{"content_id":"lsvrbpomva","slug":"eu-ai-act-2026-gpai-cybersecurity-labeling","locale":"es","schema_type":"Report","category":"report","category_name":"Informe","title":"Revisión previa a la entrada en vigor de la Ley de IA de la UE de 2026: guía sobre la IA general, el etiquetado de contenidos generados y las obligaciones en materia de ciberseguridad","summary":"Ante la entrada en vigor prevista para el 2 de agosto de 2026, se resumen en forma de lista de verificación los requisitos de la Ley de IA de la UE relativos a los modelos de IA general, la indicación y el etiquetado de los contenidos generados por IA, y los planes de ciberseguridad para la IA avanzada. Las empresas de fuera de la UE que ofrezcan modelos o servicios en el mercado de la UE también deben evaluar los requisitos de documentación, derechos de autor, gestión de riesgos y obligación de identificación, así como los riesgos de supervisión.","author":{"name":"Equipo editorial de Injoys","url":"https://injoys.com/ko/about"},"key_points":["El 2 de agosto de 2026 será la fecha en la que las obligaciones de transparencia y etiquetado de la Ley de IA de la UE, así como la supervisión y la aplicación de la normativa sobre IA general, cobrarán importancia práctica.","Los proveedores de modelos de IA de uso general deben comprobar el cumplimiento de las obligaciones de publicación de la documentación técnica, la información sobre los proveedores posteriores, la política de derechos de autor y el resumen de los datos de entrenamiento.","Los modelos de IA general que entrañan riesgos sistémicos deben cumplir requisitos adicionales en materia de evaluación de modelos, mitigación de riesgos, notificación de incidentes graves y medidas de protección de la ciberseguridad.","Es posible que se apliquen obligaciones de identificación legible por máquina y de notificación a los usuarios en el caso de los contenidos generados o manipulados por IA.","Las empresas de fuera de la UE también pueden quedar sujetas a la supervisión de la AI Office y a la normativa de la UE si ofrecen en el mercado de la UE modelos de IA general o servicios que los incorporen."],"content_markdown":"## Resumen\n\nLa Ley de IA de la UE entrará en una fase en la que tendrá un impacto directo en las prácticas empresariales en torno al 2 de agosto de 2026. En particular, están cobrando relevancia los modelos de IA general, el etiquetado de los resultados de la IA generativa y la gestión de los riesgos de ciberseguridad de la IA avanzada.\n\nEl 7 de julio de 2026, la Comisión Europea presentó un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada plantea para la ciberseguridad. Esto se enmarca en las directrices de la Ley de IA en materia de supervisión de la IA general, evaluación de modelos, respuesta ante incidentes y cooperación con organismos de ciberseguridad de la UE, como la ENISA.\n\nEste documento no es una interpretación de los textos legales, sino una recopilación de conocimientos para la revisión práctica basada en materiales publicados por la Comisión Europea y el Servicio de Asistencia de la Ley de IA.\n\n## 1. Por qué es importante el 2 de agosto de 2026\n\nLa Ley de IA de la UE no es una ley que se aplique en su totalidad de una sola vez, sino que se aplica de forma secuencial, disposición por disposición. El 2 de agosto de 2026 puede entenderse como la fecha a partir de la cual las siguientes obligaciones comenzarán a tener un impacto significativo en el funcionamiento de las empresas.\n\n| Ámbito | Puntos de revisión para 2026 | Preguntas que deben plantearse las empresas |\n|---|---|---|\n| Modelos de IA de uso general | Supervisión y ejecución por parte de la Oficina de IA, sistemas de documentación, derechos de autor y gestión de riesgos | ¿Se ofrece nuestro modelo en el mercado de la UE? ¿Se trata de un modelo de IA de uso general? |\n| Indicación de contenido generado | Indicación y aviso sobre textos, imágenes, audio y vídeo generados o manipulados por IA | ¿Existe el riesgo de que los resultados puedan ser confundidos por personas con contenido real? |\n| Riesgos del sistema | Evaluación, mitigación, notificación de incidentes y ciberseguridad de modelos de alto rendimiento | ¿Tiene el modelo un impacto a gran escala o potencial de uso indebido? |\n| Ciberseguridad | Acceso a IA avanzada, evaluación de modelos, colaboración con la ENISA | ¿Se ajustan las pruebas de seguridad y la gestión de vulnerabilidades a los niveles esperados por la normativa? |\n| Empresas fuera de la UE | También aplicable a los proveedores extraterritoriales cuando ofrecen sus servicios en el mercado de la UE | ¿Existen usuarios, clientes o canales de distribución en la UE? |\n\nCabe señalar que el momento de aplicación de las obligaciones relacionadas con la IA general y el período de transición de los modelos existentes pueden variar en función de la fecha de lanzamiento del modelo y de su situación jurídica. Por lo tanto, en 2026 no solo habrá que revisar los «nuevos modelos», sino también la documentación, las políticas y las formas de etiquetado de los modelos ya desplegados.\n\n## 2. Resumen de términos clave\n\n| Término | Significado | Importancia práctica |\n|---|---|---|\n| Modelo de IA de propósito general | Modelo de IA que puede utilizarse para diversos fines y tareas, y que puede integrarse en múltiples sistemas | Pueden incluirse los modelos base, los modelos de lenguaje a gran escala y los modelos multimodales |\n| GPAI | Abreviatura de «General-Purpose AI» (IA de propósito general), expresión utilizada con frecuencia en la normativa sobre IA de propósito general de la Ley de IA de la UE | Punto de partida para determinar las obligaciones de los proveedores de modelos |\n| Riesgo sistémico | Riesgo que puede tener un impacto generalizado en la sociedad, la economía y la seguridad, como un impacto a gran escala, incidentes graves o la posibilidad de uso indebido | Criterio para determinar obligaciones adicionales de evaluación, mitigación y notificación |\n| Oficina de IA | Organismo que desempeña un papel central en la aplicación de la Ley de IA a escala de la UE y en la supervisión de la IA de uso general | Punto de contacto para la supervisión de los proveedores de modelos de IA de uso general |\n| Indicación de contenido generado | Indicación que permite a personas o máquinas identificar que el contenido ha sido generado o manipulado por la IA | Fundamental a la hora de divulgar deepfakes, imágenes sintéticas y textos generados por IA |\n\n## 3. Obligaciones básicas de los proveedores de modelos de IA general\n\nLos proveedores de modelos de IA general no son meros operadores de aplicaciones, sino entidades que desarrollan, distribuyen y proporcionan los modelos en sí. Si ofrecen sus modelos en el mercado de la UE o los integran en servicios dentro de la UE, deben tener en cuenta las siguientes obligaciones.