Introducción a la Ley de IA de la UE

Actualización del 11 de julio de 2025: Después de publicarse el texto definitivo del Código de buenas prácticas para la IA de propósito general, ofrecemos un resumen de cómo nos estamos preparando para la entrada en vigor, el 2 de agosto de 2025, de las normas aplicables a estos modelos. 

El año pasado publicamos esta introducción a la Ley de IA de la UE para ofrecer una primera visión sobre cómo nos estábamos preparando ante la implantación de estos nuevos requisitos legales. 

Desde entonces, hemos participado activamente en su desarrollo colaborando en la elaboración del Código de buenas prácticas para la IA de propósito general, un marco destinado a que los proveedores de IA cumplan con lo que establece esta ley. Tras unos meses de proceso colectivo que ha contado con la participación de expertos, organizaciones civiles y el sector empresarial, se ha hecho público el Código definitivo. Hoy anunciamos nuestra decisión de firmarlo y emplearlo como instrumento para demostrar el cumplimiento de nuestras obligaciones en virtud de la Ley de IA de la UE.  

Al firmar el Código damos un paso concreto dentro de nuestro plan más amplio de cumplimiento de la Ley de IA de la UE. Con ello reafirmamos nuestro compromiso con la continuidad, la seguridad y la confianza, mientras acompañamos a empresas y ciudadanos europeos en la adopción de modelos de IA cada vez más potentes y seguros, para que puedan beneficiarse plenamente de esta transformación.

La firma del Código refuerza muchas de las medidas de seguridad y transparencia líderes en el sector que hemos desarrollado en los últimos años. Fuimos una de las primeras empresas en publicar un protocolo integral de seguridad, nuestro Marco de preparación (2023), que describe cómo abordamos la implementación segura de modelos avanzados de IA.

Fieles a nuestro compromiso de revisar y mejorar de forma continua nuestros marcos internos de gobernanza y responsabilidad, en abril de 2025 publicamos⁠ una versión actualizada del Marco de preparación. 

A medida que desarrollamos e implementamos tecnologías cada vez más avanzadas, controlamos activamente y mitigamos una amplia variedad de riesgos nuevos y problemas de seguridad reales para mantener la fiabilidad y seguridad de nuestros modelos. Seguimos ajustando y optimizando estos procedimientos de manera continua. 

• Desde hace tiempo, publicamos tarjetas del sistema detalladas y documentación técnica junto con nuestros principales lanzamientos, donde explicamos las capacidades y limitaciones de nuestros modelos, qué riesgos hemos evaluado y en qué aspectos seguimos aprendiendo. 
• El Centro de seguridad permite a cualquier persona acceder a los resultados de las evaluaciones de seguridad efectuadas sobre nuestros modelos.
• Nuestra red de equipo rojo incorpora expertos externos que someten a los modelos a pruebas exigentes
• El Model Spec permite entender cómo damos forma al comportamiento de nuestros modelos con el objetivo de reflejar los valores humanos y las normas propias de una sociedad democrática.

En conjunto, esta labor ha sido fundamental para fijar estándares de seguridad en el ámbito de la IA y desarrollar un Código de buenas prácticas aplicable y basado en prácticas recomendadas del sector. Crear una IA segura y responsable es una tarea que nunca se da por concluida. Seguiremos perfeccionando nuestro enfoque de seguridad para asegurarnos de que nuestra tecnología se utilice con responsabilidad y en beneficio de todos en cualquier parte del mundo.

Colaboraremos estrechamente con la Oficina Europea de IA, las autoridades competentes y nuestros clientes a medida que se implemente la Ley de IA en los próximos meses y años, con el objetivo de asegurar conjuntamente que los beneficios de la inteligencia artificial lleguen a la sociedad y la economía europeas. 

Actualización: el 25 de septiembre de 2024, firmamos los tres compromisos principales del pacto de IA de la UE.

