Se publica el esperado Código de Buenas Prácticas para modelos de IA de Propósito General: guía clave para cumplir el Reglamento de IA desde agosto de 2025

La Comisión Europea acaba de publicar el esperado Código de Buenas Prácticas para los Modelos de Inteligencia Artificial de Propósito General (GPAI). Este Código, presentado el 10 de julio de 2025, va a ser clave para interpretar y aplicar el Reglamento (UE) de IA (RIA), ya que establece un marco común de transparencia, seguridad y respeto a los derechos de autor para proveedores de modelos de uso general, y más teniendo en cuenta que el RIA entra en vigor en su mayor parte en agosto.

Con ese propósito, el Código ofrece una guía práctica para ayudar a los proveedores de estos modelos a entender y aplicar correctamente los artículos 53 y 55 del RIA. En este sentido, es importante tener en cuenta que seguir el Código no significa automáticamente cumplir con el Reglamento, ni le sustituye, pero sí que ofrece una estructura clara que la Oficina de IA (AI Office) de la Comisión Europea puede valorar a la hora de revisar cómo están actuando los proveedores que deciden aplicarlo. En otras palabras, es una forma voluntaria de demostrar que se está siendo diligente y que se quiere cumplir con la normativa.

¿Qué exige el Código? Tres áreas clave: copyright, seguridad y transparencia.

Para guiar a los proveedores de modelos de IA, el Código se divide en capítulos que tratan cuestiones esenciales como el respeto a los derechos de autor, la gestión de riesgos y la obligación de documentar de forma transparente. Estas son las principales medidas previstas en cada uno.

1. Derechos de autor

Este capítulo tiene como objetivo principal contribuir a la correcta aplicación de la obligación establecida en el Artículo 53.1.c) del RIA que requiere que los proveedores de modelos de IA de propósito general en la UE establezcan una política para cumplir con la legislación de la Unión sobre derechos de autor y derechos conexos. En particular, deben identificar y cumplir con las reservas de derechos expresadas por los titulares de derechos de conformidad con el Artículo 4.3 de la Directiva (UE) 2019/790 sobre los derechos de autor.

Los compromisos incluyen:

• Actualizar e implementar una política de derechos de autor clara, con responsabilidades asignadas y, preferiblemente, un resumen público.
• Garantizar que sólo se utilice contenido legalmente accesible en el rastreo web para la minería de datos y el entrenamiento de modelos de IA, sin evadir medidas de protección, ni acceder a sitios reconocidos como infractores.
• Respetar las reservas de derechos expresadas mediante protocolos legibles por máquina, como el archivo txt, y seguir otros estándares adoptados por los titulares de derechos.
• Divulgar información sobre sus rastreadores y permitir notificaciones automáticas de actualizaciones.
• En cuanto al contenido infractor, deben aplicar salvaguardias técnicas para evitar la reproducción indebida de material protegido y prohibir usos ilegales en sus políticas, incluso en modelos de código abierto.
• Designar un punto de contacto para los titulares de derechos y establecer un mecanismo eficaz de quejas ante posibles incumplimientos.

2. Seguridad

Este capítulo es relevante para los proveedores de modelos de IA de propósito general con riesgo sistémico. Es decir, aquellos modelos con un impacto potencialmente grave para la sociedad, la seguridad o los derechos fundamentales. Su contenido se articula en torno a una serie de principios clave para gestionar la seguridad en todas las fases del ciclo de vida del modelo, debiendo los proveedores:

• Evaluar y mitigar de forma continua los riesgos sistémicos asociados a sus modelos, implicando en este proceso a los distintos actores de la cadena de valor de la IA.
• Adoptar un Marco de Seguridad de última generación para gestionar los riesgos sistémicos 
• Identificar los riesgos sistémicos asociados al modelo, siguiendo un proceso estructurado que permita detectar posibles impactos graves.
• Establecer criterios claros para decidir si un riesgo sistémico es aceptable o no, y utilizar esa evaluación como base para tomar decisiones sobre la continuación del desarrollo o la puesta en el mercado del modelo.
• Implementar medidas de seguridad y ciberseguridad apropiadas a lo largo de todo el ciclo de vida del modelo para asegurar que los riesgos sistémicos sean aceptables.
• Presentar a la Oficina de IA informes detallados sobre el modelo, su evaluación de riesgos sistémicos y los procesos de mitigación.
• Definir responsabilidades claras para la gestión de riesgos sistémicos en todos los niveles de la organización, asignar los recursos adecuados y promover una cultura de riesgo saludable.
• Implementar procesos para rastrear, documentar e informar a la Oficina de IA (y a las autoridades nacionales competentes) sobre incidentes graves y las medidas correctivas.
• Documentar la implementación del Capítulo y publicar versiones resumidas de los Marcos de Seguridad y los Informes de Modelo según sea necesario.

3. Transparencia

Este capítulo se centra en las obligaciones de documentación y transparencia recogidas en el artículo 53.1, apartados a) y b), del RIA, así como en sus Anexos XI y XII. Parte del reconocimiento de que los proveedores de modelos de IA de propósito general tienen una responsabilidad clave en la cadena de valor, ya que otros actores —los llamados proveedores posteriores o downstream providers— dependen de la información que estos proporcionen para poder integrar correctamente los modelos en sus propios sistemas y cumplir a su vez con la normativa. En este sentido, los proveedores deberían:

• Elaborar y mantener actualizada la documentación técnica del modelo, asegurándose de que sea completa, precisa y accesible.
• Documentar toda la información requerida en el “Formulario de Documentación del Modelo”.
• Al lanzar un modelo al mercado, facilitar datos de contacto y garantizar el acceso a la documentación técnica tanto para la Oficina de IA como para los proveedores posteriores.
• La documentación del modelo debe estar bien controlada, ser fiable y mantenerse protegida frente a errores o modificaciones no deseadas.

En nuestra opinión, este Código de Buenas Prácticas representa una herramienta valiosa para que los proveedores de modelos de IA de propósito general anticipen y estructuren el cumplimiento del Reglamento de IA.

Para más información, puedes consultar o descargar el texto completo del Código aquí.