#ActualitzacióTecnològica

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

• El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
• El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
• Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

• Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
• L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

Equip Serveis Jurídics