Reglamento de la Ley de IA de la UE sobre modelos de GPAI bajo revisión de DeepSeek
La aparición generalizada de la aplicación de IA china DeepSeek está llevando a los responsables de políticas de la UE a considerar cambios en la Ley de IA de la UE, según se ha revelado. Se podría seguir una actualización de una medida de umbral de poder de computación especificada en la regulación, lo que podría tener implicaciones para la regulación de otros modelos de IA de propósito general (GPAI).
A continuación, exploramos qué establece la ley en más detalle y los cambios específicos que se están considerando, además de reflexionar sobre cómo los responsables de políticas están respondiendo a los desarrollos del mercado, para ayudar a los proveedores a entender en qué categoría de regulación podrían caer sus modelos de GPAI.
Modelos de GPAI y cómo se determina el ‘riesgo sistémico’
Los modelos de GPAI son modelos de IA que pueden realizar una amplia gama de tareas y a menudo forman la base de otros sistemas de IA. Los modelos de lenguaje grande (LLMs) son un ejemplo de modelos de GPAI.
Las reglas específicas para los proveedores de modelos de GPAI se establecen en el Capítulo V de la Ley de IA y entran en vigor el 2 de agosto de 2025.
Las reglas más estrictas bajo el Capítulo V se aplican a los proveedores de modelos de GPAI ‘con riesgo sistémico’. Comprender si un modelo de GPAI se clasificará como un modelo de GPAI ‘con riesgo sistémico’ es un primer paso esencial para los desarrolladores de IA en la comprensión de sus obligaciones bajo la Ley de IA, pero no es un proceso sencillo.
El concepto de ‘riesgo sistémico’ se define en la ley. Significa “un riesgo que es específico de las capacidades de alto impacto de los modelos de IA de propósito general, que tiene un impacto significativo en el mercado de la UE debido a su alcance, o debido a efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a gran escala a lo largo de la cadena de valor”.
El Artículo 51(1) aborda cómo se clasificarán los modelos de GPAI ‘con riesgo sistémico’. Hay dos maneras en las que esto puede suceder:
- si el modelo “tiene capacidades de alto impacto” – algo que se “evalúa sobre la base de herramientas y metodologías técnicas apropiadas, incluidos indicadores y puntos de referencia”, o;
- si la Comisión Europea decide que el modelo tiene un impacto o capacidades equivalentes – basado en criterios establecidos en un anexo de la ley, que incluye factores como el número de parámetros del modelo, la calidad o el tamaño del conjunto de datos sobre el que se construyó, el número de usuarios finales registrados y la cantidad de computación utilizada para entrenar el modelo.
La relevancia de ‘FLOPS’ y cómo DeepSeek cambia las cosas
Las operaciones de punto flotante, o FLOPS, son una medida de potencia de computación. Se define en la ley como “cualquier operación matemática o asignación que involucre números de punto flotante, que son un subconjunto de los números reales generalmente representados en computadoras por un entero de precisión fija escalado por un entero exponente de una base fija”.
El Artículo 51(2) establece que se presumirá que un modelo de GPAI tiene ‘capacidades de alto impacto’ cuando se utilicen más de 10²⁵ FLOPS para entrenar el modelo.
Los considerandos en la Ley de IA dejan claro que los proveedores de modelos de GPAI deben saber cuándo han superado el umbral de FLOPS antes de que se complete el desarrollo de esos modelos. Esto se debe a que, como establece el texto, “el entrenamiento de modelos de IA de propósito general requiere una considerable planificación que incluye la asignación previa de recursos de computación”.
Se espera que los proveedores notifiquen a la Oficina de IA de la UE dentro de las dos semanas posteriores a cumplir el umbral o convertirse en conscientes de que cumplen el umbral. Los proveedores que cumplen el umbral de FLOPS pueden argumentar que sus modelos, no obstante, no deben clasificarse como modelos de GPAI ‘con riesgo sistémico’ – sobre la base de que “excepcionalmente no presentan riesgos sistémicos”.
Bajo el Artículo 51(3), la Comisión Europea tiene el deber legal de actualizar los umbrales para clasificar los modelos de GPAI ‘con riesgo sistémico’ cuando sea necesario para garantizar que continúen reflejando la última tecnología o prácticas de la industria – incluida la relación con los FLOPS.
Se ha revelado que la aparición generalizada a principios de este año de DeepSeek – el modelo de código abierto chino que la empresa detrás de él afirma haber desarrollado a una fracción del costo de otros LLM en el mercado, y sin acceso a la misma potencia de computación – ya ha provocado discusiones dentro de la Comisión al respecto.
El portavoz de la Comisión para la soberanía tecnológica, Thomas Regnier, declaró: “La Comisión siempre está monitoreando los desarrollos del mercado – y los desarrollos tecnológicos en un sentido más amplio – para evaluar los impactos potenciales en la UE, su mercado y ciudadanos. Actualmente estamos viendo dos desarrollos aquí: un gran número de modelos probablemente se entrenan con recursos de computación por encima del umbral, mientras que DeepSeek ha demostrado que se pueden alcanzar capacidades de frontera también con menos computación. Como está previsto en la Ley de IA, el umbral debería ajustarse con el tiempo para reflejar los cambios tecnológicos e industriales, y debería complementarse con puntos de referencia e indicadores para la capacidad del modelo.”
¿Qué pueden esperar los proveedores de modelos de GPAI a continuación?
Aunque aún no está claro cómo responderá la Comisión a los dos desarrollos que Thomas Regnier destacó en su declaración, sus comentarios deben considerarse en el contexto geopolítico más amplio.
