El papel de los códigos de conducta y buenas prácticas en el Reglamento de Inteligencia Artificial de la UE: entre la autorregulación, la corregulación y la eficacia normativa(*)(**)

The role of codes of conduct and best practices in the EU Artificial Intelligence Regulation: between self-regulation, co-regulation and regulatory effectiveness

Elena Juaristi-Besalduch(***)

CEU Universities (Valencia, España)

Resumen: El presente estudio examina el espacio que el Reglamento de Inteligencia Artificial de la Unión Europea reserva a los instrumentos de autorregulación y corregulación, como mecanismos de gobernanza para el control de los riesgos derivados del uso de sistemas de inteligencia artificial, con especial atención a los códigos de conducta y de buenas prácticas. En primer lugar, se contextualiza el debate doctrinal y normativo suscitado en torno a las distintas alternativas de ordenación de la IA, en el que se contraponen los modelos de intervención normativa tradicional y las estrategias basadas en instrumentos de soft law. Seguidamente, se delimitan los conceptos de autorregulación y corregulación y se analiza su impulso en el marco de las políticas europeas de gobernanza tecnológica. A continuación, se estudia el papel que el Reglamento de IA confiere a los códigos de conducta y de buenas prácticas, identificando sus diferencias estructurales y funcionales, así como su adecuación y eficacia para complementar la regulación vinculante. Finalmente, se hace referencia al Código de Buenas Prácticas para modelos de IA de propósito general (2025) como caso de estudio, y se exponen las principales reflexiones y conclusiones del trabajo, orientadas a valorar la eficacia y límites de estos instrumentos y formular propuestas al respecto.

Palabras clave: Autorregulación - Corregulación - Riesgos - Inteligencia Artificial - Códigos de conducta - Códigos de Buenas Prácticas - Derecho Administrativo - España

Abstract: This study examines the space that the European Union Artificial Intelligence Regulation reserves for self-regulation and co-regulation instruments, as governance mechanisms for controlling the risks arising from the use of artificial intelligence systems, with particular attention to codes of conduct and best practices. First, the doctrinal and regulatory debate surrounding the different alternatives for the regulation of AI is contextualized, contrasting traditional normative intervention models with strategies based on soft law instruments. Next, the concepts of self-regulation and co-regulation are defined, and their promotion within the framework of European technology governance policies is analyzed. Subsequently, the role that the AI Regulation assigns to codes of conduct and best practices is studied, identifying their structural and functional differences, as well as their suitability and effectiveness in complementing binding regulation. Finally, reference is made to the Code of Practice for General Purpose AI Models (2025) as a case study, and the main reflections and conclusions of the work are presented, aimed at assessing the effectiveness and limits of these instruments and formulating proposals in this regard.

Keywords: Self-Regulation - Co-regulation - Risks - Artificial Intelligence - Codes of Conduct - Codes of practice - Administrative Law - Spain

1. Introducción: La Inteligencia Artificial como riesgo y la autorregulación y corregulación como respuesta

La Inteligencia Artificial (en adelante, IA) ha irrumpido, especialmente, este último lustro en nuestro día a día, siendo cada vez más los espacios en los que esta encuentra aplicación y desarrollo. Esta tecnología presenta numerosas ventajas(1), pero también muchos riesgos, algunos de ellos desconocidos e impredecibles. Así lo contemplan el Reglamento de IA de la UE al disponer lo siguiente:

La IA contribuye a generar beneficios económicos, medioambientales y sociales muy diversos en todos los sectores económicos y las actividades sociales. [Sin embargo], puede generar riesgos y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión. Dicho menoscabo puede ser tangible o intangible y abarca los perjuicios físicos, psíquicos, sociales o económicos (considerando 5).

La Comisión Europea reconoce que la IA plantea riesgos concretos, en muchas ocasiones derivados de la opacidad de sus algoritmos, que podrían provocar daños importantes tanto “materiales [para la seguridad y la salud de las personas, con consecuencias como la muerte y menoscabos al patrimonio] como inmateriales [pérdida de privacidad, limitaciones del derecho de libertad de expresión, dignidad humana, discriminación en el acceso al empleo]” (2020, p. 13). El concepto de riesgo es considerado por algunos autores como elemento central del pensamiento sociológico contemporáneo (Galindo, 2015). En este sentido, Beck considera los riesgos como eje vertebrador y elemento característico de la sociedad de nuestro tiempo y a partir de ahí gesta la noción “sociedad del riesgo” (Beck, 1998). Los riesgos que, en la actualidad y con carácter mayoritario, amenazan la situación de seguridad y equilibrio de nuestra sociedad son aquellos que derivan del progreso científico-técnico, como es el caso de la IA.

La ciencia y la tecnología no son inocuas y conllevan sus propios riesgos, como los derivados de la tecnología alimentaria, farmacéutica, la energía o la informática -accidentes nucleares, efectos secundarios de medicamentos, contaminación ambiental, enfermedades, desinformación, ciberataques, etc.- (Esteve, 2003). En ese sentido, el riesgo se constituye como elemento esencial que define, caracteriza y condiciona el funcionamiento de la sociedad.

Frente a estos riegos, en muchas ocasiones, el Estado se muestra limitado debido a factores como la necesaria rapidez que se requiere en la adopción de decisiones, su carácter global o elevada complejidad técnica unida a la falta de conocimiento experto. Esta incapacidad del Estado se manifiesta tanto desde la perspectiva legislativa como desde la ejecutiva (Esteve, 1999), lo que ha provocado la búsqueda de soluciones a través de nuevas fórmulas como la autorregulación y la corregulación.

Es por ello que el presente estudio, tras exponer el debate doctrinal y normativo suscitado en torno a las distintas alternativas propuestas para la ordenación de la IA y sus riesgos, en el que se confrontaron las fórmulas de intervención normativa tradicional con el recurso a instrumentos de soft law, nos aproxima a los conceptos de autorregulación y corregulación y a su impulso y promoción desde la UE. A continuación, analiza el papel que el Reglamento de IA reserva a los códigos de conducta y de buenas prácticas, como instrumentos autorregulatorios y corregulatorios, respectivamente, y pone de manifiesto las principales diferencias que ambos presentan. Finalmente se presenta como caso de estudio el Código de Buenas Prácticas para modelos de IA de propósito general, publicado en ٢٠٢٥, y se exponen las principales reflexiones, conclusiones y propuestas extraídas del conjunto del estudio.

2. ¿Cómo ordenamos los riesgos generados por los sistemas de IA en la UE? ¿Regulación o autorregulación?

2.1. Necesidad de ordenación de los riesgos generados por los sistemas de IA en la UE

La IA se presenta como elemento esencial para el desarrollo tecnológico, industrial y económico de la UE, para la competitividad y prosperidad futuras de Europa (Comisión Europea, 2021); sin embargo, a su vez, puede impactar negativamente y de manera directa en los derechos y libertades fundamentales de los ciudadanos y su seguridad debido a los riesgos que lleva asociados. Hacía ya tiempo que se venía reclamando una ordenación de la IA en el ámbito de la UE con el fin de dotar de protección y seguridad jurídica tanto a la ciudadanía como a las empresas para que su ausencia. Por una parte, esto no frenará el desarrollo de esta tecnología ni la economía europea y, por otra parte, no dejará desprotegidos derechos e intereses de los individuos y las organizaciones.

El Libro Blanco sobre la Inteligencia artificial advertía que, si la UE no era capaz de ofrecer un enfoque a escala de la Unión, existía un riesgo real de fragmentación del mercado interior, que pondría en peligro los objetivos de la confianza y la seguridad jurídica, así como el de la adopción de la IA en el mercado (Comisión Europea, 2020). Aquí, la Comisión puso de manifiesto la necesidad de valorar si la legislación existente en materia de derechos fundamentales [protección de datos, privacidad o no discriminación, entre otras], protección de los consumidores y normas sobre la seguridad de los productos y responsabilidad civil era suficiente para hacer frente a los riesgos derivados del empleo de la IA o si era necesario su adaptación o la elaboración de una legislación específica.

Este balance también fue reclamado por el Comité Económico y Social Europeo (en adelante, CESE) en el Dictamen sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones — Generar confianza en la inteligencia artificial centrada en el ser humano (Comisión Europea, 2019); en el que, en primer lugar, establecía una relación de causalidad directa entre la confianza en la IA y la existencia de un marco reglamentario y unas directrices éticas sólidas, bajo el apartado 3.2. En segundo lugar, observaba que los sistemas de IA debían estar sometidos al marco reglamentario existente, especialmente, en materia de protección de datos personales, responsabilidad de los productos, protección de los consumidores, no discriminación, entre otras. Y, finalmente, en el apartado 3.4. se concluía que estas legislaciones debían estar adaptadas a los nuevos retos de la IA.

