El calendario regulador europeo se acelera. A pocas semanas de que entre en vigor la nueva Ley de Inteligencia Artificial de la UE (2 de agosto de 2025), Bruselas ha publicado oficialmente el Código de Buenas Prácticas para modelos de IA de propósito general. Aunque su adopción es voluntaria, su contenido deja poco margen para la improvisación: quien no lo aplique, tendrá difícil justificar su cumplimiento legal en pocos meses.
La publicación llega en un momento especialmente sensible. Tras el escándalo de Grok 4 y los debates en torno a la ética de los modelos fundacionales, Europa lanza un mensaje claro a las empresas: la era de la “IA sin responsabilidad” ha terminado.
¿Qué es el Código de Buenas Prácticas?
Se trata de una guía técnica y jurídica dirigida a proveedores de modelos de IA de uso general (como GPT-4, Claude, Gemini o Grok). El objetivo es que estos sistemas cumplan desde ya con los principios clave de la futura regulación: transparencia, respeto a los derechos fundamentales y gestión proactiva de riesgos.
El texto ha sido elaborado por un grupo de expertos independientes, con participación de más de 1.000 actores públicos y privados. Forma parte del enfoque gradual que la UE ha adoptado para implementar la Ley de IA, permitiendo a las empresas adaptarse antes de la entrada en vigor de las obligaciones legales vinculantes.
Ejes clave del Código
El código articula sus recomendaciones en torno a tres pilares críticos:
Transparencia y trazabilidad
- Documentación del proceso de entrenamiento, origen de los datos, consumo energético y licencias.
- Registro de herramientas utilizadas por el modelo (buscadores, traductores, bases documentales).
- Descripción del tipo de interacción que permite (solo texto, multimodal, con agencia...).
Respeto a los derechos de autor
- Prohibición de usar contenidos protegidos mediante scraping, incluyendo páginas con bloqueo explícito.
- Medidas para evitar que el modelo reproduzca fragmentos de obras no autorizadas.
Seguridad y gestión del riesgo
- Evaluación continua de riesgos sistémicos (desinformación, sesgos, replicación de violencia).
- Protocolo obligatorio de notificación de incidentes graves.
- Responsabilidad asignada a nivel ejecutivo (accountable AI officer).
Además, introduce un formulario estandarizado que cada proveedor deberá completar por modelo, como paso previo al etiquetado CE obligatorio bajo la Ley de IA [Fuente Oficial]
¿Por qué es importante para las empresas?
Aunque el Código no es de obligado cumplimiento (todavía), marca un nuevo estándar para quienes desarrollan, integran o utilizan IA generativa en la UE. Las empresas que lo adopten podrán:
- Reducir costes legales: al demostrar cumplimiento anticipado con la Ley de IA, evitan sanciones y litigios.
- Acceder a incentivos regulatorios: se prevé menor carga administrativa para quienes certifiquen su adhesión.
- Mejorar su reputación: el compromiso con la IA ética se convierte en un factor de confianza ante clientes, inversores y empleados.
Y lo más relevante: cualquier organización que use modelos de IA de propósito general (incluido su personal o asistentes virtuales), estará sujeta al régimen de control si no justifica que el proveedor cumple con la ley.
¿Qué pasos deben dar las empresas?
A partir de julio de 2025, se espera que empresas tecnológicas, financieras, jurídicas y consultoras empiecen a verificar la trazabilidad de los modelos de IA que utilizan o integran en sus servicios.
Las acciones mínimas recomendadas son:
- Revisar el Código completo: identificar qué recomendaciones afectan a su negocio, aunque no sean desarrolladores de IA.
- Solicitar documentación técnica a proveedores: para confirmar si los modelos utilizados cumplen con las directrices.
- Actualizar sus políticas internas de IA: incorporando criterios de transparencia, uso ético y respuesta ante incidentes.
En definitiva, quien dependa de la IA como herramienta crítica deberá gestionarla como un riesgo regulado, no solo como una ventaja competitiva.
Un paso clave hacia una IA responsable... y controlada
Este Código no es la solución definitiva, pero sí un paso necesario. La UE ha optado por liderar la gobernanza de la IA desde la exigencia técnica y jurídica, y no desde la laxitud corporativa.
Empresas y despachos que quieran operar con modelos avanzados —como Grok, GPT o Claude— deben entender que el cumplimiento normativo ya no será una opción reputacional, sino un requisito operativo.
El próximo 2 de agosto, la Ley de IA entrará plenamente en vigor. Pero con este Código, la cuenta atrás ya ha comenzado.
