca dar a los actores económicos tiempo para adaptarse, al tiempo que activa rápidamente las protecciones más urgentes.
Recogidas en el capítulo V del reglamento, las obligaciones GPAI constituyen el núcleo de la regulación de los foundation models. Todo proveedor de un modelo de IA de uso general puesto en el mercado europeo -incluidos los open source, con exenciones parciales- debe:
Para los modelos de riesgo sistémico, identificados por un cálculo de entrenamiento superior a 10²⁵ FLOPS o designados por la Comisión, se añaden: evaluación continua de riesgos, pruebas adversariales (red-teaming) estandarizadas, medidas de ciberseguridad, notificación de incidentes graves al AI Office y publicación de un informe sobre el rendimiento energético. Al momento de la entrada en vigor en agosto de 2025, GPT-4, Gemini Ultra, Claude 3 Opus y Llama 3.1 405B estaban dentro del alcance. El umbral podrá ser revisado por la Comisión para reflejar la evolución del estado del arte.
Para facilitar el cumplimiento de los artículos 53 y 55 antes de la adopción de normas armonizadas, la Comisión Europea lanzó en julio de 2024 la redacción de un Código de buenas prácticas para los modelos de IA de uso general. Coordinado por el AI Office y con la participación de trece expertos independientes y un centenar de organizaciones consultadas, el código pasó por varias versiones intermedias antes de su publicación final el 10 de julio de 2025.
El código se articula en tres pilares: transparencia (publicación de información técnica dirigida a los implementadores y al público), derechos de autor (procedimientos operativos para respetar los opt-out) y seguridad/fiabilidad para los modelos de riesgo sistémico. Su adopción es voluntaria, pero ofrece una presunción de conformidad: un proveedor que lo sigue se considera conforme con los requisitos correspondientes. Los principales laboratorios estadounidenses y europeos aceptaron alinearse con sus disposiciones, con la notable excepción de Meta, que se negó a firmarlo en julio de 2025 alegando un marco incompatible con sus prácticas en Llama. Google y Anthropic firmaron con reservas, mientras que OpenAI, Mistral AI y Microsoft brindaron su apoyo total.
El artículo 53 se ha convertido en el punto de cristalización del debate sobre la coexistencia entre IA generativa e industrias creativas. Su §1(c) obliga a los proveedores de GPAI a implementar una política de respeto de los derechos de autor, y su §1(d) exige la publicación de un resumen suficientemente detallado de los contenidos de entrenamiento, según un modelo proporcionado por el AI Office.
En la práctica, el mecanismo se basa en el binomio excepción TDM (text and data mining, artículo 4 de la directiva 2019/790) y opt-out machine-readable. Los titulares de derechos que deseen oponerse al uso de sus obras para el entrenamiento de modelos de IA deben expresar esta reserva en un formato legible por máquina, típicamente mediante un archivo robots.txt, una cabecera HTTP o un metadato integrado en la obra. Varias iniciativas -TDM Reservation Protocol del W3C, ai.txt, C2PA- proponen estándares alternativos, sin que ninguno se haya impuesto en 2026.
Los titulares de derechos franceses cuestionan la efectividad del sistema. La SACEM, la SCAM, la SACD y la SDRM denuncian la asimetría de información y la ausencia de sanciones efectivas en caso de incumplimiento de los opt-out. En mayo de 2026, el rechazo en la Asamblea Nacional de la propuesta de ley Darcos, que buscaba introducir un mecanismo probatorio invertido (presunción de uso de las obras en ausencia de transparencia) mediante el artículo L. 331-4-1 del Código de la Propiedad Intelectual, dejó a los titulares de derechos sin un respaldo legislativo nacional, remitiéndolos a la aplicación estricta del artículo 53 por parte de la Comisión Europea.
El AI Act crea dos organismos europeos centrales. El European AI Office (Oficina Europea de la IA), instituido por decisión de la Comisión en mayo de 2024 y adscrito a la DG CONNECT, supervisa la implementación del reglamento para los GPAI y los modelos de riesgo sistémico. Elabora el código de buenas prácticas, supervisa a los proveedores, gestiona las denuncias y puede imponer sanciones. Al momento de su creación, contaba con un centenar de agentes y estaba dirigido por Lucilla Sioli.
El European AI Board (Comité Europeo de la Inteligencia Artificial) reúne a los representantes de las autoridades nacionales de supervisión de los 27 Estados miembros. Su primera reunión oficial tuvo lugar en septiembre de 2024. Asegura la coordinación entre Estados miembros, armoniza la interpretación del reglamento y asesora a la Comisión. Un Foro consultivo, que agrupa a la industria, sociedad civil, academia y pymes, completa el dispositivo.