\n\n| Obligación | Contenido | Ejemplos de resultados necesarios | Observaciones |\n|---|---|---|---|\n| Elaboración de documentación técnica | Documentación sobre el desarrollo, el entrenamiento, las pruebas, el rendimiento y las limitaciones del modelo | Ficha del modelo, documentación técnica, informe de evaluación | Base para responder a las solicitudes de las autoridades de supervisión |\n| Información para los proveedores posteriores | Suministro de la información necesaria a las empresas que crean sistemas de IA mediante la integración del modelo | Guía de integración, restricciones de uso, información sobre riesgos | Debe reflejarse en los contratos B2B y en la documentación de la API |\n| Política de cumplimiento de los derechos de autor | Establecimiento de una política para cumplir con la legislación de la UE en materia de derechos de autor | Política de recopilación de datos, procedimientos de tramitación de solicitudes de los titulares de derechos | Vinculada a la gobernanza de los datos de entrenamiento |\n| Publicación de resúmenes del contenido de entrenamiento | Publicación de resúmenes suficientemente detallados sobre el contenido utilizado para el entrenamiento | Resúmenes basados en las plantillas de la Comisión Europea | Necesidad de encontrar un equilibrio entre el secreto comercial y la transparencia |\n| Conservación de registros y respuesta | Mantenimiento de registros internos que permitan responder a las consultas e investigaciones de las autoridades de supervisión | Sistema de gestión de documentos, designación de responsables | La posibilidad de demostrarlo a posteriori es importante |\n\n### Los modelos de código abierto tampoco están totalmente exentos\n\nLa Ley de IA puede aplicar un trato parcialmente más flexible a los modelos de IA genéricos libres y de código abierto que cumplan determinadas condiciones. Sin embargo, el hecho de ser de código abierto no exime de todas las obligaciones. En particular, deben analizarse por separado las obligaciones adicionales relativas a la política de derechos de autor, los resúmenes de los contenidos de entrenamiento y los modelos que presentan riesgos sistémicos.\n\n## 4. Requisitos adicionales para los modelos de IA general que presentan riesgos sistémicos\n\nLos modelos de IA generalista de alto nivel requieren una gestión más estricta que los modelos generales. La Ley de IA de la UE trata por separado, en particular, los «modelos de IA generalista que presentan riesgos sistémicos».\n\n### Factores para determinar el riesgo sistémico\n\nSegún los documentos publicados por la UE, el riesgo sistémico está relacionado con los siguientes factores:\n\n- Rendimiento muy elevado o influencia de gran alcance\n- Posibilidad de difusión entre un gran número de usuarios y en diversos sectores\n- Posibilidad de uso indebido, como ciberataques, riesgos biológicos, químicos o físicos, manipulación o desinformación\n- Posibilidad de que se produzcan daños sociales graves en caso de que se produzca un incidente grave\n- Criterios establecidos por la ley, como un volumen de cálculo a gran escala o la designación por parte de la Comisión\n\n### Guía de obligaciones adicionales\n\n| Obligación adicional | Descripción | Comprobación práctica |\n|---|---|---|\n| Evaluación del modelo | Evaluar de forma sistemática el rendimiento, las limitaciones y los riesgos del modelo | ¿Existen tanto la evaluación previa como la posterior al lanzamiento? |\n| Pruebas de ataque | Pruebas de escenarios de abuso, como el uso indebido, el «jailbreak» o la ejecución de instrucciones peligrosas | ¿Se registran las pruebas de «equipo rojo» y las pruebas de seguridad? |\n| Evaluación y mitigación de riesgos | Medidas técnicas y operativas para reducir los riesgos identificados en el sistema | ¿Existen filtros de seguridad, restricciones de acceso, supervisión y políticas de usuario? |\n| Seguimiento y notificación de incidentes graves | Documentación y notificación de incidentes graves y medidas correctivas | ¿Existen criterios de clasificación de incidentes y procedimientos de notificación? |\n| Protección de la ciberseguridad | Protección de modelos, pesos, API e infraestructura de entrenamiento y despliegue | ¿Existen medidas de defensa contra el robo de modelos, los ataques de prompts y las fugas de datos? |\n\n## 5. Obligación de identificar y etiquetar el contenido generado por IA\n\nA partir del 2 de agosto de 2026, uno de los ámbitos a los que las empresas deberán prestar especial atención es la identificación del contenido generado o manipulado por IA. Las obligaciones de transparencia de la Ley de IA (AI Act) se centran en reducir la confusión de los usuarios cuando interactúan con la IA o se encuentran con contenido generado por ella.\n\n| Objeto | Medidas requeridas | Ejemplos |\n|---|---|---|\n| Imágenes, audio y vídeo generados por IA | Permitir que se indique que han sido generados o manipulados artificialmente | Imágenes de personas sintéticas, voces generadas por IA, vídeos «deepfake» |\n| Texto generativo | Se requiere una evaluación de transparencia cuando se utilice para proporcionar información sobre asuntos de interés público | Resúmenes de noticias, textos generados automáticamente relacionados con elecciones o políticas públicas |\n| Interacción con la IA | El usuario debe poder saber que está interactuando con un sistema de IA | Chatbots, respuestas automáticas de atención al cliente, agentes de voz |\n| Divulgación de deepfakes | El distribuidor o el usuario pueden estar obligados a notificar que se trata de un contenido manipulado | Vídeos sintéticos de famosos, composiciones que parecen sucesos reales |\n\n### Aspectos clave para la aplicación práctica\n\n- El método de identificación debe tener en cuenta tanto los avisos visibles para las personas como las marcas de agua y los metadatos legibles por máquinas.\n- La identificación debe ser clara sin menoscabar el propósito del contenido.\n- Incluso en los casos en que sean posibles excepciones o flexibilizaciones, es más seguro dejar constancia de los fundamentos de la decisión interna.\n- Los contenidos de marketing, atención al cliente, formación y capacitación en seguridad también pueden estar sujetos a la obligación de identificación.\n\n## 6. El significado del Plan de Ciberseguridad de la UE para la IA Avanzada de julio de 2026\n\nLa Comisión Europea presentó el 7 de julio de 2026 un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada supone para la ciberseguridad. Este plan no se limita a considerar la IA como un objeto de regulación, sino que adopta un enfoque que busca gestionarse los riesgos de seguridad inherentes a la propia IA avanzada, al tiempo que se aprovecha como herramienta para mejorar las capacidades de ciberdefensa.\n\n### ¿Por qué es importante?\n\n| Cuestión | Significado | Repercusión en las empresas |\n|---|---|---|\n| Acceso a la IA avanzada | Orientación para que los investigadores en materia de seguridad y los responsables de la defensa puedan aprovechar las capacidades más recientes de la IA | Se requiere acceso para pruebas de seguridad, cooperación en materia de investigación y procedimientos de divulgación responsable |\n| Evaluación de modelos | Evaluar si la IA avanzada puede potenciar los ciberataques | Es necesario evaluar la posibilidad de explotación de vulnerabilidades, automatización del phishing y apoyo a el malware |\n| Colaboración con la ENISA | Refuerzo de la colaboración con la agencia especializada en ciberseguridad de la UE | Aumento de las expectativas en materia de normas de seguridad, intercambio de información y respuesta ante incidentes |\n| Riesgos y oportunidades paralelos | Reconocer la IA tanto como herramienta de ataque como de defensa | Afecta tanto a las empresas de productos de seguridad como a las de modelos de IA |\n\n## 7. Riesgos prácticos para las empresas de fuera de la UE\n\nLa Ley de IA de la UE no es un asunto que afecte únicamente a las empresas de la UE. Las empresas de fuera de la UE que ofrezcan modelos o servicios de IA en el mercado de la UE también pueden estar sujetas a su aplicación.