Si usas ChatGPT, Claude, Gemini o cualquier asistente de IA en tu negocio, ya estás tocando lo que Europa llama un modelo GPAI (General-Purpose AI, o IA de propósito general). Y desde agosto de 2025 hay reglas claras sobre quién es responsable de qué cuando se usan estos modelos en el mercado europeo.
La buena noticia: si eres una PYME que usa estas herramientas, la mayoría de obligaciones no recaen sobre ti. La menos buena: hay matices importantes, especialmente si integras IA en productos que vendes a terceros. Vamos a desmenuzarlo sin tecnicismos innecesarios.
Qué es exactamente un modelo GPAI
Un modelo GPAI no es lo mismo que una aplicación de IA. Es el motor que hay debajo. Los modelos GPAI pueden realizar una amplia gama de tareas y se están convirtiendo en la base de muchos sistemas de IA en la UE.
La definición legal es técnica pero clara: el AI Act define un modelo GPAI como aquel que "muestra una generalidad significativa y es capaz de realizar competentemente una amplia variedad de tareas distintas". La Comisión presumirá que un modelo con más de 10²³ operaciones de coma flotante (FLOP) de cómputo de entrenamiento, capaz de generar lenguaje (texto o audio), texto-a-imagen o texto-a-vídeo, es un modelo GPAI.
En la práctica, esto incluye a los sospechosos habituales: varios de los LLMs multimodales (p. ej., GPT 4, Gemini 3, Llama 3, Claude Opus 4.5, Grok 4) que sustentan los asistentes de IA más utilizados (ChatGPT, Gemini, Meta AI, Claude, Perplexity, Grok) entran dentro de la definición de modelos GPAI bajo el Act.
En resumen: si una IA puede escribir, traducir, programar, resumir y generar imágenes con el mismo modelo base, probablemente sea un GPAI.
Por qué deberías prestar atención (aunque no fabriques modelos)
Las obligaciones más duras del AI Act recaen sobre los proveedores de modelos GPAI: OpenAI, Anthropic, Google, Meta, Mistral. No sobre tu negocio. Pero hay tres razones por las que esto te afecta:
- Tus proveedores tendrán nuevas obligaciones de transparencia que te beneficiarán como cliente.
- Si modificas o reentrenas un modelo de forma significativa, puedes convertirte tú en proveedor ante la ley.
- El AI Act tiene alcance extraterritorial, lo que cambia las reglas del juego para cualquier herramienta que uses.
El AI Act tiene un amplio alcance extraterritorial. Se aplica, entre otros actores, a proveedores y desplegadores de modelos GPAI y sistemas de IA ubicados dentro de la UE, a proveedores fuera de la UE que colocan modelos GPAI o sistemas de IA en el mercado en la UE, a proveedores fuera de la UE que ponen sistemas de IA en servicio en la UE, y a proveedores y desplegadores de sistemas de IA fuera de la UE cuando la salida del sistema se utiliza dentro de la UE.
Traducción: aunque uses una herramienta americana, si la salida llega a tu negocio en España, el AI Act aplica.
Las fechas que importan
Las reglas del AI Act para modelos GPAI se hicieron aplicables el 2 de agosto para nuevos modelos puestos en el mercado después de esa fecha; los proveedores de modelos GPAI ya en el mercado antes del 2 de agosto de 2025 tienen hasta el 2 de agosto de 2027 para adecuar sus modelos y documentación.
Y hay un cambio reciente importante: esta propuesta legislativa (apodada 'AI omnibus') fue adoptada el 19 de noviembre de 2025 y se alcanzó un acuerdo político el 7 de mayo de 2026. Tras el acuerdo político, hay un calendario claro de implementación para las reglas que rigen los sistemas de IA de alto riesgo: las normas para sistemas usados en ciertas áreas de alto riesgo —incluyendo biometría, infraestructura crítica, educación, empleo, migración, asilo y control fronterizo— se aplicarán desde el 2 de diciembre de 2027.
Qué obligaciones tienen los proveedores de GPAI (y por qué te conviene saberlo)
Cuando contratas una API de IA o usas un modelo en tu negocio, conviene saber qué le pueden exigir a ese proveedor. Te ayuda a elegir mejor y a justificar tus decisiones ante auditorías o clientes.
Todos los proveedores de modelos GPAI deben proporcionar documentación técnica, instrucciones de uso, cumplir con la Directiva de Derechos de Autor y publicar un resumen sobre el contenido utilizado para el entrenamiento.
