 |
| Fuente de la imagen: ¿Pueden pensar las máquinas? (M. Velasco, 2022) |
Resumen. Este artículo detalla el "Código de Práctica para Modelos de IA de Propósito General" ("Código"), un documento guía diseñado por la Comisión Europea para mejorar el funcionamiento del mercado interno de la Unión Europea y promover una inteligencia artificial (IA) centrada en el ser humano y digna de confianza. El Código busca asegurar un alto nivel de protección de la salud, la seguridad y los derechos fundamentales frente a los efectos perjudiciales de la IA, al tiempo que apoya la innovación. Se enfoca en las obligaciones de los proveedores de modelos de IA de propósito general bajo la Ley de IA, cubriendo aspectos básicos como el cumplimiento de los derechos de autor, la gestión de riesgos sistémicos en seguridad y protección, y los requisitos de transparencia y documentación. Aunque la adhesión al Código sirve como guía, no constituye una prueba concluyente de cumplimiento con la Ley de IA.
Palabras clave: Modelos de IA de propósito general, Ley de IA, Riesgo sistémico, Copyright, Transparencia
Abstract. This article details the "Code of Practice for General-Purpose AI Models" ("Code"), a guidance document designed to improve the functioning of the European Union's internal market and promote human-centered and trustworthy artificial intelligence (AI). The Code seeks to ensure a high level of protection of health, safety, and fundamental rights from the harmful effects of AI, while supporting innovation. It focuses on the obligations of providers of general-purpose AI models under the AI Act, covering crucial aspects such as copyright compliance, systemic risk management in safety and security, and transparency and documentation requirements. While adherence to the Code serves as a guide, it does not constitute conclusive evidence of compliance with the AI Act.
Keywords: General-Purpose AI Models, AI Act, Systemic Risk, Copyright, Transparency
1. Introducción
La proliferación de la inteligencia artificial y, en particular, de los modelos de IA de propósito general (GPAIMs por sus siglas en inglés), plantea desafíos y oportunidades significativos. En respuesta, se ha desarrollado este Código de Práctica, con el objetivo primordial de mejorar el funcionamiento del mercado interno y fomentar la adopción de una IA centrada en el ser humano y digna de confianza. Simultáneamente, el Código busca asegurar una protección rigurosa contra los efectos dañinos de la IA en la salud, la seguridad y los derechos fundamentales (DDFF) consagrados en la Carta de los DDFF de la Unión Europea, incluyendo la democracia, el estado de derecho y la protección del medio ambiente.
Los objetivos específicos del Código incluyen servir como documento guía para demostrar el cumplimiento de las obligaciones previstas en los Artículos 53 y 55 de la Ley de IA. Igualmente, busca garantizar que los proveedores de modelos de IA de propósito general cumplan con sus obligaciones bajo la Ley de IA y capacitar a la Oficina de IA para evaluar el cumplimiento de aquellos que decidan confiar en el Código para este fin. Es importante entender que la adhesión al Código no constituye una prueba concluyente de cumplimiento con las obligaciones de la Ley de IA.
2. Marco Normativo y Principios Rectores
El Código se estructura en capítulos que abordan diferentes dominios de cumplimiento para los proveedores de modelos de IA de propósito general, prestando especial atención a aquellos con riesgo sistémico.
2.1. Principios para la Seguridad y Protección
El capítulo de Seguridad y Protección se rige por varios principios clave:
• Principio de Gestión Apropiada del Ciclo de Vida: Los proveedores deben evaluar y mitigar continuamente los riesgos sistémicos a lo largo de todo el ciclo de vida del modelo, actualizando sus procesos en respuesta a las capacidades emergentes del modelo. Se reconoce la importancia de adoptar al menos el estado del arte en estas medidas.
• Principio de Evaluación y Mitigación Contextual del Riesgo: Si bien el capítulo se centra en los modelos de IA de propósito general con riesgo sistémico, la evaluación de riesgos debe considerar la arquitectura del sistema, el software de integración y los recursos computacionales en tiempo de inferencia.