La Comisión Europea (2021) daría respuesta a estas preguntas y en su Comunicación Fomentar un planteamiento europeo en materia de inteligencia artificial sostenía que el uso de la IA genera una serie de riesgos elevados específicos a los que la legislación existente no daba respuesta. Reconocía la existencia un sólido marco legislativo a escala nacional y de la Unión para proteger los derechos fundamentales y garantizar la seguridad(2) y los derechos de los consumidores(3) [como el Reglamento General de Protección de Datos(4) y la Directiva sobre protección de datos(5)], pero consideraba que algunas características específicas de las tecnologías de la IA, por ejemplo, la opacidad, podían dificultar la aplicación y el cumplimiento de dicha legislación y generar riesgos elevados para los que era necesaria una respuesta normativa adaptada.

La adopción de este marco normativo se consideraba indispensable para garantizar un mercado interior de sistemas de IA que funcionara correctamente y en el que se abordaran adecuadamente tanto sus beneficios como sus riesgos, para la protección de la seguridad y los derechos fundamentales y, por tanto, de la confianza en el desarrollo y la adopción de la IA (Comisión Europea, 2021). Poco a poco se iría viendo como las legislaciones específicas se irían modificando para poder dar respuesta a los riesgos concretos derivados de los sistemas de la IA y, a su vez, comenzaría el proceso de elaboración de una legislación específica en esta materia que ha culminado recientemente con la publicación del Reglamento de IA.

2.2. ¿Regulación o autorregulación?

Como se ha puesto de manifiesto, el debate no giró en torno a la necesidad o mejora de la regulación de esta cuestión, sino en torno a como llevarla a acabo y a través de qué instrumentos (Llamas et al., 2022; Díaz, 2024). La Comisión Europea (2019) había puesto de manifiesto la necesidad de definir una visión normativa que, por una parte, permitiera una IA basada en la democracia, el estado de Derecho y los derechos fundamentales y, por otro, garantizase la innovación y la competitividad.

Encontramos, de un lado, aquella postura partidaria de adoptar una regulación tradicional desde la UE, obligatoria y vinculante para todos aquellos sujetos que quedasen bajo su ámbito de aplicación. Esta consideraba ineficaces los instrumentos blandos como las recomendaciones, directrices, guías o instrumentos de autorregulación. Y, por otra parte, aquella postura que defendía el empleo de instrumentos de autorregulación por su carácter flexible y por su elevado grado de especificidad técnica por el hecho de ser elaborados por quien posee el conocimiento experto (Vázquez, 2021).

Esta última posición argumentaba que la autorregulación permite a las organizaciones, en muchas ocasiones movidas por la necesidad de mitigar los riesgos éticos, así como aquellos que puedan impactar en su reputación, establecer o acogerse de manera voluntaria a unos estándares éticos y a unas normas propias para el desarrollo y empleo de la IA, cuyo incumplimiento no tiene por qué dar lugar a una ejecución forzosa ni sanción. El empleo de la autorregulación también promueve que las partes adopten estándares más exigentes que aquellos previstos en la norma obligatoria y con un carácter más específico y adaptado a las necesidades propias de cada sector, debido al conocimiento experto de quien lo elabora. Sin embargo, algunos autores sostienen que también puede producir prácticas no éticas y perjudiciales, si no viene acompañado de mecanismos de seguimiento y control, por lo que consideran esencial disponer de una regulación externa que establezca unas normas mínimas que garanticen y protejan los derechos fundamentales de los ciudadanos (Piedra, 2023).

En el ámbito internacional, algunos autores han manifestado la validez de los sistemas de soft law para garantizar la transparencia y responsabilidad en materia de algoritmos y han propuesto instrumentos de autorregulación como el desarrollo de una norma de IA elaborada por una agencia capaz de certificar la seguridad de los sistemas de IA (Vega, 2018). También encontramos, de otro lado, críticos con este tipo de soluciones y de instrumentos de gobernanza global, pues consideran que la autorregulación favorece prácticas de lobbing al carecer de legitimidad democrática (Meneceur, 2020).

A nivel global, bajo el paraguas de la autorregulación, encontramos algunas propuestas de carácter ético emanadas de organizaciones no gubernamentales o asociaciones profesionales como los Principios Asilomar (Future of Life Institute, 2017), la Declaración de Montreal para un desarrollo responsable de la IA (Universidad de Montreal, 2018), los principios de la Organización para la Cooperación y el Desarrollo Económico [OCDE] (2019) o el Código de conducta de IA del elaborado por el G7 en el marco del proceso de Hiroshima (European Commisssion, 2023).Y también encontramos códigos de conducta y principios éticos provenientes de las propias corporaciones que desarrollan o emplean sistemas de IA (Google, 2018) que tienen por objeto autorregular sus desarrollos y modelos con el fin de construir una inteligencia artificial ética y lícita y evitar la crítica social que su supone su uso (Hernández, 2021).

En el ámbito de la UE podemos distinguir la coexistencia de tres sistemas que conforman la gobernanza de la Inteligencia Artificial. Por una parte, el marco ético encaminado a promover un estándar global, por otra parte, el proceso de normalización o estandarización dirigido a facilitar el desarrollo técnico y la protección de consumidores y usuarios y, finalmente, el marco jurídico destinado a regular los riesgos derivados de a IA y armonizar las regulaciones en esta materia de los distintos Estados miembros con el fin de evitar la fragmentación del mercado (Hernández, 2021; Vida, 2022; Miranzo-Díaz, 2024).

En 2018, la Comisión ya desvelaba en su Comunicación “Inteligencia Artificial para Europa” el papel que concedía a la autorregulación como instrumento válido para proporcionar un primer conjunto de índices de referencia para poder valorar las aplicaciones y resultados que iban surgiendo relacionados con la IA. Sin embargo, reservaba a las autoridades públicas la función de garantizar que los marcos reglamentarios para su uso y desarrollo fueran acordes con los valores y derechos fundamentales recogidos en los mencionados instrumentos autorreguladores.

EL CESE en el “Dictamen sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones - Generar confianza en la inteligencia artificial centrada en el ser humano” en sus apartados 1.4 y 3.3 dio un paso más hacia la solución de este debate. La Comisión Europea (2020) tampoco plantearía esta elección como una decisión dicotómica sino como una elección complementaria en la que algunos aspectos de la IA podrían ser abordados desde los sistemas de regulación tradicional y otros a través de instrumentos de autorregulación. En el mencionado dictamen se reflejaba la necesidad de “determinar, junto con el conjunto de partes interesadas, cuáles [debían] abordarse mediante reglamentación y legislación acompañadas de mecanismos de seguimiento reglamentarios y, en caso de incumplimiento, de sanción, y cuáles [podían] abordarse mediante códigos éticos, autorregulación y compromisos voluntarios”.

En este Dictamen, también podemos observar la apuesta por los instrumentos autorregulatorios en el apartado 1.9 en el que se propone la elaboración de un sistema de certificación sólido basado en procedimientos de prueba que permitan a las empresas garantizar la fiabilidad y la seguridad de sus sistemas de IA. El CESE proponía desarrollar, para las empresas que cumplieran las normas, un “certificado europeo de empresa de confianza del sector de la IA” basado, entre otras cosas, en la lista de evaluación propuesta por el grupo de expertos de alto nivel sobre la IA. Este instrumento atendería a la satisfacción de objetivos relacionados tanto con la solidez técnica y seguridad como la rendición de cuentas.

Como se expone en el punto que sigue, finalmente se abogó por la combinación y equilibrio entre ambos sistemas normativa tradicional y autorregulación y corregulación) lo que, a priori, permitiría y facilitaría, a su vez, el anhelado equilibrio entre la necesidad de normas claras que protejan los derechos de los ciudadanos y, además, el impulso de la innovación y desarrollo tecnológico. Esta vía híbrida ha sido por la que la UE ha apostado también en el Reglamento de IA, analizado en este estudio. Este contempla un conjunto de normas de obligado cumplimiento para todos aquellos sistemas de IA que considera de alto riesgo en función de la clasificación que establece, pero a su vez deja un amplio espacio a la autorregulación y corregulación como se expone más adelante.

3. Concepto y fundamento de la autorregulación y corregulación. Su impulso desde la Unión Europea

Darnaculleta (2009) sitúa la autorregulación entre los instrumentos que la teoría de la gobernanza (Scott, 2004) propone para hacer frente a las sociedades complejas contemporáneas, especialmente en lo que respecta a la organización de los diversos subsistemas especializados que las integran. En esta misma línea, Morcillo (2012) la entiende como una manifestación concreta del enfoque de la gobernanza. Los mecanismos autorregulatorios se configuran, por tanto, como herramientas que complementan, pero no sustituyen, los marcos legislativos, judiciales y administrativos vigentes en los distintos sistemas jurídicos nacionales.

La implicación progresiva de los poderes públicos en el diseño y utilización de fórmulas autorregulatorias ha ido en aumento, motivada por su utilidad para alcanzar fines específicos y objetivos de interés general. Esta evolución ha conducido a la consolidación de la noción de “autorregulación regulada”, forjada en el seno de la doctrina alemana del Derecho público, que alude a formas de intervención estatal que recurren estratégicamente a la autorregulación como instrumento para lograr finalidades públicas concretas. En este marco, hablamos de autorregulación privada cuando esta se orienta a los intereses internos de un subsistema social y de autorregulación regulada cuando es el Estado quien establece sus parámetros, orientaciones y mecanismos de control, incorporándola como una fórmula pública de regulación indirecta (Darnaculleta, 2009).