\n\n### Preguntas que deben plantearse las empresas de fuera de la UE\n\n1. ¿Pueden los usuarios de la UE utilizar las API, aplicaciones o plataformas de los modelos?\n2. ¿Integran las empresas de la UE sus modelos en sus propios servicios?\n3. ¿Se utilizan los resultados de los modelos dentro de la UE o tienen repercusiones en ella?\n4. ¿Es necesario contar con un representante o un sistema de contacto en la UE?\n5. ¿Se pueden explicar los datos de entrenamiento, los derechos de autor, los datos personales y la documentación de seguridad de acuerdo con las normas de la UE?\n6. ¿Se ha reflejado la indicación de que el contenido ha sido generado por IA en la interfaz de usuario del producto y en las respuestas de la API?\n7. ¿Existen procedimientos para comunicarse con las autoridades de supervisión de la UE en caso de que se produzca un incidente grave?\n\n### Riesgos contractuales\n\nEs muy probable que los clientes de la UE exijan más información a los proveedores de modelos para cumplir con la Ley de IA. Por lo tanto, deben reflejarse los siguientes aspectos en las condiciones de uso de la API, los contratos empresariales, los documentos de tratamiento de datos y los anexos de seguridad:\n\n- El uso y las limitaciones del modelo\n- Casos de uso prohibidos o restringidos\n- Avisos de riesgo y funciones de seguridad\n- Si se ofrece soporte para la identificación del contenido generado\n- Procedimientos de notificación de incidentes de seguridad\n- Explicaciones relativas a los derechos de autor y a los datos de entrenamiento\n- Alcance de la información que debe facilitarse para que los proveedores posteriores cumplan con la normativa\n\n## 8. Lista de comprobación para empresas\n\n### A. Clasificación de modelos\n\n- [ ] Hemos clasificado nuestro producto como sistema de IA, modelo de IA general o ambos.\n- [ ] Hemos comprobado si el modelo se comercializa en el mercado de la UE.\n- [ ] Hemos examinado por separado si se distribuye como código abierto y la posibilidad real de exención.\n- [ ] Hemos evaluado los posibles riesgos del sistema.\n\n### B. Documentación\n\n- [ ] Mantenemos la documentación técnica actualizada.\n- [ ] Documentamos los resultados y las limitaciones de la evaluación del modelo.\n- [ ] Proporcionamos la información necesaria a los proveedores posteriores.\n- [ ] Preparamos una plantilla para la publicación del resumen del contenido de entrenamiento.\n- [ ] Se ha establecido una política de cumplimiento de los derechos de autor.\n\n### C. Etiquetado y transparencia\n\n- [ ] Se han establecido criterios de etiquetado para las imágenes, el audio, los vídeos y los textos generados por IA.\n- [ ] Se ha diseñado el método de etiquetado adecuado entre la interfaz de usuario (UI), la API, los metadatos y las marcas de agua.\n- [ ] Se ha evaluado la necesidad de avisos específicos para los «deepfakes» o los textos de interés público.\n- [ ] Cuando se apliquen excepciones a la identificación, se documentarán los fundamentos de dicha decisión.\n\n### D. Ciberseguridad\n\n- [ ] Se han revisado las medidas de protección de los pesos del modelo, los datos de entrenamiento y la infraestructura de distribución.\n- [ ] Se han realizado pruebas de inyección de prompts, fuga de datos, apropiación de modelos y uso malintencionado.\n- [ ] Se gestionan los procedimientos del «equipo rojo» y de notificación de vulnerabilidades.\n- [ ] Se han establecido los procedimientos de notificación de incidentes graves y se ha designado a los responsables.\n- [ ] Se han establecido políticas de acceso para investigadores de seguridad y de divulgación responsable.\n\n### E. Gobernanza\n\n- [ ] Se ha designado el departamento responsable de la Ley de IA.\n- [ ] Se han definido las funciones de los equipos jurídico, de seguridad, de producto, de datos y de ventas.\n- [ ] Se ha creado un repositorio de documentación para responder a las solicitudes de cumplimiento de los clientes de la UE.\n- [ ] Se supervisa el servicio de asistencia de la Ley de IA y las actualizaciones de las directrices de la Comisión Europea.\n\n## 9. Breve conclusión\n\nEl 2 de agosto de 2026 es la fecha en la que la Ley de IA de la UE se reflejará de forma concreta en la documentación corporativa, la interfaz de usuario de los productos, la evaluación de modelos, las operaciones de seguridad y los contratos con los clientes. Para los proveedores de modelos de IA generalista, no basta con preparar únicamente la documentación técnica y la política de derechos de autor. Deben integrar en un único marco operativo normativo aspectos como la identificación de los productos generados, la evaluación de los riesgos del sistema, la notificación de incidentes graves, la protección de la ciberseguridad y la atención a los clientes de la UE.\n\nEn particular, dado que la IA avanzada mejora simultáneamente las capacidades tanto de ataque como de defensa en el ámbito de la ciberseguridad, la UE está proponiendo una orientación política que incluye el acceso a los modelos, su evaluación y la colaboración con la ENISA. Para las empresas fuera de la UE que estén conectadas con el mercado de la UE, este es el momento de convertir sus listas de verificación internas en documentos operativos reales.","content_html":"\u003ch2\u003e\u003ca href=\"#resumen\" class=\"anchor\" id=\"resumen\"\u003e\u003c/a\u003eResumen\u003c/h2\u003e\n\u003cp\u003eLa Ley de IA de la UE entrará en una fase en la que tendrá un impacto directo en las prácticas empresariales en torno al 2 de agosto de 2026. En particular, están cobrando relevancia los modelos de IA general, el etiquetado de los resultados de la IA generativa y la gestión de los riesgos de ciberseguridad de la IA avanzada.\u003c/p\u003e\n\u003cp\u003eEl 7 de julio de 2026, la Comisión Europea presentó un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada plantea para la ciberseguridad. Esto se enmarca en las directrices de la Ley de IA en materia de supervisión de la IA general, evaluación de modelos, respuesta ante incidentes y cooperación con organismos de ciberseguridad de la UE, como la ENISA.\u003c/p\u003e\n\u003cp\u003eEste documento no es una interpretación de los textos legales, sino una recopilación de conocimientos para la revisión práctica basada en materiales publicados por la Comisión Europea y el Servicio de Asistencia de la Ley de IA.