⚠ Estado a 17 de julio de 2026: las obligaciones para proveedores de modelos GPAI (Capítulo V, artículos 51 a 56 del Reglamento) llevan en vigor desde el 2 de agosto de 2025 y el Digital Omnibus sobre IA —adoptado por el Consejo el 29 de junio de 2026, firmado el 8 de julio de 2026 (PE-CONS 30/1/26 REV 1) y aún pendiente de publicación en el DOUE— no las toca: solo aplaza el Anexo III (a diciembre de 2027) y el Anexo I (a agosto de 2028). Este artículo usa siempre la fecha vigente hoy.

GPAI y modelos fundacionales en el AI Act: qué son y cuándo tu pyme se convierte en proveedor

Si tu empresa ha metido GPT, Claude o Gemini dentro de un producto propio —un chatbot, un asistente que redacta informes, un scoring sobre personas— probablemente creas que las obligaciones del AI Act sobre estos modelos son cosa de OpenAI, Google o Anthropic. En parte es cierto. Pero hay un punto exacto en el que esa responsabilidad salta a tu propia empresa, y la mayoría de pymes que integran IA generativa en su software nunca lo ha mirado.

Este artículo explica qué es un modelo GPAI (o «modelo fundacional»), qué deben hacer sus proveedores desde el 2 de agosto de 2025, qué es el Código de Buenas Prácticas y —lo más importante para miles de pymes españolas— cuándo construir un producto sobre GPT, Claude o Gemini te convierte a ti, no al laboratorio que entrenó el modelo, en proveedor con obligaciones propias.

En resumen: un modelo GPAI (art. 3.63 del Reglamento) es un modelo con generalidad suficiente para realizar múltiples tareas e integrarse en distintos sistemas —GPT, Claude, Gemini, Llama, Mistral—. Desde el 2 de agosto de 2025 sus proveedores deben documentarlo (Anexo XI), informar a quien lo integra (Anexo XII), tener política de derechos de autor y publicar un resumen del entrenamiento (art. 53). Con más de 1025 FLOPs se presumen de «riesgo sistémico» y suman el art. 55. El Código de Buenas Prácticas (10-jul-2025) lo firmaron Google, Microsoft, OpenAI, Anthropic o IBM, no Meta. Si usas estos modelos solo internamente, tu obligación es la alfabetización del art. 4; si construyes y vendes un producto sobre ellos, el art. 25 puede convertirte en proveedor de un sistema propio —de alto riesgo si automatiza decisiones sobre personas—. El Digital Omnibus no aplaza nada de esto.

¿Tu producto integra GPT, Claude o Gemini y no sabes si eso te convierte en proveedor? Consulta el servicio de cumplimiento del AI Act.

¿Qué es exactamente un modelo GPAI («modelo fundacional»)?

El Reglamento (UE) 2024/1689 define el modelo de IA de propósito general en su artículo 3, apartado 63: un modelo entrenado con grandes volúmenes de datos, típicamente por autosupervisión a escala, con generalidad significativa suficiente para realizar competentemente una amplia variedad de tareas y que puede integrarse en distintos sistemas posteriores. El recital 97 aclara por qué existe esta definición: separar el «modelo» del «sistema de IA». GPT, Claude o Gemini son modelos; tu chatbot o tu ATS de selección son sistemas de IA construidos usando ese modelo, más una interfaz y un propósito concreto.

«Modelo fundacional» (foundation model) es el término coloquial; el Reglamento usa «modelo de IA de propósito general» (GPAI). Hablamos de lo mismo: la familia GPT de OpenAI, Claude de Anthropic, Gemini de Google, Llama de Meta o Mistral Large, que decenas de miles de empresas europeas —la inmensa mayoría pymes— usan directamente o integran vía API en sus propios productos.

¿Qué obligaciones tienen los proveedores de GPAI desde el 2 de agosto de 2025?

