El 2 de agosto de 2025 ha marcado una fecha que llevabamos anos viendo en los calendarios de cumplimiento. Es el dia en que la Ley de IA europea, publicada en agosto de 2024 en el Diario Oficial, empieza a aplicar su segundo bloque de obligaciones: el regimen de modelos de proposito general, la designacion de autoridades nacionales y el marco sancionador. Este post es un resumen practico de lo que cambia realmente para equipos que desplegamos sistemas de IA en Europa, escrito desde la silla del operador, no del abogado.
Que entra en vigor el 2 de agosto
La Ley de IA no entra toda de golpe, y esto es importante entenderlo antes de cualquier discusion. El calendario marca tres fechas clave: febrero de 2025 para las practicas prohibidas, agosto de 2025 para modelos de proposito general y sancionador, y agosto de 2026 para los sistemas de alto riesgo. Lo que se activa ahora son las obligaciones del capitulo V sobre modelos de proposito general, los articulos sobre gobernanza y las multas asociadas al incumplimiento.
En la practica esto significa que los proveedores de modelos fundacionales grandes, pensamos en OpenAI, Anthropic, Google, Mistral, Meta, tienen que cumplir a partir de esta fecha con obligaciones concretas: documentacion tecnica, politica de derechos de autor, resumen de datos de entrenamiento, y notificacion a la Comision si el modelo cruza el umbral de riesgo sistemico. Para modelos nuevos publicados desde agosto de 2025 la obligacion aplica de inmediato. Para modelos ya en el mercado hay un periodo de adecuacion hasta agosto de 2027.
Que supone ser un modelo de proposito general
La ley define modelo de proposito general como un modelo entrenado con una cantidad significativa de datos y con capacidad para realizar tareas muy diversas, susceptible de integrarse en sistemas aguas abajo. En la definicion tecnica hay un umbral cuantitativo: los modelos entrenados con mas de 10 elevado a 25 operaciones de coma flotante se presumen con riesgo sistemico. Esta cifra se eligio pensando en GPT-4 como referencia y cubre hoy a los modelos frontera de los grandes laboratorios.
Para la mayoria de empresas que usan estos modelos como clientes, no como proveedores, la ley no impone obligaciones nuevas en esta fecha. Lo que cambia es que se puede exigir al proveedor documentacion tecnica y politica de derechos de autor, lo que convierte ciertos contratos estandar de API en documentos negociables. He visto varias compras corporativas reabrirse este trimestre porque los equipos de cumplimiento han pedido adendas que antes no se redactaban.
Autoridades nacionales y la oficina europea
Cada estado miembro debe designar antes del 2 de agosto autoridades nacionales competentes para supervisar la aplicacion. En Espana la AESIA, en funcionamiento desde 2023, asume este rol con sede en La Coruna. La Oficina Europea de IA, dentro de la Comision, coordina la supervision transfronteriza y es quien directamente supervisa a los proveedores de modelos de proposito general con riesgo sistemico. Esta estructura bicapa es deliberada: las autoridades nacionales se ocupan de usos concretos, la Oficina Europea se ocupa de los modelos base.
Lo relevante operativamente es que ya hay un canal claro al que reportar, al que consultar, y al que se puede pedir orientacion interpretativa. Durante los dos anos de transicion esta capa de autoridad era mas teorica que practica. Con las designaciones cerradas y las oficinas dotadas de personal, se puede empezar a consultar aspectos borrosos en lugar de especular internamente.
Sanciones que de verdad escuecen
La ley establece tres tramos de multa. Para practicas prohibidas, hasta el 7% de la facturacion mundial anual o 35 millones de euros, lo que sea mayor. Para incumplimientos generales, hasta el 3% o 15 millones. Para informacion incorrecta suministrada a autoridades, hasta el 1% o 7,5 millones. Los importes son deliberadamente comparables a los del reglamento general de proteccion de datos y se calculan sobre facturacion mundial, no solo europea.
