Aprobada la versión final del Código de Buenas Prácticas para IA de uso general
La Comisión Europea ha recibido la versión final del Código de Buenas Prácticas para la IA de uso general (el Código), una herramienta voluntaria elaborada por trece expertos independientes con aportaciones de más de 1.000 partes interesadas, incluidos proveedores, pymes, académicos y organizaciones civiles. El Código está diseñado para facilitar el cumplimiento de las obligaciones de la AI Act (Reglamento (UE) 2024/1689 por el que se establecen normas armonizadas sobre inteligencia artificial) aplicables desde el 2 de agosto de 2025 a los proveedores de modelos de IA de uso general. Dividido en tres capítulos – transparencia, derechos de autor y seguridad –, el Código establece directrices prácticas sobre documentación técnica, cumplimiento normativo en materia de propiedad intelectual, y gestión de riesgos sistémicos (como pérdida de control o mal uso del modelo). Los proveedores que lo suscriban podrán demostrar cumplimiento de la AI Act ante la AI Office de la Comisión, beneficiándose de una menor carga administrativa y una mayor seguridad jurídica. El Código será refrendado por los Estados miembros y complementado por directrices específicas. La Unión Europea ha sido capaz de cerrar la aprobación de este código, con anterioridad a la entrada en vigor de las obligaciones a que se refiere, cosa que en absoluto había estado clara en los meses precedentes, que habían sido testigo de varios retrasos. Es previsible que sea suscrito por la mayoría de los desarrolladores de este tipo de modelos, muy especialmente las grandes tecnológicas, si bien no faltan ejemplos señeros de disidencia. Esta aprobación acredita, asimismo, la determinación de la Unión en hacer cumplir, conforme a los plazos establecidos, la normativa europea en materia de inteligencia artificial, cosa que igualmente había venido estando en entredicho en meses precedentes, en especial en el actual contexto de guerra arancelaria.
Directrices de la Comisión Europea sobre los modelos de IA de uso general
La Comisión Europea ha publicado las, también muy esperadas, Directrices sobre las obligaciones que, desde el 2 de agosto de 2025, se aplicarán a los proveedores de modelos de IA de uso general bajo la AI Act. Se aportan los criterios técnicos para identificar estos modelos (en concreto, superar 10^23 FLOPs y generar texto, audio o imagen), y los sujetos destinatarios de estas Directrices, a resultas de las disposiciones de la AI Act que interpretan: desarrolladores, modificadores sustanciales y quienes los comercialicen en la UE. Las Directrices también explican exenciones para modelos de código abierto y las obligaciones adicionales para modelos con riesgos sistémicos (como riesgos para derechos fundamentales). A partir del 2 agosto de 2026, la Comisión podrá sancionar incumplimientos, mientras que el plazo para adaptar los modelos existentes se extiende hasta el 2 agosto de 2027. La AI Office prestará apoyo técnico y seguimiento, especialmente durante el primer año. También en desarrollo de las correspondientes disposiciones de la AI Act, las Directrices explicitan las obligaciones de cualesquiera operadores que efectúen modificaciones sustanciales en este tipo de modelos. Esta es una de sus concreciones más controvertidas, en tanto que, al resultar aplicable también a responsables del despliegue, pueden terminar extendiendo a estos, obligaciones regulatorias del mismo calado de las aplicables a los desarrolladores de inteligencia artificial, entre ellos, por ejemplo, las grandes tecnológicas, pudiéndose así dar la circunstancia de que un banco o una empresa automovilística queden a estos efectos equiparados a una gran tecnológica.
Texas aprueba leyes pioneras de gobernanza de IA con obligaciones específicas en sanidad
El 22 de junio de 2025, Texas promulgó la Texas Responsible Artificial Intelligence Governance Act (TRAIGA) mediante la Ley HB 149, que establece un marco estatal para el uso responsable de la inteligencia artificial en el sector público y ciertas obligaciones para entidades privadas, incluidos los proveedores sanitarios. La norma entrará en vigor el 1 de enero de 2026 y busca reforzar la transparencia en sistemas automatizados que impactan directamente sobre las personas. Paralelamente, el 20 de junio se aprobó la SB 1188, aplicable desde el 1 de septiembre de 2025, que impone requisitos específicos para el uso de IA en entornos clínicos, incluyendo la obligación de informar a los pacientes cuando se empleen sistemas de IA en diagnóstico o tratamiento, salvo en situaciones de emergencia. Además, prohíbe el traslado físico de historiales médicos electrónicos fuera del país. Texas se convierte, de este modo, en el segundo gran Estado de la Unión en implantar una regulación de la inteligencia artificial, en un contexto estadounidense marcado por la llegada al poder de la administración Trump y la consiguiente derogación de la normativa Federal hasta entonces existente. Junto a algún otro Estado, Texas y California presentan modelos regulatorios en esta materia, caracterizados por afrontar los riesgos de estas tecnologías, si bien de modo sectorial o vertical, que contrasta con la aproximación abstracta y omnicomprensiva de la europea AI Act.
