Se ha publicado un primer borrador de un Código de Prácticas que se aplicará a los proveedores de modelos de inteligencia artificial de propósito general bajo la Ley de IA de la Unión Europea. Este borrador está abierto a comentarios hasta el 28 de noviembre, mientras el proceso de redacción continúa el próximo año, antes de que entren en vigor los plazos de cumplimiento en los próximos años. Esta ley, que comenzó a aplicarse este verano, regula las aplicaciones de inteligencia artificial basándose en un marco de riesgo. También se enfoca en medidas para modelos de IA más poderosos, conocidos como modelos de propósito general (GPAIs).

Entre las empresas que se verán afectadas están OpenAI, creador de los modelos GPT que alimentan el chatbot ChatGPT, Google con sus GPAIs Gemini, Meta con Llama, Anthropic con Claude y otras como Mistral de Francia. Se espera que cumplan con este Código de Prácticas para asegurarse de que están en conformidad con la Ley de IA y así evitar sanciones por incumplimiento. Este Código tiene como objetivo proporcionar orientación para cumplir con las obligaciones de la Ley de IA de la UE. Los proveedores de GPAI pueden optar por desviarse de las sugerencias de mejores prácticas si creen que pueden demostrar el cumplimiento de otras maneras.

El primer borrador del Código tiene 36 páginas, pero probablemente se ampliará, ya que los redactores advierten que carece de detalles y es un “plan de redacción de alto nivel que describe nuestros principios y objetivos”. El borrador incluye preguntas abiertas que los grupos de trabajo aún deben resolver. La retroalimentación de la industria y la sociedad civil jugará un papel clave en la definición de medidas específicas y de indicadores clave de rendimiento (KPI) que aún no se han incluido. Las exigencias de transparencia para los creadores de GPAIs entrarán en vigor el 1 de agosto de 2025. Para los GPAIs más poderosos, que la ley define como aquellos con “riesgo sistémico”, se espera que cumplan con los requisitos de evaluación y mitigación de riesgos 36 meses después de la entrada en vigor (o el 1 de agosto de 2027).

El borrador del Código se ha elaborado con la suposición de que solo habrá “un número pequeño” de creadores de GPAI y GPAIs con riesgo sistémico. Si esta suposición resulta incorrecta, los borradores futuros podrían necesitar cambios significativos, como la introducción de un sistema de medidas más detallado que se enfoque en los modelos que presentan los mayores riesgos sistémicos. En cuanto a la transparencia, el Código establecerá cómo los GPAIs deben cumplir con las disposiciones de información, incluyendo el uso de material protegido por derechos de autor. Un ejemplo es la “Sub-Medida 5.2”, que actualmente compromete a los firmantes a proporcionar detalles sobre todos los rastreadores web utilizados para desarrollar el GPAI y sus características relevantes de robots.txt.

Los creadores de modelos GPAI siguen enfrentando preguntas sobre cómo adquirieron los datos para entrenar sus modelos, con múltiples demandas presentadas por titulares de derechos que alegan que las empresas de IA procesaron ilegalmente información protegida. Otra obligación en el borrador del Código requiere que los proveedores de GPAI tengan un único punto de contacto para facilitar la comunicación de quejas por parte de los titulares de derechos.

Los GPAIs más poderosos también están sujetos a reglas en la Ley de IA de la UE que buscan mitigar el llamado “riesgo sistémico”. Estos sistemas de IA se definen actualmente como modelos que han sido entrenados utilizando una potencia de computación total de más de 10^25 FLOPs. El Código incluye una lista de tipos de riesgo que los firmantes deberán tratar como riesgos sistémicos, como riesgos cibernéticos ofensivos, riesgos químicos, biológicos, radiológicos y nucleares, y la “pérdida de control” sobre un GPAI autónomo poderoso.

Esta versión del Código también sugiere que los creadores de GPAI podrían identificar otros tipos de riesgos sistémicos no listados explícitamente, como infracciones de privacidad a gran escala y vigilancia. Además, se plantean preguntas sobre qué riesgos deberían priorizarse para su inclusión en la taxonomía principal y cómo abordar los riesgos de deepfake.

El Código también busca proporcionar orientación sobre la identificación de atributos clave que podrían llevar a los modelos a crear riesgos sistémicos, como “capacidades peligrosas del modelo” y “propensiones peligrosas del modelo”. Aunque aún queda mucho por detallar, los autores del Código indican que sus medidas y KPI deben ser “proporcionados”, con un enfoque particular en adaptarse al tamaño y capacidad de cada proveedor, especialmente pequeñas y medianas empresas y startups.

El borrador incluye preguntas sobre cómo se deben aplicar medidas específicas a modelos de código abierto. Otra medida en el Código se refiere a un “Marco de Seguridad y Protección” (SSF), donde se espera que los creadores de GPAI detallen sus políticas de gestión de riesgos y identifiquen continuamente los riesgos sistémicos que podrían surgir de su GPAI.

El borrador del Código concluye señalando que es el resultado de una revisión preliminar de las mejores prácticas existentes, la consulta de partes interesadas y enfoques internacionales. Se enfatiza que este es solo un primer borrador y que las sugerencias son provisionales y están sujetas a cambios. Se invita a la retroalimentación constructiva mientras se desarrolla y actualiza el contenido del Código, con el objetivo de tener una forma final más detallada para el 1 de mayo de 2025.