Ninguno de los doce grandes modelos de IA evaluados supera el umbral de conformidad con el RGPD y el AI Act, y el riesgo que hasta ahora recaía sobre los integradores pasa a ser medible, documentable y oponible. Eso es lo que se desprende del benchmark LARA (Legal Assessment for Real-world Agents), publicado el 27 de mayo de 2026 por la fundación de investigación sin ánimo de lucro Aithos. El veredicto es contundente: ninguno de los modelos evaluados cumple plenamente con los requisitos reglamentarios de la Unión Europea, y algunos infringen las normas europeas en hasta el 93 % de los casos estudiados. De los doce modelos probados, Claude Opus 4.1 de Anthropic obtiene la mejor puntuación, con alrededor del 54 % de conformidad, mientras que Gemini 3.1 Pro de Google cae hasta el 10 %. La constatación llega diez meses después de la entrada en aplicación de las obligaciones del AI Act para los proveedores de modelos de uso general, vigentes desde el 2 de agosto de 2025. El artículo 25 del reglamento, en vigor desde el 1 de agosto de 2024 y plenamente aplicable el 2 de agosto de 2026, ya había inscrito la corresponsabilidad del integrador en el texto: lo que modifica LARA es el paso del riesgo teórico al riesgo cuantificado por modelo.
Una matriz de 3.000 escenarios, doce modelos, pocos supervivientes
LARA se basa en más de 3.000 escenarios que cubren los principales riesgos contemplados por el RGPD y el AI Act. El protocolo sitúa a cada modelo en situaciones agentivas en las que debe resolver dilemas jurídicos o regulatorios: obtener el consentimiento antes de la recopilación, evitar la elaboración de perfiles psicológicos, rechazar la manipulación del usuario, proteger a los colectivos vulnerables y garantizar la transparencia de las decisiones automatizadas. Los incumplimientos más frecuentes documentados se refieren al uso de datos personales sin una base jurídica clara, a la creación implícita de perfiles psicológicos y a comportamientos susceptibles de influir o manipular a los usuarios. La clasificación es severa: entre el primer puesto (Claude Opus 4.1) y el último (Gemini 3.1 Pro), los modelos de OpenAI, Meta, Mistral AI, xAI y DeepSeek también muestran tasas significativas de incumplimiento en varias categorías. Aithos, fundación sin ánimo de lucro cuyo director de investigación es Daan Henselmans, publicó el estudio en su propia plataforma Substack el 27 de mayo de 2026; el trabajo no ha sido revisado por pares ni ha recibido acreditación regulatoria formal. La cita literal del autor resume sin rodeos la conclusión: «Ningún modelo de vanguardia alcanza niveles de conformidad aceptables a la luz del AI Act y de la legislación europea sobre privacidad» (traducción libre). El artículo fuente no precisa ni la fecha de las pruebas ni las versiones exactas de los modelos evaluados más allá de los dos mencionados, una zona gris metodológica que la documentación pública de la herramienta no despeja por ahora.
Conformidad RGPD / AI Act — benchmark LARA de Aithos (mayo de 2026, más de 3.000 escenarios)
| Modelo | Proveedor | Tasa de conformidad |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54 % |
| Gemini 3.1 Pro | ~10 % | |
| Modelos OpenAI, Meta, Mistral AI, xAI, DeepSeek | Diversos | No publicado individualmente |
Ninguno de los 12 modelos probados satisface plenamente los requisitos europeos. Algunos infringen las normas en hasta el 93 % de los casos. Fuente: benchmark LARA de Aithos, mayo de 2026.
Artículo 25 del AI Act: el integrador se convierte en co-proveedor, y ya lo sabía
El mecanismo jurídico central que LARA hace operativo no es nuevo. El artículo 25, apartado 1, del AI Act, recogido en el reglamento que entró en vigor el 1 de agosto de 2024 y será aplicable a partir del 2 de agosto de 2026, prevé que un desplegador que modifique el uso previsto de un sistema de IA de alto riesgo, o que le aplique su marca, pasa a ser co-proveedor. En la práctica, esta calificación activa la aplicación directa del artículo 16, que define la base de obligaciones del proveedor: gestión de riesgos, documentación técnica y supervisión poscomercialización. Un DPO que integre un modelo generalista en un uso de alto riesgo hereda, por esta mecánica, el mismo régimen probatorio que el editor aguas arriba.
Por encima de esta corresponsabilidad entre integrador y proveedor, el régimen propio de los proveedores de modelos de uso general se aplica en paralelo. El artículo 53 fija desde el 2 de agosto de 2025 las obligaciones específicas de los proveedores de modelos de IA de uso general: documentación, política de respeto de los derechos de autor y resumen de los datos de entrenamiento. En caso de incumplimiento, el artículo 101 del reglamento limita las multas para esos mismos proveedores al 3 % de la facturación anual mundial o 15 millones de euros, aplicándose la cifra más alta; no obstante, la Comisión solo ejercerá ese poder sancionador a partir del 2 de agosto de 2026.
Aithos pone el foco en el eslabón integrador: «las empresas que construyen sus propios agentes de IA además de estos modelos también podrían ser consideradas legalmente responsables» (traducción libre). La fundación añade, asumiendo una reserva metodológica, que «los sistemas de GenAI aún no están preparados para ser desplegados en entornos fuertemente regulados sin controles y salvaguardas adicionales» (traducción libre). La corresponsabilidad ya existía en el texto; LARA la traduce en una medida cuantificada por modelo, un nivel de análisis que los departamentos jurídicos aún no tenían en esta forma, utilizable como pieza preparatoria de auditoría. Es ese paso, del riesgo teórico al riesgo documentado, el que cambia el panorama para las direcciones jurídicas, más que la puntuación en sí.
Precedentes, sanciones efectivas y la capa de conformidad que se financia
La constatación de LARA llega en un contexto regulatorio tenso. En Italia, el Garante della Privacy impuso en diciembre de 2024 una multa de 15 millones de euros a OpenAI por el tratamiento de datos personales a través de ChatGPT, según la información publicada en su momento, en continuidad con el procedimiento abierto en 2023 — ActuIA ya había documentado la restricción inicial del servicio en Italia. Esa sanción fue anulada en apelación por el Tribunal de Roma en el primer trimestre de 2026 por un motivo procesal: la Data Protection Commission irlandesa se había convertido en autoridad principal para OpenAI desde febrero de 2024, por lo que el Garante ya no tenía competencia en virtud de la ventanilla única del RGPD. El fondo probatorio, en cambio, sigue completamente abierto. Del lado de los proveedores, Meta prefirió suspender el lanzamiento en Europa de sus modelos multimodales Llama 3 antes que enfrentarse al trío DMA/RGPD/AI Act, una señal de que la evasión geográfica sigue siendo una opción para los actores que consideran demasiado costosa su exposición. En el otro extremo, el mercado se prepara: la start-up ZeroDrift, que desarrolla un middleware de conformidad situado entre los LLM y los usuarios finales, anunció, según sus propias comunicaciones, una ronda de 10 millones de dólares a comienzos de junio de 2026, pocos días después de la publicación de LARA. A fecha del 8 de junio de 2026, ninguno de los proveedores mencionados —Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek— había cuestionado públicamente la metodología de Aithos, reivindicado una puntuación ni propuesto un protocolo alternativo. El bloqueo reside en un silencio del texto: el AI Act no precisa el reparto de la carga probatoria entre el proveedor de un modelo de uso general y el desplegador cuando se acredita un daño en un usuario final. Es en ese vacío donde los primeros casos llevados ante las autoridades nacionales de control, a partir del 2 de agosto de 2026, deberán resolver.