TLDR : La AI Act, regulación europea sobre inteligencia artificial (IA), está en vigor desde febrero de 2024, a pesar de la oposición de algunas empresas. Impone obligaciones sobre los modelos de IA de uso general, incluyendo documentación técnica exhaustiva, una política sobre derechos de autor y un resumen de los datos de entrenamiento. Las empresas no conformes se enfrentan a multas de hasta 15 millones de euros o el 3% de su facturación mundial.
Índice
Las primeras disposiciones de la AI Act, que entró en vigor en agosto de 2024, relacionadas con los sistemas de IA de riesgo inaceptable comenzaron a aplicarse en febrero pasado. A pesar de la moratoria "Stop the Clock" solicitada por una cincuentena de empresas de la EU AI Champions Initiative sobre la continuación de la implementación del reglamento, las obligaciones relacionadas con los modelos de IA de uso general (GPAI) son efectivas desde el pasado sábado.
La UE ha sido pionera en el establecimiento de un marco regulatorio destinado a regular la IA en función de su potencial para causar daños. El objetivo de la AI Act o RIA es garantizar que los sistemas y modelos de IA comercializados dentro de la UE se utilicen de manera ética, segura y en respeto de los derechos fundamentales de la UE.
Las directrices publicadas por la Comisión Europea el 18 de julio pasado aclaran el alcance de la regulación para los modelos GPAI. Cualquier modelo de IA que muestre una capacidad de cálculo superior a 10²³ FLOPs (es decir, el volumen de operaciones en coma flotante movilizadas durante el entrenamiento), diseñado sin una finalidad precisa (predicciones meteorológicas, juegos...) pero que pueda ser reutilizado en una amplia variedad de contextos, se presumirá que entra en esta categoría.
Las obligaciones cubren todo el ciclo de vida de los modelos, desde el pre-entrenamiento hasta la disponibilidad, pasando por las actualizaciones y modificaciones posteriores a la comercialización. Sus proveedores deberán proporcionar:
- una documentación técnica exhaustiva, destinada a los proveedores aguas abajo que integren el modelo en su sistema de IA y, si se solicita, a la Oficina Europea de la IA (AI Office) o a las autoridades nacionales competentes.
- un resumen de los datos de entrenamiento, según el modelo estandarizado que la AI Office les proporcionará;
- establecer una política sobre el respeto de los derechos de autor, alineada con el derecho europeo.
El principio fundamental del reglamento permanece inalterado: cuanto mayor es el riesgo, más exigentes son los requisitos. Estas obligaciones se refuerzan para los GPAI considerados de riesgo sistémico, modelos que superan el umbral de 10²⁵ FLOPs acumulados. Estos deberán someterse a procedimientos de gestión de riesgos reforzados, especialmente en materia de ciberseguridad, notificación de incidentes graves, o pruebas continuas. Una carga regulatoria considerada difícilmente sostenible...
Sin embargo, este umbral no es rígido: una reevaluación de los riesgos reales puede ser solicitada por los proveedores.
Proveedores, modificaciones y estatus de código abierto
Cualquier empresa que comercialice un modelo en el mercado europeo se considera como proveedor, independientemente del lugar de desarrollo inicial. Sin embargo, un actor aguas abajo que haya realizado una modificación del modelo utilizando más de un tercio de su potencia de cálculo inicial, también se considera proveedor y está sujeto a las obligaciones.
Los modelos publicados bajo licencia libre y abierta se benefician de un régimen de exención parcial. A condición de cumplir ciertos criterios (ausencia de monetización o de recopilación de datos personales), estos modelos no están sujetos a las obligaciones de documentación para los proveedores aguas abajo o las autoridades. Sin embargo, una vez que cruzan el umbral de riesgo sistémico, no se aplica ninguna exención.
Código de buenas prácticas
A pesar de su entrada en vigor el 2 de agosto pasado, estas reglas solo se aplicarán en agosto de 2026 para los nuevos modelos, y en agosto de 2027 para los modelos existentes. Esta progresividad, pilotada por la Oficina de la IA, tiene como objetivo dar tiempo a las empresas para adaptarse.
Para ayudar a los proveedores a cumplir, la Comisión publicó, unos días antes de sus directrices, un código de buenas prácticas. Aquellos que elijan adherirse a él se beneficiarán de una reducción de su carga administrativa y una mayor seguridad jurídica en comparación con aquellos que prueben su conformidad por otros medios. Google, OpenAI, Mistral, Microsoft ya lo han hecho, mientras que Meta se ha negado, citando áreas de incertidumbres legales y una extensión injustificada del marco regulatorio.
Las multas previstas por incumplimiento de estas obligaciones pueden alcanzar 15 millones de euros o el 3% del volumen de negocio mundial de las empresas. Cada uno de los Estados miembros de la UE debe notificar a la Comisión las autoridades de supervisión que controlarán a las empresas. Si bien ninguna ha sido designada por Francia hasta ahora, se espera que la Cnil desempeñe un papel central, también se consideran instancias sectoriales como Arcom o Anssi.