What does GuardianAI do?

GuardianAI analyzes technical documentation and detects compliance risks under the EU AI Act, GDPR and ISO 42001.

What documents can I scan?

PDF, DOCX and TXT files up to 25 MB: technical specifications, model cards, risk assessments, privacy policies.

Does GuardianAI replace legal advice?

No. GuardianAI is a RegTech support tool. It does not replace professional legal advice. Human review is recommended for final decisions.

TLS 1.3 + AES-256 encryption. GDPR-compliant European infrastructure. Minimal retention. Your documents are never used to train models.

Modelos de IA de Propósito General (GPAI): Qué Obliga el EU AI Act a Partir de 2025

¿Qué es un modelo GPAI?

El EU AI Act introdujo un régimen específico para los modelos de IA de propósito general (GPAI, por sus siglas en inglés: General Purpose AI). Son modelos entrenados con grandes cantidades de datos, capaces de realizar una amplia variedad de tareas, y que pueden integrarse en múltiples sistemas downstream.

Ejemplos: GPT-4, Claude, Gemini, Llama, Mistral.

Este régimen entra en aplicación el 2 de agosto de 2025 (Capítulo V del Reglamento).

¿A quién afecta?

El régimen GPAI aplica a los proveedores de modelos GPAI, es decir, quienes:

Entrenan un modelo GPAI desde cero
Hacen fine-tuning significativo sobre un modelo base y lo ponen a disposición de terceros (a través de API, productos o descarga)

No aplica (o con obligaciones reducidas) a:

Quienes simplemente integran modelos de terceros en sus propias aplicaciones (son deployers, con otras obligaciones)
Empresas que usan modelos GPAI para uso interno exclusivo y no los ponen a disposición de terceros

Las dos categorías de modelos GPAI

Modelos GPAI estándar

Cualquier modelo GPAI que no alcance los umbrales de riesgo sistémico.

Obligaciones principales:

Documentación técnica (Anexo XI): descripción del modelo, arquitectura, datos de entrenamiento, capacidades y limitaciones, rendimiento en benchmarks, medidas de seguridad
Información a los integradores: la documentación anterior debe publicarse y estar disponible para quienes integren el modelo
Política de copyright: publicar y mantener una política pública para cumplir con la Directiva de derecho de autor en el mercado único digital; incluir resumen de los datos de entrenamiento utilizados (especialmente relevante para datos con copyright)

Modelos GPAI con riesgo sistémico

Modelos que superan el umbral computacional de 10²⁵ FLOPs en entrenamiento (umbral revisable por la Comisión). Actualmente incluye modelos como GPT-4, Gemini Ultra, y similares.

Obligaciones adicionales sobre los estándar:

Evaluación del modelo (model evaluation): pruebas de capacidad y análisis de riesgos sistémicos; deben seguir protocolos estandarizados o ad hoc aprobados por la Comisión
Evaluaciones de seguridad adversarial (red teaming)
Rastreo y reporte de incidentes graves a la Comisión Europea
Protección contra ciberataques: medidas de ciberseguridad proporcionales
Eficiencia energética: informe sobre el consumo energético del modelo

IA Generativa y requisitos de transparencia adicionales

Además del régimen GPAI, los sistemas que generen contenido sintético (texto, imágenes, audio, video) y que interactúen directamente con personas deben cumplir obligaciones de transparencia del Artículo 50:

Marca de agua o etiquetado: el contenido generado por IA debe ser detectable o marcado como tal (especialmente deepfakes)
Información al usuario: avisar que está interactuando con un sistema de IA (salvo sistemas de uso obvio o con fines artísticos devidamente identificados)

Implicaciones prácticas para empresas que usan LLMs

Si tu empresa integra modelos GPAI de terceros (via OpenAI API, Anthropic, Google, etc.) en tus productos:

Obligación	¿Aplica al integrador?
---	---
Documentación técnica del modelo base	❌ Responsabilidad del proveedor
Transparencia ante usuarios finales	✅ Sí (Art. 50)
Evaluación de conformidad si el uso es alto riesgo	✅ Sí, para el sistema resultante
Copyright de datos de entrenamiento	❌ Proveedor GPAI
Registro de usos prohibidos del modelo	✅ Si el contrato de API lo exige

Es clave revisar los contratos de API y las condiciones de uso de los proveedores GPAI para confirmar que tienen su documentación en regla y tus usos no caen en categorías prohibidas.

Código de Buenas Prácticas GPAI

La Comisión Europea está desarrollando (a través de la Oficina de IA) un Código de Buenas Prácticas específico para modelos GPAI, con participación de la industria. Este código:

Servirá como vía de cumplimiento presunto de las obligaciones del Capítulo V
Se publicará oficialmente antes de agosto de 2025
Es la hoja de ruta más práctica para grandes desarrolladores de modelos

Sigue las actualizaciones del Código GPAI en el sitio oficial de la Oficina de IA de la UE

Conclusión

El régimen GPAI del EU AI Act reconoce que los modelos fundacionales son una capa de infraestructura con efectos en toda la cadena de valor de la IA. Si desarrollas, ajustas o distribuyes modelos de este tipo — o si construyes aplicaciones críticas sobre ellos — debes tener clara la distinción de responsabilidades entre proveedor e integrador.

GuardianAI te ayuda a analizar tus contratos de API y tus documentos técnicos para identificar vacíos de cumplimiento antes de que impacten tu negocio.