Resumen
La Ley de IA de la UE entrará en una fase en la que tendrá un impacto directo en las prácticas empresariales en torno al 2 de agosto de 2026. En particular, están cobrando relevancia los modelos de IA general, el etiquetado de los resultados de la IA generativa y la gestión de los riesgos de ciberseguridad de la IA avanzada.
El 7 de julio de 2026, la Comisión Europea presentó un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada plantea para la ciberseguridad. Esto se enmarca en las directrices de la Ley de IA en materia de supervisión de la IA general, evaluación de modelos, respuesta ante incidentes y cooperación con organismos de ciberseguridad de la UE, como la ENISA.
Este documento no es una interpretación de los textos legales, sino una recopilación de conocimientos para la revisión práctica basada en materiales publicados por la Comisión Europea y el Servicio de Asistencia de la Ley de IA.
1. Por qué es importante el 2 de agosto de 2026
La Ley de IA de la UE no es una ley que se aplique en su totalidad de una sola vez, sino que se aplica de forma secuencial, disposición por disposición. El 2 de agosto de 2026 puede entenderse como la fecha a partir de la cual las siguientes obligaciones comenzarán a tener un impacto significativo en el funcionamiento de las empresas.
| Ámbito | Puntos de revisión para 2026 | Preguntas que deben plantearse las empresas |
|---|---|---|
| Modelos de IA de uso general | Supervisión y ejecución por parte de la Oficina de IA, sistemas de documentación, derechos de autor y gestión de riesgos | ¿Se ofrece nuestro modelo en el mercado de la UE? ¿Se trata de un modelo de IA de uso general? |
| Indicación de contenido generado | Indicación y aviso sobre textos, imágenes, audio y vídeo generados o manipulados por IA | ¿Existe el riesgo de que los resultados puedan ser confundidos por personas con contenido real? |
| Riesgos del sistema | Evaluación, mitigación, notificación de incidentes y ciberseguridad de modelos de alto rendimiento | ¿Tiene el modelo un impacto a gran escala o potencial de uso indebido? |
| Ciberseguridad | Acceso a IA avanzada, evaluación de modelos, colaboración con la ENISA | ¿Se ajustan las pruebas de seguridad y la gestión de vulnerabilidades a los niveles esperados por la normativa? |
| Empresas fuera de la UE | También aplicable a los proveedores extraterritoriales cuando ofrecen sus servicios en el mercado de la UE | ¿Existen usuarios, clientes o canales de distribución en la UE? |
Cabe señalar que el momento de aplicación de las obligaciones relacionadas con la IA general y el período de transición de los modelos existentes pueden variar en función de la fecha de lanzamiento del modelo y de su situación jurídica. Por lo tanto, en 2026 no solo habrá que revisar los «nuevos modelos», sino también la documentación, las políticas y las formas de etiquetado de los modelos ya desplegados.
2. Resumen de términos clave
| Término | Significado | Importancia práctica |
|---|---|---|
| Modelo de IA de propósito general | Modelo de IA que puede utilizarse para diversos fines y tareas, y que puede integrarse en múltiples sistemas | Pueden incluirse los modelos base, los modelos de lenguaje a gran escala y los modelos multimodales |
| GPAI | Abreviatura de «General-Purpose AI» (IA de propósito general), expresión utilizada con frecuencia en la normativa sobre IA de propósito general de la Ley de IA de la UE | Punto de partida para determinar las obligaciones de los proveedores de modelos |
| Riesgo sistémico | Riesgo que puede tener un impacto generalizado en la sociedad, la economía y la seguridad, como un impacto a gran escala, incidentes graves o la posibilidad de uso indebido | Criterio para determinar obligaciones adicionales de evaluación, mitigación y notificación |
| Oficina de IA | Organismo que desempeña un papel central en la aplicación de la Ley de IA a escala de la UE y en la supervisión de la IA de uso general | Punto de contacto para la supervisión de los proveedores de modelos de IA de uso general |
| Indicación de contenido generado | Indicación que permite a personas o máquinas identificar que el contenido ha sido generado o manipulado por la IA | Fundamental a la hora de divulgar deepfakes, imágenes sintéticas y textos generados por IA |
3. Obligaciones básicas de los proveedores de modelos de IA general
Los proveedores de modelos de IA general no son meros operadores de aplicaciones, sino entidades que desarrollan, distribuyen y proporcionan los modelos en sí. Si ofrecen sus modelos en el mercado de la UE o los integran en servicios dentro de la UE, deben tener en cuenta las siguientes obligaciones.
