ITRES

Código de buenas prácticas de la UE para IA: ¿Qué impacto real tendrá en las empresas españolas?

Europa lleva tiempo preparando un gran marco legal sobre Inteligencia Artificial. No es una tarea menor puesto que lo que se decida afectará tanto a la competitividad de las empresas como a la relación con otras potencias tecnológicas. Las reglas en Europa son más estrictas que las de Estados Unidos o China; y es algo que preocupa a muchos. Temen que la protección de datos y las limitaciones de uso de IA acaben dejando a las compañías europeas en desventaja. Además, no faltan los roces con Washington, ya que cualquier intento de poner límites a sus grandes tecnológicas suele acabar con amenazas de aranceles. A pesar de esta preocupación, es una realidad que la Ley de IA ya está en vigor y se aplicará por fases; algunas obligaciones desde 2025, la mayoría en 2026 y ciertos casos hasta 2027. Pero antes, como aperitivo, la UE ha puesto en marcha un paso intermedio o complementario, según como se mire. Se denomina Código de buenas prácticas para modelos de IA de propósito general(GPAI). Este código es de aplicación a sistemas capaces de adaptarse a distintos usos, como GPT-5, Gemini, Claude o Deepseek, y pretende servir de puente entre la ley y las futuras normas técnicas que aún tardarán en llegar. Por ahora, las obligaciones recaen princpalmente sobre las tecnológicas que crean los modelos, dejando al margen a las empresas que los usan. Sin embargo, el código se convierte en una guía útil para anticipar el cumplimiento venidero. Lo bueno y lo menos bueno Adoptar el código ofrece ciertas ventajas. Primero da alineamiento con el marco jurídico futuro, segundo ayuda a estandarizar procedimientos y tercero permite preparar con tiempo a los equipos legales y técnicos. Las organizaciones que lo adopten podrán mostrar que están alineadas con el regulador europeo y, de paso, ganar un valor reputacional de confianza. Pero también hay que reconocer la otra cara de la moneda. La realidad es que el código de buenas prácticas no es vinculante, y eso limita su impacto. En la práctica, muchas empresas no moverán ficha hasta que la ley sea obligatoria. Ya ocurre en otros ámbitos, como la ciberseguridad, donde las buenas prácticas suelen quedarse postpuestas si no hay una amenaza clara de sanción. Además, añadido a esto, las grandes corporaciones tienen recursos para adaptarse con relativa facilidad, mientras que las pymes, muchas de las cuales apenas están empezando a experimentar con IA, se enfrentan a un desafío mucho mayor, pues no les es baladí documentar procesos, auditar modelos o establecer protocolos de notificación de incidentes. Tampoco faltan las críticas de fondo al propio marco europeo. Algunos lo consideran demasiado laxo, por dejar margen a las tecnológicas para entrenar sus modelos con obras protegidas por derechos de autor. Otros, en cambio, creen que la regulación es excesiva, siendo redundante en varios aspectos con el RGPD y NIS2, y que terminará asfixiando la innovación, situando a Europa en desventaja frente a Estados Unidos o China. Lo que nos deparará el futuro Para bien o para mal, el código marca una dirección a la IA dentro de la Unión Europea. Es necesario prepararse para una inteligencia artificial más controlada, transparente y responsable. Su impacto inmediato puede ser limitado, pero será el punto de partida para la próxima gran transformación legal y tecnológica de las empresas europeas; posiblemente muy diferente de la de sus homólogas estadounidenses y asiáticas.

Europa lleva tiempo preparando un gran marco legal sobre Inteligencia Artificial. No es una tarea menor puesto que lo que se decida afectará tanto a la competitividad de las empresas como a la relación con otras potencias tecnológicas. Las reglas en Europa son más estrictas que las de Estados Unidos o China; y es algo que preocupa a muchos. Temen que la protección de datos y las limitaciones de uso de IA acaben dejando a las compañías europeas en desventaja. Además, no faltan los roces con Washington, ya que cualquier intento de poner límites a sus grandes tecnológicas suele acabar con amenazas de aranceles.

Ley de IA

A pesar de esta preocupación, es una realidad que la Ley de IA ya está en vigor y se aplicará por fases; algunas obligaciones desde 2025, la mayoría en 2026 y ciertos casos hasta 2027. Pero antes, como aperitivo, la UE ha puesto en marcha un paso intermedio o complementario, según como se mire. Se denomina Código de buenas prácticas para modelos de IA de propósito general (GPAI). Este código es de aplicación a sistemas capaces de adaptarse a distintos usos, como GPT-5, Gemini, Claude o Deepseek, y pretende servir de puente entre la ley y las futuras normas técnicas que aún tardarán en llegar.

Por ahora, las obligaciones recaen princpalmente sobre las tecnológicas que crean los modelos, dejando al margen a las empresas que los usan. Sin embargo, el código se convierte en una guía útil para anticipar el cumplimiento venidero.

Lo bueno y lo menos bueno

Adoptar el código ofrece ciertas ventajas. Primero da alineamiento con el marco jurídico futuro, segundo ayuda a estandarizar procedimientos y tercero permite preparar con tiempo a los equipos legales y técnicos. Las organizaciones que lo adopten podrán mostrar que están alineadas con el regulador europeo y, de paso, ganar un valor reputacional de confianza. Pero también hay que reconocer la otra cara de la moneda.

La realidad es que el código de buenas prácticas no es vinculante, y eso limita su impacto. En la práctica, muchas empresas no moverán ficha hasta que la ley sea obligatoria. Ya ocurre en otros ámbitos, como la ciberseguridad, donde las buenas prácticas suelen quedarse postpuestas si no hay una amenaza clara de sanción. Además, añadido a esto, las grandes corporaciones tienen recursos para adaptarse con relativa facilidad, mientras que las pymes, muchas de las cuales apenas están empezando a experimentar con IA, se enfrentan a un desafío mucho mayor, pues no les es baladí documentar procesos, auditar modelos o establecer protocolos de notificación de incidentes.

Tampoco faltan las críticas de fondo al propio marco europeo. Algunos lo consideran demasiado laxo, por dejar margen a las tecnológicas para entrenar sus modelos con obras protegidas por derechos de autor. Otros, en cambio, creen que la regulación es excesiva, siendo redundante en varios aspectos con el RGPD y NIS2, y que terminará asfixiando la innovación, situando a Europa en desventaja frente a Estados Unidos o China.

Lo que nos deparará el futuro

Para bien o para mal, el código marca una dirección a la IA dentro de la Unión Europea. Es necesario prepararse para una inteligencia artificial más controlada, transparente y responsable. Su impacto inmediato puede ser limitado, pero será el punto de partida para la próxima gran transformación legal y tecnológica de las empresas europeas; posiblemente muy diferente de la de sus homólogas estadounidenses y asiáticas.