1. Adoptar una estrategia de gobernanza de la IA para fomentar la adopción de la IA en la organización y trabajar para el futuro cumplimiento de la Ley de IA;
2. en la medida de lo posible, llevar a cabo un mapeo de los sistemas de IA proporcionados o desplegados en áreas que se consideran de alto riesgo según la Ley de IA;
3. promover la concienciación y formación en materia de IA de sus empleados y de otras personas que traten con sistemas de IA en su nombre. Se deben tener en cuenta los conocimientos técnicos, experiencia, educación y entrenamiento del empleado, así como el contexto en el que va a utilizar los sistemas de IA, y se deben considerar las personas o grupos de personas afectados por el uso de los sistemas de IA.

Creemos que el objetivo principal de la Ley de IA es la educación, la adopción y la gobernanza de la IA, puesto que son las prioridades más adecuadas para garantizar que los beneficios de la IA se distribuyan ampliamente. Es más, se alinea con nuestra misión de proporcionar tecnologías seguras y de vanguardia que sean beneficiosas para todos.

La Ley de IA de la UE⁠(se abre en una ventana nueva) es un marco regulador de gran importancia diseñado para gestionar el desarrollo, despliegue y uso de la IA en toda Europa. Principalmente, se centra en la seguridad a la hora de adoptar la IA de forma fiable en Europa, a la vez que protege la salud, la seguridad y los derechos fundamentales. Así mismo, introduce nuevos requisitos basados en los riesgos asociados a los sistemas de IA y presta especial atención a los casos de alto riesgo y uso inaceptable, así como en las obligaciones especiales para los modelos y sistemas de IA de propósito general (GPAI). 

Aunque el proceso legislativo ha concluido y la ley entró en vigor en agosto de 2024, aún se necesitan más directrices y legislación de implementación para definir por completo el alcance de la ley. Especialmente, respecto a los modelos GPAI, como los de OpenAI. 

En OpenAI, nos comprometemos a cumplir la ley, y no solo porque se trate de una obligación legal, sino porque el objetivo de la ley se alinea con nuestra misión de desarrollar y desplegar una IA segura y beneficiosa para toda la humanidad. Estamos orgullosos de lanzar modelos líderes en el sector, tanto en sus capacidades como en la seguridad que ofrecen. Creemos en un enfoque equilibrado y científico en el que las medidas de seguridad⁠ se integren en el proceso de desarrollo desde el minuto uno. Nuestros equipos se ocupan de un amplio abanico de cuestiones técnicas relacionadas con la seguridad de la IA, como la evaluación de modelos bajo nuestro marco de preparación⁠ antes de su despliegue; la creación de equipos rojos⁠ internos y externos; la supervisión⁠ de los abusos tras el despliegue; los programas Bug Bounty⁠ y de subvenciones para ciberseguridad⁠; y la contribución a los estándares de autenticidad⁠, entre otras. 

Trabajaremos codo a codo con la Oficina Europea de IA y con otras autoridades pertinentes a medida que se aplique la nueva ley en los próximos meses. Esperamos que la experiencia que hemos acumulado contribuya al progreso de los objetivos de la ley en lo que respecta al despliegue de una IA segura y beneficiosa.  

En esta publicación, ofrecemos una visión general de algunos de los aspectos clave de la Ley de IA, y prestamos especial atención a los casos de uso prohibidos y de alto riesgo.

La Ley de IA entrará en vigor el 1 de agosto de 2024, veinte días después de su publicación en el Diario Oficial de la Unión Europea. Aunque la mayoría de sus disposiciones no serán efectivas hasta veinticuatro meses después de su entrada en vigor, hay varios plazos importantes que tener en cuenta: 

• Las prohibiciones de prácticas no permitidas serán efectivas seis meses después de la entrada en vigor (febrero de 2025). 
• Los códigos de buenas prácticas, que incluyen muchos de los detalles de aplicación necesarios para cumplir con la ley, deberán estar concluidos en un plazo de nueve meses tras la entrada en vigor (mayo de 2025). 
• La mayoría de las obligaciones con respecto a la IA de propósito general se harán efectivas doce meses después de la entrada en vigor (agosto de 2025). 
• Las obligaciones para la mayoría de los sistemas de IA de alto riesgo se aplicarán veinticuatro meses después de la entrada en vigor (agosto de 2026). 

Los sistemas GPAI preexistentes que no hayan sufrido ninguna modificación sustancial y determinados sistemas de IA que sean componentes de sistemas informáticos a gran escala identificados en el anexo X de la Ley de IA tendrán un plazo de aplicación de treinta y seis meses (agosto de 2027).

