IA 360
Marco regulatorio

Código GPAI: quién lo ha firmado y qué compromete

El Código de Buenas Prácticas GPAI ofrece una vía voluntaria para demostrar cumplimiento del AI Act. Esta es la lista oficial de firmantes, sus compromisos y lo que ocurre si una empresa no se adhiere.

Admin IA360 5 min de lectura Read in English

El Código de Buenas Prácticas para modelos de IA de propósito general, conocido como GPAI Code of Practice, no es una nueva ley ni un sello que sustituya al AI Act. Es una vía voluntaria, preparada con apoyo del AI Office, para que los proveedores demuestren cómo cumplen obligaciones que ya existen. Esa diferencia es el punto de partida útil para leer su lista de firmantes y sus compromisos.

En nuestra guía sobre las fechas GPAI del AI Act explicamos que las obligaciones materiales para proveedores aplican desde el 2 de agosto de 2025 y que el artículo 101, sobre multas de la Comisión, se aplica desde el 2 de agosto de 2026. El Code no cambia ese calendario: traduce una parte de esos deberes en medidas prácticas.

Los firmantes verificados

La página de la Comisión Europea consultada para esta pieza recoge 23 firmantes del Code completo: Accexible, AI Studio Delta, Aleph Alpha, Almawave, Amazon, Anthropic, Black Forest Labs, Bria AI, Cohere, Domyn, Dweve, Fastweb, Google, IBM, Lawise, LINAGORA, Microsoft, Mistral AI, Open Hippo, OpenAI, Pleias, ServiceNow y WRITER.

La misma fuente marca una excepción importante: xAI se adhirió solo al capítulo de Safety and Security. Por tanto, según la Comisión, debe demostrar mediante medios alternativos adecuados cómo cumple las obligaciones de transparencia y copyright. La lista se actualiza conforme se confirman firmas; por eso conviene atribuirla a la página oficial y a la fecha de consulta, no convertirla en un censo inmutable del sector.

Firmar no identifica por sí solo qué modelos de una empresa entran en el ámbito GPAI ni resuelve las obligaciones de quienes integran esos modelos en productos. Identifica que el proveedor ha optado por seguir el Code como marco de demostración de cumplimiento.

Tres capítulos, tres clases de trabajo

Transparencia. Este capítulo desarrolla la documentación exigida por el artículo 53 del AI Act. Sus firmantes se comprometen a preparar y mantener actualizada la documentación del modelo, facilitar la información relevante a proveedores posteriores que lo integren y responder al AI Office cuando corresponda. Incluye un Model Documentation Form para reunir la información en un formato común y exige cuidar la calidad, integridad y seguridad de esos registros.

Copyright. El capítulo no decide por los tribunales qué infringe derechos de autor. Lo que compromete es una política documentada, actualizada e implantada para cumplir el derecho de autor de la Unión. Para el rastreo web, plantea no sortear restricciones tecnológicas de acceso, excluir determinados sitios reconocidos por infracción reiterada, leer y respetar reservas de derechos expresadas de forma legible por máquina, incluido robots.txt, y explicar las medidas a los titulares afectados. También pide salvaguardas proporcionadas frente a salidas que reproduzcan material protegido de forma infractora, condiciones de uso que prohíban esos usos y un punto de contacto con mecanismo de reclamaciones.

Safety and Security. No se dirige a todos los GPAI, sino a los proveedores de modelos con riesgo sistémico. Estos firmantes se comprometen a adoptar, aplicar y actualizar un marco de seguridad que describa cómo evalúan y mitigan riesgos durante el ciclo de vida del modelo, con responsables, criterios de aceptación, pruebas y puntos de activación. El capítulo concreta la evaluación de modelos, la mitigación, la gobernanza, la ciberseguridad y la preparación para registrar y comunicar incidentes graves. El marco debe notificarse al AI Office.

Demostrar cumplimiento no es obtener inmunidad

La Comisión y el AI Board han considerado el Code una herramienta voluntaria adecuada para demostrar cumplimiento. Esto puede reducir carga administrativa y hacer más previsible la supervisión, porque el proveedor ofrece a la autoridad un marco concreto que puede revisar. Pero la adhesión no es una prueba concluyente de cumplimiento ni convierte las obligaciones en opcionales. El propio texto del Code lo advierte.

Conviene también afinar la idea de presunción de conformidad. Para proveedores de GPAI con riesgo sistémico, el artículo 55 permite recurrir a códigos de buenas prácticas para demostrar cumplimiento mientras no exista una norma armonizada. La presunción formal de conformidad la vincula el Reglamento a las normas armonizadas europeas, en la medida en que cubran las obligaciones. Son herramientas relacionadas, pero no idénticas.

Una empresa que no firma sigue sujeta a las obligaciones legales que le correspondan. En el caso de un proveedor con riesgo sistémico, si no se adhiere a un Code aprobado ni cumple una norma armonizada, debe demostrar a la Comisión medios alternativos adecuados. No firmar no equivale a incumplir; exige poder explicar y acreditar otra ruta de cumplimiento.

Qué comprobar desde una empresa española

Para quien compra o integra un modelo, el primer paso es pedir al proveedor qué documentación entrega y si sigue el Code, sin asumir que esa respuesta traslada toda la responsabilidad. Para quien desarrolla o pone un GPAI en el mercado de la UE, conviene comparar sus procesos con los tres capítulos: documentación para terceros y autoridades, política de copyright y, si procede, gestión de riesgo sistémico. La pregunta práctica es si ha firmado y qué evidencia puede mostrar de cada obligación.

Fuentes oficiales

Compartir este artículo

Este sitio web utiliza cookies para mejorar la experiencia de navegación. Política de cookies.