Modelo GPAI: cuando los proveedores de modelos fundacionales asumen obligaciones vinculantes en la UE

Los modelos GPAI se enfrentan a los artículos 53-55 del EU AI Act desde agosto de 2025. Zertia audita el cumplimiento GPAI con ISO 42001.

Definición

Definición técnica

¿Qué es un modelo GPAI bajo el EU AI Act?

Un modelo de IA de propósito general (GPAI) es un modelo de IA que muestra generalidad significativa y es capaz de realizar una amplia gama de tareas distintas. Bajo el EU AI Act, los modelos GPAI se definen en el Artículo 3(63) como modelos de IA entrenados con grandes cantidades de datos que demuestran un rendimiento sólido en tareas diversas y pueden integrarse en una variedad de sistemas o aplicaciones aguas abajo. Los modelos de lenguaje grande (LLMs) como GPT-4, Claude, Gemini o Llama son los ejemplos paradigmáticos de modelos GPAI.

El EU AI Act introduce un régimen regulatorio dedicado para los modelos GPAI en el Capítulo V. Todos los proveedores de modelos GPAI deben cumplir con obligaciones básicas de transparencia y documentación: mantener documentación técnica, proporcionar fichas de modelo y políticas de uso, garantizar el cumplimiento de los derechos de autor en los datos de entrenamiento y publicar resúmenes de esos datos. Los modelos GPAI clasificados como de riesgo sistémico, los entrenados con cómputo superior a 10^25 FLOPs, enfrentan obligaciones adicionales que incluyen pruebas adversariales, notificación de incidentes a la Oficina Europea de IA y medidas de ciberseguridad reforzadas.

La relevancia estructural del régimen GPAI es que regula la capa upstream del stack de IA. La mayor parte de la regulación de IA previa, incluyendo el régimen de alto riesgo del propio EU AI Act, se centraba en el contexto de despliegue. Las normas GPAI, en cambio, abordan los modelos de fundamento de los que dependen cientos o miles de aplicaciones downstream. Es la primera vez que la infraestructura fundacional de IA se regula como tal, con independencia de cómo se aplique posteriormente.

Por qué importa operativamente

¿Por qué importa operativamente la regulación GPAI?

La regulación GPAI importa porque extiende las obligaciones del EU AI Act a la capa upstream del stack de IA. Las empresas que desarrollan o distribuyen modelos de fundamento y LLMs enfrentan obligaciones regulatorias directas, no solo las empresas que los despliegan. Esto crea una exposición dual: los desarrolladores de modelos GPAI asumen obligaciones como proveedores y las empresas que integran modelos GPAI en productos asumen obligaciones como desplegadores. Ambas son independientes y cumplir una no satisface la otra.

Para las empresas que usan modelos GPAI en aplicaciones de alto riesgo, automatización de RR.HH., decisiones de crédito al consumidor, asistencia médica, la integración del modelo GPAI no transfiere la responsabilidad regulatoria al proveedor del modelo. La organización que despliega sigue siendo responsable del cumplimiento a nivel de sistema de la aplicación: gestión de riesgos, supervisión humana, documentación técnica, evaluación de conformidad. El modelo es un componente; el artefacto regulado es el sistema que lo utiliza.

Esta separación tiene implicaciones directas de compras. Los compradores de aplicaciones basadas en GPAI necesitan verificar dos perímetros de cumplimiento distintos: que el modelo GPAI subyacente cumpla las obligaciones del Capítulo V y que la aplicación construida sobre él cumpla las obligaciones aplicables del desplegador. Los proveedores que confunden ambos, tratando el cumplimiento del proveedor como si cubriera el cumplimiento a nivel de sistema, exponen a los compradores a un riesgo regulatorio que solo aflora bajo enforcement.