El tramo que mas atencion esta recibiendo es el primero, porque las practicas prohibidas son las mas concretas y las mas faciles de evaluar. Sistemas de puntuacion social, reconocimiento de emociones en educacion o trabajo, raspado masivo de imagenes faciales de internet para bases de datos, son ejemplos que la ley identifica explicitamente. Si una empresa usa alguna de estas practicas desde febrero, esta expuesta ahora a sanciones economicas reales.
El punto de friccion: obligaciones de transparencia para IA generativa
Una de las partes mas debatidas durante el proceso legislativo ha sido la exigencia de transparencia para contenido generado por IA. A partir de agosto, los sistemas que generan audio, imagen, video o texto sintetico deben marcar la salida como artificial por medios tecnicos cuando esto sea tecnicamente posible. La ley habla de marcas de agua, metadatos o similares. La discusion abierta es que hoy no existen marcas de agua robustas para texto generado, y los metadatos de imagen se pierden facilmente al reenviar.
La Comision ha publicado orientacion en junio aclarando que la obligacion se considera cumplida si se aplican las mejores tecnicas disponibles, no exige perfeccion. Esto da margen a los proveedores pero abre litigios futuros cuando se demuestre que existian tecnicas mejores no adoptadas. Los equipos que embebemos IA generativa en productos tenemos que documentar que tecnica aplicamos y por que.
Que hacer en agosto si operas en Europa
Mi lista practica para equipos con sistemas de IA en produccion en agosto de 2025 tiene cuatro puntos. Primero, clasificar cada uso de IA en la casuistica de la ley: proposito general, alto riesgo, limitado, minimo. Segundo, revisar los contratos con proveedores de modelos fundacionales para asegurar que tenemos acceso a la documentacion tecnica que la ley exige para cumplir aguas abajo. Tercero, implementar trazabilidad sobre cuando usamos IA y con que modelo, porque en caso de incidencia la ley pide poder reconstruir el flujo. Cuarto, mapear que autoridad nacional nos cubre y registrar un canal formal de contacto.
La mayoria de equipos que he visto tienen los dos primeros puntos a medias y los dos ultimos sin empezar. La fecha de agosto no implica multas automaticas en esos aspectos, el sancionador empieza pero no se aplica con mano dura desde el primer dia. Las autoridades han comunicado que priorizaran los casos claros y las practicas prohibidas. Pero si en un incidente de 2026 hay que explicar que nunca se clasifico el sistema, la multa potencial aumenta. Esto es riesgo reputacional y financiero que merece la pena cerrar.
Como pensar la decision
La ley europea es la primera regulacion integral de IA en el mundo occidental, y eso trae efecto Bruselas quieras o no. Empresas americanas y asiaticas que venden en Europa estan adaptando su documentacion para cumplir, lo que de facto extiende el marco mas alla de la union. Para quienes operamos en Europa, esto tiene ventaja competitiva: un marco claro es mejor que la incertidumbre de adaptarse a cincuenta jurisdicciones distintas en Estados Unidos.
Lo que no comparto del tono habitual del debate es la idea de que la ley frena la innovacion. Las obligaciones de agosto no impiden entrenar nuevos modelos ni desplegar productos nuevos. Lo que hacen es forzar a documentar y a pensar el riesgo antes de desplegar. Los equipos serios ya lo hacian. Los equipos que no lo hacian ahora tienen un calendario y un incentivo economico para hacerlo. Me parece una mejora neta.
La parte que me preocupa es la carga burocratica sobre empresas pequenias. La ley prevee proporcionalidad pero la mecanica concreta de esa proporcionalidad esta todavia poco clara. Si una startup con diez personas tiene que dedicar a una de ellas al mapeo de cumplimiento durante un trimestre, la cuenta sale cara. El siguiente bloque de orientacion de la Comision, previsto para otonio, deberia aclarar este punto. Hasta entonces, la recomendacion es documentar lo imprescindible y esperar a ver como se aplica en casos reales antes de invertir en infraestructura de cumplimiento cara.