• Principio de Proporcionalidad a los Riesgos Sistémicos: La evaluación y mitigación de riesgos deben ser proporcionadas a los riesgos identificados.
• Principio de Integración con Leyes Existentes: El Código complementa otras leyes de la Unión, respetando las obligaciones de confidencialidad y la protección de los denunciantes.
• Principio de Cooperación: Se fomenta la inversión significativa de tiempo y recursos en la evaluación y mitigación de riesgos sistémicos, así como la colaboración con licenciatarios, modificadores y proveedores descendentes.
• Principio de Innovación en Seguridad y Protección de la IA: El Código incentiva a los proveedores a avanzar en el estado del arte en seguridad de la IA, desarrollando métodos específicos que aborden los riesgos manteniendo las capacidades beneficiosas.
• Principio de Precaución: Se reconoce su papel básico, especialmente para riesgos sistémicos donde la falta de datos científicos no permite una evaluación completa.
• Consideraciones para PYMES y SMCs: Se contemplan formas simplificadas de cumplimiento para pequeñas y medianas empresas (PYMES) y pequeñas y medianas empresas con mediana capitalización (SMCs), incluida la exención de algunos compromisos de notificación.
• Interpretación: Todos los Compromisos y Medidas deben interpretarse a la luz del objetivo de evaluar y mitigar los riesgos sistémicos, con un enfoque en la interpretación teleológica.
• Notificación de Incidentes Graves: La notificación no es una admisión de culpabilidad, sino un medio para rastrear, documentar e informar información relevante sobre incidentes graves.
3. Cumplimiento y Medidas Detalladas
El Código articula compromisos y medidas específicas en sus capítulos, abarcando los derechos de autor, la seguridad y la transparencia.
3.1. Capítulo de Derechos de Autor
Este capítulo tiene como objetivo contribuir a la correcta aplicación de la obligación establecida en el Artículo 53(1), punto (c), de la Ley de IA, que exige a los proveedores de GPAIMs establecer una política para cumplir con la legislación de la Unión sobre derechos de autor y derechos conexos.
• Compromiso 1: Política de Derechos de Autor.
◦ Medida 1.1: Elaborar, Actualizar e Implementar una Política de Derechos de Autor: Los Signatarios se comprometen a establecer y mantener actualizada una política para cumplir con la legislación de derechos de autor de la Unión, describiéndola en un único documento y asignando responsabilidades internas. Se les anima a publicar un resumen de esta política.
◦ Medida 1.2: Reproducir y Extraer Contenido Protegido por Derechos de Autor Solo Legalmente Accesible al Rastreador Web: Para garantizar que solo se reproduzca y extraiga contenido legalmente accesible, los Signatarios se comprometen a no eludir medidas tecnológicas efectivas (ej., modelos de suscripción o muros de pago), y a excluir de sus rastreos sitios web reconocidos por infringir repetidamente los derechos de autor a escala comercial.
◦ Medida 1.3: Identificar y Cumplir con las Reservas de Derechos al Rastreador Web: Los Signatarios emplearán rastreadores web que lean y sigan las instrucciones del Protocolo de Exclusión de Robots (robots.txt), e identificarán y cumplirán con otros protocolos legibles por máquina para expresar reservas de derechos (ej., metadatos basados en activos o ubicación). Este compromiso no afecta el derecho de los titulares de derechos a reservar expresamente el uso de sus obras. Se les anima a apoyar el desarrollo de estándares y protocolos legibles por máquina.
◦ Medida 1.4: Mitigar el Riesgo de Salidas Infractoras de Derechos de Autor: Para mitigar el riesgo de que un sistema de IA descendente genere contenido infractor, los Signatarios implementarán salvaguardias técnicas apropiadas y proporcionadas para prevenir la reproducción infractora de contenido de entrenamiento. También prohibirán los usos infractores en sus políticas de uso aceptable o términos y condiciones.
◦ Medida 1.5: Designar un Punto de Contacto y Habilitar la Presentación de Quejas: Los Signatarios se comprometen a designar un punto de contacto para la comunicación electrónica con los titulares de derechos afectados y a establecer un mecanismo para que estos presenten quejas sobre el incumplimiento, actuando sobre ellas de manera diligente.