\u003c/p\u003e\n\u003ch2\u003e\u003ca href=\"#1-por-qué-es-importante-el-2-de-agosto-de-2026\" class=\"anchor\" id=\"1-por-qué-es-importante-el-2-de-agosto-de-2026\"\u003e\u003c/a\u003e1. Por qué es importante el 2 de agosto de 2026\u003c/h2\u003e\n\u003cp\u003eLa Ley de IA de la UE no es una ley que se aplique en su totalidad de una sola vez, sino que se aplica de forma secuencial, disposición por disposición. El 2 de agosto de 2026 puede entenderse como la fecha a partir de la cual las siguientes obligaciones comenzarán a tener un impacto significativo en el funcionamiento de las empresas.\u003c/p\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eÁmbito\u003c/th\u003e\n\u003cth\u003ePuntos de revisión para 2026\u003c/th\u003e\n\u003cth\u003ePreguntas que deben plantearse las empresas\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eModelos de IA de uso general\u003c/td\u003e\n\u003ctd\u003eSupervisión y ejecución por parte de la Oficina de IA, sistemas de documentación, derechos de autor y gestión de riesgos\u003c/td\u003e\n\u003ctd\u003e¿Se ofrece nuestro modelo en el mercado de la UE? ¿Se trata de un modelo de IA de uso general?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eIndicación de contenido generado\u003c/td\u003e\n\u003ctd\u003eIndicación y aviso sobre textos, imágenes, audio y vídeo generados o manipulados por IA\u003c/td\u003e\n\u003ctd\u003e¿Existe el riesgo de que los resultados puedan ser confundidos por personas con contenido real?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eRiesgos del sistema\u003c/td\u003e\n\u003ctd\u003eEvaluación, mitigación, notificación de incidentes y ciberseguridad de modelos de alto rendimiento\u003c/td\u003e\n\u003ctd\u003e¿Tiene el modelo un impacto a gran escala o potencial de uso indebido?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eCiberseguridad\u003c/td\u003e\n\u003ctd\u003eAcceso a IA avanzada, evaluación de modelos, colaboración con la ENISA\u003c/td\u003e\n\u003ctd\u003e¿Se ajustan las pruebas de seguridad y la gestión de vulnerabilidades a los niveles esperados por la normativa?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eEmpresas fuera de la UE\u003c/td\u003e\n\u003ctd\u003eTambién aplicable a los proveedores extraterritoriales cuando ofrecen sus servicios en el mercado de la UE\u003c/td\u003e\n\u003ctd\u003e¿Existen usuarios, clientes o canales de distribución en la UE?\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003cp\u003eCabe señalar que el momento de aplicación de las obligaciones relacionadas con la IA general y el período de transición de los modelos existentes pueden variar en función de la fecha de lanzamiento del modelo y de su situación jurídica. Por lo tanto, en 2026 no solo habrá que revisar los «nuevos modelos», sino también la documentación, las políticas y las formas de etiquetado de los modelos ya desplegados.\u003c/p\u003e\n\u003ch2\u003e\u003ca href=\"#2-resumen-de-términos-clave\" class=\"anchor\" id=\"2-resumen-de-términos-clave\"\u003e\u003c/a\u003e2. Resumen de términos clave\u003c/h2\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eTérmino\u003c/th\u003e\n\u003cth\u003eSignificado\u003c/th\u003e\n\u003cth\u003eImportancia práctica\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eModelo de IA de propósito general\u003c/td\u003e\n\u003ctd\u003eModelo de IA que puede utilizarse para diversos fines y tareas, y que puede integrarse en múltiples sistemas\u003c/td\u003e\n\u003ctd\u003ePueden incluirse los modelos base, los modelos de lenguaje a gran escala y los modelos multimodales\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eGPAI\u003c/td\u003e\n\u003ctd\u003eAbreviatura de «General-Purpose AI» (IA de propósito general), expresión utilizada con frecuencia en la normativa sobre IA de propósito general de la Ley de IA de la UE\u003c/td\u003e\n\u003ctd\u003ePunto de partida para determinar las obligaciones de los proveedores de modelos\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eRiesgo sistémico\u003c/td\u003e\n\u003ctd\u003eRiesgo que puede tener un impacto generalizado en la sociedad, la economía y la seguridad, como un impacto a gran escala, incidentes graves o la posibilidad de uso indebido\u003c/td\u003e\n\u003ctd\u003eCriterio para determinar obligaciones adicionales de evaluación, mitigación y notificación\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eOficina de IA\u003c/td\u003e\n\u003ctd\u003eOrganismo que desempeña un papel central en la aplicación de la Ley de IA a escala de la UE y en la supervisión de la IA de uso general\u003c/td\u003e\n\u003ctd\u003ePunto de contacto para la supervisión de los proveedores de modelos de IA de uso general\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eIndicación de contenido generado\u003c/td\u003e\n\u003ctd\u003eIndicación que permite a personas o máquinas identificar que el contenido ha sido generado o manipulado por la IA\u003c/td\u003e\n\u003ctd\u003eFundamental a la hora de divulgar deepfakes, imágenes sintéticas y textos generados por IA\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003ch2\u003e\u003ca href=\"#3-obligaciones-básicas-de-los-proveedores-de-modelos-de-ia-general\" class=\"anchor\" id=\"3-obligaciones-básicas-de-los-proveedores-de-modelos-de-ia-general\"\u003e\u003c/a\u003e3. Obligaciones básicas de los proveedores de modelos de IA general\u003c/h2\u003e\n\u003cp\u003eLos proveedores de modelos de IA general no son meros operadores de aplicaciones, sino entidades que desarrollan, distribuyen y proporcionan los modelos en sí. Si ofrecen sus modelos en el mercado de la UE o los integran en servicios dentro de la UE, deben tener en cuenta las siguientes obligaciones.\u003c/p\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eObligación\u003c/th\u003e\n\u003cth\u003eContenido\u003c/th\u003e\n\u003cth\u003eEjemplos de resultados necesarios\u003c/th\u003e\n\u003cth\u003eObservaciones\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eElaboración de documentación técnica\u003c/td\u003e\n\u003ctd\u003eDocumentación sobre el desarrollo, el entrenamiento, las pruebas, el rendimiento y las limitaciones del modelo\u003c/td\u003e\n\u003ctd\u003eFicha del modelo, documentación técnica, informe de evaluación\u003c/td\u003e\n\u003ctd\u003eBase para responder a las solicitudes de las autoridades de supervisión\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eInformación para los proveedores posteriores\u003c/td\u003e\n\u003ctd\u003eSuministro de la información necesaria a las empresas que crean sistemas de IA mediante la integración del modelo\u003c/td\u003e\n\u003ctd\u003eGuía de integración, restricciones de uso, información sobre riesgos\u003c/td\u003e\n\u003ctd\u003eDebe reflejarse en los contratos B2B y en la documentación de la API\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003ePolítica de cumplimiento de los derechos de autor\u003c/td\u003e\n\u003ctd\u003eEstablecimiento de una política para cumplir con la legislación de la UE en materia de derechos de autor\u003c/td\u003e\n\u003ctd\u003ePolítica de recopilación de datos, procedimientos de tramitación de solicitudes de los titulares de derechos\u003c/td\u003e\n\u003ctd\u003eVinculada a la gobernanza de los datos de entrenamiento\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003ePublicación de resúmenes del contenido de entrenamiento\u003c/td\u003e\n\u003ctd\u003ePublicación de resúmenes