Actualizado: 16 de abril de 2025. Esta entrada del blog se actualizará a medida que se disponga de nueva información.
Este resumen, en el que se detalla el Código de buenas prácticas para los proveedores de modelos de IA de uso general, ha sido elaborado por Jimmy Farrellcodirector de la política de IA de la UE en Pour Demainy Tekla Emborginvestigadora política del Instituto del Futuro de la Vida. Para más información, póngase en contacto con jimmy.farrell@pourdemain.eu.
A medida que se desarrolla gradualmente la aplicación de la Ley de AI, es importante comprender los distintos mecanismos de aplicación incluidos en la normativa. Uno de los más importantes son los Códigos de Buenas Prácticas, que actualmente están siendo elaborados por la Oficina de AI y un amplio abanico de partes interesadas.
Próximamente en este post:
- Resumen rápido de los Códigos de buenas prácticas
- Introducción
- Antecedentes: normas y necesidad de un Código de buenas prácticas
- ¿Qué? Contenido del Código de buenas prácticas (tercer borrador)
- ¿Quién? Alcance de la definición de proveedor del modelo GPAI
- ¿Cómo? Proceso de redacción
- ¿Cuándo? Próximos pasos
Resumen rápido de los Códigos de buenas prácticas:
- Objeto: Los Códigos de buenas prácticas de la Ley de IA (introducidos en el artículo 56) son un conjunto de directrices para el cumplimiento de la Ley de IA. Serán una herramienta crucial para garantizar el cumplimiento de las obligaciones de la Ley de IA de la UE, especialmente en el periodo intermedio entre la entrada en vigor de las obligaciones de los proveedores modelo de IA para fines generales (agosto de 2025) y la adopción de las normas (agosto de 2027 o después). Aunque no son jurídicamente vinculantes, los proveedores de modelos GPAI pueden adherirse a los Códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones de los proveedores de modelos GPAI hasta que entren en vigor las normas europeas.
- Proceso: Los Códigos se están elaborando mediante un proceso multilateral en el que participan grupos de trabajo, expertos académicos e independientes, proveedores de modelos de IA y miembros de la sociedad civil, entre otros.
- Contenido: El Código consta de tres secciones. Las dos primeras, Transparencia y Derechos de autor, se aplican a todos los proveedores de modelos GPAI. La tercera, Sección de Seguridad, sólo se aplica a los proveedores de modelos GPAI con riesgo sistémico. Para cada sección, el Código establece determinados compromisos y las medidas correspondientes para que los proveedores puedan cumplirlos.
- Aplicación: La Oficina de AI de la UE evaluará la adecuación de los códigos y podrá aprobarlos mediante un acto de ejecución. Si no puede ultimarse un código de buenas prácticas, la Comisión podrá establecer normas comunes de aplicación.
Introducción
Esta entrada del blog explica el concepto, el proceso y la importancia del Código de buenas prácticas, una herramienta de la Ley de IA para salvar el período intermedio entre la entrada en vigor de las obligaciones para los proveedores de modelos de IA de propósito general (GPAI) y la eventual adopción de normas europeas armonizadas para los modelos GPAI. Tras la publicación del tercer borrador del Código de buenas prácticas el 11 de marzo, este post resume la información más importante y actualizada.
Antecedentes: normas y necesidad de un Código de buenas prácticas
Tras la entrada en vigor de la Ley de IA el 1 de agosto, las obligaciones del Reglamento se irán introduciendo gradualmente, como se detalla en nuestro resumen del calendario de aplicación, con disposiciones sobre los sistemas de IA prohibidos ya en vigor desde febrero de 2025. Mientras tanto, ha comenzado el complejo proceso de elaboración de normas europeas armonizadas que hagan operativas las obligaciones de la Ley de IA. Si bien la Comisión ha adoptado una solicitud oficial de normalización y el CEN-CENELEC la ha aprobado en relación con las normas para los sistemas de IA, aún no se ha redactado una solicitud equivalente sobre las normas modelo GPAI. El momento en que se emita dicha solicitud de normalización dependerá en gran medida de la eficacia con que el Código de Buenas Prácticas aplique las obligaciones pertinentes en virtud de la Ley de IA. El proceso de normalización se detalla en una entrada anterior del blog.