| Obligación | Contenido | Ejemplos de resultados necesarios | Observaciones |
|---|---|---|---|
| Elaboración de documentación técnica | Documentación sobre el desarrollo, el entrenamiento, las pruebas, el rendimiento y las limitaciones del modelo | Ficha del modelo, documentación técnica, informe de evaluación | Base para responder a las solicitudes de las autoridades de supervisión |
| Información para los proveedores posteriores | Suministro de la información necesaria a las empresas que crean sistemas de IA mediante la integración del modelo | Guía de integración, restricciones de uso, información sobre riesgos | Debe reflejarse en los contratos B2B y en la documentación de la API |
| Política de cumplimiento de los derechos de autor | Establecimiento de una política para cumplir con la legislación de la UE en materia de derechos de autor | Política de recopilación de datos, procedimientos de tramitación de solicitudes de los titulares de derechos | Vinculada a la gobernanza de los datos de entrenamiento |
| Publicación de resúmenes del contenido de entrenamiento | Publicación de resúmenes suficientemente detallados sobre el contenido utilizado para el entrenamiento | Resúmenes basados en las plantillas de la Comisión Europea | Necesidad de encontrar un equilibrio entre el secreto comercial y la transparencia |
| Conservación de registros y respuesta | Mantenimiento de registros internos que permitan responder a las consultas e investigaciones de las autoridades de supervisión | Sistema de gestión de documentos, designación de responsables | La posibilidad de demostrarlo a posteriori es importante |
Los modelos de código abierto tampoco están totalmente exentos
La Ley de IA puede aplicar un trato parcialmente más flexible a los modelos de IA genéricos libres y de código abierto que cumplan determinadas condiciones. Sin embargo, el hecho de ser de código abierto no exime de todas las obligaciones. En particular, deben analizarse por separado las obligaciones adicionales relativas a la política de derechos de autor, los resúmenes de los contenidos de entrenamiento y los modelos que presentan riesgos sistémicos.
4. Requisitos adicionales para los modelos de IA general que presentan riesgos sistémicos
Los modelos de IA generalista de alto nivel requieren una gestión más estricta que los modelos generales. La Ley de IA de la UE trata por separado, en particular, los «modelos de IA generalista que presentan riesgos sistémicos».
Factores para determinar el riesgo sistémico
Según los documentos publicados por la UE, el riesgo sistémico está relacionado con los siguientes factores:
- Rendimiento muy elevado o influencia de gran alcance
- Posibilidad de difusión entre un gran número de usuarios y en diversos sectores
- Posibilidad de uso indebido, como ciberataques, riesgos biológicos, químicos o físicos, manipulación o desinformación
- Posibilidad de que se produzcan daños sociales graves en caso de que se produzca un incidente grave
- Criterios establecidos por la ley, como un volumen de cálculo a gran escala o la designación por parte de la Comisión
Guía de obligaciones adicionales
| Obligación adicional | Descripción | Comprobación práctica |
|---|---|---|
| Evaluación del modelo | Evaluar de forma sistemática el rendimiento, las limitaciones y los riesgos del modelo | ¿Existen tanto la evaluación previa como la posterior al lanzamiento? |
| Pruebas de ataque | Pruebas de escenarios de abuso, como el uso indebido, el «jailbreak» o la ejecución de instrucciones peligrosas | ¿Se registran las pruebas de «equipo rojo» y las pruebas de seguridad? |
| Evaluación y mitigación de riesgos | Medidas técnicas y operativas para reducir los riesgos identificados en el sistema | ¿Existen filtros de seguridad, restricciones de acceso, supervisión y políticas de usuario? |
| Seguimiento y notificación de incidentes graves | Documentación y notificación de incidentes graves y medidas correctivas | ¿Existen criterios de clasificación de incidentes y procedimientos de notificación? |
| Protección de la ciberseguridad | Protección de modelos, pesos, API e infraestructura de entrenamiento y despliegue | ¿Existen medidas de defensa contra el robo de modelos, los ataques de prompts y las fugas de datos? |
5. Obligación de identificar y etiquetar el contenido generado por IA
A partir del 2 de agosto de 2026, uno de los ámbitos a los que las empresas deberán prestar especial atención es la identificación del contenido generado o manipulado por IA. Las obligaciones de transparencia de la Ley de IA (AI Act) se centran en reducir la confusión de los usuarios cuando interactúan con la IA o se encuentran con contenido generado por ella.
