Por Alejandro Calvo
El Reglamento (UE) 2024/1689, del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (en adelante, el “Reglamento” o “RIA”), establece un marco jurídico armonizado para la inteligencia artificial (“IA”) en la Unión Europea.
En particular, el RIA recoge un marco jurídico integral destinado a regular el desarrollo, comercialización y uso de sistemas de inteligencia artificial, siendo uno de sus elementos más interesantes las normas establecidas para los sistemas de IA de uso general, es decir, aquellos sistemas que, basados en modelos de uso general, no cuentan una finalidad específica, pudiendo utilizarse para múltiples fines. Es precisamente esa flexibilidad la que hace compleja su regulación, en tanto no responden a una única categoría de riesgo basada en un uso específico. Lo analizamos a continuación.
El artículo 3.66 del RIA define los sistemas de IA de uso general como aquellos que pueden servir para diversos fines, tanto de manera directa como integrándose en otros sistemas de IA. Por su parte, el artículo 3.63 define los modelos de IA de uso general como aquellos modelos entrenados con grandes volúmenes de datos, capaces de realizar una variedad de tareas competentes.
Por tanto, los sistemas de IA de uso general son sistemas con múltiples aplicaciones potenciales, basados en modelos de IA que han sido diseñados para adaptarse a diversos fines en fases posteriores, incluidos escenarios para los que no fueron específicamente desarrollados o entrenados.
Un ejemplo ilustrativo es la herramienta ChatGPT, creada por OpenAI, que se basa en el modelo GPT-4, y constituye un claro ejemplo de sistema de IA de uso general, al basarse en un modelo que permite una amplia gama de interacciones y aplicaciones.
Todos los proveedores de modelos de IA de uso general deberán cumplir con las siguientes obligaciones, conforme con lo establecido en el artículo 53 del RIA:
a) Documentación técnica: Mantener actualizada la documentación técnica del modelo con la información requerida en los anexos XI y XII del reglamento.
b) Derechos de autor: Respetar la legislación sobre derechos de autor y las reservas solicitadas por los titulares de obras protegidas.
c) Transparencia: Publicar un resumen del contenido utilizado para entrenar el modelo.
d) Deber de colaboración: Proporcionar información y asistencia a las autoridades competentes y a la Comisión Europea.
2.1 Obligaciones adicionales para proveedores de modelos de IA de uso general con riesgo sistémico
Conforme al considerando 110 del RIA, un modelo de IA de uso general se considera de riesgo sistémico si puede generar efectos negativos reales o razonablemente previsibles en sectores críticos como la salud, la seguridad pública o la estabilidad económica. También se incluirán dentro de esta clasificación aquellos susceptibles de provocar perturbaciones graves en procesos democráticos, o la difusión de contenido ilegal, falso o discriminatorio.
De acuerdo con el artículo 51 del RIA, un modelo de IA de uso general será considerado de riesgo sistémico si posee capacidades de gran impacto, es decir, si iguala o supera las capacidades de los modelos de IA más avanzados, presumiéndose este riesgo cuando el cálculo necesario para su entrenamiento exceda los 10^25 FLOPS.
Por su parte, la Comisión Europea tiene la facultad de designar un modelo como de riesgo sistémico, ya sea de oficio o tras recibir una alerta cualificada sobre los riesgos asociados al mismo.
Los modelos de IA de uso general considerados de riesgo sistémico deben cumplir con obligaciones adicionales establecidas por el artículo 52.1 del RIA. Entre ellas se incluye la notificación a la Comisión Europea, la cual debe realizarse sin demora y, en todo caso, dentro de un plazo máximo de dos semanas desde que se cumpla el umbral correspondiente. La notificación debe contener la información necesaria que demuestre el cumplimiento de dicho umbral.
Además, se exige una documentación técnica ampliada, que debe incluir detalles sobre las estrategias de evaluación utilizadas, los resultados obtenidos y las medidas aplicadas, como el uso de red teams. También, cuando sea pertinente, debe incluirse información sobre la arquitectura del sistema. La evaluación de estos modelos debe realizarse utilizando herramientas y protocolos estandarizados, conforme a las mejores prácticas del estado de la técnica.
Asimismo, los proveedores deben implementar una adecuada gestión de los riesgos sistémicos, identificando y reduciendo cualquier riesgo derivado del desarrollo, comercialización o uso de los modelos de IA dentro de la Unión Europea.
De igual modo, es necesario monitorear y documentar incidentes graves, notificando sin demora tanto a la Oficina de IA como a las autoridades competentes, incluyendo las medidas correctoras aplicadas. Por último, los proveedores deben garantizar un nivel adecuado de ciberseguridad tanto para los modelos de IA de uso general como para la infraestructura física que los respalda.
2.2 Obligaciones en materia de comercialización y despliegue de sistemas de IA de uso general
El RIA define en su artículo 3.10 la comercialización como el suministro de un modelo de IA de uso general para su distribución o uso en el mercado de la Unión Europea, ya sea de manera gratuita o mediante pago, en el transcurso de una actividad comercial.
Dentro de este marco, el RIA establece claras obligaciones de transparencia y control tanto para los proveedores como para los responsables del despliegue de estos sistemas.