El Capítulo V del Reglamento (artículos 51 a 56) entró en aplicación el 2 de agosto de 2025, un año antes que el grueso del AI Act. Recae sobre el proveedor del modelo —OpenAI, Google, Anthropic, Meta, Mistral AI—, no sobre quien simplemente lo usa. El artículo 53 exige cuatro cosas a todo proveedor de GPAI:

Obligación (art. 53.1) En qué consiste
Documentación técnica Elaborar y mantener la documentación del modelo conforme al Anexo XI: arquitectura, proceso de entrenamiento, capacidades, limitaciones.
Información a integradores Facilitar a quien construya sistemas sobre el modelo la información del Anexo XII: qué puede y no puede hacer, cómo integrarlo con garantías.
Política de derechos de autor Tener una política que respete la Directiva (UE) 2019/790, incluida la reserva de derechos («opt-out») de minería de textos y datos.
Resumen del entrenamiento Publicar un resumen suficientemente detallado del contenido usado para entrenar el modelo, con la plantilla que fijó la Oficina de IA de la Comisión el 24 de julio de 2025.

Dos matices poco explicados. Los modelos de código abierto —pesos y arquitectura públicos— quedan exentos de las dos primeras obligaciones, no de la política de derechos de autor ni del resumen de entrenamiento; la exención desaparece si son de riesgo sistémico. Y el artículo 111.3 da un periodo transitorio de dos años a los modelos que ya estaban en el mercado antes del 2 de agosto de 2025: cumplimiento pleno exigible el 2 de agosto de 2027, no de golpe.

¿Qué es el Código de Buenas Prácticas de GPAI y quién lo ha firmado?

Es un instrumento voluntario que la Oficina de IA de la Comisión publicó en versión final el 10 de julio de 2025. Su función: si un proveedor de GPAI se adhiere y lo cumple, el artículo 53.4 le reconoce una presunción de conformidad con los artículos 53 y 55 mientras no existan normas armonizadas. Es el atajo que ofrece la Comisión para demostrar cumplimiento sin esperar a un estándar técnico formal.

La adhesión ha sido desigual. Firmaron, entre otros, Google, Microsoft, OpenAI, Anthropic, Amazon e IBM. Meta anunció en julio de 2025 que no lo firmaría, y xAI se adhirió solo al capítulo de seguridad. No cambia tus obligaciones como integrador, pero un proveedor no adherido suele entregar una documentación de Anexo XII menos completa, y esa documentación es la que necesitarás si más adelante debes justificar tu sistema ante la AESIA.

Tu pyme integra GPT, Claude o Gemini en su producto: ¿cuándo pasas a tener obligaciones de proveedor?

La respuesta tiene dos niveles que conviene no mezclar.

Nivel 1 — Uso interno. Si tu equipo usa ChatGPT, Copilot o Gemini para redactar, resumir o programar, sin ofrecer ese uso a clientes externos, eres desplegador. Las obligaciones del Capítulo V son de OpenAI, Microsoft o Google como proveedores del modelo, no tuyas. Tu obligación real, vigente desde febrero de 2025, es el art. 4: alfabetización en IA de quien usa estas herramientas. No hay que ir más allá.

Nivel 2 — Construyes y vendes un producto sobre el modelo. Aquí cambia todo. El artículo 25 regula la responsabilidad en la cadena de valor y contempla tres supuestos en los que un distribuidor, desplegador o integrador pasa a ser proveedor: (a) pones tu marca sobre un sistema de IA ya en el mercado; (b) lo modificas sustancialmente; o (c) —el que más afecta a quien integra GPAI— cambias el propósito de un sistema de IA de propósito general, no clasificado como de alto riesgo, de forma que pasa a serlo.

Ese tercer supuesto es lo que hacen miles de pymes de software sin saberlo. Coger la API de Claude o de GPT-4o y envolverla en un cribado de currículums, un scoring crediticio o una evaluación educativa no es «usar IA»: es crear un sistema de alto riesgo del Anexo III, y tú —no Anthropic ni OpenAI— pasas a ser su proveedor, con evaluación de conformidad, documentación técnica propia, registro en la base de datos de la UE, supervisión humana y monitorización post-mercado. Las obligaciones del Capítulo V siguen siendo de Anthropic u OpenAI sobre su modelo; las tuyas son sobre tu sistema, y se suman, no se sustituyen.

