Introducción a los Códigos de buenas prácticas de la Ley de IA

03 Jul, 2024

Actualizado: 30 de octubre de 2024. Esta entrada del blog se actualizará a medida que se disponga de nueva información.

Este resumen, en el que se detalla el Código de buenas prácticas para proveedores de modelos de IA de propósito general, ha sido elaborado por Jimmy Farrell, responsable de la política de IA de la UE en Pour Demain, y Afek Shamir, becario de Pour Demain. Si tiene alguna pregunta, póngase en contacto con jimmy.farrell@pourdemain.eu.


A medida que se pone en marcha la aplicación de la Ley de AI, es importante comprender los distintos mecanismos de aplicación incluidos en la normativa. Uno de los más importantes son los Códigos de Buenas Prácticas, que están siendo elaborados por la Oficina de AI y un amplio abanico de partes interesadas.

Resumen rápido de los Códigos de buenas prácticas:

  • Objeto: Los Códigos de buenas prácticas de la Ley de IA (introducidos en el artículo 56) son un conjunto de directrices para el cumplimiento de la Ley de IA. Serán una herramienta crucial para garantizar el cumplimiento de las obligaciones de la Ley de IA de la UE, especialmente en el periodo intermedio entre la entrada en vigor de las obligaciones del modelo de proveedor de IA de uso general (agosto de 2025) y la adopción de las normas (agosto de 2027 o después). Aunque no son jurídicamente vinculantes, el cumplimiento de estas directrices servirá como "presunción de conformidad" con las obligaciones del proveedor modelo GPAI hasta que entren en vigor normas más sólidas.
  • Proceso: Los códigos se están elaborando mediante un proceso multilateral en el que participan grupos de trabajo, expertos académicos e independientes, proveedores de modelos de IA y miembros de la sociedad civil, entre otros.
  • Contenido: Aunque ya se ha esbozado la estructura, aún está por determinar el contenido de los Códigos de buenas prácticas. Contendrá objetivos, medidas e indicadores clave de rendimiento (KPI).
  • Aplicación: La Oficina de AI de la UE evaluará la adecuación de los códigos y podrá aprobarlos mediante un acto de ejecución. Si no puede ultimarse un código de buenas prácticas, la Comisión podrá establecer normas comunes de aplicación.

Introducción

Esta entrada del blog explica el concepto, el proceso y la importancia del Código de Buenas Prácticas, una herramienta de la Ley de IA para salvar el periodo intermedio entre la entrada en vigor de las obligaciones para los proveedores de modelos de IA de propósito general (GPAI) y la eventual adopción de normas europeas armonizadas para los modelos de GPAI. Tras el detallado anuncio realizado el 30 de julio por las Oficinas de IA de la UE sobre cómo se desarrollará este proceso, este post resume la información más importante y actualizada. 

Normas y necesidad de un Código de buenas prácticas 

Tras la aprobación definitiva de la Ley sobre la IA por el Consejo Europeo el 21 de mayo1y la publicación de la Ley en el Diario Oficial de la UE el 12 de julio2y la entrada en vigor el 1 de agosto, las obligaciones del Reglamento se irán introduciendo gradualmente a lo largo de los próximos tres años, como se detalla en nuestro calendario de aplicación. Mientras tanto, se ha iniciado el complejo proceso de elaboración de normas europeas armonizadas para hacer operativas las obligaciones de la Ley. Mientras que la Comisión ha adoptado una solicitud oficial de normalización y el CEN-CENELEC la ha aprobado en relación con las normas para los sistemas de IA3aún no se ha redactado una solicitud similar sobre las normas modelo GPAI. El momento en que se emita dicha solicitud de normalización dependerá en gran medida de la eficacia con que el Código de Buenas Prácticas pueda aplicar las obligaciones pertinentes en virtud de la Ley de IA.

El proceso de normalización también se detalla en otra entrada del blog. 

En virtud de la Ley de IA, las obligaciones para los modelos de IA de uso general, detalladas en los artículos 50-55, son exigibles doce meses4 después de la entrada en vigor de la Ley (agosto de 2025). Sin embargo, el proceso europeo de normalización, en el que participan sobre todo5 el Comité Europeo de Normalización (CEN) y el Comité Europeo de Normalización Electrotécnica (CENELEC), puede durar hasta tres años.6. Este proceso puede durar aún más si se trata de normas más técnicas, como las del GPAI, y si se redactan en coordinación con normas internacionales7como prescribe la Ley de AI8. La necesidad de contar con la participación de múltiples partes interesadas y el enfoque de creación de consenso requieren aún más tiempo. Así pues, no es probable que las obligaciones de los proveedores del modelo GPAI se conviertan pronto en normas técnicas.