En virtud de la Ley de IA, las obligaciones de los modelos GPAI, detalladas en los artículos 50-55, son exigibles doce meses después de la entrada en vigor de la Ley (2 de agosto de 2025). Sin embargo, el proceso europeo de normalización, en el que participan principalmente el Comité Europeo de Normalización (CEN) y el Comité Europeo de Normalización Electrotécnica (CENELEC), suele durar hasta tres años. Este proceso puede durar aún más con normas más técnicas, como las del GPAI, y si se redactan en coordinación con normas internacionales, como prescribe la Ley de AI. La participación de múltiples partes interesadas y los enfoques de creación de consenso característicos del establecimiento de normas amplían aún más los plazos. Así pues, no es probable que las obligaciones de los proveedores del modelo GPAI se conviertan pronto en normas técnicas.
Requisitos legales del Código de buenas prácticas
El artículo 56 de la Ley de IA describe el Código de Buenas Prácticas como un modo de cumplimiento provisional para salvar la distancia entre la entrada en vigor de las obligaciones de los proveedores modelo del GPAI (doce meses) y la adopción de las normas (tres años o más). Aunque no son jurídicamente vinculantes, los proveedores del modelo GPAI pueden basarse en los Códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones de los proveedores del modelo GPAI en los siguientes casos artículos 53 y 55 hasta que se elaboren las normas. Estas obligaciones incluyen:
- Suministro de documentación técnica a la Oficina de la IA y a las autoridades nacionales competentes.
- Suministro de información pertinente a los proveedores que deseen integrar su modelo en su sistema de IA o GPAI (por ejemplo, capacidades y limitaciones).
- Resúmenes de los datos de formación utilizados
- Políticas de cumplimiento de la legislación de la Unión vigente en materia de derechos de autor
Para los modelos GPAI con riesgo sistémico (modelos formados por encima del umbral de 1025 FLOPS), las obligaciones adicionales incluyen:
- Evaluaciones de los modelos más avanzados
- Evaluación y mitigación de riesgos
- Notificación de incidentes graves, incluidas las medidas correctoras
- Protección adecuada de la ciberseguridad
Los proveedores que incumplan el Código de Buenas Prácticas tendrán que demostrar a la Comisión el cumplimiento de las obligaciones anteriores por medios alternativos, posiblemente más gravosos y lentos.
Es probable que el Código de buenas prácticas constituya la base de las normas del GPAI. Por lo tanto, se pretende que el contenido del Código refleje fielmente las intenciones de la Ley de IA, también en lo que respecta a la salud, la seguridad y los derechos fundamentales.
¿Qué? Contenido del Código de buenas prácticas (tercer borrador)
Desde que comenzó el proceso de redacción en octubre de 2024, se han publicado tres borradores del Código de buenas prácticas. Aunque la versión final se espera para principios de mayo, el tercer borrador más reciente del Código, del 11 de marzo, ofrece una buena indicación de la estructura y el contenido de la versión final prevista. Los Presidentes y Vicepresidentes de redacción han creado una página web interactiva con el texto completo, preguntas frecuentes y resúmenes.
En general, el Código consta de tres secciones. Las dos primeras, Transparencia y Derechos de autor, se aplican a todos los proveedores de modelos GPAI. La tercera, Sección de Seguridad, sólo se aplica a los proveedores de modelos GPAI con riesgo sistémico (por encima del umbral de 10^25), actualmente un grupo muy reducido de 5-15 empresas en todo el mundo. Para cada sección, el Código establece determinados compromisos y las medidas correspondientes para que los proveedores puedan cumplirlos.
Sección de Transparencia (todos los proveedores del modelo GPAI)
En este apartado, los firmantes se comprometen a elaborar y mantener actualizada la documentación modelo; a facilitar la información pertinente a los proveedores intermedios y a la Oficina de AI cuando lo soliciten; y a garantizar la calidad, seguridad e integridad de la información documentada. El Código incluye un formulario de documentación modelo que será totalmente interactivo. Esta sección no es aplicable a los modelos de IA de código abierto, a menos que los modelos se califiquen como GPAI con riesgo sistémico.
Sección de derechos de autor (todos los proveedores de modelos GPAI)
Los firmantes se comprometen a elaborar, mantener actualizada y aplicar una política de derechos de autor. De acuerdo con las medidas del Código, esta política garantizará que los firmantes sólo reproduzcan y extraigan contenidos protegidos por derechos de autor legalmente accesibles cuando rastreen la World Wide Web; cumplan con las reservas de derechos; mitiguen el riesgo de producción de resultados que infrinjan los derechos de autor; designen un punto de contacto; y permitan la presentación de quejas relativas al incumplimiento.
