Si has llegado aquí buscando información sobre GPAI, probablemente te suena que tiene algo que ver con la nueva regulación europea de IA — pero no tienes claro si te afecta, cómo, ni qué tienes que hacer al respecto. Vamos al grano: GPAI significa General Purpose AI (Inteligencia Artificial de Propósito General), y sí, te afecta. Aunque uses ChatGPT solo para redactar emails.
Este artículo te explica qué es un modelo GPAI, qué obligaciones tienes como empresa que lo usa (no que lo desarrolla), qué plazos manejas y cómo evitar los errores típicos que estamos viendo en PYMEs españolas.
Qué es un modelo GPAI
Un modelo GPAI es un modelo de IA capaz de realizar tareas muy diversas — no está diseñado para una sola función. Modelos como GPT-4, Claude, Gemini o Llama entran en esta categoría. Son la base sobre la que se construyen asistentes, chatbots, generadores de imágenes y prácticamente cualquier herramienta de IA generativa que estés usando hoy.
La Unión Europea decidió regularlos de forma específica dentro del AI Act (Reglamento UE 2024/1689), el primer marco regulatorio integral del mundo sobre inteligencia artificial. Y lo hizo por una razón sencilla: estos modelos son tan versátiles que pueden acabar en aplicaciones críticas sin que nadie haya hecho una evaluación de riesgo seria.
El calendario que tienes que conocer
El AI Act no entró en vigor de golpe. Se despliega por fases, y ya estás dentro:
| Fecha | Qué aplica |
|---|---|
| 2 de febrero de 2025 | Prohibiciones de usos inaceptables + obligación de alfabetización en IA |
| 2 de agosto de 2025 | Obligaciones para proveedores de modelos GPAI |
| 2 de agosto de 2026 | Aplicación plena para sistemas de alto riesgo |
| 2 de agosto de 2027 | Adaptación completa de modelos previos y productos regulados |
Desde el 2 de agosto de 2025, los proveedores de GPAI que introduzcan modelos en el mercado europeo deben cumplir obligaciones específicas en materia de documentación, transparencia y derechos de autor. Esto significa que OpenAI, Anthropic, Google y Meta ya están bajo el foco regulatorio. Pero la pregunta importante para ti es otra: ¿qué tienes que hacer tú, que solo eres usuario?
Proveedor vs. Operador: dónde encajas tú
Esta distinción es la que más confusión genera, así que vamos a aclararla. El reglamento obliga tanto a los proveedores —empresas que desarrollan o ponen en el mercado un sistema de IA— como a los operadores o deployers, es decir, empresas que utilizan un sistema de IA desarrollado por un tercero en el marco de sus actividades profesionales. Esta distinción es crucial: una empresa que compra un software de IA para selección de personal no es proveedora, pero sí es operadora y tiene sus propias obligaciones.
La mayoría de las PYMEs son operadoras. Si usas ChatGPT, Claude, Copilot, o cualquier herramienta construida sobre ellos, eres operador. Como deployer (usuario) de un sistema de IA, tienes obligaciones limitadas. Principalmente necesitas asegurar que el uso cumpla con los términos del proveedor e informar a las personas afectadas si la IA impacta sus derechos (por ejemplo, decisiones de RRHH). Es OpenAI, como proveedor, quien soporta la mayor parte de las obligaciones GPAI.
Esto es una buena noticia. Pero no significa que estés exento.
Tus obligaciones reales como PYME que usa IA
Aquí está lo que sí tienes que hacer, aunque no desarrolles modelos:
1. Alfabetización en IA (ya en vigor)
La obligación de AI literacy es ya exigible desde febrero de 2025. El personal que trabaja con sistemas de IA debe comprender sus capacidades y limitaciones. No hace falta que tu equipo sea ingeniero de machine learning — basta con que sepan qué pueden esperar de la herramienta, qué riesgos tiene y dónde no deben usarla.
