Una idea bastante común en muchas empresas es pensar: “Nosotros solo usamos un modelo preentrenado, no desarrollamos nada”. Pero con la entrada en vigor del Reglamento de Inteligencia Artificial (RIA) en la Unión Europea, y especialmente tras la consulta específica de la Oficina de IA sobre “el alcance de las obligaciones de los proveedores de modelos de IA de propósito general”, este tipo de suposiciones pueden implicar un riesgo.
Si tu empresa modifica, adapta o simplemente pone en el mercado un modelo de IA, aunque no lo haya creado desde cero, podría ser considerada proveedora de un modelo de uso general (GPAIM, por sus siglas en inglés: General Purpose AI Model). Y ello implica nuevas responsabilidades legales.
1. ¿Qué es un modelo de IA de uso general?
El RIA define los GPAIM como modelos entrenados con grandes cantidades de datos, diseñados para ser versátiles: pueden hacer múltiples tareas, y no están pensados para un único caso de uso. Algunos ejemplos conocidos son GPT, Claude o Mistral, pero también entran aquí modelos de visión, generación de imágenes o análisis multimodal.
Para ayudar a identificar estos modelos, la Oficina de IA ha publicado una serie de indicadores que permiten presumir que un modelo es de uso general. No hace falta que se cumplan todos, pero cuantos más se den, más probable será que estemos ante un GPAIM y que se activen las obligaciones del RIA para sus proveedores. Algunos ejemplos:
- Que el modelo haya sido entrenado con más de 10²² FLOPs (una unidad que mide la potencia de cálculo invertida en la creación del modelo).
- Que tenga capacidad para generar texto o imágenes a partir de una instrucción.
2. ¿Quién es considerado proveedor de un modelo de IA de uso general (GPAIM)?
No solo se considera proveedor a quien crea el modelo desde cero. Según el artículo 3.3 del RIA y la consulta de la Oficina de IA, también lo será quien:
- Pone el modelo en el mercado bajo su propio nombre.
- Lo publica en un repositorio o lo ofrece mediante API.
- Encarga su desarrollo a un tercero.
- Lo modifica de forma sustancial (por ejemplo, aplicando fine-tuning, reentrenamiento o personalización con nuevos datos).
En otras palabras, si tú lanzas el modelo al mercado o haces cambios relevantes, serás considerado proveedor, y eso conlleva obligaciones.
3. Modificar un modelo = ser nuevo proveedor
La Oficina de IA introduce el concepto de downstream modifier: empresas que toman un GPAIM de otro y lo modifican de forma relevante, generando así un nuevo modelo. ¿Pero cuándo se considera que una modificación es significativa?
Un ejemplo sencillo: si usas un modelo ya entrenado (como GPT, LLaMA o Mistral) y lo reentrenas con tus propios datos o para tareas específicas, estás alterando su comportamiento. Si el esfuerzo computacional de esa modificación supera el 30% del que usó el modelo original, ya se considera un nuevo modelo, y tú pasas a ser su proveedor.
Esto significa que si haces fine-tuning con recursos significativos, incorporas nuevos datos o funcionalidades, debes asumir las mismas obligaciones legales que quien desarrolló el modelo desde cero.
4. Casos prácticos: ¿Quién es proveedor en cada escenario?
5. ¿Qué obligaciones tiene un proveedor de GPAIM?
Según los artículos 53 a 55 del Reglamento, un proveedor debe, entre otras cosas:
- Elaborar y conservar documentación técnica del modelo.
- Publicar un resumen del entrenamiento.
- Garantizar que no se han infringido derechos de autor al entrenarlo.
- Notificar a la Comisión si el modelo presenta riesgos sistémicos.
- Informar a los integradores y usuarios sobre las limitaciones y características del modelo.
Y si el modelo se ha entrenado con datos personales, también podrían aplicarse las obligaciones del RGPD en calidad de responsable del tratamiento.
Conclusión: La responsabilidad está más cerca de lo que crees
Con la nueva regulación, ser proveedor de un modelo de IA ya no es exclusivo de los grandes desarrolladores. Si tu empresa reutiliza, adapta o lanza al mercado un modelo con modificaciones relevantes, puede acabar asumiendo ese rol legal, con todas sus consecuencias.
Nuestros abogados expertos en la materia pueden ayudarte a cumplir con todos los requisitos legales, según la situación en la que te encuentres, de las anteriormente descritas. Puedes contactar con ellos aquí.
Área de Protección de datos y Derecho digital