suficientemente detallados sobre el contenido utilizado para el entrenamiento\u003c/td\u003e\n\u003ctd\u003eResúmenes basados en las plantillas de la Comisión Europea\u003c/td\u003e\n\u003ctd\u003eNecesidad de encontrar un equilibrio entre el secreto comercial y la transparencia\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eConservación de registros y respuesta\u003c/td\u003e\n\u003ctd\u003eMantenimiento de registros internos que permitan responder a las consultas e investigaciones de las autoridades de supervisión\u003c/td\u003e\n\u003ctd\u003eSistema de gestión de documentos, designación de responsables\u003c/td\u003e\n\u003ctd\u003eLa posibilidad de demostrarlo a posteriori es importante\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003ch3\u003e\u003ca href=\"#los-modelos-de-código-abierto-tampoco-están-totalmente-exentos\" class=\"anchor\" id=\"los-modelos-de-código-abierto-tampoco-están-totalmente-exentos\"\u003e\u003c/a\u003eLos modelos de código abierto tampoco están totalmente exentos\u003c/h3\u003e\n\u003cp\u003eLa Ley de IA puede aplicar un trato parcialmente más flexible a los modelos de IA genéricos libres y de código abierto que cumplan determinadas condiciones. Sin embargo, el hecho de ser de código abierto no exime de todas las obligaciones. En particular, deben analizarse por separado las obligaciones adicionales relativas a la política de derechos de autor, los resúmenes de los contenidos de entrenamiento y los modelos que presentan riesgos sistémicos.\u003c/p\u003e\n\u003ch2\u003e\u003ca href=\"#4-requisitos-adicionales-para-los-modelos-de-ia-general-que-presentan-riesgos-sistémicos\" class=\"anchor\" id=\"4-requisitos-adicionales-para-los-modelos-de-ia-general-que-presentan-riesgos-sistémicos\"\u003e\u003c/a\u003e4. Requisitos adicionales para los modelos de IA general que presentan riesgos sistémicos\u003c/h2\u003e\n\u003cp\u003eLos modelos de IA generalista de alto nivel requieren una gestión más estricta que los modelos generales. La Ley de IA de la UE trata por separado, en particular, los «modelos de IA generalista que presentan riesgos sistémicos».\u003c/p\u003e\n\u003ch3\u003e\u003ca href=\"#factores-para-determinar-el-riesgo-sistémico\" class=\"anchor\" id=\"factores-para-determinar-el-riesgo-sistémico\"\u003e\u003c/a\u003eFactores para determinar el riesgo sistémico\u003c/h3\u003e\n\u003cp\u003eSegún los documentos publicados por la UE, el riesgo sistémico está relacionado con los siguientes factores:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eRendimiento muy elevado o influencia de gran alcance\u003c/li\u003e\n\u003cli\u003ePosibilidad de difusión entre un gran número de usuarios y en diversos sectores\u003c/li\u003e\n\u003cli\u003ePosibilidad de uso indebido, como ciberataques, riesgos biológicos, químicos o físicos, manipulación o desinformación\u003c/li\u003e\n\u003cli\u003ePosibilidad de que se produzcan daños sociales graves en caso de que se produzca un incidente grave\u003c/li\u003e\n\u003cli\u003eCriterios establecidos por la ley, como un volumen de cálculo a gran escala o la designación por parte de la Comisión\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3\u003e\u003ca href=\"#guía-de-obligaciones-adicionales\" class=\"anchor\" id=\"guía-de-obligaciones-adicionales\"\u003e\u003c/a\u003eGuía de obligaciones adicionales\u003c/h3\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eObligación adicional\u003c/th\u003e\n\u003cth\u003eDescripción\u003c/th\u003e\n\u003cth\u003eComprobación práctica\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eEvaluación del modelo\u003c/td\u003e\n\u003ctd\u003eEvaluar de forma sistemática el rendimiento, las limitaciones y los riesgos del modelo\u003c/td\u003e\n\u003ctd\u003e¿Existen tanto la evaluación previa como la posterior al lanzamiento?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003ePruebas de ataque\u003c/td\u003e\n\u003ctd\u003ePruebas de escenarios de abuso, como el uso indebido, el «jailbreak» o la ejecución de instrucciones peligrosas\u003c/td\u003e\n\u003ctd\u003e¿Se registran las pruebas de «equipo rojo» y las pruebas de seguridad?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eEvaluación y mitigación de riesgos\u003c/td\u003e\n\u003ctd\u003eMedidas técnicas y operativas para reducir los riesgos identificados en el sistema\u003c/td\u003e\n\u003ctd\u003e¿Existen filtros de seguridad, restricciones de acceso, supervisión y políticas de usuario?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eSeguimiento y notificación de incidentes graves\u003c/td\u003e\n\u003ctd\u003eDocumentación y notificación de incidentes graves y medidas correctivas\u003c/td\u003e\n\u003ctd\u003e¿Existen criterios de clasificación de incidentes y procedimientos de notificación?\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eProtección de la ciberseguridad\u003c/td\u003e\n\u003ctd\u003eProtección de modelos, pesos, API e infraestructura de entrenamiento y despliegue\u003c/td\u003e\n\u003ctd\u003e¿Existen medidas de defensa contra el robo de modelos, los ataques de prompts y las fugas de datos?\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003ch2\u003e\u003ca href=\"#5-obligación-de-identificar-y-etiquetar-el-contenido-generado-por-ia\" class=\"anchor\" id=\"5-obligación-de-identificar-y-etiquetar-el-contenido-generado-por-ia\"\u003e\u003c/a\u003e5. Obligación de identificar y etiquetar el contenido generado por IA\u003c/h2\u003e\n\u003cp\u003eA partir del 2 de agosto de 2026, uno de los ámbitos a los que las empresas deberán prestar especial atención es la identificación del contenido generado o manipulado por IA. Las obligaciones de transparencia de la Ley de IA (AI Act) se centran en reducir la confusión de los usuarios cuando interactúan con la IA o se encuentran con contenido generado por ella.\u003c/p\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eObjeto\u003c/th\u003e\n\u003cth\u003eMedidas requeridas\u003c/th\u003e\n\u003cth\u003eEjemplos\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eImágenes, audio y vídeo generados por IA\u003c/td\u003e\n\u003ctd\u003ePermitir que se indique que han sido generados o manipulados artificialmente\u003c/td\u003e\n\u003ctd\u003eImágenes de personas sintéticas, voces generadas por IA, vídeos «deepfake»\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eTexto generativo\u003c/td\u003e\n\u003ctd\u003eSe requiere una evaluación de transparencia cuando se utilice para proporcionar información sobre asuntos de interés público\u003c/td\u003e\n\u003ctd\u003eResúmenes de noticias, textos generados automáticamente relacionados con elecciones o políticas públicas\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eInteracción con la IA\u003c/td\u003e\n\u003ctd\u003eEl usuario debe poder saber que está interactuando con un sistema de IA\u003c/td\u003e\n\u003ctd\u003eChatbots, respuestas automáticas de atención al cliente, agentes de voz\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eDivulgación de deepfakes\u003c/td\u003e\n\u003ctd\u003eEl distribuidor o el usuario pueden estar obligados a notificar que se trata de un contenido manipulado\u003c/td\u003e\n\u003ctd\u003eVídeos sintéticos de famosos, composiciones que parecen sucesos reales\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003ch3\u003e\u003ca href=\"#aspectos-clave-para-la-aplicación-práctica\" class=\"anchor\" id=\"aspectos-clave-para-la-aplicación-práctica\"\u003e\u003c/a\u003eAspectos clave para la aplicación práctica\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003eEl método de identificación debe tener en cuenta tanto los avisos visibles para las personas como las marcas de agua y los metadatos legibles por máquinas.