Esta última modalidad abarca diversas expresiones de producción normativa en el ámbito privado que, sin dejar de tener origen en dicho espacio, quedan sometidas a marcos de ordenación, supervisión y validación definidos desde lo público. Darnaculleta (2005) interpreta la autorregulación regulada como una forma de intervención pública en dinámicas autorregulatorias. En esta línea, cabe establecer una equivalencia funcional entre esta figura y la corregulación propuesta desde la UE.

La UE ha desempeñado un papel relevante en la promoción de mecanismos tanto de autorregulación como de corregulación. Ya en el Libro Blanco sobre la Gobernanza Europea (Comisión Europea, 2001) se abogaba por combinar el uso de la legislación formal con soluciones de carácter no legislativo, subrayando la importancia de mantener la coherencia entre los instrumentos empleados y de adecuar el modelo regulatorio a las exigencias de cada situación. En este contexto resulta especialmente significativo el dictamen del Comité Económico y Social Europeo relativo a la Autorregulación y corregulación en el marco legislativo de la Unión Europea, donde se define la autorregulación como un conjunto de mecanismos “espontáneos o inducidos, dirigidos a regular los intereses económicos y sociales o las relaciones y prácticas comerciales de los distintos agentes económicos”.

La corregulación, por su parte, se describe como “una forma de regulación de las partes interesadas promovida, orientada, dirigida o controlada por una tercera entidad, ya sea un organismo oficial o una entidad reguladora independiente, que usualmente dispone de competencias de supervisión y control y, en algunos casos, de la facultad de imponer sanciones” (CESE, 2015).

Entre los beneficios que estos mecanismos pueden aportar el CESE (2015) menciona la eliminación de barreras al mercado único, la simplificación normativa, la agilidad en su puesta en práctica, la descarga de los cauces legislativos formales y la generación de compromisos compartidos entre los actores implicados. No obstante, también evidencia ciertas limitaciones como las dificultades para asegurar la efectividad de los sistemas de seguimiento y sanción, la incertidumbre sobre el grado real de adhesión de las partes a los compromisos asumidos o problemas de compatibilidad con el conjunto normativo vigente.

El CESE identifica, como factores clave para su eficacia, la percepción clara del interés general, la transparencia del procedimiento, la representatividad y solvencia técnica de los implicados, la disponibilidad de mecanismos eficaces de evaluación y supervisión y un adecuado acompañamiento institucional, que debe incluir, cuando resulte necesario, la posibilidad de imponer sanciones, así como un espíritu de cooperación entre los actores privados, las instituciones públicas y la sociedad en su conjunto. La diferencia fundamental entre autorregulación y corregulación reside en el respaldo normativo que esta última recibe, lo que le confiere una posición intermedia entre los instrumentos de soft law y las técnicas propias del hard law (Parlamento Europeo et al., 2003).

Debe destacarse, en último lugar, el Acuerdo Interinstitucional sobre “Legislar Mejor”, suscrito en 2003 por el Parlamento Europeo, el Consejo y la Comisión (2003). En él se recuerda que la acción legislativa de la Unión debe estar guiada por los principios de subsidiariedad y proporcionalidad y que sólo se adoptarán disposiciones normativas cuando resulte necesario. El acuerdo reconoce el valor de los instrumentos alternativos de regulación, como la autorregulación y la corregulación, para lograr respuestas más rápidas y flexibles, siempre que no se comprometan la competencia, la cohesión del mercado interior o la protección de los derechos fundamentales. Se excluye expresamente su utilización en aquellos supuestos que afecten a derechos fundamentales, impliquen decisiones políticas de calado o exijan una aplicación uniforme en el conjunto de los Estados miembros. La apuesta de la Unión por este tipo de instrumentos ha propiciado, asimismo, la incorporación de mecanismos regulatorios propios de la tradición jurídica anglosajona, como los códigos de conducta y los códigos de buenas prácticas.

4. El Reglamento Europeo de Inteligencia artificial: el papel de la autorregulación y la corregulación frente a los riesgos de la IA

4.1. El papel de la autorregulación en el Reglamento de IA

Ya hemos puesto de manifiesto cómo hasta ahora, debido a la transversalidad de la cuestión (García, 2022), los riesgos que podían generar los sistemas de IA eran abordados desde las distintas normativas sectoriales que la UE disponía en materias como derechos fundamentales, protección de datos personales, no discriminación, responsabilidad de los productos, protección de los consumidores, etc.

Sin embargo, se vio que era necesaria la creación de una normativa específica que contemplara las características, riesgos y necesidades específicos de la IA y que armonizara las distintas iniciativas que estaban siendo adoptadas desde algunos de los Estados miembros en esta materia con el fin de evitar la posible fragmentación del mercado único. Así se refleja en el propio Reglamento de IA al considerar que:

Se necesita un marco jurídico de la Unión que establezca unas normas armonizadas en materia de IA para impulsar el desarrollo, la utilización y la adopción en el mercado interior de la IA y que, al mismo tiempo, ofrezca un nivel elevado de protección de los intereses públicos, como la salud y la seguridad y la protección de los derechos fundamentales, en particular la democracia, el Estado de Derecho y la protección del medio ambiente, reconocidos y protegidos por el Derecho de la Unión (2024, considerando 8).

Cabe destacar que en algunas de estas normas sectoriales ya se reservaba espacio a los instrumentos de autorregulación como elementos complementarios a las disposiciones de obligado cumplimiento que potencian su efectividad (Pérez, 2024). Así ocurría con las directivas emitidas por el Parlamento Europeo y el Consejo, como la Directiva relativa a las prácticas comerciales desleales (2005) que, según su considerando 20 y artículo 10, es una norma referente en la regulación del empleo de los códigos de conducta en el ámbito de la UE, también con los artículos siguientes al 40 del Reglamento Europeo de Protección de Datos (2016) o bajo el inciso d, artículo 3.3 de la Directiva relativa a la seguridad general de los productos (2001).

El Reglamento de IA surge con el fin de promover la adopción de una inteligencia artificial centrada en el ser humano y fiable; garantizar un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente; proteger a los ciudadanos frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación (considerando 1). El Reglamento persigue proteger la seguridad y los derechos fundamentales de los ciudadanos de la UE frente a los riesgos que puede generar la IA y para ello establece una serie de medidas y obligaciones dirigidas a los proveedores, importadores, distribuidores, desarrolladores y usuarios de los sistemas de IA.

Esta norma se caracteriza por tener un enfoque basado en los riesgos, por lo que estas obligaciones se aplican en función del nivel de riego que los sistemas de IA pueden generar y con el que son categorizados El Reglamento adapta el tipo y contenido de las normas a aplicar a la intensidad y alcance de los riesgos, así distingue entre sistemas riesgo inaceptable, alto riego, riesgo limitado y riesgo mínimo.

Por lo que se refiere al espacio que el Reglamento reserva a la autorregulación y corregulación, podemos observar cómo la norma reconoce un lugar privilegiado tanto a los códigos de conducta como a los códigos de buenas prácticas, encomendando a cada uno de estos instrumentos misiones diferentes. Mientras que los códigos de conducta persiguen aproximar a cualquier sistema que no sea de alto riesgo a las exigencias previstas por el Reglamento para los sistemas de alto riesgo, los códigos de buenas prácticas pretenden facilitar la implementación y cumplimiento de los deberes fijados para los proveedores de modelos de IA de uso general (Muñoz, 2024).

4.2 Los códigos de conducta en el Reglamento de Inteligencia Artificial de la UE

Podemos observar cómo la norma prevé un espacio destacado para los códigos de conducta como instrumentos de autorregulación (Cotino, 2024; Ayllón, 2025). El considerando 165 sirve de marco general para este cometido y realiza un llamamiento a la elaboración de códigos de conducta por las partes interesadas. Invoca, por una parte, a aquellos sistemas de IA que no sean considerados de alto riesgo (de acuerdo con los criterios que el reglamento establece) y, por otra parte, a todos aquellos sistemas de IA con independencia de su nivel de riesgo.

En el primero de los casos busca, mediante la adopción de los códigos de conducta, la aplicación voluntaria de la totalidad o parte de los requisitos que el Reglamento prevé para los sistemas de IA de alto riesgo a aquellos sistemas no considerados como tal. Se prevé la posibilidad de adaptar estos requisitos de acuerdo con la finalidad de cada sistema concreto y el riesgo específico que plantea, así como las soluciones técnicas disponibles y las mejores prácticas existentes en ese sector. Es decir, se invita a que incluso los sistemas de IA no clasificados como de alto riesgo adopten de forma voluntaria requisitos que el Reglamento exige obligatoriamente solo a los sistemas de alto riesgo, por ejemplo, requisitos de gestión de riesgos, calidad de datos, documentación, transparencia, etc., establecidos en el capítulo III, sección 2. De este modo, los códigos de conducta amplían las buenas prácticas regulatorias a supuestos no cubiertos obligatoriamente por el Reglamento, creando un marco de autorregulación para elevar el nivel de confianza en la IA en general.