2. Transparencia con tus clientes
Si usas un chatbot, tu cliente tiene que saber que está hablando con una IA. Desde febrero de 2025, todos los chatbots deben informar claramente a los usuarios que están interactuando con una IA. Una mención al inicio de la conversación ("Soy un asistente virtual impulsado por IA") es generalmente suficiente.
Lo mismo aplica a contenido generado por IA que se publique de cara al público: hay que etiquetarlo.
3. Clasificar tus usos de IA por nivel de riesgo
Este es el paso que casi nadie está haciendo bien. La clasificación depende del uso concreto del sistema, no de la tecnología subyacente. El mismo modelo de lenguaje (por ejemplo, GPT-4) puede ser: Riesgo mínimo si lo usas para generar borradores de emails internos; Riesgo limitado si lo usas como chatbot de cara al público; Alto riesgo si lo usas para filtrar candidatos en procesos de selección.
Es decir: la misma herramienta puede tener obligaciones completamente distintas según para qué la uses. Inventaría tus usos y clasifícalos uno por uno.
4. Verificar que tu proveedor cumple
Desde el 02/08/2025, debes revisar la documentación del proveedor de GPAI y ajustar avisos/contratos en tu cadena de valor. Si tu proveedor de IA no te puede enseñar su documentación técnica y su política de cumplimiento, tienes un problema.
Lo que está prohibido (y muchos no saben)
Estos sistemas están completamente prohibidos desde febrero de 2025: clasificación de ciudadanos basada en comportamiento social, identificación biométrica remota en tiempo real en espacios públicos, categorización biométrica que infiera datos sensibles (raza, orientación sexual, afiliación política), reconocimiento de emociones en el trabajo o instituciones educativas (excepto razones médicas o de seguridad), y predicción de comportamiento criminal basada únicamente en perfiles.
Si alguno de tus procesos roza esto — especialmente el reconocimiento de emociones en empleados, que se ha puesto de moda con algunas herramientas de "productividad" — desactívalo ya.
Las sanciones: no son simbólicas
Las multas pueden alcanzar 35 millones de euros o el 7% de la facturación global por infracciones muy graves (uso de sistemas prohibidos). Por incumplimiento de obligaciones de alto riesgo, hasta 15 millones o 3%. Para PYMEs y startups, se aplican límites proporcionales reducidos.
La cifra concreta no es lo importante — el mensaje sí: la UE se toma esto en serio y España ya tiene autoridad supervisora propia, AESIA, operativa.
Cómo empezar sin volverte loco
Si tu PYME está empezando con IA o ya la usa de forma dispersa, este es el orden lógico:
- Inventario: lista todas las herramientas de IA que usa tu empresa (incluidas las que tu equipo usa sin avisarte).
- Clasificación: asigna a cada uso un nivel de riesgo. El 90% será riesgo mínimo o limitado.
- Transparencia: añade avisos en chatbots, etiqueta contenido generado, actualiza tu política de privacidad.
- Formación: una sesión de 1-2 horas para el equipo que usa IA es suficiente para cumplir la obligación de alfabetización.
- Documentación de proveedores: pide a cada proveedor su declaración de cumplimiento del AI Act.
El cumplimiento no es el enemigo de la productividad
Una cosa que vemos a diario en Studio SmartWork: las empresas que tratan el AI Act como una carga acaban perdiendo el tren. Las que lo integran desde el diseño de sus flujos de IA se ahorran rehacer trabajo y operan con tranquilidad.
Cuando construimos soluciones de IA personalizadas para PYMEs — agentes de voz, gestión de email, calificación de leads — el cumplimiento del AI Act forma parte del diseño desde el día uno. Usamos herramientas open-source como n8n y APIs auditables, documentamos qué hace cada flujo, dónde toma decisiones y qué supervisión humana tiene. No por burocracia, sino porque un sistema que cumple es también un sistema que entiendes y controlas.
La regulación no va a desaparecer. Las PYMEs que se adapten ahora — sin pánico, con un plan razonable — van a tener una ventaja clara sobre las que sigan posponiéndolo. Empieza por el inventario esta semana. El resto se construye sobre eso.