#NormativaEuropea

Malgrat la pressió coordinada feta per endarrerir l’aplicació del Reglament (UE) 2024/1689, de 13 de juny, en matèria d’intel·ligència artificial (RIA) per part de més de 100 empreses tecnològiques (entre les que figuren Google i Meta), la Comissió Europea es manté ferma, i el 4 de juliol va manifestar de forma contundent “There is no stop the clock. There is no grace period. There is no pause”.

En efecte, després de mesos d’intenses negociacions, la Comissió va rebre el passat 10 de juliol la versió final del Codi de bones pràctiques d’IA d’ús general, una eina voluntària desenvolupada per tretze experts independents, amb aportacions de més de 1.000 parts interessades, inclosos proveïdors de models, petites i  mitjanes empreses, acadèmics, experts en seguretat de la intel·ligència artificial (IA), titulars de drets i organitzacions de la societat civil.

El Codi està dissenyat per ajudar a la indústria a complir les normes sobre IA d’ús  general del RIA, que entraran en vigor el 2 d’agost de 2025. Les normes passen a ser executables per l’Oficina d’IA de la Comissió un any després en el relatiu als nous models i dos anys després en el relatiu als models existents. Així es pretén garantir que els models d’IA d’ús general introduïts en el mercat europeu siguin segurs i transparents.

El Codi consta de tres capítols: Transparència i drets d’autor (art. 53 RIA), ambdós dirigits a tots els proveïdors de models d’IA d’ús general, i seguretat i protecció (art. 55 RIA), orientats només per a un número limitat de proveïdors dels models més avançats.

• El capítol de transparència del Codi ofereix un model de formulari que permet als proveïdors documentar fàcilment la informació tècnica necessària en un sol lloc i inclou atributs de metadades com temps d’entrenament i càlcul, consum d’energia i mètodes de recopilació i conservació de dades.
• El capítol sobre drets d’autor del Codi ofereix als proveïdors solucions pràctiques per a establir una política que compleixi la legislació de la UE en aquesta matèria, amb detall de llicències i excepcions de mineria de text i dades (TDM) tant per origen de dades (upstream) com per a ús final (downstream).
• Alguns models d’IA d’ús general podrien comportar riscos sistèmics (FLOPS >10^25), com riscos pels drets fonamentals i la seguretat, inclosa la reducció de les barreres pel desenvolupament d’armes químiques o biològiques, o riscos relacionats amb la pèrdua de control sobre el model. El capítol sobre seguretat i protecció conté les pràctiques més avançades per la gestió del risc sistèmic amb obligacions d’avaluació, mitigació de riscos, report d’incidents greus i mesures de ciberseguretat.

Una vegada que el Codi sigui referendat pels Estats membres i la Comissió, els proveïdors de models d’IA d’ús general que el firmin voluntàriament podran demostrar el compliment de les obligacions pertinents del RIA adherint-se al Codi. En fer-ho, els signataris del Codi es beneficiaran d’una menor càrrega administrativa i una major seguretat jurídica en comparació amb els proveïdors que demostrin el compliment d’altres maneres.

El Codi es complementarà amb directrius de la Comissió sobre la IA d’ús general que es publicaran abans de l’entrada en vigor de les obligacions en matèria d’IA d’ús general. Les directrius aclariran qui està dins i fora de l’àmbit d’aplicació de les normes d’IA d’ús general del RIA. 

L’avenç de la IA a la UE és imparable. Des de febrer de 2025 ja apliquen les prohibicions de pràctiques il·legals i l’alfabetització obligatòria en IA per a proveïdors. I ara, quins són els següents passos en el calendari?

• Tal i com s’ha exposat abans, a partir d’agost de 2025, els models d’IA d’ús general, inclosos els models fundacionals, els sistemes basats en API i els desenvolupaments de codi obert han de complir amb el nou marc regulador de la UE.
• L’agost de 2026 seran d’aplicació obligacions de sistemes d’alt risc en sectors com salut, recursos humans, educació i finances.

I amb aquest escenari, encara són moltes les organitzacions que: operen sense auditar els models d’IA, usen models entrenats amb dades opaques o no conformes, no tenen establertes estructures de governança per a la propietat, explicabilitat o seguiment del model, despleguen la IA sense supervisió legal ni responsabilitat formal, …

Davant d’això, cal recordar que el RIA no només regula l’ús, sinó que vincula el lideratge del risc mitjançant documentació, registre i mecanismes d’aplicació. Força similar als requeriments que deriven del RGPD però de forma més profunda, ja que aquest cop el sistema està prenent decisions.

Equip Serveis Jurídics

Anàlisi de l’Avantprojecte de Llei sobre la Governança de la IA i el seu Impacte en el Marc Jurídic Nacional

L’avenç vertiginós de la intel·ligència artificial (IA) ha plantejat desafiaments significatius en termes d’ètica, transparència i protecció dels drets fonamentals. En resposta a aquests reptes, el Govern d’Espanya ha aprovat recentment l’avantprojecte de llei sobre la governança de la IA, amb l’objectiu de garantir un ús ètic, inclusiu i beneficiós d’aquesta tecnologia. Aquest article analitza les principals disposicions d’aquesta normativa i la seva alineació amb el Reglament Europeu d’IA.

L’avantprojecte busca harmonitzar la legislació espanyola amb el Reglament Europeu d’IA, ja en vigor, que estableix un marc comú per al desenvolupament, comercialització i ús de sistemes d’IA a la Unió Europea. Aquest reglament classifica les aplicacions d’IA en funció del seu nivell de risc i estableix obligacions específiques per a cada categoria, amb la finalitat de mitigar possibles riscos per als drets i llibertats de les persones.

Una de les mesures més destacades de l’avantprojecte és l’obligació d’identificar clarament els continguts generats o manipulats mitjançant IA, com ara imatges, àudios o vídeos. Aquesta disposició busca prevenir la difusió de desinformació i protegir la ciutadania de possibles enganys, especialment en relació amb els anomenats deepfakes. L’incompliment d’aquesta obligació es considerarà una infracció greu, sancionable amb multes de fins a 35 milions d’euros o el 7% de la facturació anual de l’empresa infractora.

L’avantprojecte també prohibeix l’ús de tècniques subliminals que puguin manipular el comportament de les persones, així com l’explotació de vulnerabilitats específiques a causa de l’edat, discapacitat o situació socioeconòmica. A més, es prohibeix la classificació de persones basada en dades biomètriques per avaluar el seu comportament o personalitat, garantint així la protecció dels drets fonamentals i la dignitat humana.

L’Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA), creada l’any 2023, serà l’encarregada de supervisar la implementació i compliment d’aquesta normativa. L’AESIA tindrà facultats inspectores i sancionadores per garantir que els sistemes d’IA operin de manera transparent i respectuosa amb els drets fonamentals.

Conclusió

L’aprovació d’aquest avantprojecte representa un pas significatiu cap a la regulació efectiva de la intel·ligència artificial a Espanya. En harmonitzar-se amb el marc europeu i establir mesures específiques per garantir la transparència i ètica en l’ús de la IA, es busca fomentar la confiança de la ciutadania en aquestes tecnologies i assegurar que el seu desenvolupament contribueixi al benestar social i al respecte dels drets fonamentals.