A nivel nacional, cada Estado miembro designa una o varias autoridades competentes. En Francia, la CNIL coordina la aplicación de las disposiciones relativas a los datos personales, mientras que la DGCCRF y la DGE intervienen en los aspectos de productos y mercado interior. Un grupo de coordinación interministerial fue anunciado en 2025, pero no se había formalizado al momento de la entrada en vigor de las reglas GPAI.
El AI Act prevé una escala de sanciones ajustada según la gravedad de la infracción:
Las pymes y start-ups se benefician de un tope proporcional: se aplica el importe más bajo de los dos. Los primeros procedimientos formales deberían ser iniciados por el AI Office a finales de 2026, tras la fase de adaptación progresiva.
El AI Act ha transformado profundamente el ecosistema europeo de la IA. Para las grandes empresas usuarias (bancos, seguros, salud, RRHH), ahora se trata de integrar la conformidad desde el diseño de los sistemas -enfoque denominado compliance by design- lo que implica cartografía de usos de IA, análisis de impacto, documentación técnica y gobernanza interna. Firmas como Wavestone, France Digitale y Gide publicaron desde febrero de 2024 guías prácticas para acompañar esta evolución de competencias.
Para los proveedores de modelos open source, el reglamento prevé exenciones parciales de las obligaciones GPAI cuando los parámetros, la arquitectura y la información de uso se hacen públicos, salvo para los modelos de riesgo sistémico. Una coalición de actores del open source europeo (Hugging Face, GitHub, Mistral, La Quadrature du Net) solicitó en julio de 2023 un marco más flexible para preservar la innovación colaborativa. El compromiso final mantiene estas exenciones, pero exige la publicación del resumen de los datos de entrenamiento y la política de derechos de autor, lo que complica la escalabilidad de modelos con corpus muy grandes.
Para los campeones europeos -Mistral AI, LightOn, Aleph Alpha, Black Forest Labs- el AI Act supone un doble reto: cumplir con plazos ajustados y seguir entrenando modelos competitivos frente a OpenAI, Anthropic o Google. Varias voces, entre ellas la de Arthur Mensch (Mistral AI), advirtieron sobre el riesgo de desindustrialización europea si las cargas regulatorias fueran desproporcionadas respecto a las impuestas fuera de la UE. Por el contrario, Yoshua Bengio, Raja Chatila y Nicolas Miailhe consideran que una regulación estricta es crucial para preservar la autonomía estratégica europea y la confianza pública.
El AI Act se inscribe en un panorama internacional fragmentado. En Estados Unidos, la Executive Order de Biden de octubre de 2023 fue en gran parte derogada por la administración Trump en enero de 2025, dejando a las agencias federales y a los estados (en particular California con SB 1047) desarrollar enfoques sectoriales o locales. China, desde agosto de 2023, impuso un sistema de autorización previa para los modelos de IA generativa de uso general, habiendo aprobado más de 190 LLMs a cambio de un control político sobre el contenido generado.
El Reino Unido optó por un enfoque basado en principios, implementado por los reguladores sectoriales existentes, sin una ley específica hasta la fecha. Brasil, Canadá, Japón y Corea del Sur avanzan en sus propios marcos, a menudo inspirándose en el enfoque europeo basado en riesgos. El efecto Bruxelles -extraterritorialidad de facto de los reglamentos europeos cuando los proveedores internacionales eligen alinearse globalmente en lugar de gestionar varios regímenes- debería operar como ocurrió con el RGPD, aunque en 2026 aún no es cuantificable.
Varios encuentros internacionales han jalonado esta construcción: AI Safety Summit en Bletchley Park (noviembre de 2023), Séoul AI Safety Summit (mayo de 2024), AI Action Summit en París (febrero de 2025). Todos confirmaron la ausencia de un consenso global sobre la regulación, aunque subrayaron la responsabilidad particular de la UE como primer regulador en adoptar un texto vinculante.
Los desafíos críticos de los próximos 18 meses giran en torno a:
El AI Act no es un fin en sí mismo, sino un marco vivo. Su revisión está prevista cada cuatro años, la primera en 2028. Su éxito se medirá menos por la letra del texto que por su capacidad de articular la protección de los derechos fundamentales, la innovación industrial y la soberanía tecnológica europea.
El reglamento entró en vigor el 1 de agosto de 2024, veinte días después de su publicación en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Su aplicación se extiende hasta agosto de 2027 según la naturaleza de los sistemas implicados: prohibiciones efectivas desde el 2 de febrero de 2025, obligaciones GPAI a partir del 2 de agosto de 2025, sistemas de alto riesgo desde agosto de 2026.