2.2.1 Transparencia en la comercialización y despliegue
El artículo 50.1 del RIA impone los proveedores y responsables del despliegue de sistemas de IA de uso general la obligación de garantizar la transparencia en el uso de dichos sistemas y modelos.
Así, deberá garantizarse que las personas físicas que interactúan con dichos sistemas o modelos de IA de uso general sean informadas de que están interactuando con una IA, excepto en los casos donde los sistemas de IA están autorizados por ley para detectar, prevenir, enjuiciar o investigar delitos, salvo que dichos sistemas se pongan a disposición del público como canal de denuncia de ilícitos penales, en cuyo caso sí aplicará la meritada obligación de transparencia.
Esta obligación de transparencia será aplicable desde la primera interacción, a menos que resulte evidente para una persona razonablemente informada, y deberá ajustarse a los requisitos de accesibilidad aplicables bajo el marco legislativo de la UE.
En cuanto a los sistemas de IA de uso general que generan contenido sintético (audio, imagen, vídeo o texto), deberá asegurarse, de conformidad con el artículo 50.2 del RIA, que el contenido generado esté marcado o identificado como generado artificialmente, garantizando que los usuarios puedan conocer cuando el contenido ha sido creado o manipulado por IA, evitando la posible confusión entre contenido real y artificial.
De conformidad con el artículo 50.3 del RIA, aquellos sistemas de IA de uso general que empleen reconocimiento de emociones o categorización biométrica deberán informar a las personas expuestas al funcionamiento de estos sistemas, y garantizar el tratamiento de sus datos personales conforme al Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680.
Finalmente, el artículo 50.4 del RIA establece que los sistemas de IA de uso general que sean capaces de generar ultrasuplantaciones o deepfakes estarán sujetos a la misma obligación de transparencia contemplada en el artículo 50.2, excepto cuando su uso esté autorizado por la ley para detectar, prevenir, investigar o enjuiciar delitos; o su contenido forme parte de una obra o programa creativos, tales como producciones satíricas, artísticas, de ficción o análogas. En estos casos, la obligación de transparencia se limitará a la simple notificación de la existencia del contenido generado o manipulado artificialmente, de una manera que no dificulte la exhibición o el disfrute de la obra.
2.2.1.1 Accesibilidad de la información
Es preciso reiterar que la información a personas físicas referida en las obligaciones de transparencia anteriores deberá ajustarse a los requisitos de accesibilidad aplicables bajo el marco legislativo de la UE y los estados miembros, proporcionándose de manera clara, distinguible y accesible, al menos desde la primera interacción.
2.2.1.2 Códigos de buenas prácticas
Para facilitar su cumplimiento de las obligaciones anteriores, el RIA establece que la Oficina de IA de la Comisión Europea colaborará en la creación, revisión y adaptación de códigos de buenas prácticas, que serán desarrollados en conjunto con autoridades nacionales, proveedores de IA y expertos en el área dentro de los nueve meses posteriores a la entrada en vigor del RIA.
Una vez aprobados (mediante la adopción por la Comisión de actos de ejecución) los proveedores podrán adherirse a estos códigos para demostrar que cumplen con las meritadas obligaciones, así como con el RIA en su conjunto.
Sin perjuicio del régimen general del artículo 99, el artículo 101 del RIA establece un régimen de multas para los proveedores de modelos de IA de uso general.
Así, la Comisión Europea podrá imponer multas de hasta el 3% del volumen de negocios mundial total anual de la empresa, o 15 millones de euros, lo que sea mayor, en caso de (a) incumplimiento de las disposiciones del RIA, (b) falta de respuesta o la entrega de información incorrecta o engañosa en respuesta a solicitudes efectuadas conforme al artículo 91, (c) el incumplimiento de medidas adoptadas en virtud del artículo 93, o la negativa a proporcionar acceso al modelo de IA de uso general para su evaluación conforme al artículo 92.
Cabe mencionar el Tribunal de Justicia de la Unión Europea tendrá competencia plena para revisar las decisiones de la Comisión, pudiendo anular, reducir o aumentar las sanciones.
Como hemos señalado, los sistemas y modelos de IA de uso general constituyen un elemento relevante dentro del Reglamento de Inteligencia Artificial (RIA), lo que justifica la creación de un marco jurídico integral y sólido para regular su desarrollo, comercialización y despliegue en la Unión Europea.
El RIA impone estrictas obligaciones en materia de transparencia, supervisión y control, con el objetivo de asegurar que estos sistemas operen de manera segura y ética, respetando los derechos fundamentales de los ciudadanos europeos. El enfoque basado en la clasificación por niveles de riesgo permite una regulación adaptada tanto a los sistemas de bajo riesgo como a aquellos que presentan riesgo sistémico.
Las sanciones establecidas para el incumplimiento de estas disposiciones subrayan el compromiso de la Unión Europea con la protección de los derechos y la seguridad pública en el ámbito de la inteligencia artificial. En definitiva, este marco legal no solo promueve el desarrollo responsable de la IA, sino que también reafirma el liderazgo de la UE en la regulación ética de las nuevas tecnologías.