En el segundo de los casos, se invita a aplicar, mediante el empleo códigos de conducta, a todos los sistemas de IA, con independencia de su nivel de riesgo y con carácter voluntario, requisitos adicionales relacionados con las Directrices éticas de la Unión para una IA fiable; la minimización del impacto ambiental de los sistemas de IA; la promoción de medidas de alfabetización en materia de IA; el diseño inclusivo y diverso de los sistemas de IA; así como a la prevención de perjuicios a personas en situación de vulnerabilidad, en particular a través de la garantía de accesibilidad para las personas con discapacidad.

En este sentido, por una parte, el considerando 20 profundiza en la elaboración de códigos de conducta voluntarios para promover la alfabetización en materia de IA entre las personas que se ocupan del desarrollo, el manejo y el uso de la IA. En este apartado el Reglamento destaca la importancia de la alfabetización en materia de IA para que las personas afectadas, sean proveedores, responsables de despliegues o usuarios puedan tomar decisiones con plena información.

Por otra parte, el considerando 27 anima, de manera particular, a las partes interesadas a la elaboración de códigos de conducta que desarrollen normas y mejores prácticas voluntarias inspiradas en las Directrices éticas de la Unión para una IA fiable (Comisión Europea, 2019), en las que se desarrollaron siete principios éticos no vinculantes para la IA. Estos principios son el de acción y supervisión humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos; transparencia; diversidad, no discriminación y equidad; bienestar social y ambiental, y rendición de cuentas. Estos fueron pensados para contribuir al diseño de una IA coherente, fiable y centrada en el ser humano, en consonancia con la Carta y con los valores en los que se fundamenta la Unión.

Regresando al considerando 165, como eje vertebrador de esta exposición, este dispone que el proceso de elaboración de los códigos de conducta deberá ser inclusivo y contar con las partes interesadas en cada caso como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores. También establece la necesidad de que los códigos de conducta cuenten con objetivos claros e indicadores clave del rendimiento que permitan medir su consecución con el fin de garantizar la efectividad estos instrumentos.

En línea con alcanzar la efectividad de estos instrumentos el reglamento también prevé la obligación de la Comisión de evaluar la repercusión y la eficacia de los códigos de conducta voluntarios para fomentar la aplicación de los requisitos establecidos para los sistemas de IA de alto riesgo a los sistemas de IA que no sean sistemas de IA de alto riesgo y, posiblemente, otros requisitos adicionales para dichos sistemas de IA (considerando 174). La primera evaluación deberá efectuarse antes del 2 de agosto de 2028 y las posteriores se producirán cada tres años. Este considerando finaliza con la previsión de que la Comisión pueda, a través de estos instrumentos, formular iniciativas, también de carácter sectorial, encaminadas a facilitar la disminución de los obstáculos técnicos que dificultan el intercambio transfronterizo de datos para el desarrollo de la IA, también en relación con la infraestructura de acceso a los datos y la interoperabilidad semántica y técnica de distintos tipos de datos.

Cada una de estas ideas encuentra su desarrollo en el articulado del Reglamento, concretamente en los artículos 58.2, apartado e), artículo 66, apartado e) y en el capítulo X que versa sobre esta cuestión y lleva por título Códigos de Conducta y Directrices. En el artículo 58 observamos cómo la aplicación voluntaria de los códigos de conducta se presenta como una de las finalidades que persigue la creación de espacios controlados de pruebas para la IA, también conocidos como sandboxes (Pérez Bes, 2024). Con los resultados de aprendizaje obtenidos en estos espacios, se persigue facilitar a los proveedores y proveedores potenciales el cumplimiento de las obligaciones de evaluación de la conformidad dispuestas en el Reglamento, así como la aplicación voluntaria de los códigos de conducta. Para facilitar la elaboración y aplicación de códigos de conducta y códigos de buenas prácticas con arreglo al Reglamento y a las Directrices de la Comisión, el artículo 66 atribuye al Consejo de IA la función de emitir recomendaciones y dictámenes por escrito al respecto.

El artículo 95 desarrolla con detalle el papel que el Reglamento atribuye a los códigos de conducta para la aplicación de requisitos específicos con el fin de elevar los niveles de cumplimiento exigidos por el Reglamento, que ya se avanzaba en el considerando 165. Este papel de impulso y facilitación lo encomienda tanto a la Oficina de IA como los Estados miembros. Se distinguen dos escenarios, por una parte, el de aquellos códigos de conducta dirigidos únicamente a sistemas de IA no calificados como de alto riesgo y, por otra parte, el de aquellos códigos de conducta dirigidos a cualquier tipo de sistema de IA.

Para el primero de los escenarios, el reglamento prevé la posibilidad de aplicar a estos sistemas de manera voluntaria todos o algunos de los requisitos establecidos en el capítulo III, sección 2 [requisitos dirigidos a los sistemas de IA de alto riesgo] teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector que permitan la aplicación de dichos requisitos. Para el segundo de ellos, se dispone que los códigos de conducta se elaborarán sobre la base de objetivos claros e indicadores clave de resultados para medir su consecución y que contendrán aquellos elementos aplicables establecidos en las Directrices éticas de la Unión para una IA fiable; la evaluación y reducción al mínimo de las repercusiones de los sistemas de IA en la sostenibilidad medioambiental; la promoción de la alfabetización en materia de IA, en particular en el caso de las personas que se ocupan del desarrollo, funcionamiento y utilización de la IA; la facilitación de un diseño inclusivo y diverso de los sistemas de IA; la evaluación y prevención de los perjuicios de los sistemas de IA para las personas vulnerables o los colectivos de personas vulnerables.

Este artículo 95, hace referencia al proceso inclusivo de elaboración de los códigos de conducta que podrán ser elaborados por proveedores o responsables del despliegue de sistemas de IA particulares, por las organizaciones que los representen o por ambos, también con la participación de cualquier parte interesada y sus organizaciones representativas, como, por ejemplo, las organizaciones de la sociedad civil y el mundo académico. Los códigos de conducta podrán comprender uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas.

También puntualiza la necesidad de tener en cuenta, por parte de la Oficina de IA y los Estados miembros, los intereses y necesidades específicos de las pymes, incluidas las empresas emergentes, a la hora de fomentar y facilitar la elaboración de códigos de conducta. A diferencia de los códigos de buenas prácticas (que veremos más adelante), no se establece en el artículo 95 ningún mecanismo formal de aprobación por la Comisión ni plazos estrictos para la adopción de los códigos de conducta, su naturaleza es plenamente voluntaria y autorregulatoria, apoyada por las autoridades, pero sin fuerza jurídica vinculante directa.

Finalmente, el artículo 112 atribuye a la Comisión el seguimiento y evaluación de los códigos de conducta, como ya se disponía en el considerando 174 para garantizar su si realmente están contribuyendo a elevar los estándares de los sistemas de IA de menor riesgo. Asimismo, el Consejo Europeo de Inteligencia Artificial (Consejo de IA), creado por el Reglamento, tiene entre sus funciones asesorar sobre la elaboración y aplicación de los códigos de conducta en virtud del Reglamento, lo que evidencia la importancia que se les otorga dentro del ecosistema de gobernanza de la IA.

De este modo, se observa cómo los códigos de conducta son concebidos por el Reglamento de IA como instrumentos voluntarios de autorregulación, de carácter flexible y con vocación de alcanzar a las máximas partes posibles del sector de la IA con el fin de extender buenas prácticas, tanto legales como éticas, más allá de las obligaciones mínimas legalmente exigidas. Y todo ello con el impulso y bajo la supervisión, no vinculante, de las autoridades competentes.

4.3 Los Códigos de buenas prácticas en el Reglamento de Inteligencia Artificial de la UE

El Reglamento atribuye a los códigos de buenas prácticas un ámbito y finalidad diferente. Así como los códigos de conducta se encuentran dirigidos a cualquier sistema de IA y persiguen elevar el nivel de exigencia respecto de los estándares mínimos que prevé la norma, los códigos de buenas prácticas se proponen específicamente para los modelos de IA de uso general, es decir, los modelos fundacionales o de propósito general, como los grandes modelos de lenguaje y la inteligencia artificial generativa con el fin de orientar y facilitar el cumplimiento de las obligaciones previstas para ellos en el Reglamento.

El Reglamento, en sus considerandos finales, destaca la importancia de los códigos de buenas prácticas. El considerando 116 dispone que la Oficina de IA debe fomentar, facilitar y revisar la elaboración de códigos de buenas prácticas en el ámbito de la UE involucrar en este proceso a todos los proveedores de modelos de IA de uso general, con la colaboración de las autoridades nacionales competentes y previa consulta, cuando proceda de expertos y partes interesadas incluidas organizaciones de la sociedad civil y el Grupo de Expertos Científicos en IA.