| Objeto | Medidas requeridas | Ejemplos |
|---|---|---|
| Imágenes, audio y vídeo generados por IA | Permitir que se indique que han sido generados o manipulados artificialmente | Imágenes de personas sintéticas, voces generadas por IA, vídeos «deepfake» |
| Texto generativo | Se requiere una evaluación de transparencia cuando se utilice para proporcionar información sobre asuntos de interés público | Resúmenes de noticias, textos generados automáticamente relacionados con elecciones o políticas públicas |
| Interacción con la IA | El usuario debe poder saber que está interactuando con un sistema de IA | Chatbots, respuestas automáticas de atención al cliente, agentes de voz |
| Divulgación de deepfakes | El distribuidor o el usuario pueden estar obligados a notificar que se trata de un contenido manipulado | Vídeos sintéticos de famosos, composiciones que parecen sucesos reales |
Aspectos clave para la aplicación práctica
- El método de identificación debe tener en cuenta tanto los avisos visibles para las personas como las marcas de agua y los metadatos legibles por máquinas.
- La identificación debe ser clara sin menoscabar el propósito del contenido.
- Incluso en los casos en que sean posibles excepciones o flexibilizaciones, es más seguro dejar constancia de los fundamentos de la decisión interna.
- Los contenidos de marketing, atención al cliente, formación y capacitación en seguridad también pueden estar sujetos a la obligación de identificación.
6. El significado del Plan de Ciberseguridad de la UE para la IA Avanzada de julio de 2026
La Comisión Europea presentó el 7 de julio de 2026 un nuevo plan que aborda los riesgos y oportunidades que la IA avanzada supone para la ciberseguridad. Este plan no se limita a considerar la IA como un objeto de regulación, sino que adopta un enfoque que busca gestionarse los riesgos de seguridad inherentes a la propia IA avanzada, al tiempo que se aprovecha como herramienta para mejorar las capacidades de ciberdefensa.
¿Por qué es importante?
| Cuestión | Significado | Repercusión en las empresas |
|---|---|---|
| Acceso a la IA avanzada | Orientación para que los investigadores en materia de seguridad y los responsables de la defensa puedan aprovechar las capacidades más recientes de la IA | Se requiere acceso para pruebas de seguridad, cooperación en materia de investigación y procedimientos de divulgación responsable |
| Evaluación de modelos | Evaluar si la IA avanzada puede potenciar los ciberataques | Es necesario evaluar la posibilidad de explotación de vulnerabilidades, automatización del phishing y apoyo a el malware |
| Colaboración con la ENISA | Refuerzo de la colaboración con la agencia especializada en ciberseguridad de la UE | Aumento de las expectativas en materia de normas de seguridad, intercambio de información y respuesta ante incidentes |
| Riesgos y oportunidades paralelos | Reconocer la IA tanto como herramienta de ataque como de defensa | Afecta tanto a las empresas de productos de seguridad como a las de modelos de IA |
7. Riesgos prácticos para las empresas de fuera de la UE
La Ley de IA de la UE no es un asunto que afecte únicamente a las empresas de la UE. Las empresas de fuera de la UE que ofrezcan modelos o servicios de IA en el mercado de la UE también pueden estar sujetas a su aplicación.
Preguntas que deben plantearse las empresas de fuera de la UE
- ¿Pueden los usuarios de la UE utilizar las API, aplicaciones o plataformas de los modelos?
- ¿Integran las empresas de la UE sus modelos en sus propios servicios?
- ¿Se utilizan los resultados de los modelos dentro de la UE o tienen repercusiones en ella?
- ¿Es necesario contar con un representante o un sistema de contacto en la UE?
- ¿Se pueden explicar los datos de entrenamiento, los derechos de autor, los datos personales y la documentación de seguridad de acuerdo con las normas de la UE?