\u003c/li\u003e\n\u003cli\u003eLa identificación debe ser clara sin menoscabar el propósito del contenido.\u003c/li\u003e\n\u003cli\u003eIncluso en los casos en que sean posibles excepciones o flexibilizaciones, es más seguro dejar constancia de los fundamentos de la decisión interna.\u003c/li\u003e\n\u003cli\u003eLos contenidos de marketing, atención al cliente, formación y capacitación en seguridad también pueden estar sujetos a la obligación de identificación.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch2\u003e\u003ca href=\"#6-el-significado-del-plan-de-ciberseguridad-de-la-ue-para-la-ia-avanzada-de-julio-de-2026\" class=\"anchor\" id=\"6-el-significado-del-plan-de-ciberseguridad-de-la-ue-para-la-ia-avanzada-de-julio-de-2026\"\u003e\u003c/a\u003e6. El significado del Plan de Ciberseguridad de la UE para la IA Avanzada de julio de 2026\u003c/h2\u003e\n\u003cp\u003eLa Comisión Europea presentó el 7 de julio de 2026 un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada supone para la ciberseguridad. Este plan no se limita a considerar la IA como un objeto de regulación, sino que adopta un enfoque que busca gestionarse los riesgos de seguridad inherentes a la propia IA avanzada, al tiempo que se aprovecha como herramienta para mejorar las capacidades de ciberdefensa.\u003c/p\u003e\n\u003ch3\u003e\u003ca href=\"#por-qué-es-importante\" class=\"anchor\" id=\"por-qué-es-importante\"\u003e\u003c/a\u003e¿Por qué es importante?\u003c/h3\u003e\n\u003cdiv class=\"overflow-x-auto\"\u003e\u003ctable\u003e\n\u003cthead\u003e\n\u003ctr\u003e\n\u003cth\u003eCuestión\u003c/th\u003e\n\u003cth\u003eSignificado\u003c/th\u003e\n\u003cth\u003eRepercusión en las empresas\u003c/th\u003e\n\u003c/tr\u003e\n\u003c/thead\u003e\n\u003ctbody\u003e\n\u003ctr\u003e\n\u003ctd\u003eAcceso a la IA avanzada\u003c/td\u003e\n\u003ctd\u003eOrientación para que los investigadores en materia de seguridad y los responsables de la defensa puedan aprovechar las capacidades más recientes de la IA\u003c/td\u003e\n\u003ctd\u003eSe requiere acceso para pruebas de seguridad, cooperación en materia de investigación y procedimientos de divulgación responsable\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eEvaluación de modelos\u003c/td\u003e\n\u003ctd\u003eEvaluar si la IA avanzada puede potenciar los ciberataques\u003c/td\u003e\n\u003ctd\u003eEs necesario evaluar la posibilidad de explotación de vulnerabilidades, automatización del phishing y apoyo a el malware\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eColaboración con la ENISA\u003c/td\u003e\n\u003ctd\u003eRefuerzo de la colaboración con la agencia especializada en ciberseguridad de la UE\u003c/td\u003e\n\u003ctd\u003eAumento de las expectativas en materia de normas de seguridad, intercambio de información y respuesta ante incidentes\u003c/td\u003e\n\u003c/tr\u003e\n\u003ctr\u003e\n\u003ctd\u003eRiesgos y oportunidades paralelos\u003c/td\u003e\n\u003ctd\u003eReconocer la IA tanto como herramienta de ataque como de defensa\u003c/td\u003e\n\u003ctd\u003eAfecta tanto a las empresas de productos de seguridad como a las de modelos de IA\u003c/td\u003e\n\u003c/tr\u003e\n\u003c/tbody\u003e\n\u003c/table\u003e\u003c/div\u003e\n\u003ch2\u003e\u003ca href=\"#7-riesgos-prácticos-para-las-empresas-de-fuera-de-la-ue\" class=\"anchor\" id=\"7-riesgos-prácticos-para-las-empresas-de-fuera-de-la-ue\"\u003e\u003c/a\u003e7. Riesgos prácticos para las empresas de fuera de la UE\u003c/h2\u003e\n\u003cp\u003eLa Ley de IA de la UE no es un asunto que afecte únicamente a las empresas de la UE. Las empresas de fuera de la UE que ofrezcan modelos o servicios de IA en el mercado de la UE también pueden estar sujetas a su aplicación.\u003c/p\u003e\n\u003ch3\u003e\u003ca href=\"#preguntas-que-deben-plantearse-las-empresas-de-fuera-de-la-ue\" class=\"anchor\" id=\"preguntas-que-deben-plantearse-las-empresas-de-fuera-de-la-ue\"\u003e\u003c/a\u003ePreguntas que deben plantearse las empresas de fuera de la UE\u003c/h3\u003e\n\u003col\u003e\n\u003cli\u003e¿Pueden los usuarios de la UE utilizar las API, aplicaciones o plataformas de los modelos?\u003c/li\u003e\n\u003cli\u003e¿Integran las empresas de la UE sus modelos en sus propios servicios?\u003c/li\u003e\n\u003cli\u003e¿Se utilizan los resultados de los modelos dentro de la UE o tienen repercusiones en ella?\u003c/li\u003e\n\u003cli\u003e¿Es necesario contar con un representante o un sistema de contacto en la UE?\u003c/li\u003e\n\u003cli\u003e¿Se pueden explicar los datos de entrenamiento, los derechos de autor, los datos personales y la documentación de seguridad de acuerdo con las normas de la UE?\u003c/li\u003e\n\u003cli\u003e¿Se ha reflejado la indicación de que el contenido ha sido generado por IA en la interfaz de usuario del producto y en las respuestas de la API?\u003c/li\u003e\n\u003cli\u003e¿Existen procedimientos para comunicarse con las autoridades de supervisión de la UE en caso de que se produzca un incidente grave?\u003c/li\u003e\n\u003c/ol\u003e\n\u003ch3\u003e\u003ca href=\"#riesgos-contractuales\" class=\"anchor\" id=\"riesgos-contractuales\"\u003e\u003c/a\u003eRiesgos contractuales\u003c/h3\u003e\n\u003cp\u003eEs muy probable que los clientes de la UE exijan más información a los proveedores de modelos para cumplir con la Ley de IA. Por lo tanto, deben reflejarse los siguientes aspectos en las condiciones de uso de la API, los contratos empresariales, los documentos de tratamiento de datos y los anexos de seguridad:\u003c/p\u003e\n\u003cul\u003e\n\u003cli\u003eEl uso y las limitaciones del modelo\u003c/li\u003e\n\u003cli\u003eCasos de uso prohibidos o restringidos\u003c/li\u003e\n\u003cli\u003eAvisos de riesgo y funciones de seguridad\u003c/li\u003e\n\u003cli\u003eSi se ofrece soporte para la identificación del contenido generado\u003c/li\u003e\n\u003cli\u003eProcedimientos de notificación de incidentes de seguridad\u003c/li\u003e\n\u003cli\u003eExplicaciones relativas a los derechos de autor y a los datos de entrenamiento\u003c/li\u003e\n\u003cli\u003eAlcance de la información que debe facilitarse para que los proveedores posteriores cumplan con la normativa\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch2\u003e\u003ca href=\"#8-lista-de-comprobación-para-empresas\" class=\"anchor\" id=\"8-lista-de-comprobación-para-empresas\"\u003e\u003c/a\u003e8. Lista de comprobación para empresas\u003c/h2\u003e\n\u003ch3\u003e\u003ca href=\"#a-clasificación-de-modelos\" class=\"anchor\" id=\"a-clasificación-de-modelos\"\u003e\u003c/a\u003eA. Clasificación de modelos\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003e Hemos clasificado nuestro producto como sistema de IA, modelo de IA general o ambos.