La Comisión Europea ha dado un paso decisivo en la regulación de la inteligencia artificial con la publicación de las primeras normas detalladas para los modelos de IA de propósito general (GPAI), como GPT-5 o Gemini. Este nuevo marco, integrado en el AI Act, establece obligaciones concretas de transparencia y gestión de riesgos que empezarán a aplicarse a partir de agosto de 2026. Para las startups y scale-ups españolas que integran APIs de grandes proveedores o desarrollan sus propios modelos de lenguaje (LLMs), las implicaciones son inmediatas y sustanciales.
El Código de Buenas Prácticas: transparencia y copyright
La piedra angular de esta nueva regulación es el Código de Buenas Prácticas para GPAI, aprobado recientemente por la Comisión. Este código introduce dos grandes bloques de obligaciones que afectan directamente a las empresas usuarias de IA generativa:
- Resúmenes de datos de entrenamiento: Los proveedores de modelos fundacionales deberán publicar plantillas detalladas que especifiquen qué datos protegidos por derechos de autor se han utilizado en el entrenamiento. Esto permitirá a los titulares de derechos reclamar compensaciones.
- Métricas de eficiencia energética: Se exigirá reportar el consumo computacional y energético del modelo, con métricas estandarizadas que permitan comparar el impacto ambiental de cada sistema.
Según informó Reuters, estas plantillas ya están siendo probadas por los principales laboratorios de IA, y se espera que su implementación definitiva esté lista para el primer trimestre de 2026. TechCrunch añadió que la Oficina de IA de la UE podrá imponer multas de hasta el 7% de la facturación global por incumplimiento en la transparencia de los datos de entrenamiento.
Impacto directo: Si tu empresa utiliza un LLM de terceros (OpenAI, Google, Anthropic) en un chatbot o asistente, deberás asegurarte de que tu proveedor cumple con estas obligaciones de transparencia. Si desarrollas tu propio modelo, las exigencias recaen directamente sobre ti.
Umbrales de cómputo: ¿qué modelos son sistémicos?
El AI Act establece un criterio objetivo para clasificar los modelos de alto riesgo: aquellos cuyo entrenamiento haya requerido más de 10^25 FLOPs (operaciones de coma flotante). Este umbral, según Bloomberg, incluye a modelos como GPT-4 y sus sucesores, así como a Gemini Ultra. Estos modelos se consideran sistémicos y tendrán obligaciones adicionales, como:
- Auditorías externas obligatorias de seguridad y sesgos.
- Notificación de incidentes graves a la Oficina de IA en un plazo de 15 días.
- Pruebas de estrés y evaluaciones de impacto sistémico antes del despliegue.
Para las empresas españolas que integran APIs de estos modelos, la recomendación es clara: revisar los contratos con los proveedores para asegurarse de que incluyen cláusulas de cumplimiento con el AI Act. No hacerlo podría exponer a la empresa a sanciones indirectas si el modelo utilizado incurre en infracciones.
Startups españolas: entre la innovación y la burocracia
El sector tecnológico español ha reaccionado con una mezcla de prudencia y preocupación. En declaraciones recogidas por Cinco Días, varias startups de IA aplicada a salud y logística han solicitado a la Comisión la creación de un sandbox regulatorio que permita testear productos sin el peso completo de las obligaciones. Argumentan que las guías actuales son demasiado genéricas y no tienen en cuenta las particularidades de las PYMEs.
Un ejemplo concreto: una startup madrileña que desarrolla un asistente clínico basado en un LLM ajustado con datos propios deberá, a partir de agosto de 2026, demostrar que el modelo base cumple con las auditorías de copyright y eficiencia energética. Para un equipo de 15 personas, esto puede suponer una carga administrativa desproporcionada.
"No se trata de eludir la regulación, sino de que esta sea proporcional al riesgo real que generamos. Una herramienta de apoyo logístico no debería tener las mismas exigencias que un modelo usado en diagnóstico médico."
— Responsable de cumplimiento normativo de una scale-up española de IA, citado por Cinco Días
¿Qué deben hacer las empresas españolas antes de agosto de 2026?
El plazo parece amplio, pero la preparación requiere tiempo. Estas son las acciones prioritarias para cualquier empresa que utilice o desarrolle modelos GPAI:
- Auditar los proveedores actuales: Verificar si sus modelos superan el umbral de 10^25 FLOPs y si ya están trabajando en las plantillas de transparencia exigidas.
- Revisar los contratos de licencia: Incluir cláusulas que transfieran la responsabilidad del cumplimiento al proveedor del modelo base.
- Documentar el uso de datos propios: Si se realiza fine-tuning con datos corporativos, es necesario llevar un registro detallado de las fuentes y los derechos asociados.
- Evaluar el consumo energético: Para modelos propios, empezar a medir los FLOPs y el consumo eléctrico real de los entrenamientos.
Reflexión final: una oportunidad para la confianza
Para las empresas españolas, esta regulación no es solo una carga: es una oportunidad para diferenciarse en un mercado que cada vez valora más la
¿Quieres aplicar esto en tu empresa?
En EnginAI Global Solutions ayudamos a empresas a integrar IA y automatización en sus procesos reales. Sin humo, con resultados medibles.
Automatización con IA Consultoría IA