Se destaca que los códigos de buenas prácticas deben comprender tanto las obligaciones de los proveedores de modelos de IA de uso general como de modelos de IA de uso general que presenten riesgos sistémicos Por lo que se refiere a los riesgos sistémicos, aquellos de gran escala o impacto transversal que ciertos modelos avanzados podrían entrañar, se puntualiza que los códigos de buenas prácticas deben contribuir a establecer una taxonomía de riesgos en la que figuren el tipo, naturaleza y fuentes de los riesgos sistémicos a escala de la Unión y centrarse en medidas específicas de evaluación y reducción de estos riesgos.

El considerando 117 refuerza el valor de los códigos de buenas prácticas como herramienta fundamental para el cumplimiento de las obligaciones que el Reglamento prevé para los proveedores de modelos IA de uso general y para su evidencia. Por ello, contempla que la Comisión Europa pueda aprobar un código de buenas prácticas y conferirle validez general en la Unión. Alternativamente dispone que, si al momento de comenzar a aplicarse el Reglamento no se hubiera finalizado ningún código de buenas prácticas adecuado, la Comisión podrá establecer normas comunes para la aplicación de las obligaciones pertinentes. Esto refleja que, a diferencia de los códigos de conducta, los códigos de buenas prácticas tienen cierto carácter corregulatorio ya que, aunque son elaborados por la industria con el apoyo de las autoridades, la Comisión puede formalizarlos, otorgándoles reconocimiento oficial y eficacia jurídica o incluso suplir su ausencia con normativa común. Ello se debe a la importancia de garantizar que los proveedores de modelos generales cumplan efectivamente con sus obligaciones.

Estas previsiones se concretan y desarrollan en el artículo 56 del Reglamento, que lleva por título “Códigos de buenas prácticas”. En él se atribuye a la Oficina de la IA la misión del fomento y facilitación de estos códigos y se específica que su misión consiste en contribuir a la correcta aplicación del reglamento teniendo en cuenta los planteamientos internacionales pertinentes. Estos Códigos deberán articular, al menos, buenas prácticas concretas sobre cómo cumplir con las obligaciones de control de riesgos, transparencia y derechos de autor que el Reglamento establece en los artículos 53 y 55 a los proveedores de modelos de IA de uso general como por ejemplo cómo documentar el entrenamiento, cómo evaluar riesgos globales como sesgos amplificados, posibles usos maliciosos, ciberseguridad del modelo, etc.

En su proceso de elaboración podrán participar todos los proveedores de modelos de IA de uso general, así como las autoridades nacionales competentes. Al igual que en la elaboración de los códigos de conducta, se prevé la colaboración de organizaciones de la sociedad civil, industria, mundo académico y otras partes interesadas pertinentes, incluidos los proveedores posteriores, entendidos como las empresas que utilizan o integran modelos fundacionales, así como expertos independientes. Todo ello con el fin de garantiza un proceso abierto e inclusivo. Los códigos de buenas prácticas, al igual que los de conducta, deberán establecer de manera clara sus objetivos específicos y medidas, como indicadores clave de rendimiento, para garantizar su cumplimiento. Se persigue, de este modo, que sean un instrumento medible y eficaz, con objetivos concretos y mecanismos de seguimiento de su implementación.

Los participantes adheridos a los códigos de buenas prácticas deberán informar periódicamente a la Oficina de IA sobre la implementación de sus compromisos y resultados obtenidos de acuerdo con los indicadores clave definidos. Con la finalidad de no sobrecargar a los actores más pequeños, tanto los indicadores clave de rendimiento como los compromisos de entrega de información se ajustarán al tamaño y capacidad de cada participante. Se encomienda a la Oficina de IA y al Consejo de IA la supervisión y evaluación periódica del grado de consecución de los objetivos de los códigos de buenas prácticas y su contribución a la correcta aplicación del Reglamento (estos evaluarán particularmente si los códigos contienen las obligaciones establecidas en los artículos 53 y 55). Los resultados de las evaluaciones serán publicados lo que garantiza una retroalimentación regulatoria puesto que los códigos podrán corregir, reforzar e incorporar aquellas deficiencias y consideraciones señaladas por las autoridades. De este modo se favorece un proceso de mejora continua.

Uno de los aspectos más relevantes que prevé la norma es la posibilidad de que la Comisión Europea apruebe un código de buenas prácticas y le confiera validez general en el ámbito de la UE, bajo el artículo 56, apartado 6, para lo que el reglamento fijaba de plazo hasta el 2 de agosto de 2025. En este sentido, aunque a expensas de la aprobación formal, el 10 de julio de 2025 fue publicado el Código de Buenas Prácticas para modelos de uso general como herramienta voluntaria que permitirá a aquellos proveedores que se adhieran demostrar y evidenciar el cumplimiento de las obligaciones que les fija el reglamento, según el considerando 117, reduciendo el volumen de trámites administrativos (Castillo, 2024).

La Oficina de IA podrá invitar a todos los proveedores de modelos de IA de uso general a adherirse a los códigos de buenas prácticas. En el caso de los proveedores cuyos modelos no presenten riesgos sistémicos, la norma establece que podrán adherirse únicamente a las obligaciones previstas en el artículo 53 [es decir, solo aquellas de carácter general sin incluir las aplicadas a los modelos de riesgo sistémico], salvo que declaren expresamente su interés en adherirse al código completo. De esta manera se promueve que aquellos proveedores que no se encuentran obligados a cumplir los requisitos de “riesgo sistémico” decidan asumirlos de manera voluntaria y así elevar el nivel de cumplimiento de la norma. El Reglamento también fomenta que los códigos se mantengan actualizados y adaptados a la evolución y cambios tecnológicos constantes y a los posibles estándares armonizados que puedan ir surgiendo, labor que encomienda a la Oficina de IA.

De este modo, se observa cómo el Reglamento configura los códigos de buenas prácticas como instrumentos cuasi regulatorios dirigidos particularmente a los proveedores de modelos de IA fundacionales o de uso general, pensados para detallar, especificar y facilitar el cumplimiento de sus obligaciones, incluida la gestión de riesgos sistémicos. La adhesión a ellos es voluntaria para los proveedores, pero es cierto que se impulsan con fuerza y planifica su implementación bajo supervisión pública hasta el punto de contemplar su aprobación oficial y establecer plazos definidos para su adopción. A través de ellos se persigue proporcionar un marco uniforme y fiable en la UE para fomentar el cumplimiento de las obligaciones por parte de los proveedores y facilitar su evidencia. De esta manera los códigos de buenas prácticas se conciben como un apoyo y ayuda que complementa y refuerza el cumplimento del Reglamento a través de un conjunto de buenas prácticas consensuadas.

4.4 Códigos de conducta y códigos de buenas prácticas: naturaleza, misión y efectos

Tanto los códigos de conducta como los códigos de buenas prácticas se presentan con el fin de fomentar compromisos de carácter voluntario por parte de los proveedores más allá o en apoyo de las exigencias legales previstas en el Reglamento. Sin embargo, podemos ver como el Reglamento distingue tanto los escenarios o supuestos a los que aplicar cada uno, como sus características jurídicas. A continuación, nos detendremos y analizaremos su naturaleza jurídica y grado de formalidad; ámbito material y alcance; destinatarios; y efectos jurídicos.

Por lo que se refiere a su naturaleza jurídica, los códigos de conducta son estrictamente voluntarios y no vinculantes. Se elaboran por las propias partes, principalmente la industria, con el apoyo de determinadas autoridades, como instrumentos de autorregulación, pero sin seguir procedimiento formal alguno. Son instrumentos de soft law en sentido estricto, por lo que su cumplimiento no es jurídicamente exigible. Ello no impide que puedan ser objeto de evaluación por la Comisión con el fin de medir su eficacia. Por su parte, los códigos de buenas prácticas poseen un carácter más formalizado y estructurado ya que, aunque su elaboración también es colaborativa y su adhesión voluntaria, el Reglamento contempla la posibilidad de que la Comisión pueda adoptarlos oficialmente a través de un acto de ejecución y les confiera validez general en el ámbito de la UE. Ello les otorgaría una naturaleza cuasi normativa por lo que estaríamos más próximos, en este caso, a un instrumento propio de una estrategia de corregulación con un respaldo jurídico más definido.

En relación con su ámbito material, los códigos de conducta alcanzan a todos los sistemas de IA no considerados de alto riesgo e incluso pueden contener aspectos voluntarios aplicables a cualquier sistema de IA. Su finalidad consiste, principalmente, en extender aquellos requisitos y principios éticos que el Reglamento contempla únicamente para los sistemas de alto riesgo a aquellos sistemas que no presentan tal consideración y, así, elevar su fiabilidad. Sin embargo, los códigos de buenas prácticas presentan un alcance material más específico y determinado puesto que se dirigen exclusivamente a los modelos de IA de uso general y recogen esencialmente las obligaciones recogidas en los artículos 53 y 55 del Reglamento. Entre ellas se encuentran cuestiones técnicas como la documentación del modelo, transparencia sobre datos de entrenamiento, gobernanza de riesgos, ciberseguridad, evaluación de riesgos sistémicos y medidas para mitigarlos. En consecuencia, los códigos de conducta presentan un carácter horizontal y amplio, en tanto alcanzan a cualquier aplicación de inteligencia artificial, mientras que los códigos de buenas prácticas son de naturaleza vertical y específica, pues se centran en un tipo determinado de proveedor, los modelos fundacionales, y en el detalle de sus obligaciones reglamentarias.

