Introducción a los Códigos de buenas prácticas de la Ley de IA

Actualizado: 21 de agosto de 2024. Esta entrada del blog se actualizará a medida que se disponga de nueva información.

A medida que se pone en marcha la aplicación de la Ley de IA, es importante comprender los distintos mecanismos de aplicación incluidos en el reglamento.

Este resumen, en el que se detalla el Código de buenas prácticas para los proveedores de modelos de IA de uso general, ha sido elaborado por Jimmy Farrellresponsable de la política de IA de la UE en Pour Demain. Para más información, póngase en contacto con él en jimmy.farrell@pourdemain.eu.

Introducción

Esta entrada de blog explica el concepto, el proceso y la importancia del Código de Buenas Prácticas, una herramienta de la Ley de IA para salvar el periodo intermedio entre la entrada en vigor de las obligaciones para los proveedores de modelos de IA de propósito general (GPAI) y la eventual adopción de normas europeas armonizadas para los modelos de GPAI. Tras el detallado anuncio realizado el 30 de julio por las Oficinas de IA de la UE sobre cómo se desarrollará este proceso, este post resume la información más importante. 

Normas y necesidad de un Código de buenas prácticas 

Tras la aprobación definitiva de la Ley sobre la IA por el Consejo Europeo el 21 de mayo¹y la publicación de la Ley en el Diario Oficial de la UE el 12 de julio²y su entrada en vigor el 1 de agosto, las obligaciones que impone el Reglamento se irán introduciendo gradualmente a lo largo de los próximos tres años, como se explica en una entrada anterior del blog. Mientras tanto, ha comenzado el complejo proceso de elaboración de normas europeas armonizadas para hacer operativas las obligaciones de la Ley. Mientras que la Comisión ha adoptado una solicitud oficial de normalización y el CEN-CENELEC la ha aprobado en relación con las normas para los sistemas de IA³aún no se ha redactado una solicitud similar sobre las normas modelo GPAI. El momento en que se emita dicha solicitud de normalización dependerá en gran medida de la eficacia con que el Código de Buenas Prácticas pueda aplicar las obligaciones pertinentes en virtud de la Ley de IA. El proceso de normalización también se detalla en una entrada anterior del blog. 

En virtud de la Ley de IA, las obligaciones para los modelos de IA de uso general, detalladas en los artículos 50-55, son exigibles doce meses⁴ después de la entrada en vigor de la Ley (agosto de 2025). Sin embargo, el proceso europeo de normalización, en el que participan sobre todo⁵ el Comité Europeo de Normalización (CEN) y el Comité Europeo de Normalización Electrotécnica (CENELEC), puede durar hasta tres años.⁶. Este proceso puede durar aún más si se trata de normas más técnicas, como las del GPAI, y si se redactan en coordinación con normas internacionales⁷como prescribe la Ley de AI⁸. La necesidad de contar con la participación de múltiples partes interesadas y el enfoque de creación de consenso requieren aún más tiempo. Así pues, no es probable que las obligaciones de los proveedores del modelo GPAI se conviertan pronto en normas técnicas.

Código de buenas prácticas

El artículo 56 de la Ley de IA describe el Código de buenas prácticas como un modo de cumplimiento provisional para salvar la distancia entre la entrada en vigor de las obligaciones de los proveedores modelo del PAMI (doce meses) y la adopción de las normas (tres años o más). Aunque no es jurídicamente vinculante, el cumplimiento de las medidas establecidas en los Códigos de buenas prácticas por parte de los proveedores modelo del PAMI servirá como presunción de conformidad con las obligaciones de los proveedores modelo del PAMI establecidas en los artículos 53 y 55 hasta que entren en vigor las normas. Estas obligaciones incluyen⁹:

• Suministro de documentación técnica a la Oficina de la IA y a las autoridades nacionales competentes.

• Suministro de información pertinente a los proveedores posteriores que pretendan integrar su modelo en su sistema de IA o GPAI (por ejemplo, capacidades y limitaciones).