La Ley de IA se aplica, principalmente, a los «sistemas de IA». Es decir, a aquellos que la ley define como «un sistema basado en máquinas que está diseñado para funcionar con diversos niveles de autonomía y que puede mostrar capacidad de adaptación tras su despliegue, y que, para objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales».  Esta definición coincide, en líneas generales, con la definición de «sistemas de IA» de la OCDE publicada en 2023 y con la definición que se utiliza en la Orden Ejecutiva 14110 de la Administración Biden sobre el desarrollo y uso seguros y fiables de la inteligencia artificial.  

Cabe destacar que la Ley de IA distingue entre proveedores y desplegadores de sistemas de IA. Los proveedores son entidades, como OpenAI, que desarrollan un sistema de IA o un modelo de IA de propósito general. También incluye entidades que manden desarrollar un sistema o modelo de IA de propósito general y lo comercialicen, o que pongan en servicio el sistema bajo su propio nombre o marca comercial, ya sea de pago o gratuita. 

Los desplegadores son clientes o socios que utilizan estos sistemas o modelos en sus propias aplicaciones, como la integración de GPT‑4o en un caso de uso específico. Aunque la mayoría de las obligaciones de esta ley recaen sobre los proveedores, cabe destacar que un desplegador que integre un modelo de IA en su propio sistema de IA puede convertirse en proveedor según la ley. Por ejemplo, si utiliza su propia marca comercial en un sistema de IA o si modifica el sistema de IA de forma no prevista por el proveedor original.

Las organizaciones establecidas fuera de la UE también deben cumplir la Ley de IA bajo una serie de condiciones que pueden ser de gran alcance.  Por ejemplo, la ley se aplica en los siguientes casos: 

• Si un proveedor comercializa un sistema de IA o un modelo GPAI en el mercado de la UE, independientemente de si la empresa está establecida dentro de esta o en otro país; 
• Si los desplegadores de un sistema de IA están establecidos o situados en la UE; 
• Si los proveedores y desplegadores de sistemas de IA están establecidos o ubicados en un tercer país, pero el producto generado por el sistema de IA se usa en la UE.

Este amplio alcance extraterritorial de la Ley de IA implica que las empresas no europeas tendrán que cumplir con la ley para ofrecer sus servicios a los clientes de la UE, independientemente de si tienen la sede dentro o fuera de la UE.

La Ley de IA se fundamenta en un marco basado en el riesgo y cuenta con requisitos específicos para los sistemas de IA de alto riesgo o de riesgo inaceptable. La ley exige a las empresas que clasifiquen el nivel de riesgo de sus sistemas de IA para determinar las obligaciones reglamentarias que les corresponden. Así mismo, establece varias categorías o niveles de sistemas de IA que conllevan distintas obligaciones.

Aquellas prácticas de IA que se consideran un riesgo inaceptable para los derechos de las personas quedan totalmente prohibidas. Estas prácticas incluyen:   

• El despliegue de técnicas subliminales, de manipulación o engañosas para alterar el comportamiento, perjudicar la toma de decisiones informadas y causar un daño significativo. 
• La explotación de las vulnerabilidades relacionadas con la edad, la discapacidad o las circunstancias socioeconómicas para alterar el comportamiento y causar un daño significativo. 
• Los sistemas de categorización biométrica que infieran atributos sensibles como la raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas y vida u orientación sexual (con limitadas excepciones para filtrar conjuntos de datos adquiridos de forma legal y para uso policial). 
• Los sistemas de calificación social, como los que evalúan o clasifican a individuos o grupos en función de su comportamiento social o rasgos personales y les causan perjuicios. 
• La evaluación del riesgo de que un individuo cometa delitos penales exclusivamente en función de perfiles o rasgos de personalidad (con excepciones limitadas). 
• La recopilación de bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de grabaciones de cámaras de seguridad.
• La inferencia de emociones en lugares de trabajo o instituciones educativas. 
• La identificación biométrica remota en tiempo real en lugares públicos para el cumplimiento de la ley (con algunas excepciones).