Los códigos de conducta tienen como destinatario principal a todos los actores involucrados en sistemas de IA de riesgo limitado o mínimo, particularmente a los proveedores de estos sistemas y a los responsables del despliegue. El Reglamento anima a que en su proceso de elaboración participen la industria en su conjunto, incluidas pymes y startups, así como la academia y la sociedad civil. Los códigos de buenas prácticas, sin embargo, se dirigen a proveedores de modelos de IA de uso general, es decir, a las empresas que desarrollan y ponen en el mercado estos modelos base. En su proceso de elaboración pueden participar autoridades nacionales, expertos y empresas integradoras en calidad de partes interesadas, pero el compromiso de adhesión a ellos recae en los desarrolladores de modelos fundacionales.

Finalmente, por lo que se refiere a sus efectos jurídicos, la adhesión a los códigos de conducta es plenamente voluntaria por lo que no conlleva efectos jurídicos directos en términos de cumplimiento del Reglamento. Su relevancia es de carácter reputacional y práctico, en la medida en que sirve como guía de buenas prácticas y puede ser tenido en cuenta como indicador de compromiso ético por las autoridades. Sin embargo, la adhesión a un código de buenas prácticas aprobado por la Comisión sí conlleva efectos jurídicos importantes en la medida en que opera como presunción de conformidad. Su adhesión sirve como evidencia del cumplimiento de las obligaciones que el Reglamento contiene en los artículos 53 y 55 y así facilitar las posibles evaluaciones o inspecciones. En consecuencia, los códigos de buenas prácticas funcionan como mecanismos cuasi normativos ya que complementan al reglamento detallando y especificando la forma en que los proveedores han de cumplir sus obligaciones y la Comisión los puede tener en cuenta para evaluar su conformidad.

5. Especial referencia y análisis del Código de Buenas Prácticas para modelos de inteligencia artificial de propósito general

Como ejemplo representativo de los mecanismos de corregulación promovidos por el Reglamento de Inteligencia Artificial, cabe destacar la reciente publicación en julio de 2025, del “Código de Buenas Prácticas para Modelos de Inteligencia Artificial de Propósito General”. Este ha sido elaborado al amparo y siguiendo el procedimiento dispuesto en el artículo 56 del Reglamento. Se trata de un mecanismo de corregulación voluntaria para facilitar a los proveedores de modelos de IA de propósito general el cumplimiento de las obligaciones impuestas en el artículo 53 en materia de transparencia, seguridad y derechos de autor, así como las obligaciones adicionales para aquellos modelos que presenten riesgos sistémicos dispuestas en el artículo 55. De este modo, el legislador establece los objetivos y ámbitos de actuación, las autoridades supervisan su desarrollo y cumplimiento, pero son los actores privados (partes interesadas) quienes detallan y consensuan las orientaciones técnicas y operativas que permitirán su alcance.

Desde una perspectiva jurídica, este código se configura como un instrumento híbrido que supera la noción clásica de soft law. Aunque la adhesión al mismo es voluntaria, su inserción expresa en una norma con rango reglamentario y la previsión de una posible aprobación formal por la Comisión le confieren una posición singular dentro del sistema de gobernanza normativa de la Unión. En consecuencia, no se trata de un código meramente orientativo, sino de un mecanismo de concreción técnica de obligaciones jurídicas previamente definidas por el legislador europeo, con capacidad para operar como criterio de referencia en la evaluación del cumplimiento normativo.

El Código se estructura en torno a tres bloques temáticos fundamentales de transparencia, derechos de autor y seguridad. En el primer capítulo se establece la necesidad de compartir documentación técnica con autoridades y terceros proveedores, en el segundo la obligación de respetar los derechos de propiedad intelectual sobre los contenidos empleados para el entrenamiento de los modelos y en el tercero, aplicable obligatoriamente sólo a los modelos con riesgo sistémico, la necesidad de contar con un marco sólido de gestión de riesgos, así como con auditorías e informes de incidentes y medidas de control. Esta estructura refleja la función del código como instrumento dirigido a articular y materializar el enfoque basado en los riesgos que adopta el reglamento de IA, especialmente en lo que se refiere a la noción jurídicamente indeterminada de “riesgo sistémico”. A través de la identificación de obligaciones específicas en materia de evaluación continua, documentación técnica y mitigación de riesgos, el código transforma los mandatos generales del Reglamento en pautas técnicas concretas, adaptables a la evolución de los modelos fundacionales y a su impacto transversal en distintos sectores.

Se trata de un instrumento de corregulación y ello se refleja en la participación de actores públicos y privados en las distintas fases de elaboración, evaluación y supervisión del mismo. En este sentido, la Oficina de IA de la Comisión Europea ha coordinado la redacción de este código y, tras evaluarlo junto con el Consejo de IA, emitió en agosto de 2025 una Opinión formal declarando su adecuación para demostrar la conformidad de los sistemas de IA con las obligaciones dispuestas en los artículos 53 y 55 y facilitar su cumplimiento a los proveedores (Comisión Europea, 2025).

También a la Oficina de IA le corresponderá próximamente la supervisión de la eficacia de este instrumento. Por lo que se refiere a los actores privados, en su elaboración han participado los principales proveedores de modelos de IA de uso general [Google, Microsoft, Amazon, IBM OpenAI y Anthropic, entre otras] quienes a su vez se han convertido en sus principales destinatarios tras adherirse a este. Sin embargo, esta participación predominante de los grandes proveedores de modelos fundacionales plantea serias dudas en lo que se refiere a la legitimidad democrática y representatividad del proceso. La concentración del conocimiento técnico la capacidad de influencia normativa en un número reducido de actores puede favorecer dinámicas de estandarización al servicio de sus intereses económicos y tecnológicos. Este riesgo, propio de los modelos de gobernanza colaborativa, adquiere una especial intensidad en el ámbito de la inteligencia artificial debidos a las elevadas barreras de entrada y a la asimetría informativa existente.

La adhesión al código está abierta a todos los proveedores invitados por la Oficina de IA y se prevé la posibilidad de adhesión parcial, es decir, aquellos proveedores cuyos modelos no presenten riesgo sistémico pueden adherirse únicamente a los capítulos de transparencia y derechos de autor, sin obligarse a lo dispuesto en el capítulo de seguridad. Esto ha permitido que XAI firmara únicamente el capítulo de seguridad al considerar demasiado restrictivos los relativos a transparencia y propiedad intelectual. Sin embargo, otros proveedores como Meta han considerado que las exigencias del código iban más allá de lo dispuesto en el Reglamento y que sus secretos industriales resultarían comprometidos por lo que finalmente no lo han firmado. Pese a ello, el amplio listado de firmantes refuerza la legitimidad de este instrumento como estándar de referencia en el sector.

No se trata de un documento jurídicamente vinculante, pero la Comisión podría mediante un acto de ejecución, darle validez general en el ámbito de la UE. El hecho de que el Reglamento contemplara la posibilidad de establecer unas normas comunes obligatorias sobre estas cuestiones en el caso de que este código no hubiera sido adoptado antes del 2 de agosto de 2025, ha servido de incentivo a la industria para consensuar un código al respecto con el fin de evitar una regulación más rígida impuesta posteriormente. El código puede entenderse como un espacio de experimentación regulatoria susceptible de evolucionar hacia formas más intensas de integración en el sistema jurídico de la Unión. Su eventual aprobación formal, su actualización periódica y su interacción con futuros estándares armonizados podrían consolidarlo como una pieza esencial del sistema regulatorio en materia de modelos de IA de propósito general.

Este código también presenta, sin embargo, algunas limitaciones que pueden condicionar su eficacia como herramienta de gobernanza normativa. En primer lugar, el hecho de que la Comisión todavía no haya procedido a su aprobación formal, tal y como se contempla en el artículo 56, limita su eficacia jurídica. En segundo lugar, algunas de las obligaciones y compromisos formulados son imprecisos o de difícil materialización, lo que puede dificultar su implementación práctica por parte de los proveedores. En tercer lugar, el nivel de concreción y desarrollo normativo de los capítulos es desigual, y especialmente exiguo en el caso de los capítulos de transparencia y derechos de autor respecto de los que el propio Dictamen de la Comisión (2025) establece en su parágrafo 42 que “el Código no contiene compromisos ni medidas de información específicos” para estos capítulos.