- ¿Se ha reflejado la indicación de que el contenido ha sido generado por IA en la interfaz de usuario del producto y en las respuestas de la API?
- ¿Existen procedimientos para comunicarse con las autoridades de supervisión de la UE en caso de que se produzca un incidente grave?
Riesgos contractuales
Es muy probable que los clientes de la UE exijan más información a los proveedores de modelos para cumplir con la Ley de IA. Por lo tanto, deben reflejarse los siguientes aspectos en las condiciones de uso de la API, los contratos empresariales, los documentos de tratamiento de datos y los anexos de seguridad:
- El uso y las limitaciones del modelo
- Casos de uso prohibidos o restringidos
- Avisos de riesgo y funciones de seguridad
- Si se ofrece soporte para la identificación del contenido generado
- Procedimientos de notificación de incidentes de seguridad
- Explicaciones relativas a los derechos de autor y a los datos de entrenamiento
- Alcance de la información que debe facilitarse para que los proveedores posteriores cumplan con la normativa
8. Lista de comprobación para empresas
A. Clasificación de modelos
- Hemos clasificado nuestro producto como sistema de IA, modelo de IA general o ambos.
- Hemos comprobado si el modelo se comercializa en el mercado de la UE.
- Hemos examinado por separado si se distribuye como código abierto y la posibilidad real de exención.
- Hemos evaluado los posibles riesgos del sistema.
B. Documentación
- Mantenemos la documentación técnica actualizada.
- Documentamos los resultados y las limitaciones de la evaluación del modelo.
- Proporcionamos la información necesaria a los proveedores posteriores.
- Preparamos una plantilla para la publicación del resumen del contenido de entrenamiento.
- Se ha establecido una política de cumplimiento de los derechos de autor.
C. Etiquetado y transparencia
- Se han establecido criterios de etiquetado para las imágenes, el audio, los vídeos y los textos generados por IA.
- Se ha diseñado el método de etiquetado adecuado entre la interfaz de usuario (UI), la API, los metadatos y las marcas de agua.
- Se ha evaluado la necesidad de avisos específicos para los «deepfakes» o los textos de interés público.
- Cuando se apliquen excepciones a la identificación, se documentarán los fundamentos de dicha decisión.
D. Ciberseguridad
- Se han revisado las medidas de protección de los pesos del modelo, los datos de entrenamiento y la infraestructura de distribución.
- Se han realizado pruebas de inyección de prompts, fuga de datos, apropiación de modelos y uso malintencionado.
- Se gestionan los procedimientos del «equipo rojo» y de notificación de vulnerabilidades.
- Se han establecido los procedimientos de notificación de incidentes graves y se ha designado a los responsables.
- Se han establecido políticas de acceso para investigadores de seguridad y de divulgación responsable.
E. Gobernanza
- Se ha designado el departamento responsable de la Ley de IA.
- Se han definido las funciones de los equipos jurídico, de seguridad, de producto, de datos y de ventas.
- Se ha creado un repositorio de documentación para responder a las solicitudes de cumplimiento de los clientes de la UE.
- Se supervisa el servicio de asistencia de la Ley de IA y las actualizaciones de las directrices de la Comisión Europea.
9. Breve conclusión
El 2 de agosto de 2026 es la fecha en la que la Ley de IA de la UE se reflejará de forma concreta en la documentación corporativa, la interfaz de usuario de los productos, la evaluación de modelos, las operaciones de seguridad y los contratos con los clientes. Para los proveedores de modelos de IA generalista, no basta con preparar únicamente la documentación técnica y la política de derechos de autor. Deben integrar en un único marco operativo normativo aspectos como la identificación de los productos generados, la evaluación de los riesgos del sistema, la notificación de incidentes graves, la protección de la ciberseguridad y la atención a los clientes de la UE.
En particular, dado que la IA avanzada mejora simultáneamente las capacidades tanto de ataque como de defensa en el ámbito de la ciberseguridad, la UE está proponiendo una orientación política que incluye el acceso a los modelos, su evaluación y la colaboración con la ENISA. Para las empresas fuera de la UE que estén conectadas con el mercado de la UE, este es el momento de convertir sus listas de verificación internas en documentos operativos reales.