La forma más rápida de saber en qué lado estás es marcar en dos minutos qué hace tu producto en el clasificador de riesgo AI Act, gratuito y sin registro. Si además te preocupa qué otras normas —ENS, NIS2, DORA, RGPD— tocan a tu empresa, el wizard «¿qué normativa me aplica?» lo resuelve en 10 preguntas. El reparto de papeles completo, con árbol de decisión, está en proveedor, desplegador e importador: quién debe hacer qué en el AI Act, y qué convierte a un sistema en Anexo III en clasificación de riesgo del AI Act y el Anexo III explicado.

¿Cuándo se considera que un modelo GPAI tiene «riesgo sistémico»?

El artículo 51.2 fija una presunción: un modelo es de riesgo sistémico cuando el cómputo acumulado de entrenamiento supera los 1025 FLOPs. Es refutable ante la Comisión, y no la única vía: la Comisión también puede designar un modelo por sus capacidades de alto impacto, al margen del cómputo, y ajustar el umbral por acto delegado. Los proveedores deben notificar a la Comisión (art. 52) en cuanto lo alcanzan o prevén alcanzarlo; hoy solo un puñado de modelos de última generación —OpenAI, Google DeepMind, Anthropic, Meta— se mueve en ese rango.

Al cruzar el umbral, el artículo 55 añade cuatro obligaciones sobre las del art. 53: evaluación con pruebas adversariales documentadas, mitigación de riesgos sistémicos a escala de la Unión, notificación de incidentes graves a la Oficina de IA y ciberseguridad reforzada. Para tu pyme raramente es un problema directo, pero explica por qué la documentación de un modelo de riesgo sistémico suele ser más completa. Comprueba si tu sistema hereda alguna obligación adicional en el clasificador de riesgo AI Act.

¿Afecta el Digital Omnibus a las obligaciones de los modelos GPAI?

No. El Digital Omnibus sobre IA —adoptado por el Consejo el 29 de junio de 2026, firmado el 8 de julio de 2026 (PE-CONS 30/1/26 REV 1) y todavía pendiente de publicación en el DOUE, con publicación prevista antes del 2 de agosto de 2026— aplaza el Anexo III (a diciembre de 2027) y el Anexo I (a agosto de 2028). No modifica ni un artículo del Capítulo V: las obligaciones de los proveedores de GPAI llevan en vigor sin cambios desde el 2 de agosto de 2025.

Sí introduce una categoría intermedia entre pyme y gran empresa —«mediana capitalización», hasta 750 empleados y 150 millones de facturación— a la que se extienden algunas medidas de simplificación que hoy solo benefician a pymes (art. 99.6). Pero afecta al cumplimiento de sistemas de alto riesgo, no a las obligaciones GPAI: el art. 53 aplica igual seas OpenAI o una startup española que entrena su propio modelo.

¿Qué sanciones existen por incumplir las obligaciones GPAI?

El artículo 101 permite a la Comisión Europea —no a la AESIA— multar hasta 15 millones de euros o el 3 % de la facturación global, la cifra mayor, a proveedores de GPAI que incumplan, no faciliten información o impidan las evaluaciones del modelo. Es una diferencia estructural: las sanciones del Anexo III y del art. 50 las aplica la autoridad nacional —en España, la AESIA—; las de GPAI las gestiona directamente la Comisión, porque los modelos operan a escala de toda la Unión. Sus poderes formales de sanción son exigibles desde el 2 de agosto de 2026, aunque las obligaciones ya llevan un año en vigor.

Si tu empresa, por el art. 25, se convierte en proveedora de un sistema de alto riesgo construido sobre un modelo GPAI, las sanciones ya no son las del art. 101 sino las generales del art. 99: hasta 35 M€ o 7 % de facturación por prácticas prohibidas, hasta 15 M€ o 3 % por incumplir obligaciones de alto riesgo, con el importe menor si eres pyme. El régimen completo, con la AESIA como autoridad en España, en sanciones del AI Act y AESIA: régimen sancionador y quién lo vigila en España.

Checklist rápido: ¿qué debe hacer tu pyme según cómo usa el modelo GPAI?

