El Código de Buenas Prácticas para los modelos de IA de uso general

Por Moisés Barrio

El Reglamento europeo de inteligencia artificial[1] (RIA, Ley de IA o AI Act) ha positivizado un conjunto de obligaciones de alto nivel denominadas «requisitos esenciales». Son de naturaleza muy general, requieren del imprescindible complemento de los estándares actualmente en proceso de elaboración y son difíciles de implementar. Por eso es necesario y útil el Código de Buenas Prácticas para los modelos de IA de uso general (GPAI), publicado el 10 de julio de 2025, ya que puede proporcionar una orientación más práctica sobre cómo cumplir estas obligaciones generales. En efecto, el Código es una herramienta voluntaria de soft law, elaborada por expertos independientes en un proceso multilateral, diseñada para ayudar a la industria a cumplir las obligaciones del RIA para los proveedores de modelos de IA de uso general.

Veamos por ejemplo el artículo 55.1 del RIA[2], que, en resumen, exige a los proveedores de modelos de IA de uso general que lleven a cabo lo siguiente:

1. a) realizar una evaluación del modelo;
2. b) evaluar y mitigar los posibles riesgos sistémicos a nivel de la Unión;
3. c) realizar un seguimiento, documentar y comunicar a las autoridades la información pertinente sobre incidentes graves y posibles medidas correctivas; y

(d) garantizar un nivel adecuado de ciberseguridad.

¿Cómo debe cumplir exactamente el proveedor la obligación de evaluar el modelo? ¿Cómo debe evaluar y mitigar los posibles riesgos sistémicos? Las obligaciones del RIA son intencionadamente demasiado vagas y generales como para servir de orientación práctica a los proveedores. Por eso, el Código es un instrumento fundamental. El Código recopila en un solo lugar las mejores prácticas de seguridad de las principales empresas de IA.

En efecto, uno de los principales objetivos de la elaboración del Código ha sido establecer un recurso centralizado que resuma las mejores prácticas del sector. Este recurso puede elevar a todo el sector a un nivel más alto de normas de seguridad. Si una empresa carece de una práctica que otras empresas implementan, el Código puede incentivarla a empezar a implementar también esa medida. De esta manera, se puede animar a todo el sector a mejorar sus prácticas de seguridad.

Del mismo modo, el Código apoya el cumplimiento del RIA. La Comisión Europea ha animado al sector a firmar el mismo. Como ha declarado la propia Comisión, “los proveedores de modelos de IA de uso general que sean signatarios de un código de prácticas serán transparentes en su cumplimiento de la Ley de IA y, por lo tanto, se beneficiarán de una mayor confianza por parte de la Comisión y otras partes interesadas. Si bien el cumplimiento de la Ley de IA puede demostrarse por diversos medios, la adhesión a un código de prácticas aprobado por la Oficina de IA y el Consejo es una forma sencilla y transparente de demostrar el cumplimiento de la Ley de IA […] En el caso de los signatarios de un código de prácticas, cabe esperar que la Comisión centre su labor de control en la supervisión del cumplimiento del código de prácticas […]. La Comisión podrá aprobar un código de prácticas mediante un acto de ejecución, otorgándole así validez general en la Unión”.

En caso de no firmar el Código, los proveedores no signatarios tendrán que demostrar cómo cumplen sus obligaciones en virtud del RIA a través de otros medios adecuados, eficaces y proporcionados, informando a la Oficina de IA de las medidas que han adoptado. Además, esta decisión tendrá cargas adicionales de compliance, toda vez que podrán ser objeto de más solicitudes de información y acceso para llevar a cabo evaluaciones de modelos, ya que puede haber menos claridad sobre cómo garantizan el cumplimiento de sus obligaciones en virtud de la Ley de IA.

Interesa destacar que el Código se dirige a las empresas más influyentes y con más recursos, no a los actores más pequeños

La sección de seguridad y protección del Código se aplica a las empresas que proporcionan modelos de IA de uso general con riesgo sistémico. El «riesgo sistémico» se refiere al impacto significativo que estos modelos pueden tener en el mercado de la Unión debido a sus relevantes capacidades. Este impacto puede deberse a su amplio alcance o a sus posibles efectos negativos en la salud pública, la seguridad, los derechos fundamentales o la sociedad en su conjunto. Se presume que los modelos tienen capacidades de alto impacto cuando la cantidad acumulada de cálculos utilizados para su entrenamiento es superior a 10^25 operaciones de coma flotante (FLOP). Sin embargo, esta presunción puede ser cuestionada y no clasifica automáticamente los modelos.

Actualmente, se estima que unos 11 proveedores a nivel mundial tienen modelos que superan este umbral. Sin entrar en detalles sobre todos estos proveedores, se trata de empresas con muchos recursos. Por ejemplo, una de ellas, OpenAI, cerró una ronda de financiación de 40 000 millones de dólares hace solo dos meses. Esta parte del Código no es realmente relevante para las pequeñas empresas.

Por lo demás, quiero destacar que el Código es el resultado de un proceso democrático liderado por expertos independientes en IA, aunque es verdad que también tiene sombras[3] que he analizado en otro lugar.

A mi juicio, la elaboración del Código, a pesar de sus defectos y limitaciones, es una hazaña democrática relevante en la regulación de la IA y la gobernanza democrática de la tecnología. La redacción ha estado en marcha desde octubre de 2024, con la participación de alrededor de mil partes interesadas que respondieron a una convocatoria inicial abierta. Estos participantes han aportado comentarios por escrito sobre tres borradores diferentes del Código. Entre los participantes se encontraban diversas entidades, como proveedores de modelos de IA de uso general, proveedores intermedios, asociaciones comerciales, académicos, expertos independientes y organizaciones de la sociedad civil. Y este proceso colaborativo ha sido dirigido por trece presidentes y vicepresidentes independientes.

[1] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).

[2] Para un estudio más detallado, me remito a Moisés Barrio Andrés, Reglamento UE de inteligencia artificial (Incluye los actos de desarrollo y ejecución de la AI Act), Editorial Francis Lefebvre, Madrid, 2025, capítulo 5. También, Carmen Muñoz García, “Artículo 55”, en Moisés Barrio Andrés (dir.), Comentarios al Reglamento Europeo de Inteligencia Artificial, Editorial La Ley, Madrid, 2024, pág. 568 y ss.

[3] Moisés Barrio Andrés, “El Código de Buenas Prácticas para los modelos de IA de uso general: una visión crítica”, en Diario LA LEY, Nº 97, Sección Ciberderecho, 18 de Julio de 2025 y disponible en open access en https://diariolaley.laleynext.es/Content/Documento.aspx?params=H4sIAAAAAAAEAFWNMQ7CMBAEf-PaWFjIxVUxP3CPktwanbDukAOI_B5SpMiWI82sMFMu_r9zSjEk90FfxJSCD9FfTtGpMUoe6K2MKgp2bZzQhg3j-6I7FF3ma-_WN1vqmm0u6xNUx7bAYTJ7HE5ue_wHtqcdSH4AAAA=WKE