Un modelo se presume de riesgo sistémico cuando supera el umbral de 10²⁵ FLOPS de cálculo acumulado durante el entrenamiento. Al inicio de la obligación en agosto de 2025, GPT-4, Gemini Ultra, Claude 3 Opus y Llama 3.1 405B estaban afectados. La Comisión también puede designar otros modelos según criterios cualitativos (número de usuarios, modalidades, capacidades evaluadas).
Todo proveedor de modelo de uso general puesto en el mercado europeo debe mantener una documentación técnica, publicar un resumen detallado de los datos de entrenamiento, establecer una política de respeto a los derechos de autor y cooperar con la Oficina de IA. Los modelos de riesgo sistémico añaden obligaciones de evaluación continua, pruebas adversariales, ciberseguridad y notificación de incidentes.
El artículo 53 obliga a los proveedores de GPAI a respetar los opt-out expresados por los titulares de derechos en virtud de la Directiva 2019/790. Este opt-out debe ser machine-readable (robots.txt, cabeceras HTTP, metadatos). Los titulares de derechos en Francia cuestionan la efectividad del mecanismo, ya que la exclusión de la ley Darcos en mayo de 2026 dejó a los titulares sin un respaldo legislativo nacional.
Las sanciones pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación mundial anual por prácticas prohibidas, 15 millones o el 3 % por incumplimientos de las obligaciones aplicables a los sistemas de alto riesgo y a los GPAI, y 7,5 millones o el 1 % por la provisión de información incorrecta. El importe más alto se aplica a las grandes empresas, el más bajo a las pymes.
Es un documento de referencia publicado el 10 de julio de 2025 por la Comisión Europea, elaborado por trece expertos independientes y alrededor de cien organizaciones consultadas. Su adopción voluntaria otorga una presunción de conformidad con los artículos 53 y 55. OpenAI, Mistral AI, Microsoft, Anthropic y Google lo han firmado, Meta lo ha rechazado.
La Oficina Europea de IA, dependiente de la Comisión Europea (DG CONNECT), supervisa a los proveedores de GPAI y a los modelos de riesgo sistémico. El Comité Europeo de IA reúne a las autoridades nacionales de los 27 Estados miembros. En Francia, la CNIL, la DGCCRF y la DGE son las autoridades competentes según los ámbitos correspondientes.
Sí, los modelos cuyos parámetros, arquitectura e información de uso se publican bajo licencia libre se benefician de exenciones parciales sobre las obligaciones GPAI - salvo si el modelo es de riesgo sistémico. Sin embargo, la publicación del resumen de los datos de entrenamiento y la política de derechos de autor siguen siendo obligatorias para todos los modelos open source.
En julio de 2025, más de 150 directivos de empresas europeas - entre ellas Carrefour, BNP Paribas, Airbus y TotalEnergies - firmaron una carta abierta solicitando una moratoria de dos años sobre la aplicación del AI Act. Alegaban un riesgo de desventaja competitiva frente a actores estadounidenses y chinos. La Comisión Europea rechazó esta solicitud, manteniendo el calendario inicial.
El RGPD regula el tratamiento de datos personales, mientras que el AI Act regula la puesta en el mercado y el uso de sistemas de IA, traten o no datos personales. Ambos textos se aplican de manera acumulativa: un sistema de IA de alto riesgo que trate datos personales debe respetar tanto las obligaciones del AI Act como los principios del RGPD (licitud, minimización, derechos de las personas).
La primera revisión cuatrienal del reglamento está prevista para 2028. La Comisión deberá evaluar la eficacia del mecanismo, la evolución del estado del arte tecnológico y la conveniencia de modificar los umbrales, las listas de usos de alto riesgo y los mecanismos de gobernanza.
5 articles liés à ce sujet
La conferencia de los once presidentes de grupo de la Asamblea Nacional no retuvo, el 12 de mayo de 2026 por la mañana, la propuesta de ley Darcos sob...
La AI Act, regulación europea sobre inteligencia artificial (IA), está en vigor desde febrero de 2024, a pesar de la oposición de algunas empresas. Im...
Tras un tercer borrador publicado en marzo pasado, la Comisión Europea presentó ayer la versión final del código de buenas prácticas para los modelos...
El jueves pasado, alrededor de cincuenta empresas europeas enviaron una carta abierta a la Comisión Europea solicitando una pausa de dos años en la im...
La Oficina de IA de la Comisión Europea ha publicado el tercer borrador del Código de buenas prácticas para ayudar a los proveedores de modelos de IA...