3.2. Capítulo de Seguridad y Protección
Este capítulo establece compromisos para que los proveedores de modelos de IA de propósito general con riesgo sistémico implementen un marco de gestión de riesgos.
• Compromiso 1: Marco de Seguridad y Protección: Los Signatarios adoptarán un Marco de Seguridad y Protección de última generación para describir sus procesos y medidas de gestión de riesgos sistémicos. Este proceso implica la creación, implementación y actualización del Marco, y su notificación a la Oficina de IA.
• Compromiso 2: Identificación de Riesgos Sistémicos: Los Signatarios identificarán los riesgos sistémicos inherentes al modelo, siguiendo un proceso estructurado y desarrollando escenarios de riesgo. Esto incluye la compilación de una lista de riesgos basada en tipos de riesgos específicos (ej., salud pública, seguridad, DDFF, sociedad en su conjunto).
• Compromiso 3: Análisis de Riesgos Sistémicos: Para cada riesgo identificado, se realizará un análisis que incluye la recopilación de información independiente del modelo (ej., búsquedas web, revisiones de literatura, entrevistas a expertos), la realización de evaluaciones del modelo (ej., red-teaming, simulaciones), el modelado y estimación del riesgo sistémico (ej., puntuaciones de riesgo, matrices de riesgo), y el monitoreo posterior al lanzamiento. Se debe proporcionar acceso a evaluadores externos independientes al modelo, sus cadenas de pensamiento y versiones con menos mitigaciones de seguridad.
• Compromiso 4: Determinación de la Aceptabilidad de Riesgos Sistémicos: Los Signatarios especificarán y justificarán los criterios de aceptación de riesgos sistémicos, incluyendo niveles de riesgo medibles. Se comprometen a proceder con el desarrollo o lanzamiento del modelo solo si los riesgos son aceptables, implementando medidas apropiadas si no lo son.
• Compromiso 5: Mitigaciones de Seguridad (Safety Mitigations): Se implementarán mitigaciones de seguridad apropiadas y robustas a lo largo de todo el ciclo de vida del modelo para asegurar la aceptabilidad del riesgo. Ejemplos incluyen el filtrado de datos de entrenamiento, el monitoreo y filtrado de entradas/salidas del modelo, el cambio de comportamiento del modelo para la seguridad (ej., rechazar ciertas solicitudes), y la puesta a disposición de herramientas para que otros actores mitiguen los riesgos.
• Compromiso 6: Mitigaciones de Protección (Security Mitigations): Los Signatarios implementarán un nivel adecuado de protección de ciberseguridad para sus modelos e infraestructura física. Esto incluye la definición de un Objetivo de Seguridad que especifique los actores de amenaza a protegerse, e implementando mitigaciones como la protección de parámetros del modelo no liberados (ej., cifrado, control de acceso físico) y la protección contra amenazas internas (ej., verificación de antecedentes, sandboxes).
• Compromiso 7: Informes de Modelo de Seguridad y Protección: Los Signatarios informarán a la Oficina de IA mediante la creación de un Informe de Modelo de Seguridad y Protección antes de lanzar un modelo al mercado. Este informe debe incluir una descripción del modelo y su comportamiento, las razones para proceder con el desarrollo/lanzamiento, la documentación de la identificación, análisis y mitigación de riesgos sistémicos, e informes externos. También deben mantener el informe actualizado y notificar a la Oficina de IA sobre las actualizaciones. Se permiten reducciones en el nivel de detalle para PYMES y SMCs.
• Compromiso 8: Asignación de Responsabilidad de Riesgos Sistémicos: Se comprometen a definir claramente las responsabilidades para gestionar los riesgos sistémicos en todos los niveles de la organización. Esto incluye la supervisión, la propiedad, el apoyo y monitoreo, y la garantía de los riesgos sistémicos. Se asegurará la asignación de recursos apropiados (humanos, financieros, información, computacionales) y la promoción de una cultura de riesgo saludable.