Sentencia VEGAP vs. Mango, o el uso de NFTs en posible quiebra de la propiedad intelectual
La Sentencia nº 731/2025 de la Audiencia Provincial de Barcelona (Sección 15ª), dictada el 5 de junio de 2025, establece el primer precedente en España sobre posible infracción de derechos de autor mediante la creación de NFTs sin autorización. El caso enfrentó a VEGAP con Punto Fa, S.L. (Mango), que encargó obras digitales basadas en piezas de Joan Miró, Antoni Tàpies y Miquel Barceló para una campaña publicitaria, sin permiso de los titulares de derechos. El tribunal rechazó la aplicación del “fair use” estadounidense que la demandada alegaba, reafirmando que, en el modelo español europeo, los usos de propiedad intelectual sin autorización de títulos de derechos deben necesariamente ampararse en las correspondientes excepciones. La argumentación clave del tribunal radicó, por otro lado, en el principio del artículo 3 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (TRLPI), que distingue entre propiedad material (corpus mechanicum) y derecho de autor sobre la creación intelectual (corpus mysticum); y, muy especialmente, en el artículo 56.2 del TRLPI, en tanto en cuanto la adquisición de una obra artística en formato físico, permite su exposición también física, más no su reproducción en entornos virtuales, como puede suponer su utilización como NFT. El fallo condujo, pues, a la consideración de esta actividad como una infracción de los derechos de propiedad intelectual de los titulares de las obras artísticas en cuestión. Se trata de la primera sentencia generada en España acerca del uso de obras artísticas como NFT y sienta un precedente que enlaza por otra parte con los establecidos en otras jurisdicciones europeas en situaciones similares.
EDPB y EDPS emiten dictamen acerca de la proyectada simplificación del RGPD para pymes y empresas medianas
El Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) han emitido Dictamen conjunto sobre la propuesta de la Comisión Europea para modificar el RGPD, en el marco del cuarto paquete Omnibus de simplificación normativa. La propuesta amplía la exención del artículo 30.5 del Reglamento general de protección de datos (RGPD) sobre el registro de tratamiento a entidades con menos de 750 empleados (antes 250), salvo que el tratamiento implique alto riesgo según el artículo 35. También introduce definiciones de pyme y empresa mediana en el artículo 4 y extiende a estas últimas, el acceso a los mecanismos voluntarios de cumplimiento del RGPD, como códigos de conducta y certificación. La medida se enmarca en la estrategia de simplificación normativa abordada por la Comisión a partir del otoño pasado y que dimana del informe Draghi de septiembre de 2024. Como se sabe, este informe cifraba en la gran extensión e intensa carga de la regulación digital en Europa, nuestro atraso respecto de los líderes mundiales en estas tecnologías.
La autoridad belga archiva 16 denuncias de la entidad pro-privacidad NOYB
El 26 de junio de 2025, la Sala de Litigios de la Autoridad de Protección de Datos de Bélgica (APD) archivó 16 denuncias presentadas por la asociación austríaca None of Your Business (NOYB) contra entidades como Honda, Mastercard y Coca-Cola, por supuestas infracciones del RGPD en materia de cookies. Según la APD, NOYB incurrió en abuso del derecho al presentar reclamaciones sin mandato válido de los interesados, vulnerando los artículos 77 y 80.1 del RGPD. La Sala consideró que las denuncias fueron generadas de forma automatizada y dirigidas por la asociación, sin base individual real. Aunque reconoce la función crítica de organizaciones como NOYB, la APD reiteró que solo pueden actuar como representantes de ciudadanos concretos. Como se sabe, NOYB y su fundador, Max Shrems, han venido instando decenas de actuaciones judiciales y ante autoridades de protección de datos de diversos Estados miembros, desde su creación a mediados de la pasada década. Muchas de esas actuaciones han tenido éxito, siendo especialmente significativas las impugnaciones de los marcos internacionales de transferencia de datos personales entre la Unión Europea y los Estados Unidos, que han motivado sus correspondientes anulaciones y la necesidad de articular instrumentos alternativos.
Decisión de la Comisión Europea de adecuación en materia de protección de datos del régimen del Reino Unido
La Comisión Europea anunciaba el 24 de junio de 2025, su acuerdo de prorrogar hasta diciembre de 2025, la decisión de adecuación del Reino Unido a efectos del Reglamento general de protección de datos, originalmente establecida mediante la Decisión de Ejecución (UE) 2021/1772, y que caducaba el 27 de junio de 2025. Esta decisión es, además, necesaria en tanto en cuanto el Reino Unido acaba de aprobar su llamada Data (Use and Access) Act, que modifica su anterior normativa en materia de protección de datos (elaborada en 2018 en desarrollo del RGPD), y que entraba en vigor el 19 de junio de 2025. En lo esencial, la nueva normativa británica mantiene las bases establecidas en 2018, que siguen las pautas del RGPD, si bien flexibiliza, respecto de la normativa europea, regulaciones como pueden ser las referidas a interés legítimo, a las transferencias internacionales o el uso de cookies, entre algunas otras. Queda, eso sí, por ver, si la Comisión Europea estimará que, pese a estas alteraciones, el Reino Unido continúa siendo un país “adecuado” a efectos del RGPD.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