Código de buenas prácticas

El artículo 56 de la Ley de IA describe el Código de buenas prácticas como un modo de cumplimiento provisional para salvar la distancia entre la entrada en vigor de las obligaciones de los proveedores modelo del PAMC (doce meses después de la entrada en vigor) y la adopción de las normas (tres años o más después de la entrada en vigor). Aunque no es jurídicamente vinculante, el cumplimiento de las medidas establecidas en los Códigos de buenas prácticas por parte de los proveedores modelo del PAMC servirá como presunción de conformidad con las obligaciones de los proveedores modelo del PAMC establecidas en los artículos 53 y 55 hasta que entren en vigor las normas. Estas obligaciones incluyen9:

  • Suministro de documentación técnica a la Oficina de la IA y a las autoridades nacionales competentes.
  • Suministro de información pertinente a los proveedores posteriores que pretendan integrar su modelo en su sistema de IA o GPAI (por ejemplo, capacidades y limitaciones).
  • Resúmenes de los datos de formación utilizados
  • Políticas de cumplimiento de la legislación de la Unión vigente en materia de derechos de autor

Para los modelos GPAI con riesgo sistémico (modelos entrenados por encima del umbral de 10^25 FLOPS), las obligaciones adicionales incluyen10:

  • Evaluaciones de los modelos más avanzados
  • Evaluación y mitigación de riesgos
  • Notificación de incidentes graves, incluidas las medidas correctoras
  • Protección adecuada de la ciberseguridad

Los proveedores que incumplan el Código de Buenas Prácticas tendrán que demostrar a la Comisión el cumplimiento de las obligaciones anteriores por medios alternativos.11posiblemente más onerosos y lentos. Esta situación se está produciendo actualmente en un caso paralelo en la política digital de la UE, con la retirada de X (antes Twitter) del Código de buenas prácticas reforzado sobre desinformación12recientemente integrado como código de conducta en el marco corregulador de la Ley de Servicios Digitales13

Es probable que el Código de buenas prácticas constituya la base de las normas del GPAI. Por lo tanto, se pretende que el contenido del Código refleje fielmente las intenciones de la Ley de IA, también en lo que respecta a la salud, la seguridad y los derechos fundamentales.

Proceso de redacción

Debido al plazo de doce meses para la entrada en vigor de las obligaciones de los proveedores del modelo GPAI, el Código de Buenas Prácticas debe redactarse en un plazo de nueve meses a partir de la entrada en vigor de la Ley de IA (antes del 1 de mayo de 2025). Con ello se pretende dar a la Comisión, tras una revisión por parte de la Oficina de IA y el Consejo de IA14para aprobarlos o rechazarlos mediante un acto de ejecución.15y, en este último caso, desarrollar métodos alternativos de aplicación. 

En una reciente comunicación, la Comisión ha esbozado la estructura del proceso de redacción, que incluye una convocatoria de manifestaciones de interés dirigida a una amplia gama de partes interesadas para que participen en la sesión plenaria del Código de Buenas Prácticas, la apertura de una consulta a múltiples partes interesadas y "talleres" paralelos dedicados a los proveedores y a los presidentes y vicepresidentes de los grupos de trabajo (GT) de la sesión plenaria. 

La Comisión ha señalado que la estructura del proceso de redacción incluye una convocatoria de manifestaciones de interés dirigida a una amplia gama de partes interesadas para que participen en la sesión plenaria del Código de buenas prácticas, la apertura de una consulta a múltiples partes interesadas y "talleres" paralelos dedicados a los proveedores y a los presidentes y vicepresidentes de los grupos de trabajo de la sesión plenaria. La convocatoria de manifestaciones de interés y la primera consulta multilateral ya han concluido, y la Comisión informará a las partes interesadas sobre el estado de su participación a lo largo de septiembre de 2024.

