Por primera vez, Europa se prepara para regular de forma directa y exigible a los gigantes de la inteligencia artificial. El próximo 2 de agosto entra en vigor un tramo clave del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial —conocido como RIA—: las obligaciones específicas para los llamados modelos de Inteligencia Artificial de Propósito General (GPAI, por sus siglas en inglés: General Purpose AI models).
Se trata de una fecha que marcará un antes y un después en la gobernanza tecnológica europea.
Como amante y estudioso de esta materia, he seguido de cerca la gestación y despliegue del RIA. A pesar de su complejidad, es necesario explicar a la ciudadanía por qué esta norma no solo interesa a técnicos o legisladores, sino también a todos nosotros.
Porque lo que está en juego es quién controla las herramientas más potentes de la era digital, y bajo qué reglas se asegura que su uso no vulnere nuestros derechos fundamentales.
Los modelos GPAI son el esqueleto invisible de buena parte de la Inteligencia Artificial que usamos a diario.
Son modelos entrenados con ingentes cantidades de datos, capaces de adaptarse a múltiples tareas: generar texto, traducir, razonar (sí, sí, razonar), programar, recomendar o incluso crear imágenes o sonidos.
OpenAI, Google, Meta o Anthropic ya operan en Europa con herramientas como ChatGPT, Gemini o Claude. Son potentes, sí. Pero también opacos, propensos a sesgos y difíciles de auditar.
RIESGOS
Este tipo de sistemas plantea riesgos cada vez más reconocidos por las instituciones europeas: la generación automática de contenidos falsos o engañosos, que puede alimentar fenómenos de desinformación masiva; la reproducción y amplificación de sesgos algorítmicos, que perpetúan desigualdades en ámbitos como el acceso al empleo, la salud o la justicia; la infracción de derechos de autor, derivada del uso de obras protegidas en los procesos de entrenamiento; la falta de transparencia o trazabilidad, que impide conocer cómo toman decisiones o con qué datos han sido entrenados; y, sobre todo, el riesgo sistémico que representan cuando se integran en servicios esenciales o procesos democráticos clave, generando efectos amplificados sobre la ciudadanía, las instituciones y el mercado digital europeo.
Los sujetos obligados son fundamentalmente los proveedores que desarrollen, distribuyan o pongan en servicio modelos GPAI en la UE, así como quienes los importen o integren en productos disponibles en el mercado europeo, incluso si han sido desarrollados fuera del territorio comunitario.
A partir del 2 de agosto de este año, los proveedores de estos modelos estarán obligados a cumplir una serie de exigencias: documentación técnica, resumen de los datos de entrenamiento, respeto de la legislación sobre propiedad intelectual y cooperación con las autoridades europeas.
Para los modelos más potentes —los de riesgo sistémico, aquellos que superan un determinado umbral de capacidad computacional–, las obligaciones se intensifican: deberán realizar evaluaciones de impacto, pruebas previas al despliegue, análisis sobre los derechos fundamentales, publicar informes de transparencia y notificar incidentes relevantes.
No es solo una cuestión de potencia técnica. Es, sobre todo, una cuestión de impacto. Imaginemos un modelo como “TitanAI”, desarrollado por una gran multinacional, integrado en plataformas de salud, educación, empleo o servicios financieros.
Si TitanAI genera desinformación, discrimina sin que nadie lo advierta o vulnera derechos sin mecanismos de reparación, el daño sería masivo, amplificado y probablemente irreparable.
EL REGLAMENTO ESTABLECE OBLIGACIONES JURÍDICAS
Por eso, el RIA exige más donde hay más riesgo. Y da herramientas a los reguladores para actuar.
En este sentido, los artículos 50 a 55 del Reglamento establecen las obligaciones jurídicas y técnicas concretas, mientras que el artículo 113.5 fija con claridad la fecha del 2 de agosto como el momento de plena aplicabilidad, también en el plano sancionador. Esto significa que los proveedores que incumplan sus deberes podrán enfrentarse a multas de hasta 15 millones de euros o el 3 % de su volumen global de negocio anual. En casos de obstrucción o falta de colaboración, las sanciones alcanzan los 7,5 millones de euros o el 1 %, según lo previsto en los artículos 99.2 y 99.3.
Las autoridades nacionales competentes en cada Estado miembro —como la Agencia Española de Protección de Datos (AEPD), la Comisión Nacional de los Mercados y la Competencia (CNMC) o la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) en el caso español— tienen atribuciones para investigar e imponer sanciones.
La Oficina Europea de Inteligencia Artificial desempeña funciones de coordinación, supervisión y puede intervenir en los casos más graves o de dimensión transfronteriza, mientras que la Comisión Europea ostenta competencias específicas sobre los GPAI de riesgo sistémico.
A diferencia de otras disposiciones del RIA —como las que afectan a sistemas prohibidos, que se aplican desde febrero de 2025, o los sistemas de alto riesgo, que esperarán hasta 2026—, en el caso de los GPAI todo entra en vigor el 2 de agosto de 2025: derechos, obligaciones, supervisión y multas.
Este momento no debe entenderse solo como un desafío legal para las grandes tecnológicas. Es, ante todo, una oportunidad para liderar un modelo de desarrollo tecnológico más responsable, más transparente y más humano.
Si Europa quiere tener algo que decir en el futuro de la Inteligencia Artificial, no puede limitarse a seguir a las grandes plataformas. Tiene que atreverse a poner reglas. A partir de agosto, empieza esa cuenta atrás.