Marco regulatorio / Regulatory Framework

¿Qué marcos rigen los modelos GPAI?

| Framework | Obligaciones GPAI | | — | — | | EU AI Act — Capítulo V | Todos los proveedores GPAI: documentación técnica, políticas de uso, cumplimiento de derechos de autor en datos de entrenamiento, resumen público de datos de entrenamiento. Obligaciones adicionales para los modelos GPAI con riesgo sistémico (pruebas adversariales, notificación de incidentes, ciberseguridad). | | Oficina Europea de IA | Supervisa el cumplimiento de las obligaciones de los modelos GPAI de riesgo sistémico a nivel de la UE. Emite guía sobre umbrales, clasificaciones y prioridades de enforcement. | | ISO/IEC 42001 | La certificación ISO 42001 cubre la gobernanza del ciclo de vida de los modelos, incluyendo GPAI cuando son desarrollados o desplegados por la organización. Aporta un sistema de gestión certificable que integra las obligaciones GPAI en la gobernanza de IA más amplia. | | Código de Buenas Prácticas GPAI | Marco voluntario desarrollado bajo la Oficina Europea de IA para operacionalizar las obligaciones del Capítulo V. La adhesión funciona como evidencia de cumplimiento hasta que se publiquen las normas armonizadas. |

Cómo lo evalúa Zertia

¿Cómo evalúa Zertia el cumplimiento de los modelos GPAI?

Zertia evalúa el cumplimiento de los modelos GPAI mediante la Auditoría EU AI Act, que cubre las obligaciones específicas de GPAI: adecuación de la documentación técnica, cumplimiento de las políticas de uso, medidas de derechos de autor en los datos de entrenamiento y, para los modelos de riesgo sistémico, mecanismos de pruebas adversariales y notificación de incidentes. La Evaluación EU AI Act proporciona la clasificación diagnóstica y el análisis de gaps que precede a la auditoría formal, incluyendo la determinación de si un modelo califica como GPAI y si supera el umbral de riesgo sistémico.

Para organizaciones que integran modelos GPAI en aplicaciones de alto riesgo, Zertia coordina la evaluación a nivel GPAI con la evaluación de conformidad a nivel de sistema. El enfoque integrado garantiza que el perímetro dual de cumplimiento (proveedor + desplegador) quede documentado de forma coherente, evitando los fallos más habituales en compras y regulación que surgen cuando ambos se tratan como una única obligación.

Auditoría EU AI Act →

Evaluación EU AI Act →

Recursos relacionados

¿Qué recursos complementarios refuerzan el cumplimiento GPAI?

  • EU AI Act — Capítulo V — Obligaciones para modelos GPAI (eur-lex.europa.eu)
  • Código de Buenas Prácticas GPAI — Marco operativo voluntario bajo la Oficina Europea de IA
  • Guía: Guía Completa del EU AI Act
  • Análisis de riesgo de IA: Repositorio de riesgos de IA de Zertia
  • Términos relacionados: Modelo de Lenguaje Grande · EU AI Act · Riesgo Sistémico (GPAI) · Transparencia de IA · Sistema de IA de Alto Riesgo

FAQ

Preguntas frecuentes sobre los modelos GPAI

P: ¿Qué modelos de IA califican como GPAI bajo el EU AI Act?

El EU AI Act define los modelos GPAI por su generalidad, versatilidad y escala. Los modelos más claramente cubiertos son los modelos de lenguaje grande entrenados sobre datos amplios con un rendimiento sólido en múltiples tareas: GPT-4, Claude, Gemini, Llama, Mistral. Los modelos de fundamento de imagen y vídeo con generalidad comparable también entran en el alcance. Los modelos especializados más estrechos, entrenados y optimizados para una única tarea específica, como un modelo de credit scoring o un clasificador de imagen médica, normalmente no califican. Se espera que la Oficina Europea de IA emita guía más específica sobre los umbrales, en particular sobre la frontera entre GPAI y modelos estrechos de alta capacidad.

P: ¿Usar un modelo GPAI de un tercero (como GPT o Claude) hace que mi aplicación cumpla?

No. Integrar un modelo GPAI que cumple con sus obligaciones como proveedor no transfiere el cumplimiento a la aplicación construida sobre él. Si la aplicación constituye un sistema de IA de alto riesgo bajo el Anexo III, la organización que despliega sigue siendo responsable del cumplimiento a nivel de sistema: gestión de riesgos, supervisión humana, documentación técnica, evaluación de conformidad y monitorización post-mercado. El cumplimiento del proveedor y el del desplegador son obligaciones independientes. Confundir ambas es uno de los riesgos de compras más habituales bajo el EU AI Act.

P: ¿Qué es el riesgo sistémico en modelos GPAI?