• Resúmenes de los datos de formación utilizados

• Políticas de cumplimiento de la legislación de la Unión vigente en materia de derechos de autor

Para los modelos GPAI con riesgo sistémico (modelos entrenados por encima del umbral de 10^25 FLOPS), las obligaciones adicionales incluyen¹⁰:

• Evaluaciones de los modelos más avanzados

• Evaluación y mitigación de riesgos

• Notificación de incidentes graves, incluidas las medidas correctoras

• Protección adecuada de la ciberseguridad

Los proveedores que incumplan el Código de Buenas Prácticas tendrán que demostrar a la Comisión el cumplimiento de las obligaciones anteriores por medios alternativos.¹¹posiblemente más onerosos y lentos. Esta situación se está produciendo actualmente en un caso paralelo en la política digital de la UE, con la retirada de X (antes Twitter) del Código de buenas prácticas reforzado sobre desinformación¹²recientemente integrado como código de conducta en el marco corregulador de la Ley de Servicios Digitales¹³. 

Es probable que el Código de buenas prácticas constituya la base de las normas del GPAI. Por lo tanto, se pretende que el contenido del Código refleje fielmente las intenciones de la Ley de IA, también en lo que respecta a la salud, la seguridad y los derechos fundamentales.

Proceso de redacción

Debido al plazo de doce meses para la entrada en vigor de las obligaciones de los proveedores del modelo GPAI, el Código de Buenas Prácticas debe redactarse en un plazo de nueve meses a partir de la entrada en vigor de la Ley de IA (antes del 1 de mayo de 2025). Con ello se pretende dar tiempo a la Comisión para aprobarlos o rechazarlos mediante un acto de ejecución.¹⁴y, en este último caso, para desarrollar métodos alternativos de aplicación. 

En una reciente comunicación, la Comisión ha esbozado la estructura del proceso de redacción, que incluye una convocatoria de manifestaciones de interés dirigida a una amplia gama de partes interesadas para que participen en la sesión plenaria del Código de Buenas Prácticas, la apertura de una consulta a múltiples partes interesadas y "talleres" paralelos dedicados a los proveedores y a los presidentes y vicepresidentes de los grupos de trabajo (GT) de la sesión plenaria. 

En el siguiente cuadro se ofrece más información sobre cada oportunidad, plazo, participantes implicados y criterios de admisibilidad de cada participante:

Oportunidad	Plazo	Participantes	Criterios de admisibilidad
Participación en el proceso de redacción de la CoP (Pleno)	Domingo, 25 de agosto de 2024, 18:00 CET	Presidentes o vicepresidentes de grupos de trabajo (académicos u otros expertos independientes)	- Experiencia demostrada en los ámbitos pertinentes y - Capacidad para desempeñar el cargo (compromisos de tiempo y experiencia operativa) y - Independencia**.
		Proveedores del modelo GPAI	- Operaciones existentes en la UE o - Operaciones previstas en la UE
		- Proveedores intermedios - Otras organizaciones del sector	- Operaciones existentes en la UE o - Operaciones previstas en la UE y - Interés legítimo demostrado
		- Academia - Expertos independientes - Organizaciones relacionadas	Demostrar la experiencia pertinente También puede ofrecerse voluntario para Presidente/Vicepresidente de los GT
		Otras organizaciones de partes interesadas (incluidas organizaciones de la sociedad civil que representen a un grupo específico de partes interesadas u organizaciones que representen a titulares de derechos).	- Presencia en la UE y - Interés legítimo demostrado y - Representación demostrada de un grupo de interés pertinente
Consulta a las múltiples partes interesadas	Martes, 18 de septiembre de 2024, 18:00 CET	Todas las partes interesadas	N/A
Talleres para proveedores*.	N/A	- Proveedores del modelo GPAI - Presidentes/Vicepresidentes de los GT	N/A

* En el anuncio de la Comisión también se afirma que los representantes de los Estados miembros participarán estrechamente en el proceso de redacción de la Conferencia de las Partes.

** La independencia de los Presidentes o Vicepresidentes se refiere a "ningún interés financiero o de otro tipo que pueda afectar a su independencia, imparcialidad y objetividad".

***El anuncio también menciona "talleres dedicados" para acompañar a los GT (presumiblemente con todos sus miembros) para profundizar en temas específicos.