• Compromiso 9: Notificación de Incidentes Graves: Los Signatarios implementarán procesos para rastrear, documentar y notificar a la Oficina de IA (y autoridades nacionales) información relevante sobre incidentes graves y medidas correctivas. Esto incluye métodos de identificación de incidentes, la información relevante a documentar (ej., fechas, daño, modelo involucrado, análisis de causa raíz), plazos de notificación estrictos según la gravedad del incidente (ej., 2 días para interrupción crítica de infraestructura, 10 días para muerte), y un período de retención de la documentación de al menos cinco años.
• Compromiso 10: Documentación Adicional y Transparencia: Los Signatarios documentarán la implementación de este capítulo y publicarán versiones resumidas de sus Marcos e Informes de Modelo cuando sea necesario, eliminando información sensible que pueda comprometer la seguridad.
3.3. Capítulo de Transparencia
Este capítulo se centra en las obligaciones de documentación del Artículo 53, puntos (a) y (b), de la Ley de IA, aplicables a todos los proveedores de modelos de IA de propósito general.
• Compromiso 1: Documentación.
◦ Medida 1.1: Elaboración y Actualización de la Documentación del Modelo: Los Signatarios documentarán al menos toda la información contenida en el Formulario de Documentación del Modelo proporcionado, actualizándolo para reflejar cambios relevantes y manteniendo versiones anteriores por 10 años. El Formulario de Documentación del Modelo es una herramienta que facilita la recopilación de información requerida, indicando si la información es para la Oficina de IA (AIO), las Autoridades Nacionales Competentes (NCAs) o los proveedores descendentes (DPs).
▪ Contenido de la Documentación del Modelo: Incluye información general como canales de distribución, nombre legal del proveedor, nombre y autenticidad del modelo, fechas de lanzamiento (general y en el mercado de la Unión), y dependencias del modelo (si es una modificación de otro GPAIM). Se detallan las propiedades del modelo (arquitectura, diseño, modalidades de entrada/salida, tamaño total de parámetros), el tipo de licencia y los activos adicionales disponibles. También abarca el uso previsto (política de uso aceptable, usos prohibidos/restringidos, tipos de sistemas de IA donde se puede integrar), y los medios técnicos y requisitos de hardware/software para la integración. Finalmente, describe el proceso de entrenamiento (pasos, metodologías, optimización) y la información sobre los datos utilizados (tipo, procedencia, tamaño, características, metodologías de curación, medidas para detectar datos inadecuados o sesgos). Se requiere información sobre el consumo de energía (durante el entrenamiento y la inferencia) y los recursos computacionales (tiempo de entrenamiento, cantidad de computación).
◦ Medida 1.2: Suministro de Información Relevante: Los Signatarios publicarán información de contacto para que la Oficina de IA y los proveedores descendentes soliciten acceso a la documentación. La información para la Oficina de IA o NCAs solo se proporcionará bajo solicitud, si es estrictamente necesario para sus tareas de supervisión. Se proporcionará a los proveedores descendentes la información relevante necesaria para comprender las capacidades y limitaciones del modelo y cumplir con sus propias obligaciones bajo la Ley de IA, respetando la confidencialidad.
◦ Medida 1.3: Garantía de Calidad, Integridad y Seguridad de la Información: Los Signatarios asegurarán que la información documentada esté controlada en cuanto a calidad e integridad, se retenga como evidencia de cumplimiento y esté protegida contra alteraciones no deseadas.
4. Conclusión
El Código de Práctica para Modelos de IA de Propósito General representa un esfuerzo integral para guiar a los proveedores en el cumplimiento de la Ley de IA en áreas críticas como los derechos de autor, la seguridad y la transparencia.
Al delinear compromisos y medidas específicas, el Código proporciona un marco para la gestión de riesgos sistémicos y la protección de los derechos y promueve la rendición de cuentas y la confianza en el ecosistema de la IA de la Unión Europea.
La adaptabilidad del Código y su énfasis en el "estado del arte" reconocen la naturaleza evolutiva del campo de la IA, asegurando que las prácticas de seguridad y responsabilidad continúen avanzando a la par con las nuevas capacidades y desafíos tecnológicos.
Fuente de la información: Comisión Europea.