Sección de seguridad (sólo modelo GPAI con proveedores de riesgo sistémico)
Esta sección sólo afecta a los proveedores de modelos GPAI con riesgo sistémico. Los firmantes se comprometen a adoptar y aplicar un Marco de Seguridad y Protección. Esto detallará la evaluación de riesgos, la mitigación y la gobernanza para mantener los riesgos sistémicos dentro de niveles aceptables. Los firmantes evaluarán y mitigarán los riesgos a lo largo de todo el ciclo de vida del modelo, identificarán los riesgos sistémicos y los analizarán para comprender la gravedad y la probabilidad, y establecerán criterios de aceptación del riesgo. Esto incluye la aplicación de medidas de seguridad técnicas y de seguridad de última generación para prevenir los riesgos de acceso no autorizado a las ponderaciones del modelo no liberadas, incluidas las amenazas internas. Los firmantes informarán de su aplicación del Código a través de Informes de Seguridad y Protección de Modelos para cada uno de sus modelos GPAI con riesgo sistémico. Además, los firmantes asignarán la responsabilidad internamente; llevarán a cabo una evaluación externa independiente a menos que se apliquen excepciones; llevarán a cabo una supervisión de incidentes graves; adoptarán protecciones de no represalia; notificarán a la Oficina de IA en hitos especificados; y documentarán y publicarán la información pertinente siempre que sea relevante para la comprensión pública de los riesgos sistémicos derivados de los modelos GPAI.
¿Quién? Alcance de la definición de proveedor del modelo GPAI
La primera parte del Código es pertinente para todos los proveedores de modelos de IA de propósito general. Los "modelos de IA de uso general" se definen en la Ley de IA como modelos que muestran una generalidad significativa y son capaces de realizar de forma competente una amplia gama de tareas distintas y que pueden integrarse en diversos sistemas o aplicaciones posteriores. El modo de publicación del modelo (pesos abiertos, API, etc.) no importa a efectos de esta definición, salvo cuando el modelo se utiliza para actividades de investigación, desarrollo o creación de prototipos antes de su comercialización. Los proveedores de modelos GPAI son personas físicas o jurídicas, autoridades públicas, agencias u otros organismos que desarrollan un modelo GPAI o hacen desarrollar un modelo GPAI y lo comercializan con su propio nombre o marca, ya sea a cambio de una remuneración o de forma gratuita.
Además, la segunda parte del Código es pertinente para las entidades que ofrecen "riesgo sistémico de los modelos GPAI". El "riesgo sistémico" se define como específico de las capacidades de alto impacto de los modelos GPAI, que tienen un impacto significativo en el mercado de la Unión. Esto puede deberse a su alcance o a efectos negativos reales o razonablemente previsibles sobre la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala en toda la cadena de valor. Se presume que los modelos tienen capacidades de alto impacto cuando la cantidad acumulada de cálculo utilizada para su formación es superior a 10(^25) operaciones en coma flotante (FLOPs). Se trata de una presunción refutable que no califica automáticamente a los modelos. Actualmente, se calcula que 11 proveedores de todo el mundo ofrecen modelos que superan este umbral.
Aunque la Ley AI establece estas definiciones, la Comisión publicará nuevas orientaciones sobre lo que esto significa en la práctica. Esto incluye, sobre todo, directrices aclaratorias sobre las obligaciones relativas a las modificaciones de los modelos, como el ajuste fino.
¿Cómo? Proceso de redacción
Debido al plazo de doce meses para la entrada en vigor de las obligaciones de los proveedores del modelo GPAI, el Código de buenas prácticas debe estar listo para el 1 de mayo de 2025. Con ello se pretende dar tiempo a la Comisión, tras una revisión por parte de la Oficina y el Consejo de AI, para aprobar o rechazar el Código con un acto de ejecución. Si se rechaza el Código, la Comisión puede desarrollar métodos alternativos de aplicación.
El proceso de redacción está en marcha desde octubre de 2024. En él han participado más de mil partes interesadas, tras una convocatoria abierta de manifestaciones de interés, que han aportado contribuciones por escrito a tres borradores diferentes del Código. Entre los participantes se encontraban diversos agentes, como proveedores de modelos de GPAI, proveedores de servicios derivados, asociaciones comerciales, académicos, expertos independientes y organizaciones de la sociedad civil. Este proceso multilateral fue dirigido por trece presidentes y vicepresidentes independientes.