Sesión plenaria

El Pleno se dividirá en los cuatro grupos de trabajo siguientes, basados en las diferentes categorías de contenido descritas en la sección del modelo de GPAI de la Ley de AI mencionada anteriormente:

• Grupo de trabajo 1: Transparencia y normas relacionadas con los derechos de autor
  Detallar la documentación a los proveedores posteriores y a la Oficina de AI sobre la base de los anexos XI y XII de la Ley de AI, las políticas que deben establecerse para cumplir la legislación de la Unión sobre derechos de autor y derechos afines, y poner a disposición del público un resumen sobre el contenido de la formación.
• Grupo de trabajo 2: Identificación de riesgos y medidas de evaluación para riesgos sistémicos
  Detallar la taxonomía de riesgos basada en una propuesta de la Oficina de AI e identificar y detallar las medidas técnicas pertinentes de evaluación de riesgos, incluidas la evaluación de modelos y las pruebas adversariales.
• Grupo de trabajo 3: Medidas de mitigación de riesgos sistémicos
  Identificar y detallar las medidas técnicas pertinentes de mitigación de riesgos, incluida la protección de ciberseguridad para el modelo de IA de propósito general y la infraestructura física del modelo.
• Grupo de trabajo 4: Gestión interna de riesgos y gobernanza para proveedores de modelos de IA de propósito general
  Identificar y detallar políticas y procedimientos para hacer operativa la gestión de riesgos en la gobernanza interna de los proveedores de modelos de IA de propósito general, incluyendo el seguimiento, la documentación y la notificación de incidentes graves y posibles medidas correctivas.

Fuente: Comisión Europea

Una vez seleccionados los participantes elegibles y asignados a cada grupo de trabajo (los participantes pueden formar parte de varios grupos de trabajo), el Pleno se reunirá para una reunión inicial, prevista para septiembre de 2024. Allí se perfeccionarán los detalles del proceso de redacción y se compartirá un primer borrador del Código de buenas prácticas, basado en las aportaciones de la consulta a las múltiples partes interesadas. A continuación, se celebrarán tres rondas de redacción a distancia durante los nueve meses que durará el proceso. 

Tras las tres rondas de redacción, y al final del periodo de 9 meses, en abril de 2025, se compartirá la versión final del Código de buenas prácticas en una sesión plenaria de clausura. 

Paralelamente, se celebrarán talleres específicos en los que participarán los proveedores de modelos GPAI y los presidentes y vicepresidentes de los grupos de trabajo para informar sobre cada ronda iterativa de redacción. La Comisión justifica este nivel adicional de participación por el hecho de que los proveedores de modelos GPAI son los "principales destinatarios" del Código de buenas prácticas y, por tanto, la parte interesada más importante. Para garantizar la transparencia de estos talleres adicionales, la Oficina de AI se ha comprometido a compartir las actas de las reuniones con todos los participantes en el Pleno a lo largo del proceso. 

Presidentes y Vicepresidentes

Un componente crucial del proceso de redacción del Código de buenas prácticas serán las funciones del presidente y los vicepresidentes de cada grupo de trabajo, así como de un presidente coordinador que garantice la coherencia de los cuatro grupos de trabajo. Como se menciona en el cuadro anterior, los Presidentes podrán ser académicos u otros expertos independientes, y deberán cumplir una serie de criterios rigurosos, entre ellos conocimientos técnicos, disponibilidad de tiempo, experiencia operativa e independencia de intereses financieros o de otro tipo en conflicto. Serán los principales responsables de cotejar las aportaciones de todas las partes interesadas en un Código de Buenas Prácticas sucinto. 

Otras tareas del Presidente y los Vicepresidentes son:

• Síntesis de las contribuciones de otros participantes en la sesión plenaria 
• Moderar, programar y facilitar los debates del GT
• Facilitar la entrega y la calidad de una redacción eficaz
• Elaboración y ejecución de los órdenes del día
• Participar en talleres independientes, supervisar los progresos e informar periódicamente sobre las actividades pertinentes.

No es de extrañar que, para puestos de tanta importancia, el compromiso de tiempo necesario sea significativo. Aunque los Presidentes y Vicepresidentes contarán con el apoyo logístico y administrativo de contratistas externos (probablemente un consorcio de consultorías), así como de la Oficina de AI, las funciones requerirán compromisos semanales y periodos de trabajo intensivos a lo largo del periodo de 9 meses comprendido entre septiembre de 2024 y abril de 2025. 