\u003c/li\u003e\n\u003cli\u003e Hemos comprobado si el modelo se comercializa en el mercado de la UE.\u003c/li\u003e\n\u003cli\u003e Hemos examinado por separado si se distribuye como código abierto y la posibilidad real de exención.\u003c/li\u003e\n\u003cli\u003e Hemos evaluado los posibles riesgos del sistema.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3\u003e\u003ca href=\"#b-documentación\" class=\"anchor\" id=\"b-documentación\"\u003e\u003c/a\u003eB. Documentación\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003e Mantenemos la documentación técnica actualizada.\u003c/li\u003e\n\u003cli\u003e Documentamos los resultados y las limitaciones de la evaluación del modelo.\u003c/li\u003e\n\u003cli\u003e Proporcionamos la información necesaria a los proveedores posteriores.\u003c/li\u003e\n\u003cli\u003e Preparamos una plantilla para la publicación del resumen del contenido de entrenamiento.\u003c/li\u003e\n\u003cli\u003e Se ha establecido una política de cumplimiento de los derechos de autor.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3\u003e\u003ca href=\"#c-etiquetado-y-transparencia\" class=\"anchor\" id=\"c-etiquetado-y-transparencia\"\u003e\u003c/a\u003eC. Etiquetado y transparencia\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003e Se han establecido criterios de etiquetado para las imágenes, el audio, los vídeos y los textos generados por IA.\u003c/li\u003e\n\u003cli\u003e Se ha diseñado el método de etiquetado adecuado entre la interfaz de usuario (UI), la API, los metadatos y las marcas de agua.\u003c/li\u003e\n\u003cli\u003e Se ha evaluado la necesidad de avisos específicos para los «deepfakes» o los textos de interés público.\u003c/li\u003e\n\u003cli\u003e Cuando se apliquen excepciones a la identificación, se documentarán los fundamentos de dicha decisión.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3\u003e\u003ca href=\"#d-ciberseguridad\" class=\"anchor\" id=\"d-ciberseguridad\"\u003e\u003c/a\u003eD. Ciberseguridad\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003e Se han revisado las medidas de protección de los pesos del modelo, los datos de entrenamiento y la infraestructura de distribución.\u003c/li\u003e\n\u003cli\u003e Se han realizado pruebas de inyección de prompts, fuga de datos, apropiación de modelos y uso malintencionado.\u003c/li\u003e\n\u003cli\u003e Se gestionan los procedimientos del «equipo rojo» y de notificación de vulnerabilidades.\u003c/li\u003e\n\u003cli\u003e Se han establecido los procedimientos de notificación de incidentes graves y se ha designado a los responsables.\u003c/li\u003e\n\u003cli\u003e Se han establecido políticas de acceso para investigadores de seguridad y de divulgación responsable.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch3\u003e\u003ca href=\"#e-gobernanza\" class=\"anchor\" id=\"e-gobernanza\"\u003e\u003c/a\u003eE. Gobernanza\u003c/h3\u003e\n\u003cul\u003e\n\u003cli\u003e Se ha designado el departamento responsable de la Ley de IA.\u003c/li\u003e\n\u003cli\u003e Se han definido las funciones de los equipos jurídico, de seguridad, de producto, de datos y de ventas.\u003c/li\u003e\n\u003cli\u003e Se ha creado un repositorio de documentación para responder a las solicitudes de cumplimiento de los clientes de la UE.\u003c/li\u003e\n\u003cli\u003e Se supervisa el servicio de asistencia de la Ley de IA y las actualizaciones de las directrices de la Comisión Europea.\u003c/li\u003e\n\u003c/ul\u003e\n\u003ch2\u003e\u003ca href=\"#9-breve-conclusión\" class=\"anchor\" id=\"9-breve-conclusión\"\u003e\u003c/a\u003e9. Breve conclusión\u003c/h2\u003e\n\u003cp\u003eEl 2 de agosto de 2026 es la fecha en la que la Ley de IA de la UE se reflejará de forma concreta en la documentación corporativa, la interfaz de usuario de los productos, la evaluación de modelos, las operaciones de seguridad y los contratos con los clientes. Para los proveedores de modelos de IA generalista, no basta con preparar únicamente la documentación técnica y la política de derechos de autor. Deben integrar en un único marco operativo normativo aspectos como la identificación de los productos generados, la evaluación de los riesgos del sistema, la notificación de incidentes graves, la protección de la ciberseguridad y la atención a los clientes de la UE.\u003c/p\u003e\n\u003cp\u003eEn particular, dado que la IA avanzada mejora simultáneamente las capacidades tanto de ataque como de defensa en el ámbito de la ciberseguridad, la UE está proponiendo una orientación política que incluye el acceso a los modelos, su evaluación y la colaboración con la ENISA. Para las empresas fuera de la UE que estén conectadas con el mercado de la UE, este es el momento de convertir sus listas de verificación internas en documentos operativos reales.\u003c/p\u003e\n","tags":["Ley de IA UE","IA generativa","IA de propósito general","Regulación de IA","Ciberseguridad"],"faqs":[{"question":"¿Qué cambios se producirán el 2 de agosto de 2026 en la Ley de IA de la UE?","answer":"Nos encontramos en un momento en el que la obligación de indicar y garantizar la transparencia del contenido generado por IA está empezando a afectar de lleno a las prácticas empresariales, y en el que también aumentan los riesgos relacionados con la supervisión y la aplicación de la normativa a nivel de la UE en lo que respecta a los modelos de IA de uso general. Tanto los proveedores de modelos como los proveedores de servicios y las empresas clientes de la UE deben revisar sus sistemas de documentación e indicación."},{"question":"¿En qué se diferencian los modelos de IA de uso general de los sistemas de IA generales?","answer":"Un modelo de IA de uso general es un modelo básico que puede reutilizarse para diversos fines y tareas. Un sistema de IA general se asemeja más a un producto que se materializa en una función o servicio concreto. Una misma empresa puede ser a la vez proveedora de modelos y proveedora de sistemas de IA."},{"question":"¿Deben cumplir la Ley de IA de la UE también las empresas que no pertenecen a la UE?","answer":"Esta normativa podría ser de aplicación si se ofrecen modelos, API, aplicaciones, plataformas o funciones de IA en el mercado de la UE, o si se afecta a usuarios y clientes de la UE. Por lo tanto, las empresas de fuera de la UE, como las de Estados Unidos, Corea del Sur o Japón, también deben realizar una evaluación si tienen clientes en la UE o canales de distribución en dicho mercado."},{"question":"¿Cuáles son las obligaciones básicas de los proveedores de modelos de IA de uso general?","answer":"Los aspectos fundamentales son la redacción de documentación técnica, el suministro de la información necesaria a los proveedores posteriores, la política de cumplimiento de la legislación de la UE en materia de derechos de autor y la publicación de resúmenes de los contenidos formativos. Asimismo, es necesario gestionar la documentación y los registros internos para poder responder a las solicitudes de las autoridades de supervisión."