Estructura del grupo de trabajo
Los Presidentes dividieron la redacción en cuatro categorías de contenido diferentes, de acuerdo con la sección del modelo GPAI de la Ley AI:
- Grupo de trabajo 1: Transparencia y normas relacionadas con los derechos de autor
Detallar la documentación a los proveedores posteriores y a la Oficina de AI sobre la base de los anexos XI y XII de la Ley de AI, las políticas que deben establecerse para cumplir la legislación de la Unión sobre derechos de autor y derechos afines, y poner a disposición del público un resumen sobre el contenido de la formación.
- Grupo de trabajo 2: Medidas de identificación y evaluación de riesgos sistémicos
Detallar la taxonomía de riesgos basada en una propuesta de la Oficina de Inteligencia Artificial e identificar y detallar las medidas técnicas pertinentes de evaluación de riesgos, incluidas la evaluación de modelos y las pruebas de adversarios.
- Grupo de trabajo 3: Medidas de reducción de los riesgos sistémicos
Identificar y detallar las medidas técnicas pertinentes de mitigación de riesgos, incluida la protección de la ciberseguridad para el modelo de IA de propósito general y la infraestructura física del modelo.
- Grupo de trabajo 4: Gestión interna de riesgos y gobernanza para proveedores de modelos de IA de uso general
Identificar y detallar políticas y procedimientos para hacer operativa la gestión de riesgos en la gobernanza interna de los proveedores de modelos de IA de uso general, incluido el seguimiento, la documentación y la notificación de incidentes graves y posibles medidas correctoras.
Fuente: Comisión Europea
Sesión plenaria
Después de cada nueva iteración del borrador, los Presidentes organizaron sesiones plenarias para responder a las preguntas y permitir las presentaciones de las partes interesadas. Las sesiones plenarias se dividieron en cuatro grupos de trabajo, basados en las diferentes categorías de contenido descritas anteriormente, y sólo se permitió un representante de cada organización en cada grupo de trabajo. La sesión plenaria inaugural tuvo lugar el 30 de septiembre de 2024 y fue una reunión virtual en la que participaron casi mil personas de la industria, los titulares de derechos, la sociedad civil y el mundo académico. Desde entonces, se han celebrado otras tres sesiones plenarias para todos los grupos de trabajo. Paralelamente a los cuatro grupos de trabajo, se celebraron talleres dedicados en los que participaron los proveedores de modelos GPAI y los presidentes y vicepresidentes de los grupos de trabajo para informar sobre cada ronda de redacción iterativa, ya que se considera que estos son los principales destinatarios de la CoP. Además, se ha celebrado un taller independiente para las organizaciones de la sociedad civil.
En general, el proceso de redacción se ha ceñido al calendario inicialmente establecido, con la excepción de un retraso de dos semanas en la publicación del tercer borrador y la ronda plenaria. Tras las tres rondas de redacción, los talleres plenarios y los talleres exclusivos para proveedores, se espera que la versión final del Código de buenas prácticas se comparta en una sesión plenaria de clausura en mayo de 2025.
