Enlazando con una entrada anterior de nuestro blog, tras la entrada en vigor, el pasado 2 de agosto, del segundo gran paquete normativo del Reglamento de Inteligencia Artificial (RIA), comienzan a aplicarse las normas de gobernanza y las obligaciones específicas para los sistemas de IA de uso general.
En este contexto, el pasado 1 de agosto la Comisión Europea dio luz verde al Código de buenas prácticas para la IA de uso general (artículo 56 del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial) (en adelante, RIA). Si bien este código es una herramienta voluntaria, los proveedores de modelos de IA de uso general y de modelos de IA de uso general con riesgo sistémico pueden confiar en el cumplimiento de los compromisos asumidos en dicho código para demostrar el cumplimiento de las obligaciones previstas en los artículos 53 y 55 del RIA respectivamente.
Hoy vamos a profundizar en el alcance de este Código y en cómo puede ayudar a las entidades a alinear sus modelos de IA de propósito general con las nuevas obligaciones legales en materia de seguridad, transparencia y derechos de autor.
Los objetivos específicos de este Código son:
1.-Servir de documento orientativo para demostrar el cumplimiento de las obligaciones previstas en los artículos 53 y 55 del RIA, reconociendo al mismo tiempo que la adhesión al Código no constituye una prueba concluyente del cumplimiento de estas obligaciones.
2.-Garantizar que los proveedores de modelos de IA de uso general cumplan con sus obligaciones en virtud del RIA y permitir que la Oficina de IA evalúe el cumplimiento de los proveedores de modelos de IA de uso general que opten por confiar en el Código para demostrar el cumplimiento de sus obligaciones.
Elaboración y revisión del Código
El proceso de elaboración del código estuvo presidido por expertos independientes y contó con la participación de casi 1000 partes interesadas, así como de representantes de los Estados miembros de la UE y observadores europeos e internacionales. La Oficina de IA desempeñó un papel clave coordinando debates, documentando resultados y asegurando la participación de todos los actores implicados.
El código se publicó el 10 de julio de 2025. Si bien, el mismo se complementa con las directrices de la Comisión sobre conceptos clave relacionados con los modelos de IA de propósito general que aporta claridad sobre el alcance de las obligaciones de los proveedores.
Paralelamente al proceso del Código de buenas prácticas, la Oficina de IA también ha desarrollado una plantilla con un resumen suficientemente detallado de los datos de entrenamiento que los proveedores de modelos de IA de propósito general deben publicar, de conformidad con el artículo 53(1)d) RIA.
El Código será revisado al menos cada dos años y podrá actualizarse en función de los avances tecnológicos, cambios en los riesgos o la experiencia adquirida con la aplicación del RIA.
Adhesión voluntaria
Tras la aprobación del Código, los proveedores de modelos de IA que la firmen voluntariamente podrán demostrar que cumplen con sus obligaciones mediante la adhesión al código. Esto reducirá su carga administrativa y les brindará mayor seguridad jurídica que si demostraran su cumplimiento mediante otros métodos. La adhesión se formaliza enviando un formulario de firma a EU-AIOFFICE-CODE-SIGNATURES@ec.europa.eu.
El Código establece un total de 12 compromisos, divididos en tres capítulos:
- Transparencia
- Derechos de autor
- y Seguridad
Los capítulos sobre transparencia y derechos de autor ofrecen a todos los proveedores de modelos de IA de propósito general una forma de demostrar el cumplimiento de sus obligaciones en virtud del artículo 53 del RIA.
El capítulo de Transparencia (PDF) ofrece un Formulario de Documentación Modelo fácil de usar que permite a los proveedores documentar fácilmente la información necesaria para cumplir con el deber de transparencia. En dicho formulario se recaba entre otra información los datos utilizados para el entrenamiento, las pruebas y validación.
El capítulo sobre derechos de autor (PDF) ofrece soluciones prácticas para cumplir la obligación de implementar una política conforme a la legislación de la UE en materia de derechos de autor. Entre las medidas destacan:
1.1 Elaborar, actualizar y aplicar una política de derechos de autor para todos los modelos introducidos en el mercado de la UE.
1.2 Limitar el rastreo web a contenido protegido legalmente accesible.
1.3 Respetar las reservas de derechos durante el rastreo.
1.4 Mitigar el riesgo de resultados que infrinjan derechos de autor.
1.5 Designar un punto de contacto y habilitar un canal de reclamaciones.
El capítulo sobre Seguridad y Protección (PDF) . describe prácticas concretas que solo son relevantes para el pequeño número de proveedores de los modelos más avanzados, aquellos que están sujetos a las obligaciones del RIA para los proveedores de modelos de IA de propósito general con riesgo sistémico según el artículo 55 del RIA.
El Reglamento define el riesgo sistémico como específico de las capacidades de alto impacto, es decir, capacidades que igualan o superan las de los modelos de IA de propósito general más avanzados y que tienen un impacto significativo en el mercado de la Unión. Actualmente se presumirá que un modelo de IA de uso general tiene capacidades de gran impacto con arreglo al apartado 1, letra a) art. 51 RIA, cuando la cantidad acumulada de cálculo utilizada para su entrenamiento, medida en operaciones de coma flotante, sea superior a 1025.
Entre los principios a aplicar en este capítulo encontramos los siguientes:
- Principio de gestión adecuada del ciclo de vida. Los proveedores de modelos de IA de uso general con riesgo sistémico deben evaluar y mitigar continuamente los riesgos sistémicos, adoptando las medidas adecuadas a lo largo de todo el ciclo de vida del modelo (incluso durante el desarrollo que se produce antes y después de que un modelo se haya introducido en el mercado), cooperando y teniendo en cuenta a los agentes pertinentes a lo largo de la cadena de valor de la IA.
- Principio de proporcionalidad a los riesgos sistémicos. Los signatarios reconocen que la evaluación y mitigación de los riesgos sistémicos debe ser proporcional a los riesgos [artículo 56, apartado 2, letra d)].
- Principio de innovación en seguridad y protección de IA. Se alienta a los proveedores de modelos de IA de uso general con riesgo sistémico a avanzar en el estado de la técnica en materia de seguridad y protección de la IA.
- Principio de precaución. En particular para los riesgos sistémicos para los que la falta o la calidad de los datos científicos aún no permiten una evaluación completa.
- Pequeñas y medianas empresas («PYME»). Para tener en cuenta las diferencias entre los proveedores de modelos de IA de uso general con riesgo sistémico en cuanto a su tamaño y capacidad, deben ser posibles formas simplificadas de cumplimiento para las pymes.
- Notificación de incidentes graves. Establecimiento de procesos y medidas para realizar un seguimiento y documentar la información relevante antes de que ocurran incidentes graves.
En conclusión
La aprobación del Código de buenas prácticas marca un paso relevante en la aplicación del RIA, ofreciendo a los proveedores de modelos de IA de uso general una vía práctica para acreditar su compromiso con un desarrollo y uso responsable de la inteligencia artificial. Aunque su adhesión sea voluntaria, su implementación puede convertirse en un estándar de referencia y en una ventaja competitiva en un entorno regulatorio cada vez más exigente.