},{"question":"¿Qué requisitos adicionales se exigen a los modelos de IA general que entrañan un riesgo sistémico?","answer":"Se requieren evaluaciones de modelos, pruebas adversas, evaluación y mitigación de riesgos del sistema, así como el seguimiento y la notificación de incidentes graves, además de medidas adecuadas de protección de la ciberseguridad. Cuanto mayor sea el rendimiento y el impacto de un modelo, más minuciosamente deberá examinarse esta categoría."},{"question":"¿Es obligatorio etiquetar el contenido generado por IA?","answer":"Las imágenes, los archivos de audio, los vídeos y algunos textos generados o manipulados por la IA pueden estar sujetos a la obligación de indicación o notificación. La forma concreta en que se aplica esta obligación depende del tipo de contenido, el contexto de uso, si se trata de información de interés público y la posibilidad de que existan excepciones."},{"question":"¿Qué es una marca legible por máquina?","answer":"Se refiere no solo al texto visible para el usuario, sino también a elementos como los metadatos, las marcas de agua y las señales detectables que permiten al sistema identificar si el contenido ha sido generado por IA. Estos medios de identificación técnica son fundamentales en el marco de las obligaciones de transparencia de la Ley de IA de la UE."},{"question":"¿Los modelos de IA genéricos de código abierto no conllevan ninguna obligación?","answer":"No es así. Aunque la obligación de facilitar determinados documentos puede flexibilizarse si se cumplen ciertas condiciones, aún deben revisarse la política de derechos de autor, los resúmenes de contenidos didácticos y las obligaciones adicionales relativas a los modelos que presentan riesgos para el sistema."},{"question":"¿Por qué es importante el plan de la UE sobre ciberseguridad para la IA avanzada de julio de 2026?","answer":"Esto se debe a que la IA avanzada puede intensificar los ciberataques, pero al mismo tiempo también puede reforzar las capacidades de defensa. La UE ha marcado el rumbo para gestionar de forma conjunta los riesgos y las oportunidades mediante la evaluación de modelos, el acceso a la investigación en materia de seguridad y la colaboración con la ENISA."},{"question":"¿Por dónde deben empezar a prepararse las empresas ahora mismo?","answer":"En primer lugar, hay que definir la clasificación jurídica de los modelos y los servicios, y preparar la documentación técnica, la política de derechos de autor, el resumen de los contenidos de aprendizaje, los criterios de identificación de los resultados generados, las pruebas de ciberseguridad y los procedimientos de notificación de incidentes. También es recomendable revisar el alcance de la información que debe facilitarse en los contratos con clientes de la UE."}],"sources":[{"url":"https://commission.europa.eu/news-and-media/news/new-eu-plan-address-risks-and-opportunities-advanced-ai-cybersecurity-2026-07-07_en","title":"Comisión Europea: Nuevo plan de la UE para abordar los riesgos y las oportunidades de la IA avanzada en materia de ciberseguridad","type":"source"},{"url":"https://digital-strategy.ec.europa.eu/en/policies/guidelines-gpai-providers","title":"Estrategia digital de la Comisión Europea: Directrices para los proveedores de modelos de IA de uso general","type":"source"},{"url":"https://ai-act-service-desk.ec.europa.eu/en/resources","title":"Servicio de asistencia de la Ley de IA: Recursos","type":"source"},{"url":"https://digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers","title":"Estrategia digital de la Comisión Europea: Modelos de IA de uso general en la Ley de IA – Preguntas y respuestas","type":"source"}],"images":[{"id":165,"url":"https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6MTU5OCwicHVyIjoiYmxvYl9pZCJ9fQ==--6a0b9d54509435169af30174097627941985e773/ai-cda1846a.webp","is_representative":true,"generation_method":"ai_image","license":"ai_generated","mime_type":"image/webp","translations":{"ko":{"alt":"유럽 지도 위의 AI 네트워크 구와 체크리스트, 보안 방패, 미디어 아이콘","caption":"EU AI Act 준비를 상징하는 규제 점검, 생성 콘텐츠 표시, 사이버보안 요소가 함께 배치되어 있다.","description":null},"en":{"alt":"AI network sphere over a map of Europe with checklists, security shield, folder, and media icons","caption":"The illustration brings together EU AI compliance checks, content labeling, and cybersecurity safeguards.","description":null},"ja":{"alt":"欧州地図上のAIネットワーク球体とチェックリスト、セキュリティ盾、メディアアイコン","caption":"EU AI Actへの対応を示すように、確認項目、生成コンテンツ表示、サイバーセキュリティが描かれている。","description":null},"es":{"alt":"Esfera de red de IA sobre un mapa de Europa con listas, escudo de seguridad e iconos multimedia","caption":"La ilustración reúne controles de cumplimiento de la IA en la UE, etiquetado de contenidos y ciberseguridad.","description":null},"id":{"alt":"Bola jaringan AI di atas peta Eropa dengan daftar cek, perisai keamanan, folder, dan ikon media","caption":"Ilustrasi ini menampilkan pemeriksaan kepatuhan AI UE, pelabelan konten, dan perlindungan siber.","description":null},"pt":{"alt":"Esfera de rede de IA sobre um mapa da Europa com listas, escudo de segurança e ícones de mídia","caption":"A ilustração reúne verificações de conformidade da IA na UE, rotulagem de conteúdo e cibersegurança.","description":null},"zh-hant":{"alt":"歐洲地圖上的 AI 網路球體，周圍有檢查清單、安全盾牌與媒體圖示","caption":"插圖呈現 EU AI Act 相關的合規檢查、生成內容標示與網路安全防護。","description":null}}},{"id":166,"url":"https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6MTYwNCwicHVyIjoiYmxvYl9pZCJ9fQ==--d98af00256b05694db8cda3fb6af35918a87a9d5/ai-0e08a622.webp","is_representative":false,"generation_method":"ai_image","license":"ai_generated","mime_type":"image/webp","translations":{"ko":{"alt":"AI 큐브와 보안 게이트, 생성물 표시 아이콘, EU 지도가 연결된 규제 인포그래픽","caption":"EU AI Act 의무를 AI 보안, 생성물 표시, 위험 관리 흐름으로 시각화했다.","description":null},"en":{"alt":"AI cube passing through a secure gate toward an EU map with content labels and compliance icons","caption":"The infographic visualizes EU AI Act duties around security, content labeling, and risk controls.","description":null},"ja":{"alt":"AIキューブが安全ゲートを通り、生成物ラベルとEU地図へつながる規制図解","caption":"EU AI Actの義務を、セキュリティ、生成物表示、リスク管理の流れで示している。","description":null},"es":{"alt":"Cubo de IA tras una puerta segura, etiquetas de contenido y mapa de la UE con iconos de cumplimiento","caption":"La infografía resume obligaciones del AI Act de la UE sobre seguridad, etiquetado y control de riesgos.","description":null},"id":{"alt":"Kubus AI melewati gerbang aman menuju peta UE dengan label konten dan ikon kepatuhan","caption":"Infografik ini menggambarkan kewajiban EU AI Act terkait keamanan, pelabelan konten, dan risiko.","description":null},"pt":{"alt":"Cubo de IA passando por portal seguro rumo ao mapa da UE com rótulos de conteúdo e ícones de conformidade","caption":"O infográfico mostra obrigações do AI Act da UE sobre segurança, rotulagem de conteúdo e gestão de riscos.","description":null},"zh-hant":{"alt":"AI 立方體通過安全閘門，連向歐盟地圖、生成內容標籤與合規圖示","caption":"這張資訊圖呈現 EU AI Act 在安全、生成內容標示與風險控管上的義務。","description":null}}}],"published_at":"2026-07-14T02:40:10+09:00","updated_at":"2026-07-14T02:40:10+09:00","license":"cc_by","translation_status":"reviewed","available_locales":["ko","en","ja","es"],"data_locales":["ko","en","ja","es","id","pt","zh-hant"],"url":"https://injoys.com/es/articles/eu-ai-act-2026-gpai-cybersecurity-labeling"}