Figura 1: Proceso de elaboración de la CoP - Fuente: Comisión Europea
Presidentes y Vicepresidentes
Los Presidentes y Vicepresidentes han sido un componente crucial del proceso de redacción del Código de buenas prácticas. Fueron designados en función de su experiencia demostrada en las áreas pertinentes, su capacidad para desempeñar el papel (compromisos de tiempo y experiencia operativa) y su independencia, refiriéndose a "ningún interés financiero o de otro tipo que pudiera afectar a su independencia, imparcialidad y objetividad". Han sido los "portadores de la pluma" responsables de cotejar las aportaciones de todas las partes interesadas en un sucinto Código de Buenas Prácticas. A continuación se enumeran los Presidentes y sus respectivas trayectorias:
Grupo de trabajo 1: Transparencia y normas relacionadas con los derechos de autor
| Nombre | Papel | Experiencia | País |
|---|---|---|---|
| Nuria Oliver | Copresidencia | Director de la Fundación ELLIS Alicante | España |
| Alexander Peukert | Copresidencia | Profesor de Derecho Civil, Mercantil y de la Información en la Universidad Goethe de Fráncfort del Meno | Alemania |
| Rishi Bommasani | Vicepresidente | Responsable de Sociedad en el Stanford Center for Research on Models, que forma parte del Stanford Institute for Human-Centered AI. | US |
| Céline Castets-Renard | Vicepresidente | Catedrático de Derecho en la Facultad de Derecho Civil de la Universidad de Ottawa y Titular de la Cátedra de Investigación Accountable AI in a Global Context | Francia |
Grupo de trabajo 2: Identificación y evaluación de riesgos, incluidas las evaluaciones
| Nombre | Papel | Experiencia | País |
|---|---|---|---|
| Matthias Samwald | Silla | Profesor asociado del Instituto de Inteligencia Artificial de la Universidad Médica de Viena | Austria |
| Marta Ziosi | Vicepresidente | Investigador postdoctoral en la Iniciativa de Gobernanza de la IA de Oxford Martin | Italia |
| Alexander Zacherl | Vicepresidente | Diseñador de sistemas independiente. Anteriormente en el UK AI Safety Institute y DeepMind. | Alemania |
Grupo de trabajo 3: Reducción de riesgos técnicos
| Nombre | Papel | Experiencia | País |
|---|---|---|---|
| Yoshua Bengio | Silla | Catedrático de la Universidad de Montreal, fundador y director científico de Mila - Instituto Quebequense de Inteligencia Artificial (ganador del premio Turing). | Canadá |
| Daniel Privitera | Vicepresidente | Fundador y Director Ejecutivo del Centro KIRA | Italia y Alemania |
| Nitarshan Rajkumar | Vicepresidente | Doctorando en investigación sobre IA en la Universidad de Cambridge | Canadá |
Grupo de trabajo 4: Gestión interna de riesgos y gobernanza de los proveedores de IA polivalente
| Nombre | Papel | Experiencia | País |
|---|---|---|---|
| Marietje Schaake | Silla | Becario del Centro de Política Cibernética de Stanford y del Instituto de IA Centrada en el Ser Humano | Países Bajos |
| Markus Anderljung | Vicepresidente | Director de Política e Investigación del Centro para la Gobernanza de la IA | Suecia |
| Anka Reuell | Vicepresidente | Doctorando en Informática por la Universidad de Stanford | Alemania |
El compromiso de tiempo para estos cargos consecuentes ha sido significativo. Sin embargo, por razones de independencia financiera, los cargos de Presidente o Vicepresidente no son remunerados (lo mismo se aplica a todos los participantes en la Plenaria), pero han contado con el apoyo de contratistas externos, a saber, un consorcio de consultorías entre las que se encuentra la consultora francesa Wavestone.
¿Cuándo? Próximos pasos
Se espera que los Presidentes y Vicepresidentes presenten el Código de buenas prácticas definitivo en una sesión plenaria de clausura en mayo de 2025. Posteriormente, la Oficina y la Junta de AI publicarán su evaluación del Código. La Comisión puede decidir aprobar el Código mediante un acto de ejecución, lo que le daría validez general en la Unión. La Ley de AI especifica que el Código de buenas prácticas deberá estar listo a más tardar el 2 de mayo de 2025. Dado el ligero retraso del tercer borrador, queda por ver si las Presidencias y la Oficina de AI conseguirán cumplir este plazo.
Si para el 2 de agosto de 2025 no se puede ultimar un Código de buenas prácticas, la Comisión está facultada para establecer normas comunes para la aplicación de las obligaciones de los proveedores del modelo GPAI mediante actos de ejecución. La Comisión ha subrayado en el Plan de Acción del Continente IA que las medidas de ejecución estarán listas a tiempo para la entrada en vigor.
El Código de buenas prácticas se refiere a los "signatarios", es decir, a las entidades con obligaciones en virtud de la Ley de AI que se adhieren al Código como medio para demostrar el cumplimiento de sus obligaciones en virtud de la Ley de AI. El significado exacto y las implicaciones de ser signatario, así como el proceso mediante el cual las entidades pueden adherirse, no están claros en este momento; por ejemplo, si las empresas son signatarias si utilizan partes del Código para demostrar el cumplimiento de determinadas obligaciones pero encuentran otras formas de demostrar el cumplimiento de otras medidas. Tampoco está claro si habrá consecuencias particulares para los signatarios que incumplan el Código en comparación con los no signatarios que incumplan la Ley de AI.