Tras un tercer borrador publicado en marzo pasado, la Comisión Europea presentó ayer la versión final del código de buenas prácticas para los modelos de IA de uso general (GPAI). Este marco voluntario tiene como objetivo ayudar a los proveedores a cumplir con las obligaciones del AI Act relacionadas con estos modelos que entrarán en vigor el próximo 2 de agosto.
Elaborado por 13 expertos independientes, con la contribución de más de 1.000 partes interesadas (proveedores de modelos, pymes, académicos, expertos en seguridad de la IA, titulares de derechos y organizaciones de la sociedad civil), el código se articula en torno a tres capítulos.
Los dos primeros capítulos del código, la transparencia y el derecho de autor, se aplican a todos los proveedores de modelos de IA de uso general. En cambio, el tercer capítulo, dedicado a la seguridad, se dirige a un subconjunto restringido de modelos denominados avanzados, que pueden presentar riesgos sistémicos. Se trata, en particular, de modelos a gran escala como GPT-4 (OpenAI), Gemini (Google DeepMind) o Claude (Anthropic), cuyas capacidades generales, versatilidad y evolución plantean desafíos inéditos en materia de gobernanza.
Los riesgos sistémicos identificados incluyen, por ejemplo, la generación de contenidos altamente persuasivos o engañosos, eludir sistemas de ciberseguridad, facilitar actividades maliciosas, incluso en el ámbito químico o biológico, o una pérdida de control humano sobre los efectos de las respuestas generadas. En este contexto, el código recomienda una serie de prácticas de gestión de riesgos, que van desde la robustez técnica hasta la supervisión humana reforzada.
El capítulo de transparencia del código propone un formulario de documentación simplificado que permite a los proveedores informar fácilmente las informaciones necesarias en un solo lugar. Aquel sobre el derecho de autor les ofrece soluciones prácticas para implementar una política conforme al derecho de autor de la UE.
La próxima publicación de las directrices oficiales, prevista antes de la fecha límite del 2 de agosto, debería aclarar el campo de aplicación del texto y precisar sus modalidades: calificación de los GPAI, identificación de sus proveedores y evaluación del riesgo sistémico.
Si bien la entrada en vigor de las reglas sigue fijada para principios del próximo mes, pese a los llamados a una moratoria lanzados por unos cincuenta actores de la EU AI Champions Initiative, su aplicación efectiva no comenzará hasta agosto de 2026 para los nuevos modelos, y en agosto de 2027 para los modelos existentes. Esta progresividad, dirigida por la Oficina de IA de la Comisión, busca dar a las empresas tiempo para adaptarse, al tiempo que reafirma la credibilidad del enfoque europeo.
Aunque no vinculante, este código se asemeja a un instrumento de pre-conformidad: los proveedores que se adhieran a él se beneficiarán de una reducción de su carga administrativa y de una seguridad jurídica incrementada en comparación con aquellos que demuestren su conformidad por otros medios. Pero su adopción voluntaria necesariamente planteará la cuestión del nivel real de adhesión por parte de los proveedores de GPAI, especialmente no europeos, respecto a un marco que, aunque pretende ser cooperativo, introduce una complejidad adicional en la cadena de responsabilidad.
Henna Virkkunen, vicepresidenta ejecutiva encargada de la soberanía tecnológica, la seguridad y la democracia, comenta:
"La publicación hoy de la versión final del código de buenas prácticas para la IA de uso general marca un paso importante en la disposición de los modelos de IA más avanzados en Europa, no solo innovadores, sino también seguros y transparentes. Co-diseñado por las partes interesadas de la IA, el código está alineado con sus necesidades. Por lo tanto, invito a todos los proveedores de modelos de IA de uso general a adherirse al código. Esto les garantizará un camino claro y colaborativo hacia el cumplimiento de la legislación de la UE sobre IA".