En cuarto lugar, tampoco se prevé un sistema sólido de verificación externa o seguimiento de cumplimiento, lo que podría cuestionar su valor como instrumento efectivo de corregulación. En quinto lugar, se echa en falta la previsión de incentivos para los proveedores que se adhieran e implementen el Código más allá de las posibles sanciones que les pueden ser impuestas como consecuencia del incumplimiento de las obligaciones derivadas del Reglamento. Ello podría limitar su atractivo y eficacia. Finalmente, también se ha cuestionado su legitimidad debido a la escasa representatividad de su proceso de elaboración, en la medida en que los grandes proveedores de modelos de IA de uso general han asumido un papel predominante, en detrimento de la participación de otros actores relevantes. Además, ello puede dar lugar a la elaboración de estándares sesgados en beneficio de los intereses de estos.

Pese a las carencias manifestadas, el Código de Buenas Prácticas para modelos de IA de uso general constituye un avance significativo en la configuración de una gobernanza normativa en el ámbito de la inteligencia artificial. Su adopción temprana, su articulación como instrumento corregulatorio y la implicación activa de los principales actores del ecosistema digital refuerzan su valor como estándar de referencia para el cumplimento normativo en el ámbito de la inteligencia artificial.

6. Consideraciones finales

- El reciente Reglamento de la IA de la UE viene a regular los sistemas de IA con el fin de minimizar el impacto de sus riesgos en aspectos tan importantes como la protección de datos personales, la privacidad, la no discriminación, la seguridad de los productos o la protección de los consumidores. En él se ha optado por una vía híbrida, por la combinación y coexistencia entre normas de obligado cumplimiento y el empleo de instrumentos de autorregulación y corregulación. Ello, a priori, contribuirá y facilitará el anhelado equilibrio entre la invocada necesidad -por las instituciones y el mercado- de normas claras que protejan los derechos de los ciudadanos y, a su vez, el impulso de la innovación, el desarrollo tecnológico y la economía de la UE.

El Reglamento, con un enfoque basado en los riesgos, contempla un conjunto de normas de obligado cumplimiento para todos aquellos sistemas de IA que considera de alto riesgo en función de la clasificación que establece, pero a su vez deja espacio a la autorregulación y corregulación a través, principalmente, de los códigos de conducta (a los que dedica el artículo 95) y los códigos de buenas prácticas (regulados en el artículo ٥٦).

Los códigos de conducta pueden desempeñar en el ámbito de la IA una función relevante. En primer lugar, facilitan que cualquier sistema de IA, con independencia de su nivel de riesgo potencial, pueda adoptar niveles de exigencia y cumplimiento superiores a los legalmente establecidos. En segundo lugar, contribuyen a ampliar el ámbito de aplicación de aquellas obligaciones que el Reglamento únicamente prevé para aquellos sistemas de IA calificados como de alto riesgo. En tercer lugar, permiten contemplar las circunstancias, características y necesidades específicas de cada sistema o grupo de sistemas de IA. En este sentido, los códigos de conducta pueden funcionar como una solución a medida ya que son los propios proveedores, desarrolladores y aplicadores de estos sistemas quienes los elaboran, identifican y calibran los posibles riesgos que estos puedan generar y adoptan medidas de contención al respecto.

- Los códigos de buenas prácticas también pueden constituir una herramienta de gran utilidad al proporcionar a los proveedores de modelos de IA de uso general un marco técnico y operativo más claro y preciso para el cumplimiento de las obligaciones que les impone el Reglamento en los artículos 53 y 55. Contribuyen a garantizar un cumplimiento más eficaz y homogéneo en toda la UE, a reforzar la seguridad jurídica, aumentar la confianza de la ciudadanía y el mercado en los sistemas de IA y reducir cargas administrativas a la industria. Se configuran como instrumentos puente entre la regulación formal y la autorregulación, con el fin de favorecer una gobernanza más ágil, colaborativa y eficaz (Vida, 2022).

- El Reglamento atribuye a los códigos de conducta y los códigos de buenas prácticas una naturaleza jurídica y una función reguladora distintas, orientadas a vocaciones diferentes. Los códigos de conducta son instrumentos de autorregulación voluntaria y de carácter no vinculante, para su elaboración no se prevé un procedimiento formal específico ni se le atribuyen efectos jurídicos directos. Se dirigen, especialmente a sistemas de IA de bajo o mínimo riesgo (aunque también pueden ser adoptados por sistemas de IA de alto riesgos que deseen elevar el nivel de exigencia previsto en la norma), con un enfoque amplio y horizontal.

Sin embargo, los códigos de conducta se enmarcan en una estrategia de corregulación estructurada, cuentan con la posibilidad de aprobación formal por la Comisión mediante acto de ejecución y pueden operar como presunción de conformidad respecto de las obligaciones legales de los artículos 53 y 55 del Reglamento. Su ámbito de aplicación es más técnico y específico, dirigido exclusivamente a proveedores de modelos de IA de uso general. Mientras que los códigos de conducta ofrecen una guía ética de alcance general, los códigos de buenas prácticas complementan normativamente el Reglamento, detallando la implementación práctica de las obligaciones que en él se prevén. Ambos mecanismos promueven compromisos voluntarios, pero solo los segundos producen efectos jurídicos al integrarse de manera concreta en la estrategia regulatoria de la UE.

El Código de Buenas Prácticas para modelos de uso general, publicado en julio de 2025, como ejemplo de instrumento de corregulación, representa un avance importante hacia una gobernanza normativa más cooperativa al ofrecer a los proveedores una guía técnica para facilitar el cumplimiento de las exigencias del Reglamento en materia de transparencia, derechos de autor y gestión de riesgos sistémicos. Su naturaleza corregulatoria -debida, en parte, a la colaboración en su proceso de elaboración de los actores clave de este subsistema- refuerzan su valor como estándar de referencia. No obstante, también presenta algunas deficiencias como la falta de formalización jurídica definitiva, la escasa precisión en algunos compromisos, la ausencia de un sistema sólido de verificación externa y la limitada representatividad en su proceso de elaboración, lo que podría cuestionar su legitimidad. Para fortalecer su eficacia requeriría reforzar la pluralidad de actores en su proceso de elaboración, aumentar la concreción de sus obligaciones y establecer incentivos claros para promover su adhesión.

- Por todo lo expuesto anteriormente, los códigos de conducta y los códigos de buenas prácticas se constituyen como elementos clave en la construcción de la gobernanza normativa de la UE en el ámbito de la inteligencia artificial, con funciones y alcances diferenciados, pero complementarios. Pese a las carencias identificadas, su impulso represente un avance importante hacia una regulación más colaborativa y eficaz de la inteligencia artificial en la UE con el fin de equilibrar la protección de los derechos fundamentales con la promoción del avance tecnológico.

Referencias bibliográficas

Ayllón Santiago, H. (2025). Regulando la IA: Códigos de Conducta. En R. Forradellas, (Coord.). Transformación Digital y Negocios Inteligentes: la era de la Inteligencia Artificial (pp. 9-39). Dykinson.

Beck, U. (1998). La sociedad del riesgo. Hacia una nueva modernidad. Paidós.

Castillo, F. (2024). Inteligencia artificial de uso general, modelos fundacionales (y «ChatGPT») en el Reglamento de inteligencia artificial. En L. Cotino Hueso, L. (Dir.), Tratado sobre el Reglamento de Inteligencia Artificial de la Unión Europea (pp. 757-777). Aranzadi

Comisión Europea. (2001). La gobernanza europea: Un Libro Blanco. Diario Oficial de la Unión.

Comisión Europea. (2016). Guía para la implementación/aplicación de la Directiva 2005/29/CE relativa a las prácticas comerciales desleales. https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX:52021XC1229(05)

Comisión Europea. (2018, 25 de abril). Inteligencia artificial para Europa. https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52018DC0237

Comisión Europea. (2019). Directrices éticas para una IA fiable. Oficina de Publicaciones. https://www.algoritmolegal.com/wp-content/uploads/2021/06/Informe-G-Expertos-IA-fiable-junio-2018.pdf

Comisión Europea (2019, 8 de abril). Comunicado de la comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las regiones empty. Generar confianza en la inteligencia artificial centrada en el ser humano. Diario Oficial de la Unión Europea.

Comisión Europea (2020). Libro Blanco sobre la inteligencia artificial: Un enfoque europeo orientado a la excelencia y la confianza. https://commission.europa.eu/document/download/d2ec4039-c5be-423a-81ef-b9e44e79825b_es

Comisión Europea (2021, 21 de abril). Comunicado de la comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las regiones. Fomentar un planteamiento europeo en materia de inteligencia artificial. https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52021DC0205

Comisión Europea. (2025). Commission opinion of 1 August 2025 on the assessment of the General-Purpose AI Code of Practice within the meaning of Article 56 of Regulation (EU) 2024/1689 (C(2025) 5361 final).

Comité Económico y Social Europeo (2015, 4 de septiembre). Dictamen sobre “Autorregulación y corregulación en el marco legislativo de la Unión Europea”.

Cotino, L. (2024). Códigos de conducta, sellos o certificaciones para los sistemas de inteligencia artificial que no son de alto riesgo (artículo 95 del Reglamento). En L. Cotino (Dir.), Tratado sobre el Reglamento de Inteligencia Artificial de la Unión Europea (pp. 779-792). Aranzadi.