En el siguiente cuadro se ofrece más información sobre cada oportunidad, plazo, participantes implicados y criterios de admisibilidad de cada participante:

OportunidadPlazoParticipantesCriterios de admisibilidad
Participación en el proceso de redacción de la CoP (Pleno)

25 de agosto de 2024
(Plazo superado)
Presidentes o vicepresidentes de grupos de trabajo (académicos u otros expertos independientes)
- Experiencia demostrada en los ámbitos pertinentes
y
- Capacidad para desempeñar el cargo (compromisos de tiempo y experiencia operativa)
y
- Independencia**.
Proveedores del modelo GPAI- Operaciones existentes en la UE
o
- Operaciones previstas en la UE 
- Proveedores intermedios
- Otras organizaciones del sector
- Operaciones existentes en la UE
o
- Operaciones previstas en la UE
y
- Interés legítimo demostrado
- Academia
- Expertos independientes
- Organizaciones relacionadas
Demostrar la experiencia pertinente

También puede ofrecerse voluntario para Presidente/Vicepresidente de los GT
Otras organizaciones de partes interesadas (incluidas organizaciones de la sociedad civil que representen a un grupo específico de partes interesadas u organizaciones que representen a titulares de derechos).- Presencia en la UE
y
- Interés legítimo demostrado
y
- Representación demostrada de un grupo de interés pertinente
Consulta a las múltiples partes interesadas18 de septiembre de 2024
(Fecha límite superada)
Todas las partes interesadasN/A
Talleres para proveedores*.N/A- Proveedores del modelo GPAI
- Presidentes/Vicepresidentes de los GT
N/A
* El anuncio de la Comisión también afirma que los representantes de los Estados miembros participarán estrechamente en el proceso de redacción de la CoP.
** La independencia de los Presidentes o Vicepresidentes se refiere a "ningún interés financiero o de otro tipo que pueda afectar a su independencia, imparcialidad y objetividad".

Sesión plenaria

El Pleno se divide en los cuatro grupos de trabajo siguientes, basados en las distintas categorías de contenido que se esbozan en la sección del modelo de GPAI de la Ley de AI antes mencionada:

  • Grupo de trabajo 1: Transparencia y normas relacionadas con los derechos de autor
    Detallar la documentación a los proveedores posteriores y a la Oficina de AI sobre la base de los anexos XI y XII de la Ley de AI, las políticas que deben establecerse para cumplir la legislación de la Unión sobre derechos de autor y derechos afines, y poner a disposición del público un resumen sobre el contenido de la formación.
  • Grupo de trabajo 2: Identificación de riesgos y medidas de evaluación para riesgos sistémicos
    Detallar la taxonomía de riesgos basada en una propuesta de la Oficina de AI e identificar y detallar las medidas técnicas pertinentes de evaluación de riesgos, incluidas la evaluación de modelos y las pruebas adversariales.
  • Grupo de trabajo 3: Medidas de mitigación de riesgos sistémicos
    Identificar y detallar las medidas técnicas pertinentes de mitigación de riesgos, incluida la protección de ciberseguridad para el modelo de IA de propósito general y la infraestructura física del modelo.
  • Grupo de trabajo 4: Gestión interna de riesgos y gobernanza para proveedores de modelos de IA de propósito general
    Identificar y detallar políticas y procedimientos para hacer operativa la gestión de riesgos en la gobernanza interna de los proveedores de modelos de IA de propósito general, incluyendo el seguimiento, la documentación y la notificación de incidentes graves y posibles medidas correctivas.

Fuente: Comisión Europea

Figura 1: Proceso de elaboración de la CoP - Fuente: Comisión Europea

Una vez seleccionados los participantes elegibles y asignados a cada GT (los participantes pueden estar en varios GT, pero solo puede estar presente un representante de cada organización), el Pleno se reunió para un "Kick-off" el 30 de septiembre de 2024. Esta reunión virtual, que contó con cerca de 1000 asistentes16informó a los participantes sobre el procedimiento de redacción y los temas que se debatirían en cada Grupo de Trabajo. La Comisión recibió aportaciones muy diversas, con representación de la industria, los titulares de derechos, la sociedad civil y el mundo académico.17.

A su vez, una semana antes de la primera reunión plenaria de noviembre, se comunicará a las partes interesadas participantes el anteproyecto de Código de Buenas Prácticas. Éste se basará, en gran parte, en las casi 430 contribuciones que la Comisión recibió de la consulta a las múltiples partes interesadas.18. En ellas se puso de manifiesto una amplia gama de posturas entre los proveedores de GPAI y otras partes interesadas19. La recepción del primer borrador iniciará un proceso iterativo de tres rondas de redacción de sesiones a distancia del GT, que tendrán lugar a lo largo de los 9 meses que dura la elaboración. 

Paralelamente, se celebrarán talleres específicos en los que participarán los proveedores de modelos GPAI y los presidentes y vicepresidentes de los grupos de trabajo para informar sobre cada ronda iterativa de redacción. La Comisión justifica este nivel adicional de participación por el hecho de que los proveedores de modelos GPAI son los "principales destinatarios" del Código de buenas prácticas y, por tanto, la parte interesada más importante. Para garantizar la transparencia de estos talleres adicionales, la Oficina de AI se ha comprometido a compartir las actas de las reuniones con todos los participantes en el Pleno a lo largo del proceso. 

