Cargando. Por favor, espere

Portada

El pasado jueves 10 de julio, la Comisión Europea presentó el tan esperado Código de Buenas Prácticas para los modelos de IA de uso general (2) (GPAI, por sus siglas inglesas de General-Purpose Artificial Intelligence), los llamados técnicamente «modelos fundacionales» de IA. Este instrumento de autorregulación regulada supone una pieza central del rompecabezas en la implementación en curso (3) del Reglamento europeo de IA (LA LEY 16665/2024) de 2024 (4) (el RIA o AI Act).

Según el artículo 56 del RIA (5) , este Código debería ayudar a hacer más tangibles los requisitos legales para los modelos de IA de uso general, es decir, la tecnología subyacente detrás de los chatbots de IA como el popular ChatGPT. En efecto, el Código enumera objetivos y obligaciones claros, resumidos en indicadores clave de rendimiento (KPIs). De acuerdo con el artículo 56.6 y el considerando 117 del RIA, la Oficina de IA y el Consejo de IA deben supervisar y evaluar periódicamente la consecución de los objetivos del Código. Si la Comisión está satisfecha con los resultados, puede declarar el Código válido en la UE mediante un acto de aplicación.

Al final, sin embargo, el Código se ha convertido en un reflejo de la mala (6) regulación: redactado apresuradamente, criticado políticamente y marcado por luces y sombras. Sin embargo, y teniendo en cuenta mi experiencia como experto en regulación digital tanto en Europa como Latinoamérica, estoy profundamente convencido que sus luces superan a las sobras.

Después de todo, sin el Código, la sensación generalizada de inseguridad jurídica entre los desarrolladores de IA probablemente habría aumentado aún más. Asimismo, algunos ajustes de la regulación a la vista de los últimos desarrollos tecnológicos deberían haberse realizado hace mucho tiempo, como en lo relativo a los métodos de evaluación de los sistemas o las evaluaciones de riesgos.

El Código adolece de un importante defecto congénito: la influencia desproporcionada de las grandes empresas tecnológicas en la aplicación de las leyes digitales de la UE

No obstante, el Código adolece de un importante defecto congénito, que actualmente también se puede observar en el Reglamento de Servicios Digitales (7) (habitualmente conocido por sus siglas inglesas DSA): la influencia desproporcionada de las grandes empresas tecnológicas, en su mayoría estadounidenses, en la aplicación de las leyes digitales de la UE. A pesar de que estos cuerpos legales están dirigidos en realidad contra las prácticas comerciales desleales de estas mismas empresas, la Comisión Europea parece depender demasiado de su cooperación activa en su implementación.

El Código es un buen caso de estudio de esta influencia excesiva: sobre el papel, se ha diseñado una buena estructura de gobernanza que involucra al mayor número posible de partes interesadas. En la práctica, sin embargo, el proceso de elaboración causó un gran enfado entre los desarrolladores europeos de IA y los actores de la sociedad civil, ya que no fue posible mantener debates reales en reuniones con muchos centenares de actores. Incluso las consultas escritas fueron de poca ayuda: los plazos fueron demasiado ajustados y las coincidencias con los períodos de vacaciones significaron que incluso las organizaciones paraguas europeas a veces no pudieron proporcionar información a los grupos de trabajo.

Y es que el trabajo sustantivo sobre el Código se llevó a cabo en un pequeño círculo, con la participación de desarrolladores casi exclusivamente estadounidenses de los modelos de IA de uso general. Desde el principio, intentaron diluir los requisitos que establece el RIA a través del Código, siempre con el argumento repetidamente esgrimido de que la regulación de IA es totalmente desaconsejable o demasiado cara.

De forma sorprendente, la Comisión Europea se mostró comprensiva con esta posición, ya que, según diversas notas de prensa dadas a conocer en los últimos meses, estaba especialmente interesada en convencer al mayor número posible de proveedores de modelos GPAI como signatarios del Código.

Aún así, el texto final contiene muchos elementos que reforzarán la confianza en los modelos de IA y simplificarán la aplicación del Reglamento europeo de IA (LA LEY 16665/2024). Este éxito se debe principalmente a una amplia alianza de eurodiputados, empresas, investigadores y sociedad civil, que se han alineado en repetidas ocasiones en los últimos meses.

Por ejemplo, esta amplia alianza logró garantizar que la evaluación externa de los modelos de IA de uso general con riesgo sistémico siga estando prevista para permitir una vigilancia retrospectiva del mercado basada en el riesgo. Esta previsión está inspirada en el artículo 40 del Reglamento de Servicios Digitales en su estructura, y asimismo crea un control externo real de los mismos.

Los proveedores de modelos de IA de uso general se comprometen a publicar informes resumidos de seguridad y las fichas de sus modelos

El Código también ha mejorado mucho en términos de transparencia pública en comparación con los borradores anteriores y los rumores previos: los proveedores de modelos de IA de uso general se comprometen a publicar informes resumidos de seguridad y las fichas de sus modelos. Aunque este compromiso no está a la altura de las expectativas de muchos grupos de la sociedad civil, es un compromiso que se justifica en términos de realpolitik a la luz de las obligaciones de los artículos 53 y 55 del RIA.

Un resultado similar se ha alcanzado en la importante cuestión de si los riesgos para los derechos fundamentales deben evaluarse como un riesgo sistémico en todos los ámbitos. Aunque esta obligación no se asume automáticamente, los proveedores de modelos de IA de uso general siempre deben examinarlos como un riesgo potencial.

A pesar de este éxito, los requisitos del Código en cuanto a la transparencia dentro de la cadena de valor de la IA siguen siendo bajo mi punto de vista decepcionantes. La culpa de este déficit también recae en las empresas de la UE, que de forma incomprensible apenas abordaron este punto en las consultas públicas previas. En la práctica, cabe temer que muchas empresas que basan sus productos y servicios de IA en modelos de IA de uso general no reciban suficiente información de sus propios proveedores para, en última instancia, poder cumplir por sí mismas los requisitos de los sistemas de alto riesgo que establece el RIA.

A mi juicio, la Comisión Europea y la Oficina de IA deberían prestar mayor atención a las necesidades de los proveedores europeos de IA, que a menudo se encuentran al final de la cadena de valor de la IA, y deben participar más estrechamente en el contenido de una futura revisión del Código. Por eso, es importante un seguimiento público real, prestando atención a que empresas han firmado el Código —de momento, Mistral y OpenAI—, y quienes no, y por qué razones.

A la postre, si queremos que Europa utilice el Código para tener una influencia significativa en la aplicación global del Derecho en un campo tecnológico altamente dinámico como es la IA, entonces no debemos conformarnos con el consenso mínimo actual. La posición europea debe ser cada vez más equilibrada, enérgica y coherente en el tiempo. En este sentido, la publicación del Código es un comienzo. Pero no debe ser la última palabra.

Scroll