Además, por razones de independencia económica, los cargos de Presidente o Vicepresidente no son remunerados (al igual que todos los participantes en el Pleno). No obstante, es probable que estos puestos sean de gran importancia para la elaboración de un Código de Buenas Prácticas definitivo que sea técnicamente viable y proteja la salud, la seguridad y los derechos fundamentales de los ciudadanos de la UE. Las manifestaciones de interés deben enviarse a través de la aplicación Plenary antes del domingo 25 de agosto.

Contenido del Código de buenas prácticas

Aunque ya se ha anunciado la estructura general del proceso de redacción, el contenido real del Código y su posible estructura siguen siendo una incógnita que deberá resolverse en la sesión plenaria inicial. Por lo tanto, la siguiente descripción es una especulación informada por procesos similares anteriores.

El contenido elaborado por cada grupo de trabajo podrá estructurarse de forma similar al Código de buenas prácticas reforzado sobre desinformación, cuando los firmantes pertinentes¹⁵ compromisos de alto nivel, que contengan medidas de subnivel que puedan detallarse más como Elementos de Información Cualitativa (QRE) o Indicadores de Nivel de Servicio (SLI), o alternativamente como Indicadores Clave de Rendimiento (KPI) que incluirían tanto¹⁶. Este enfoque, que incorpora una amplia gama de temas en grupos de trabajo específicos, implica a todas las partes interesadas pertinentes y presenta una amplia gama de directrices, desde muy generales a muy específicas, pretende dar como resultado un Código de buenas prácticas exhaustivo y completo.

Otras herramientas utilizadas en anteriores Códigos de buenas prácticas son los indicadores estructurales¹⁷ (utilizados en paralelo con los KPI), que están diseñados para mitigar los riesgos sistémicos mediante la medición de los resultados. Ejemplos de Indicadores Estructurales podrían incluir "frecuencia y duración de fallos o interrupciones del modelo GPAI", o "frecuencia de ciberataques que impliquen contenido generado por GPAI (por ejemplo, phishing, malware)". Por último, todavía no se ha anunciado nada sobre los procesos de seguimiento y actualización posteriores al Código de buenas prácticas. Tras la primera iteración, podría crearse un grupo de trabajo permanente, integrado por signatarios del Código y otros organismos de supervisión, para revisar y adaptar el Código en función de la evolución tecnológica, social, de mercado y legislativa. Esto está en consonancia con la propia Ley de AI, que prescribe que la oficina de AI facilite la "revisión y adaptación frecuentes de los códigos de prácticas".¹⁸.

Próximos pasos

Con las dos importantes ventanas de participación abiertas, la Plenaria y la consulta multisectorial, todas las partes interesadas tienen ahora la oportunidad de contribuir a este proceso de redacción de gran trascendencia. Mientras tanto, los posibles Presidentes y Vicepresidentes también deben manifestar su interés y asegurarse de que sus asuntos prácticos están en orden.

Notas y referencias

1. El Consejo Europeo aprueba la Ley sobre la IA ︎
2. EUR-Lex ︎
3. Solicitud de normalización para los sistemas de IA ︎
4. Artículo 113, letra b) ︎
5. También puede participar el Instituto Europeo de Normas de Telecomunicaciones (ETSI). ︎
6. CEN-CENELEC ︎
7. ISO ︎
8. Artículo 40, apartado 3 ︎
9. Artículo 53 ︎
10. Artículo 55 ︎
11. Artículo 53, apartado 4, y artículo 55, apartado 2 ︎
12. El Comisario de Mercado Interior, Thierry Breton, insiste en perseguir el cumplimiento de X por medios alternativos. ︎
13. Código de buenas prácticas reforzado en materia de desinformación ︎
14. Artículo 56, apartado 9 ︎
15. Empresas, organizaciones y asociaciones que han participado en el proceso de redacción y que figuran en un anexo de los Códigos definitivos. ︎
16. Las QRE son normas cualitativas de información, mientras que las SLI son métricas cuantificables. Los QRE y los SLI se utilizan en los Códigos de buenas prácticas sobre desinformación. Los KPI se mencionan específicamente en el artículo 56 de la Ley de AI. ︎
17. Códigos de buenas prácticas reforzados en materia de desinformación ︎
18. Artículo 56, apartado 8 ︎