El año pasado, los “requisitos regulatorios adicionales sobre modelos de IA de propósito general” incluidos en la Ley de IA fueron citados como un ejemplo de la regulación precautoria que frena la innovación de las empresas tecnológicas de la UE. Esos comentarios fueron incluidos en un informe preparado en nombre de la Comisión por Mario Draghi, el ex presidente del Banco Central Europeo, que destacó preocupaciones más amplias sobre la competitividad de la UE en el mercado global.
El enfoque de la UE hacia la regulación tecnológica ha sido un tema de queja particular de múltiples administraciones de EE. UU., pero la crítica a la política de la UE se ha intensificado desde que Donald Trump regresó a la Casa Blanca en enero. El exvicepresidente Trump, JD Vance, ha descrito el enfoque de la UE como restrictivo y paralizante, obstaculizando el desarrollo de la IA.
En respuesta a Vance y al informe de Draghi, y en línea con el cambio global de centrarse en la seguridad de la IA a la adopción de la IA, la presidenta de la Comisión, Ursula von der Leyen, se ha comprometido a “eliminar la burocracia” en relación con la IA, con propuestas para la “simplificación” del libro de reglas de políticas digitales de la UE que se esperan en los próximos meses.
En este contexto, un aumento en el umbral de FLOPS, para reducir el “gran número de modelos” que Regnier sugirió que actualmente se presumirían como modelos de GPAI con riesgo sistémico, sería totalmente consistente con el aparente movimiento para reducir las cargas regulatorias en torno a la IA dentro de la UE.
Por otro lado, reducir el umbral de FLOPS representaría un reconocimiento por parte de la Comisión del impacto de DeepSeek y el efecto probable que tendrá en otros desarrolladores mientras exploran cómo reducir las demandas de computación y, por lo tanto, bajar los costos de desarrollo.
Sin embargo, como sugiere Regnier, existe un amplio margen dado a la Comisión bajo la Ley de IA para designar modelos de GPAI con impacto o capacidades equivalentes como aquellos con ‘capacidades de alto impacto’, de modo que también sean regulados como modelos de GPAI con riesgo sistémico. Parece muy probable que una aplicación generalizada como DeepSeek sea considerada para ser designada como un modelo de GPAI con riesgo sistémico, ya sea que cumpla o no con el umbral de FLOPS.
La decisión de la Comisión no solo tendrá repercusiones para DeepSeek, sino también para muchos otros proveedores de modelos. Ellos estarán interesados en el resultado del trabajo de la Oficina de IA para aclarar cómo se clasificarán los modelos de GPAI como modelos de GPAI con riesgo sistémico.
La distinción entre modelos de GPAI y modelos de GPAI con riesgo sistémico es importante debido a los requisitos regulatorios adicionales que recaen sobre estos últimos.
Regulación de dos niveles y el código de práctica de GPAI
Todos los proveedores de modelos de GPAI enfrentan obligaciones de registro, transparencia y relacionadas con derechos de autor, sujetas a excepciones aplicables a proveedores de ciertos modelos de GPAI lanzados bajo una licencia libre y de código abierto.
Por ejemplo, deben:
- elaborar y mantener la documentación técnica del modelo, incluidos su proceso de entrenamiento y evaluación y los resultados de su evaluación – y ponerla a disposición de los reguladores a solicitud;
- elaborar, mantener y poner a disposición información para ayudar a los proveedores de sistemas de IA a integrar sus sistemas con el modelo;
- implementar una política de derechos de autor conforme a la ley de la UE y permitir a los titulares de derechos reservar sus derechos a no tener sus obras utilizadas para el entrenamiento;
- publicar un resumen suficientemente detallado sobre el contenido utilizado para el entrenamiento del modelo de IA de propósito general.
Cuando los modelos de GPAI se clasifican como modelos de GPAI con riesgo sistémico, enfrentan obligaciones adicionales. Las excepciones anteriores para modelos de código abierto no se aplican donde los modelos de GPAI son ‘con riesgo sistémico’.
Las obligaciones adicionales sobre los proveedores de modelos de GPAI con riesgo sistémico incluyen requisitos para:
- realizar una evaluación del modelo, incluida a través de pruebas adversariales, con el fin de identificar y mitigar riesgos sistémicos;
- evaluar y mitigar posibles riesgos sistémicos a nivel de la UE, incluidos sus orígenes, que pueden surgir del desarrollo, la colocación en el mercado o el uso de modelos de GPAI con riesgo sistémico;
- hacer seguimiento, documentar e informar, sin demora indebida, sobre incidentes graves y posibles medidas correctivas para abordarlos, y;
- asegurar un nivel adecuado de protección cibernética para el modelo y su infraestructura física.
Una herramienta importante para ayudar a los proveedores a cumplir con el régimen de modelos de GPAI de la Ley de IA será el código de práctica de GPAI.
El código, que establece más detalles sobre cada uno de los diversos requisitos para los proveedores, se encuentra actualmente en las etapas finales de desarrollo: el tercer borrador del código se publicó en marzo y se espera que la versión final se publique en mayo. Si bien el cumplimiento del código no es obligatorio, adherirse a sus disposiciones ayudará a los proveedores a demostrar su cumplimiento con los requisitos del Capítulo V de la Ley.
La publicación del código finalizado probablemente será el catalizador para un gran ejercicio de cumplimiento. Los proveedores de modelos de GPAI, cuyo trabajo de cumplimiento ya debería estar en marcha sobre la base de los códigos borradores publicados hasta la fecha, estarán atentos a la Oficina de IA o la Comisión para obtener aclaraciones sobre cómo se clasificarán los modelos de GPAI con riesgo sistémico, para informar esta actividad.
Los desarrolladores deben ser conscientes de que los modelos de GPAI pueden clasificarse como ‘sistemas de IA de alto riesgo’ bajo la Ley de IA de la UE, lo que ampliaría significativamente sus obligaciones regulatorias.