El EU AI Act clasifica los modelos GPAI como de riesgo sistémico cuando se entrenan con un poder de cómputo superior a 10^25 FLOPs, con el umbral revisable por la Oficina Europea de IA. Esta clasificación activa obligaciones adicionales: pruebas adversariales, notificación de incidentes a la Oficina Europea de IA, medidas de ciberseguridad reforzadas y evaluaciones de impacto. Los modelos más grandes de los laboratorios frontera probablemente superen este umbral. La clasificación de riesgo sistémico es estructuralmente similar a la regulación financiera sistémica: reconoce que algunos modelos son lo suficientemente grandes como para que sus modos de fallo afecten a mercados, infraestructura o derechos a escala, y requieren una supervisión correspondientemente intensiva.

P: ¿Qué documentación se exige a un proveedor GPAI?

Un proveedor GPAI debe mantener y poner a disposición documentación técnica sobre la arquitectura del modelo, la metodología de entrenamiento, las características de rendimiento, los usos previstos y las limitaciones conocidas. El proveedor también debe publicar una política de uso que describa los usos aceptables y prohibidos, asegurar que se aplicaron medidas de cumplimiento de derechos de autor en los datos de entrenamiento y publicar un resumen suficientemente detallado de esos datos. El requisito del resumen es estructuralmente significativo: obliga a los proveedores de modelos de fundamento a revelar, a un nivel relevante, sobre qué se han entrenado sus modelos, lo que tiene implicaciones directas para los derechos de autor, la privacidad y la responsabilidad sobre sesgos.

P: ¿Cómo interactúa la regulación GPAI con la certificación ISO/IEC 42001?

ISO/IEC 42001 es una norma horizontal de sistema de gestión que cubre el ciclo de vida de la IA, incluyendo el desarrollo, despliegue e integración de modelos GPAI. Una organización que desarrolla modelos GPAI puede usar ISO 42001 para integrar las obligaciones del Capítulo V dentro de un sistema más amplio de gobernanza de IA que satisface tanto los requisitos regulatorios como los requisitos de sistema de gestión que cada vez impulsan más las compras empresariales. ISO 42001 no reemplaza el cumplimiento del Capítulo V, pero aporta la infraestructura estructural dentro de la cual las obligaciones del Capítulo V se implementan, documentan y mejoran de forma continua.

P: ¿Cómo aplica la regulación GPAI al fine-tuning y a las modificaciones aguas abajo?

El EU AI Act aborda el fine-tuning y la modificación sustancial con una regla estructural específica: una organización aguas abajo que afina un modelo GPAI de forma que cambia materialmente sus capacidades, su uso previsto o su perfil de riesgo puede convertirse ella misma en proveedora GPAI del modelo modificado, con las obligaciones correspondientes del Capítulo V. Un fine-tuning ligero para tareas estrechas normalmente no activa este estatus, pero una modificación sustancial sí. Las organizaciones que construyen productos sobre modelos GPAI open source deben evaluar en qué punto del espectro cae su fine-tuning, porque una mala clasificación puede desplazar el perímetro de cumplimiento sin que la organización lo perciba.

CTA contextual

¿Listo para clarificar tu perímetro de cumplimiento GPAI?

Si desarrollas o distribuyes un modelo GPAI, el EU AI Act crea obligaciones de cumplimiento directas para ti. Si construyes aplicaciones usando modelos GPAI en contextos de alto riesgo, sigues siendo responsable del cumplimiento a nivel de sistema. Zertia evalúa ambos perímetros de forma coordinada.

Contacta · Agenda una llamada · Más información

Términos relacionados

P: ¿Qué términos se conectan con los Modelos GPAI?

  • Modelo de Lenguaje Grande (LLM) — Tipo paradigmático de modelo GPAI
  • EU AI Act — El Reglamento que rige los modelos GPAI
  • Riesgo Sistémico (GPAI) — La clasificación que activa obligaciones adicionales para los modelos GPAI más grandes
  • Sistema de IA de Alto Riesgo — Clasificación que puede aplicarse a aplicaciones que integran GPAI
  • Transparencia de IA — Obligación central para los proveedores GPAI
  • IA Agéntica — Caso de uso creciente de GPAI con implicaciones regulatorias adicionales

Por qué importa operativamente

¿Por qué importa operativamente la regulación GPAI?

Marco regulatorio

¿Qué marcos regulan los modelos GPAI?

Cómo lo evalúa Zertia

¿Cómo evalúa Zertia el cumplimiento de los modelos GPAI?

Definiciones que se sostienen ante un auditor.

¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.