Artículo 25 de la Ley de IA de la UE: cuándo un SaaS hereda las obligaciones del proveedor de IAGP
El Artículo 25 de la Ley de IA de la UE crea un riesgo silencioso pero grave para los SaaS que utilizan modelos de base: si se modifica sustancialmente un sistema de IAGP, es posible que se hereden las obligaciones del Proveedor. La herencia no es opcional: se produce automáticamente a raíz de la modificación y conlleva el conjunto completo de obligaciones de transparencia del Artículo 53 (resumen de datos de entrenamiento, política de derechos de autor), además de todas las obligaciones de documentación del lado del Proveedor.
Qué establece realmente el Artículo 25
El Artículo 25(1) dispone que cualquier distribuidor, importador, desplegador u otro tercero será considerado proveedor de un sistema de IA de alto riesgo si: (a) pone su nombre o marca comercial en un sistema de IA de alto riesgo ya comercializado; (b) realiza una modificación sustancial en un sistema de IA de alto riesgo ya comercializado; o (c) modifica el uso previsto de un sistema de IA no clasificado como de alto riesgo de manera que lo convierta en de alto riesgo. El Artículo 25(4) aplica la misma lógica a los modelos de IAGP: un agente descendente que modifique sustancialmente un modelo de IAGP pasa a ser proveedor de ese modelo de IAGP.
Qué significa «modificación sustancial»
La Ley define modificación sustancial (Artículo 3(23)) como un cambio no previsto por el proveedor en la evaluación de conformidad inicial, que afecte al rendimiento, al uso previsto o a la posición de cumplimiento. Para los modelos de IAGP, el umbral no está definido con precisión. La consulta sobre el Código de Prácticas de IAGP se cerró en marzo de 2026 sin una resolución clara. Interpretaciones conservadoras: ajuste fino más allá de los ajustes a nivel LoRA, entrenamiento con datos propietarios sustanciales, modificación del indicador de sistema para alterar fundamentalmente el comportamiento, eliminación o debilitamiento de las salvaguardas de seguridad.
Casos habituales en SaaS
Ingeniería de indicadores mediante API de acceso público: riesgo de herencia bajo. Ajuste fino ligero (adaptadores LoRA, ajuste de instrucciones con conjuntos de datos pequeños): no definido - se considera de bajo riesgo si está documentado. Ajuste fino intensivo (ajuste fino de pesos completos, entrenamiento con corpus propietario, RLHF con datos de clientes): riesgo de herencia alto. RAG sobre datos propietarios: riesgo bajo (no modifica el modelo). Orquestación multimodelo (encadenamiento de varios modelos con lógica personalizada): riesgo bajo para los modelos individuales, pero el sistema orquestado puede requerir por sí mismo la clasificación como Proveedor.
Obligaciones del Artículo 53 heredadas
Si se hereda la condición de Proveedor de IAGP en virtud del Artículo 25(4), son de aplicación las obligaciones del Artículo 53: mantener documentación técnica, elaborar y poner a disposición un resumen de los datos de entrenamiento, aplicar una política de cumplimiento en materia de derechos de autor, y cooperar con la Oficina Europea de IA. Para los modelos de IAGP de riesgo sistémico (aquellos que superan el umbral de cómputo o que hayan sido designados como tales), también son de aplicación las obligaciones del Artículo 55: evaluación del modelo, pruebas adversariales, notificación de incidentes y protección de ciberseguridad. La mayoría de los modelos SaaS con ajuste fino no alcanzan los umbrales de riesgo sistémico, pero las obligaciones de base del Artículo 53 no son triviales.
Cómo gestionar el riesgo de herencia
En primer lugar, documente sus modificaciones con precisión. Un registro documental claro que demuestre que no se ha modificado sustancialmente el modelo es su mejor defensa en un diálogo con el regulador. En segundo lugar, opte preferentemente por técnicas que las orientaciones no consolidadas generalmente aceptan como no sustanciales (LoRA, RAG, ingeniería de indicadores). En tercer lugar, si debe realizar un ajuste fino intensivo, planifique el cumplimiento del Artículo 53 desde el primer día: documentación de datos de entrenamiento, política de derechos de autor, transparencia con los usuarios finales. En cuarto lugar, considere alternativas comerciales: en ocasiones, utilizar un modelo menos personalizado pero con condiciones de uso claras de un proveedor principal tiene más sentido desde el punto de vista empresarial que ejecutar su propio ajuste fino.
Frequently asked questions
¿Cuándo entra en vigor el Artículo 25?
El 2 de agosto de 2026 para las disposiciones principales. La herencia de IAGP del Artículo 25(4) se aplica desde el 2 de agosto de 2025, dado que hace referencia a los proveedores de IAGP de nivel superior cuyas obligaciones se hacen cumplir con anterioridad.
¿La ingeniería de indicadores activa el Artículo 25?
No: la ingeniería de indicadores mediante API publicadas no constituye una modificación sustancial. El modelo en sí no se modifica.
¿El ajuste fino con LoRA activa el Artículo 25?
Probablemente no, pero el umbral no está definido con precisión. Documente el adaptador LoRA, los datos de entrenamiento y la variación de rendimiento. La documentación debe demostrar que se mantuvo dentro del ámbito de las modificaciones previstas.
¿Cuál es la sanción por incumplimiento del Artículo 53?
Hasta 15 millones de euros o el 3 % del volumen de negocios mundial. Para los modelos de IAGP de riesgo sistémico, la Oficina Europea de IA dispone de una autoridad de ejecución ampliada.
¿Es necesario un representante autorizado en caso de herencia de IAGP?
Si está establecido fuera de la UE y pasa a ser proveedor de IAGP en virtud del Artículo 25(4), el Artículo 54 le exige designar un representante autorizado en la UE.
Sources
Last updated: 2026-05-28