Figura 2: Calendario de redacción de la CoP - Fuente: Comisión Europea (Ya no está actualizado, pero no puede compartirse por motivos de confidencialidad)

Tras las tres rondas de redacción y los talleres exclusivos para proveedores, y al final del periodo de 9 meses en abril de 2025, la versión final del Código de buenas prácticas se compartirá en una sesión plenaria de clausura. 

Presidentes y Vicepresidentes

Un componente crucial del proceso de redacción del Código de buenas prácticas son las funciones del presidente y los vicepresidentes de cada grupo de trabajo, así como de un presidente coordinador que garantice la coherencia de los cuatro grupos de trabajo. Será el principal responsable de cotejar las aportaciones de todas las partes interesadas en un Código de buenas prácticas sucinto. Estas funciones han sido elegidas y publicadas por la Comisión en función de sus conocimientos técnicos, disponibilidad de tiempo, experiencia operativa e independencia de intereses financieros o de otro tipo.

Directorio de presidentes de grupos de trabajo

A continuación se enumeran los presidentes y sus respectivas trayectorias:


Grupo de trabajo 1: Transparencia y normas relacionadas con los derechos de autor
NombrePapelExperienciaPaís
Nuria OliverCopresidenciaDirector de la Fundación ELLIS AlicanteEspaña
Alexander Peukert CopresidenciaProfesor de Derecho Civil, Mercantil y de la Información en la Universidad Goethe de Fráncfort del MenoAlemania
Rishi BommasaniVicepresidenteResponsable de Sociedad en el Stanford Center for Research on Models, que forma parte del Stanford Institute for Human-Centered AI.US
Céline Castets-RenardVicepresidenteCatedrático de Derecho en la Facultad de Derecho Civil de la Universidad de Ottawa y Titular de la Cátedra de Investigación Accountable AI in a Global ContextFrancia


Grupo de trabajo 2: Identificación y evaluación de riesgos, incluidas las evaluaciones
NombrePapelExperienciaPaís
Matthias Samwald SillaProfesor asociado del Instituto de Inteligencia Artificial de la Universidad Médica de VienaAustria
Marta ZiosiVicepresidenteInvestigador postdoctoral en la Iniciativa de Gobernanza de la IA de Oxford MartinItalia
Alexander ZacherlVicepresidenteDiseñador de sistemas independiente. Anteriormente en el UK AI Safety Institute y DeepMind.Alemania


Grupo de trabajo 3: Reducción de riesgos técnicos
NombrePapelExperienciaPaís
Yoshua BengioSillaCatedrático de la Universidad de Montreal, fundador y director científico de Mila - Instituto Quebequense de Inteligencia Artificial (ganador del premio Turing).Canadá
Daniel PriviteraVicepresidenteFundador y Director Ejecutivo del Centro KIRAItalia y Alemania
Nitarshan RajkumarlVicepresidenteDoctorando en investigación sobre IA en la Universidad de CambridgeCanadá


Grupo de trabajo 4: Gestión interna de riesgos y gobernanza de los proveedores de IA polivalente
NombrePapelExperienciaPaís
Marietje SchaakeSillaBecario del Centro de Política Cibernética de Stanford y del Instituto de IA Centrada en el Ser HumanoPaíses Bajos
Markus AnderljungVicepresidenteDirector de Política e Investigación del Centro para la Gobernanza de la IASuecia
Anka ReuellVicepresidenteDoctorando en Informática por la Universidad de StanfordAlemania


Otras tareas del Presidente y los Vicepresidentes son:

  • Síntesis de las contribuciones de otros participantes en la sesión plenaria 
  • Moderar, programar y facilitar los debates del GT
  • Facilitar la entrega y la calidad de una redacción eficaz
  • Elaboración y ejecución de los órdenes del día
  • Participar en talleres independientes, supervisar los progresos e informar periódicamente sobre las actividades pertinentes.

No es de extrañar que, para un cargo tan importante, el tiempo que hay que dedicarle sea considerable. Aunque los Presidentes y Vicepresidentes contarán con el apoyo logístico y administrativo de contratistas externos (un consorcio de consultorías que incluye a la consultora francesa Wavestone20), así como de la Oficina de AI, las funciones requerirán compromisos semanales y periodos de trabajo intensivos a lo largo del periodo de 9 meses comprendido entre septiembre de 2024 y abril de 2025. 