Cómo usas el modelo Tu papel Qué debes hacer
Uso interno de ChatGPT, Copilot, Gemini Desplegador Alfabetización en IA (art. 4). Nada más.
API integrada en producto propio, sin decisiones automatizadas sobre personas Desplegador / transparencia art. 50 Identificar la IA al usuario y conservar la información del Anexo XII del proveedor.
Producto vendido a terceros que automatiza una decisión del Anexo III (RR.HH., crédito, seguros, educación...) Proveedor del sistema (art. 25.1.c) Clasificación de riesgo, documentación propia, registro UE, supervisión humana. Empieza por el clasificador.
Entrenas tu propio modelo GPAI desde cero Proveedor del modelo Obligaciones íntegras del art. 53 (y 55 si hay riesgo sistémico). Valora el Código de Buenas Prácticas.

Reserva una sesión gratuita de 30 minutos para revisar si tu producto con IA integrada te convierte en proveedor →

Preguntas frecuentes sobre GPAI y modelos fundacionales en el AI Act

¿Necesito hacer algo si solo uso ChatGPT o Copilot internamente en mi pyme?

Muy poco. Si tu equipo usa estas herramientas de forma interna, sin ofrecerlas a clientes ni automatizar decisiones sobre personas, eres desplegador y las obligaciones de los art. 51 a 56 (Capítulo V, GPAI) recaen sobre OpenAI o Microsoft como proveedores del modelo, no sobre ti. Tu única obligación real, vigente desde febrero de 2025, es garantizar la alfabetización en IA (art. 4) de quienes usan la herramienta: que entiendan qué hace, qué no hace y cuáles son sus límites.

¿Qué pasa si integro la API de Claude o de GPT-4o en mi propio producto y lo vendo a clientes?

Depende de qué haga tu producto. Si informa o asiste sin automatizar una decisión de las listadas en el Anexo III (contratación, crédito, seguros, educación...), sigues siendo desplegador, con obligaciones de transparencia del art. 50 si el usuario interactúa con el sistema. Pero si tu producto, por ejemplo, puntúa candidatos o decide una tarificación de forma automatizada, el artículo 25.1.c del Reglamento te convierte a ti en proveedor de un sistema de alto riesgo, con obligaciones propias de documentación, registro y supervisión, independientes de las que ya cumple Anthropic u OpenAI sobre su modelo.

¿Es obligatorio que un proveedor de GPAI firme el Código de Buenas Prácticas?

No, es voluntario. Publicado por la Oficina de IA de la Comisión el 10 de julio de 2025, ofrece a quien lo firma una presunción de conformidad con los artículos 53 y 55 mientras no existan normas armonizadas. Lo han firmado Google, Microsoft, OpenAI, Anthropic, Amazon o IBM; Meta anunció que no lo firmaría y xAI solo se adhirió al capítulo de seguridad. Un proveedor no firmante debe igualmente cumplir la ley, solo que sin ese atajo de presunción de conformidad.

¿Cuándo se considera que un modelo GPAI tiene riesgo sistémico?

El artículo 51.2 presume riesgo sistémico cuando el cómputo acumulado de entrenamiento supera los 10²⁵ FLOPs, una presunción que el proveedor puede refutar ante la Comisión. También puede declararse por decisión de la Comisión atendiendo a capacidades de alto impacto, al margen del cómputo. Hoy solo un número reducido de modelos de última generación de OpenAI, Google DeepMind, Anthropic o Meta se sitúa en ese rango. Estos modelos suman las obligaciones del artículo 55: evaluación adversarial, mitigación de riesgos, notificación de incidentes y ciberseguridad reforzada.

¿El Digital Omnibus retrasa las obligaciones de los modelos GPAI?

No. El Digital Omnibus sobre IA, firmado el 8 de julio de 2026 y pendiente de publicación en el DOUE, aplaza el Anexo III (a diciembre de 2027) y el Anexo I (a agosto de 2028), pero no modifica el Capítulo V. Las obligaciones de los proveedores de GPAI llevan en vigor sin cambios desde el 2 de agosto de 2025 y no forman parte del paquete de aplazamientos.

Fuentes

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.