#NormativaEuropea

A pesar de la presión coordinada llevada a cabo para retrasar la aplicación del Reglamento (UE) 2024/1689, de 13 de junio, en materia de inteligencia artificial (RIA) por parte de más de 100 empresas tecnológicas (entre las que figuran Google y Meta), la Comisión Europea se mantiene firme, y el 4 de julio manifestó de forma contundente “There is no stop the clock. There is no grace period. There is no pause”.

En efecto, después de meses de intensas negociaciones, la Comisión recibió el pasado 10 de julio la versión final del Código de buenas prácticas de IA de uso general, una herramienta voluntaria desarrollada por trece expertos independientes, con aportaciones de más de 1.000 partes interesadas, incluidos proveedores de modelos, pequeñas y medianas empresas, académicos, expertos en seguridad de la inteligencia artificial (IA), titulares de derechos y organizaciones de la sociedad civil.

El Código está diseñado para ayudar a la industria a cumplir las normas sobre IA de uso general del RIA, que entrarán en vigor el 2 de agosto de 2025. Las normas pasan a ser ejecutables por la Oficina de IA de la Comisión un año después en lo que respecta a los nuevos modelos y dos años después en lo que respecta a los modelos existentes. Con ello se pretende garantizar que los modelos de IA de uso general introducidos en el mercado europeo sean seguros y transparentes.

El Código consta de tres capítulos: Transparencia y derechos de autor (art. 53 RIA), ambos dirigidos a todos los proveedores de modelos de IA de uso general, y seguridad y protección (art. 55 RIA), pertinentes solo para un número limitado de proveedores de los modelos más avanzados.

• El capítulo de transparencia del Código ofrece un modelo de formulario que permite a los proveedores documentar fácilmente la información técnica necesaria en un solo lugar e incluye atributos de metadatos como tiempo de entrenamiento y cálculo, consumo de energía y métodos de recopilación y conservación de datos.
• El capítulo sobre derechos de autor del Código ofrece a los proveedores soluciones prácticas para establecer una política que cumpla la legislación de la UE en esta materia, con detalle de licencias y excepciones de minería de texto y datos (TDM) tanto para origen de datos (upstream) como para uso final (downstream).
• Algunos modelos de IA de uso general podrían conllevar riesgos sistémicos (FLOPS >10^25), como riesgos para los derechos fundamentales y la seguridad, incluida la reducción de las barreras para el desarrollo de armas químicas o biológicas, o riesgos relacionados con la pérdida de control sobre el modelo. El capítulo sobre seguridad y protección contiene las prácticas más avanzadas pertinentes para la gestión del riesgo sistémico con obligaciones de evaluación, de mitigación de riesgos, reporte de incidentes graves y medidas de ciberseguridad.

Una vez que el Código sea refrendado por los Estados miembros y la Comisión, los proveedores de modelos de IA de uso general que lo firmen voluntariamente podrán demostrar el cumplimiento de las obligaciones pertinentes del RIA adhiriéndose al Código. Al hacerlo, los signatarios del Código se beneficiarán de una menor carga administrativa y una mayor seguridad jurídica en comparación con los proveedores que demuestren el cumplimiento de otras maneras.

El Código se complementará con directrices de la Comisión sobre la IA de uso general que se publicarán antes de la entrada en vigor de las obligaciones en materia de IA de uso general. Las directrices aclararán quién está dentro y fuera del ámbito de aplicación de las normas de IA de uso general del RIA. 

El avance de la IA en la UE es imparable. Desde febrero de 2025 ya aplican las prohibiciones de prácticas ilegales y la alfabetización obligatoria en IA para proveedores. Y ahora, ¿cuáles son los siguientes pasos en el calendario?

• Tal y como se ha expuesto antes, a partir de agosto de 2025, los modelos de IA de uso general, incluidos los modelos fundacionales, los sistemas basados en API y los desarrollos de código abierto, han de cumplir con el nuevo marco regulador de la UE.
• En agosto de 2026 serán de aplicación obligaciones de sistemas de alto riesgo en sectores como salud, recursos humanos, educación y finanzas.

Y ante este escenario, son muchas las organizaciones que todavía: operan sin auditar los modelos de IA, usan modelos entrenados con datos opacos o no conformes, no tienen establecidas estructuras de gobernanza para la propiedad, explicabilidad o seguimiento del modelo, despliegan la IA sin supervisión legal ni responsabilidad formal, …

Frente a esto, hay que recordar que el RIA no solo regula el uso, sino que vincula el liderazgo del riesgo mediante documentación, registro y mecanismos de aplicación. Bastante similar a los requerimientos que derivan del RGPD pero de forma más profunda, ya que esta vez, el sistema está tomando decisiones.

Equipo Servicios Jurídicos

Análisis del Anteproyecto de Ley sobre la Gobernanza de la IA y su Impacto en el Marco Jurídico Nacional

El vertiginoso avance de la inteligencia artificial (IA) ha planteado desafíos significativos en términos de ética, transparencia y protección de los derechos fundamentales. En respuesta a estos retos, el Gobierno de España ha aprobado recientemente el anteproyecto de ley sobre la gobernanza de la IA, con el objetivo de garantizar un uso ético, inclusivo y beneficioso de esta tecnología. Este artículo analiza las principales disposiciones de esta normativa y su alineación con el Reglamento Europeo de IA.

El anteproyecto busca armonizar la legislación española con el Reglamento Europeo de IA, ya en vigor, que establece un marco común para el desarrollo, comercialización y uso de sistemas de IA en la Unión Europea. Este reglamento clasifica las aplicaciones de IA en función de su nivel de riesgo y establece obligaciones específicas para cada categoría, con el fin de mitigar posibles riesgos para los derechos y libertades de las personas.

Una de las medidas más destacadas del anteproyecto es la obligación de identificar claramente los contenidos generados o manipulados mediante IA, como imágenes, audios o vídeos. Esta disposición busca prevenir la difusión de desinformación y proteger a la ciudadanía de posibles engaños, especialmente en relación con los llamados deepfakes. El incumplimiento de esta obligación se considerará una infracción grave, sancionable con multas de hasta 35 millones de euros o el 7% de la facturación anual de la empresa infractora.

El anteproyecto también prohíbe el uso de técnicas subliminales que puedan manipular el comportamiento de las personas, así como la explotación de vulnerabilidades específicas debido a la edad, discapacidad o situación socioeconómica. Además, se prohíbe la clasificación de personas basada en datos biométricos para evaluar su comportamiento o personalidad, garantizando así la protección de los derechos fundamentales y la dignidad humana.

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2023, será la encargada de supervisar la implementación y cumplimiento de esta normativa. La AESIA tendrá facultades inspectoras y sancionadoras para garantizar que los sistemas de IA operen de manera transparente y respetuosa con los derechos fundamentales.

Conclusión

La aprobación de este anteproyecto representa un paso significativo hacia la regulación efectiva de la inteligencia artificial en España. Al armonizarse con el marco europeo y establecer medidas específicas para garantizar la transparencia y la ética en el uso de la IA, se busca fomentar la confianza de la ciudadanía en estas tecnologías y asegurar que su desarrollo contribuya al bienestar social y al respeto de los derechos fundamentales.