Además, por razones de independencia económica, los cargos de Presidente o Vicepresidente no son remunerados (al igual que todos los participantes en el Pleno). No obstante, es probable que estos cargos sean de gran importancia para la elaboración de un Código de Buenas Prácticas definitivo que sea viable desde el punto de vista técnico y proteja la salud, la seguridad y los derechos fundamentales de los ciudadanos de la UE.

Contenido del Código de buenas prácticas

Aunque ya se ha anunciado la estructura general del proceso de redacción, el contenido real del Código sigue siendo una cuestión abierta a la que habrá que dar respuesta con la aparición de los próximos borradores.

No obstante, el código contendrá objetivos, medidas e indicadores clave de rendimiento (KPI), de forma similar (pero no idéntica) al Código de buenas prácticas reforzado sobre desinformación. Este planteamiento, que incorpora una amplia gama de temas en grupos de trabajo específicos, implica a todas las partes interesadas pertinentes y presenta un amplio abanico de directrices, desde muy generales a muy específicas, pretende dar como resultado un Código de buenas prácticas exhaustivo y completo.

Por último, todavía no se ha anunciado nada sobre los procesos de seguimiento y actualización posteriores al Código de buenas prácticas. A modo de especulación, es posible que se cree un grupo de trabajo permanente -con la participación de los signatarios del Código y otros organismos de supervisión- para revisar y adaptar el Código en función de la evolución tecnológica, social, del mercado y legislativa. Esto está en consonancia con la propia Ley de AI, que prescribe que la oficina de AI facilite la "revisión y adaptación frecuentes de los códigos de prácticas".21.

Próximos pasos

Se han cerrado las dos ventanas de participación de las partes interesadas, se han elegido los presidentes y vicepresidentes y se ha celebrado la sesión plenaria de "lanzamiento". En los próximos meses, los participantes en la sesión plenaria y en los talleres exclusivos para proveedores iniciarán un proceso iterativo junto con la Oficina de Inteligencia Artificial para llegar a unas directrices de mutuo acuerdo sobre los modelos y sistemas de Inteligencia Artificial de propósito general.

Esta entrada del blog se actualizará a medida que se disponga de nueva información.

Notas y referencias

  1. El Consejo Europeo aprueba la Ley sobre la IA
  2. EUR-Lex
  3. Solicitud de normalización para los sistemas de IA
  4. Artículo 113, letra b)
  5. También puede participar el Instituto Europeo de Normas de Telecomunicaciones (ETSI).
  6. CEN-CENELEC
  7. ISO
  8. Artículo 40, apartado 3
  9. Artículo 53
  10. Artículo 55
  11. Artículo 53, apartado 4, y artículo 55, apartado 2
  12. El Comisario de Mercado Interior, Thierry Breton, insiste en perseguir el cumplimiento de X por medios alternativos.
  13. Código de buenas prácticas reforzado en materia de desinformación
  14. Comisión Europea: Inteligencia Artificial - Preguntas y respuestas
  15. Artículo 56, apartado 9
  16. Número divulgado en el comunicado de prensa de la Comisión
  17. Artículo de Euractiv sobre la diversidad de los participantes
  18. Comunicado de prensa de la Comisión
  19. Artículo de Euractiv en el que se mencionan los desacuerdos en el Pleno
  20. Artículo de MLex sobre el papel de las consultorías externas
  21. Artículo 56, apartado 8
Este post ha sido publicado el 3 Jul, 2024

Artículos relacionados

La Ley de AI: Responsabilidades de la Comisión Europea (Oficina de AI)

Si no está seguro de quién está aplicando y haciendo cumplir la nueva legislación digital y cuáles son los plazos concretos, puede que este post -y nuestro post sobre las responsabilidades de los Estados miembros de la UE- le resulte muy útil. Los cuadros que figuran a continuación ofrecen una...

La Ley de AI: Responsabilidades de los Estados miembros de la UE

Si no está seguro de quién está aplicando y haciendo cumplir la Ley de AI de la UE y cuáles son los plazos concretos, puede que este artículo -y nuestro artículo sobre las responsabilidades de la Comisión Europea (Oficina de AI)- le resulte muy útil. Los cuadros que figuran a continuación...

La Oficina de IA está contratando

La Comisión Europea busca agentes contractuales especialistas en tecnología de IA para gobernar los modelos de IA más punteros. La fecha límite para presentar la candidatura es el 27 de marzo a las 12:00 CET (formulario de solicitud). Función Se trata de una oportunidad para trabajar en un equipo dentro de la...