Darnaculleta i Gardella, M. (2005). Autorregulación y derecho público: La autorregulación regulada. Marcial Pons.

Darnaculleta i Gardella, M. (2009). La autorregulación y sus fórmulas como instrumentos de regulación de la economía. Revista General de Derecho Administrativo, (20), 1-36.

Díaz, J. (2024). Panorámica internacional de la regulación de la Inteligencia Artificial: Reglamento Europeo de Inteligencia Artificial (AI ACT). Revista CESCO de Derecho de Consumo, (49), 117-130. https://doi.org/10.18239/RCDC_2024.49.3473

Directiva 2001/95/CE del Parlamento Europeo y del Consejo, 3 de diciembre de 2001, relativa a la seguridad general de los productos. Diario Oficial de la Unión Europea. 15 de enero de 2002.

Directiva 2005/29/CE del Parlamento Europeo y del Consejo, 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior. Diario Oficial de la Unión Europea. 11 de junio de 2005.

Directiva 2006/42/CE del Parlamento Europeo y del Consejo, 17 de mayo de 2006, relativa a las máquinas. Diario Oficial de la Unión Europea. 9 de junio de 2006.

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Diario Oficial de la Unión Europea. 4 de mayo de 2016.

Esteve, J. (1999). Técnica, riesgo y Derecho. Tratamientos del riesgo tecnológico en el Derecho ambiental. Ariel.

Esteve, J. (2002). Autorregulación. Génesis y efectos. Aranzadi.

Esteve, J. (2003). Ciencia y Derecho ante los riesgos para la salud. Documentación Administrativa, (265-266), 137-149. https://doi.org/10.24965/da.v0i265-266.5596

European Commission (2023). Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems. https://digital-strategy.ec.europa.eu/en/library/hiroshima-process-international-code-conduct-advanced-ai-systems

Fernández, P. (2009). Algunas notas sobre la autorregulación en la nueva legislación contra la competencia desleal. Actas de Derecho Industrial y Derecho de autor, 29, 89-114.

Future of Life Institute. (2017). Asilomar AI Principles. https://futureoflife.org/open-letter/ai-principles/

Galindo, J. (2015). El concepto de riesgo en las teorías de Ulrich Beck y Niklas Luhmann. Revista Acta Sociológica, (67), 141-164. https://doi.org/10.1016/j.acso.2015.03.005

García, S. (2022). Una aproximación a la futura regulación de la inteligencia artificial en la Unión Europea. Revista de Estudios Europeos, (79), 304-323.

Google. (2018). Principios éticos de Google. https://latam.googleblog.com/2018/06/ia-en-google-nuestros-principios.html

Google (2018). Perspectives on issues in AI governance. https://ai.google/static/documents/perspectives-on-issues-in-ai-governance.pdf

Hernández, J. (2021). Gobernanza de la Inteligencia Artificial en la Unión Europea. La construcción de un marco ético-jurídico aún inacabado, Revista General de Derecho Administrativo, (56), 1-43. https://dialnet.unirioja.es/servlet/articulo?codigo=7742724

Llamas, J.; Mendoza, O. & Graff, M. (2022). Enfoques regulatorios para la inteligencia artificial (IA). Revista Chilena de Derecho, 49(3), 31-62. https://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-34372022000300003

Meneceur, Y. (2020). L’intelligence artificialle en procès. Bruylant.

Miranzo-Díaz, J. (2024). El Reglamento de Inteligencia Artificial de la Unión Europea: regulación de riesgos y sistemas deestandarización. A&C - Revista De Direito Administrativo & Constitucional, 24(96), 43-78.

Microsoft. (2022). Principios éticos de Microsoft sobre inteligencia artificial. https://www.microsoft.com/es-es/ai/principles-and-approach

Morcillo, J. (2012). Una crisis marcada por la globalización: intervención, desregulación y autorregulación regulada. En A. Blasco Esteve, (Coord.). El Derecho público de la crisis económica. Transparencia y sector público. Hacia un nuevo derecho administrativo (pp. 445-458). Instituto Nacional de Administración Pública.

Muñoz, C. (2024). Artículo 56. En Barrio Andrés, M. (Dir.). Comentarios al Reglamento Europeo de Inteligencia Artificial (pp. 582-594). La Ley.

Pérez, F. (2024). La autorregulación de la Inteligencia Artificial. Cuadernos de la Guardia Civil, (71), 73-94.

Organización para la Cooperación y el Desarrollo Económico (2019). Recomendación del Consejo sobre inteligencia artificial. OCDE. https://legalinstruments.oecd.org/en/instruments/oecd-legal-0449

Parlamento Europeo, Consejo de la Unión Europea y Comisión Europea. (2003). Acuerdo interinstitucional “Legislar mejor”. Diario Oficial de la Unión Europea.

Piedra, J. (2023). Anotaciones para una reflexión ética sobre la regulación de la Inteligencia Artificial en Europa. Revista de Derecho, (28), 1-34. https://doi.org/10.22235/rd28

Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea, 4 de mayo de 2016. https://www.boe.es/doue/2016/119/L00001-00088.pdf

Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo. Diario Oficial de la Unión Europea, 5 de mayo de 2017. https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32017R0745

Reglamento (UE) 2024/1689, del Parlamento Europeo y del Consejo, 13 de junio de 2024, por el que se establecen normas armonizadas sobre la inteligencia artificial y se modifican los Reglamentos (CE) n.º 300/2008, (UE) n.º 167/2013, (UE) n.º 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Ley de Inteligencia Artificial). Diario Oficial de la Unión Europea, 12 de julio de 2024. https://www.boe.es/doue/2024/1689/L00001-00144.pdf

Scott, C. (2004). Regulation in the Age of Governance: The Rise of the Post-Regulatory State. En J. Jordana & D. Levi-Faur (Eds.), The Politics of Regulation: Institutions and Regulatory Reforms for the Age of Governance (pp. 145–174). Edward Elgar Publishing.

Universidad de Montreal (2018). Declaración de Montreal para un desarrollo responsable de la inteligencia artificial. https://declarationmontreal-iaresponsable.com/wp-content/uploads/2023/01/ES-UdeM_Decl-IA-Resp_LA-Declaration_v4.pdf

Vázquez, E. (2021). La Unesco y la gobernanza de la inteligencia artificial en un mundo globalizado. La necesidad de una nueva arquitectura legal. Anuario de la Facultad de Derecho. Universidad de Extremadura, (37), 273-302. https://dialnet.unirioja.es/servlet/articulo?codigo=8360236

Vega, J. (2018). Inteligencia artificial y derecho: principios y propuestas para una gobernanza eficaz. Informática y Derecho: Revista Iberoamericana de Derecho Informático, (5), 13-48. https://dialnet.unirioja.es/servlet/articulo?codigo=6845781

Vida, J. (2022). La gobernanza de los riesgos digitales: desafíos y avances en la regulación de la inteligencia artificial. Cuadernos de Derecho Transnacional, 14(1), 489-503. https://doi.org/10.20318/cdt.2022.6695

(*) Nota del Equipo Editorial: Este artículo fue recibido el 29 de octubre de 2025 y su publicación fue aprobada el 27 de diciembre de 2025.

(**) Esta contribución se encuadra en el proyecto I+D+i Referencia 2021-124969NB-100, financiado por el MCIN/AEI/10.13039/501100011033/ y “FEDER Una manera de hacer Europa”.

(***) Licenciada en Derecho por la Universidad de Valencia. Máster en Agente de Igualdad de Oportunidades. Doctora en Derecho, con mención internacional, por la Universidad CEU Cardenal Herrera. Profesora adjunta del Departamento de Ciencias Jurídicas de la Universidad CEU Cardenal Herrera. ORCID: https://orcid.org/0000-0002-5573-1658. Correo electrónico: elena.juaristi@uchceu.es.

(1) El considerando 4 del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo comparte algunas ventajas al indicar lo siguiente:

El uso de la IA puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos desde el punto de vista social y medioambiental en los ámbitos de la asistencia sanitaria, la agricultura, la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la cultura, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, el seguimiento ambiental, la conservación y restauración de la biodiversidad y los ecosistemas, y la mitigación del cambio climático y la adaptación a él, entre otros, al mejorar la predicción, optimizar las operaciones y la asignación de los recursos, y personalizar las soluciones digitales que se encuentran a disposición de la población y las organizaciones.

(2) Para mayor profundización, véase la Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos. Diario Oficial de la Unión Europea, publicada 15 de enero de 2002; Directiva 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a las máquinas. Diario Oficial de la Unión Europea, publicada el 9 de junio de 2006; Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios. Diario Oficial de la Unión Europea, publicada el 5 de mayo de 2001.

(3) Para una mejor revisión, véase la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior. Diario Oficial de la Unión Europea, publicada el 11 de junio de 2005.

(4) Para mayor detalle, véase el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de la Unión Europea, publicado el 4 de mayo de 2016.

(5) Para mayor detalle, véase la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Diario Oficial de la Unión Europea, publicada el 4 de mayo de 2016.