
El Reglamento europeo de Inteligencia Artificial —el AI Act— entra en su fase decisiva. A partir del 2 de agosto de 2026, la Comisión Europea asume plenos poderes de ejecución sobre las obligaciones de los proveedores de modelos de IA de propósito general (GPAI), con capacidad para imponer sanciones de hasta 15 millones de euros o el 3% de la facturación mundial. La cuenta atrás sitúa el asunto en la agenda inmediata de cualquier organización que desarrolle o integre grandes modelos.
Las obligaciones que pasan a ser exigibles incluyen un componente directo de gobierno del dato: los proveedores de GPAI deben aplicar gobernanza sobre los conjuntos de datos de entrenamiento, validación y prueba, garantizando que sean relevantes, suficientemente representativos y, en la medida de lo posible, libres de errores y completos para el propósito previsto. A ello se suma la obligación de transparencia sobre los datos de entrenamiento, canalizada a través de la plantilla de divulgación publicada por la Comisión, que exige documentar el origen y la naturaleza de los conjuntos utilizados.
El calendario tiene tramos. Los modelos puestos en el mercado después de agosto de 2025 ya debían cumplir; los anteriores disponen de margen hasta agosto de 2027. Lo que cambia ahora es la capacidad sancionadora efectiva: se acaba el periodo de adaptación sin consecuencias. En paralelo, la Comisión ha presentado este verano un plan de acción sobre ciberseguridad e IA para coordinar a Estados miembros, empresas y administraciones frente a los riesgos de los modelos más avanzados.
Para un CIO o un responsable de datos en España, la implicación práctica no se limita a los grandes laboratorios de IA. Aunque las obligaciones recaen sobre los proveedores de los modelos, cualquier empresa que los integre en sus productos hereda parte de la exigencia de trazabilidad y documentación, y necesitará que sus proveedores acrediten cumplimiento. La gobernanza de datos deja de ser una buena práctica interna para convertirse en un requisito contractual verificable en la cadena de suministro de IA.
La recomendación es anticiparse: inventariar qué modelos GPAI se utilizan, exigir a los proveedores la documentación de datos de entrenamiento y encajar estos requisitos en los procesos de compras y de gestión de riesgos. Frente a la incertidumbre sobre cómo se aplicarán las primeras sanciones, la posición sólida es demostrar diligencia documentada, no esperar a la primera resolución para reaccionar.
Más en Dataprix: Análisis y recursos sobre inteligencia artificial y ciencia de datos.