La ley impone obligaciones estrictas a los sistemas que ha determinado que son una amenaza sustancial para la salud, la seguridad o los derechos fundamentales de las personas y los clasifica como IA de alto riesgo. Estos incluyen: a) los sistemas que son componentes de seguridad de un producto sujeto a otras leyes de la UE, y b) los casos de uso específicos, como los sistemas destinados a determinar el acceso o la admisión a instituciones educativas, a contratar o seleccionar personal o a supervisar su rendimiento, a determinar la elegibilidad para las ayudas públicas o la solvencia financiera y a evaluar la elegibilidad y el precio de los seguros de salud, entre otros.  

Los sistemas de IA de alto riesgo deben cumplir rigurosas obligaciones regulatorias. Por ejemplo, deben establecer un sistema de gestión de riesgos que evalúe continuamente los riesgos y estrategias de mitigación durante todo el ciclo de vida de un sistema de IA de alto riesgo. También deben establecer medidas exhaustivas de gobernanza de datos para comprobar y evaluar los riesgos de sesgo y preparar documentación técnica detallada antes de comercializar el sistema. Igualmente, tienen obligaciones de supervisión continua. 

Aquellos sistemas de IA que no planteen riesgos inaceptables o altos solo tendrán que cumplir con unos requisitos limitados, como las obligaciones en cuanto a la transparencia. Por ejemplo, la ley específica que hay que informar a las personas de que están interactuando con un sistema de IA, como un chatbot. Así mismo, las imágenes, el audio o los vídeos manipulados artificialmente deben estar claramente etiquetados. Probablemente, la mayor parte de los sistemas de IA del mercado entren en esta categoría.

Los proveedores de modelos y sistemas de IA de propósito general, como OpenAI, deberán cumplir unos requisitos especiales: 

• Elaborar documentación técnica detallada del modelo y facilitársela a la Oficina de IA cuando esta la solicite
• Crear documentación para los desplegadores que usen el modelo GPAI para desarrollar sus propios sistemas de IA
• Implementar políticas destinadas a respetar la legislación de la UE sobre los derechos de autor
• Proporcionar un resumen del contenido que se ha usado para entrenar al modelo GPAI 

Además, los proveedores de modelos GPAI con capacidades de gran repercusión que se considere que representan «riesgos sistémicos» (por ejemplo, modelos entrenados con una gran capacidad de cómputo, definida técnicamente como 10^25 FLOPS) estarán obligados a lo siguiente: 

• Llevar a cabo evaluaciones de los modelos para identificar y mitigar los riesgos sistémicos, y evaluar y mitigar de forma continua los riesgos que se presenten
• Notificar a la Comisión Europea sobre los modelos que cumplan los criterios de esta categoría
• Monitorizar y notificar los incidentes graves 
• Implementar las medidas de seguridad apropiadas para el modelo y su infraestructura física

Los proveedores de modelos GPAI podrán basarse en un código de buenas prácticas para demostrar que cumplen con los requisitos de la ley. Probablemente, estos códigos de buenas prácticas sentarán las bases de los detalles específicos para la aplicación de estas obligaciones. Desde OpenAI, confiamos en poder trabajar con la Oficina Europea de IA a medida que se desarrollen en los próximos nueve meses. 

En OpenAI, nos comprometemos a cumplir con la Ley de IA de la UE y trabajaremos codo a codo con la nueva Oficina Europea de IA a medida que la ley se vaya aplicando. En los próximos meses, continuaremos preparando la documentación técnica necesaria y otras directrices para los desplegadores y proveedores posteriores de nuestros modelos GPAI. De igual forma, no dejaremos de avanzar en la seguridad de los modelos que publicamos tanto en el mercado europeo como fuera de él.   

Si tu organización está intentando averiguar cómo cumplir con la Ley de IA, lo primero que debes hacer es intentar clasificar los sistemas de IA en su ámbito de aplicación. Identifica qué GPAI y qué otros sistemas de IA utilizas, determina cómo están clasificados y considera qué obligaciones implican tus casos de uso. Así mismo, también debes determinar si eres proveedor o desplegador con respecto a los sistemas de IA incluidos en tu ámbito de aplicación. Dado que estas cuestiones pueden ser complejas, lo ideal es consultar con un asesor jurídico en caso de que te surjan dudas.