Para los modelos más potentes hay un nivel adicional: además de las cuatro obligaciones anteriores, los proveedores de modelos GPAI con riesgo sistémico también deben: realizar evaluaciones del modelo, incluyendo pruebas adversariales documentadas para identificar y mitigar riesgos sistémicos. Evaluar y mitigar posibles riesgos sistémicos, incluyendo sus fuentes. Rastrear, documentar y reportar incidentes graves y posibles medidas correctivas a la Oficina de IA y a las autoridades nacionales competentes sin demora indebida. Garantizar un nivel adecuado de protección en ciberseguridad.
¿Cuándo se considera un modelo "de riesgo sistémico"? Los modelos GPAI presentan riesgos sistémicos cuando la cantidad acumulada de cómputo utilizado para su entrenamiento es mayor a 10²⁵ operaciones de coma flotante (FLOPs). Hablamos de los modelos frontera de OpenAI, Anthropic y Google.
El punto crítico para PYMEs: ¿cuándo te conviertes tú en "proveedor"?
Aquí es donde mucha gente se confunde. Usar un modelo no te convierte en proveedor. Pero hay líneas rojas claras:
Bajo las Directrices GPAI, tu empresa debe cumplir como proveedor de modelos GPAI si: coloca un modelo GPAI en el mercado de la UE de cualquier forma, como vía API, descarga o servicio en la nube. Integra su propio modelo GPAI en un chatbot, aplicación móvil u otro sistema que tu empresa pone a disposición en la UE. Proporciona un modelo a alguien que hace cualquiera de las anteriores —a menos que tu empresa haya prohibido clara e inequívocamente la distribución y uso en la UE.
Y el matiz más relevante para quien personaliza IA: los proveedores intermedios que ajustan (fine-tuning) o modifican un modelo GPAI existente (p. ej., una empresa integrando un modelo GPAI en sus productos) también pueden convertirse en proveedor bajo el CoP y el EU AI Act bajo ciertas circunstancias, pero solo respecto a sus modificaciones. En este caso aplican disposiciones especiales bajo el CoP (p. ej., respecto a transparencia).
El enfoque pragmático es claro: las directrices están diseñadas para ser pragmáticas. Por ejemplo, aclaran que solo aquellos que realicen modificaciones significativas a modelos de IA necesitan cumplir las obligaciones de proveedores de modelos GPAI, no quienes hagan cambios menores.
Qué significa todo esto para tu PYME, en concreto
Vamos al grano. Si dirijes una PYME en España y usas IA, esto es lo que cambia y lo que no:
| Situación | ¿Eres proveedor GPAI? | ¿Qué debes hacer? |
|---|---|---|
| Usas ChatGPT/Claude/Gemini con prompts | No | Nada específico bajo Cap. V |
| Conectas APIs de IA a tus procesos internos | No | Vigila condiciones del proveedor |
| Construyes un chatbot con un modelo de terceros | No (en general) | Transparencia con tus usuarios |
| Haces fine-tuning significativo y lo distribuyes | Posiblemente sí | Documentar modificaciones |
| Entrenas tu propio modelo desde cero | Sí | Cumplimiento completo |
La gran mayoría de PYMEs caen en las tres primeras filas. Es decir: puedes seguir usando IA con normalidad, pero con criterio.
Buenas prácticas que te ahorrarán problemas
Independientemente de la regulación, hay decisiones que cualquier PYME debería tomar al implementar IA. Estas son las que aplicamos cuando construimos soluciones para clientes:
- Elige proveedores que ya estén alineados con el AI Act. Si han firmado el Código de Práctica, mejor. Te ahorra justificaciones.
- Documenta dónde usas IA y para qué. No hace falta un dossier de 200 páginas. Un registro interno básico es suficiente para la mayoría de casos.
- Sé transparente con tus clientes. Si un chatbot o un email automatizado interactúa con ellos, deben saberlo.
- Evita los "agujeros negros". Soluciones que no puedes auditar ni explicar son un riesgo legal y operativo.
- Apuesta por arquitecturas abiertas. Quedarte atado a un único proveedor de modelo es caro y frágil. Las herramientas open-source como n8n permiten cambiar el motor de IA sin reconstruir todo.
Cómo encaja esto con automatizar tu negocio
En Studio SmartWork construimos soluciones de IA aplicada para PYMEs españolas, y la mayoría no necesita entrenar modelos propios. Necesita orquestar bien los modelos GPAI existentes para resolver problemas concretos: atender llamadas 24/7, gestionar el correo, calificar leads, automatizar propuestas.
Esa orquestación —combinar un modelo GPAI con tus datos, tu CRM, tu calendario y tu lógica de negocio— es donde está el valor real. Y se hace sin convertirte en proveedor regulado, sin perder control y sin atarte a un único motor de IA.
La regulación no es un obstáculo para usar IA en tu negocio. Es un mapa. Y ahora que está más claro quién es responsable de qué, no hay excusa para seguir perdiendo horas en tareas que una IA bien implementada resuelve en segundos.