Bruselas publica el primer código de conducta para modelos de inteligencia artificial generativa

La Comisión Europea ha publicado el primer código de conducta para modelos de inteligencia artificial de propósito general (General-Purpose AI Models o GPAI), una iniciativa pionera que busca anticipar la aplicación del Reglamento de IA (AI Act o ley de IA) aprobado en mayo.

El texto -no vinculante pero de alto valor político- ha sido elaborado en colaboración con desarrolladores, expertos académicos y organizaciones de la sociedad civil, y ofrece una hoja de ruta detallada sobre cómo cumplir las nuevas obligaciones jurídicas antes de que entren plenamente en vigor.

El código se articula en tres capítulos principales: transparencia, propiedad intelectual y seguridad. Cada sección detalla compromisos específicos que las empresas desarrolladoras pueden adoptar de forma voluntaria para demostrar conformidad con artículos clave de la ley de IA.

En paralelo, la Comisión Europea mantiene abierta, hasta el 18 de julio, una consulta pública sobre las nuevas reglas que se aplicarán a los sistemas de IA de alto riesgo, con la idea de que las conclusiones sean la base para clasificarlos y establecer sus obligaciones.

Transparencia

El capítulo sobre transparencia desarrolla obligaciones relativas a la información que los proveedores de modelos deben recopilar, actualizar y compartir.

Las empresas firmantes se comprometen a elaborar una documentación técnica detallada para cada modelo lanzado en el mercado de la UE, utilizando un formulario estandarizado (Model Documentation Form) que recoge, entre otros, los siguientes datos:

• Arquitectura y tamaño del modelo (número de parámetros).
• Modalidades de entrada y salida (texto, imagen, audio, vídeo).
• Procedencia del modelo (si ha sido afinado o modificado a partir de otros).
• Condiciones de distribución y tipo de licencia.
• Capacidades, limitaciones y riesgos conocidos.

Esta documentación debe mantenerse actualizada a lo largo del ciclo de vida del modelo y conservarse al menos durante diez años tras su publicación en el mercado europeo.

Además, parte de la información debe compartirse proactivamente con los desarrolladores que integren estos modelos en productos de IA (los llamados downstream providers), mientras que el resto se entregará solo a petición de la Oficina de IA o de las autoridades nacionales.

Derechos de autor

El segundo capítulo aborda una de las áreas más sensibles de la IA generativa: el cumplimiento del derecho europeo de propiedad intelectual. Según la ley de IA, los proveedores de GPAI deben implementar una política de copyright específica que garantice el uso legítimo de los contenidos utilizados para entrenar los modelos.

Para ello, el código exige a las empresas adoptar medidas como:

• No sortear barreras técnicas o paywalls en webs protegidas mediante tecnologías de acceso restringido.
• Respetar las reservas expresas de derechos (por ejemplo, a través del archivo robots.txt o metadatos normalizados).
• Excluir de sus procesos de rastreo aquellas webs identificadas por autoridades europeas como infractoras reincidentes de derechos de autor.
• Aplicar salvaguardas técnicas para evitar que los modelos generen salidas que reproduzcan obras protegidas.

Asimismo, se insta a las empresas a designar puntos de contacto para que los titulares de derechos o entidades de gestión puedan presentar reclamaciones, y se les anima a participar en procesos colaborativos para definir estándares técnicos de señalización de contenidos protegidos.

Seguridad

El capítulo más extenso del código se dedica a los modelos con riesgo sistémico, una categoría que hace referencia a aquellos GPAI que, por su potencia, escala o nivel de uso, pueden generar impactos significativos sobre la seguridad, la salud pública, el medio ambiente o los derechos fundamentales.

Este apartado desarrolla entre otros estos compromisos:

• Establecer un marco de seguridad y mitigación de riesgos actualizado, que incluya evaluaciones periódicas a lo largo del ciclo de vida del modelo.
• Realizar un análisis estructurado de riesgos sistémicos, estimando su probabilidad y gravedad, e identificando los umbrales a partir de los cuales dejarían de ser aceptables.
• Aplicar medidas técnicas de mitigación (como filtros de entrada/salida, limitaciones de acceso o técnicas avanzadas de control de comportamiento).
• Permitir que evaluadores externos independientes accedan al modelo para realizar pruebas de seguridad.
• Notificar a la Oficina de IA cualquier incidente grave.

Este marco también prevé flexibilidades para pequeñas y medianas empresas, que podrán beneficiarse de procedimientos simplificados o del apoyo de la Oficina de IA para cumplir con los requisitos.

Hacia la regulación obligatoria

Aunque el código no tiene carácter legal ni sustituye el cumplimiento obligatorio del Reglamento, su función es doble: por un lado, ayudar a los proveedores a prepararse para las futuras exigencias de la ley de IA; por otro, permitir a las autoridades evaluar de forma más ágil si un modelo cumple con los principios del reglamento, especialmente en el caso de modelos con riesgo sistémico.

La Comisión Europea confía en que actores clave del sector -como OpenAI, Google DeepMind, Anthropic, Mistral o Aleph Alpha- se adhieran al código en las próximas semanas, dando continuidad a los compromisos asumidos en el marco del AI Pact presentado por Bruselas a finales de 2023 como vía para anticipar el cumplimiento del Reglamento.

Algunas de estas compañías han participado activamente en la elaboración del código a través de los grupos de trabajo organizados por la Comisión y han expresado públicamente su disposición a seguir colaborando con las autoridades europeas en la construcción de un marco regulatorio robusto y equilibrado.

Meta no lo suscribirá

Sin embargo, no todas las grandes tecnológicas han mostrado el mismo grado de entusiasmo. Meta ya ha dicho que no tiene previsto adherirse al código, al menos no en su redacción actual.

La matriz de Facebook, Instagram y WhatsApp defiende que su modelo de desarrollo abierto -con lanzamientos como Llama bajo licencias permisivas- ya incorpora elementos clave de transparencia y colaboración, y ha advertido sobre el riesgo de que las obligaciones adicionales que impone el código penalicen este tipo de enfoques frente a modelos más cerrados.

La Comisión, por su parte, ha reiterado que el código no pretende favorecer ningún modelo de negocio concreto, sino establecer una base común de garantías mínimas en materia de seguridad, derechos fundamentales y cumplimiento normativo, en línea con los principios recogidos en la ley de IA.

Pese a las discrepancias, el Ejecutivo comunitario mantiene abiertas las puertas a futuras adhesiones y revisiones del texto.

Un texto publicado con retraso tras las críticas

La Comisión y los países de la UE están ahora analizando el código y podrían introducir cambios antes del 2 de agosto, fecha en la que entran en vigor las obligaciones que marca la ley de IA, aunque su cumplimiento no será efectivo hasta un año después.

El último borrador que la Comisión presentó a principios de año recibió las críticas de los eurodiputados que redactaron la ley de IA, de expertos y de poseedores de derechos de propiedad intelectual, porque consideraban que el documento no obligaba a los desarrolladores a evaluar sus riesgos para los derechos fundamentales.