Muchas de las disposiciones finales de la Ley de IA de la UE entrarán en vigor en 2026. El 2 de agosto, la mayor parte de la Ley de IA de la UE se aplicará a los operadores de sistemas de IA en todos los niveles, con la excepción del artículo 6, apartado 1, y los sistemas a que se refiere el artículo 111, apartado 1. A partir de esa fecha, la Ley se aplicará a los operadores de sistemas de IA de alto riesgo que se hayan comercializado o puesto en servicio antes de dicha fecha.
Para ayudar a las empresas a cumplir con los requisitos de transparencia del artículo 50, la Comisión Europea ha publicado el segundo borrador del Código de Buenas Prácticas sobre Transparencia del Contenido Generado por IA. Esta herramienta voluntaria, elaborada por expertos independientes, aborda aspectos clave para los proveedores y usuarios de sistemas de IA que generan contenido comprendido en el ámbito de aplicación del artículo 50; asimismo, ayuda a las organizaciones a demostrar el cumplimiento de la ley.
El Código se compone de dos secciones. La sección 1 contiene reglas para el marcado y la detección de contenido generado y manipulado por IA, aplicables a los proveedores de sistemas de IA. Por su parte, la sección 2 contiene reglas para el etiquetado de deepfakes y texto publicado generado y manipulado por IA, aplicables a quienes implementan sistemas de IA.
Términos clave utilizados en el Código de prácticas
Recital – Texto introductorio al comienzo de una sección que expone los motivos de sus disposiciones operativas.
Compromisos: Las obligaciones a las que se comprometen los firmantes del Código de Buenas Prácticas, por ejemplo, la implementación de ciertas medidas para garantizar que los resultados de sus sistemas de IA sean detectables como generados o manipulados por IA.
Medidas y submedidas: Las acciones específicas que los firmantes deben emprender para cumplir con los compromisos descritos en el Código de Buenas Prácticas.
Sección 1: Reglas para el marcado y la detección de contenido generado y manipulado por IA.
La sección 1 es aplicable a los proveedores de sistemas de IA y se relaciona con el artículo 50, apartados 2 y 5, de la Ley de IA de la UE.
Los objetivos específicos de la Sección 1 del Código son servir como documento guía para demostrar el cumplimiento de las obligaciones establecidas en la Ley, si bien la adhesión al Código no constituye prueba concluyente de dicho cumplimiento. Esta Sección está diseñada para ayudar a los proveedores de sistemas de IA que generan audio, imágenes, vídeos o texto sintéticos a cumplir con sus obligaciones y para permitir a las autoridades de vigilancia del mercado evaluar dicho cumplimiento.
Compromiso 1: Marcado multicapa de contenido generado por IA
En el Compromiso 1, los signatarios del Código se comprometen a marcar cualquier contenido de audio, imagen, vídeo o texto generado o manipulado por los sistemas de IA que comercialicen o pongan en servicio en la Unión Europea de forma legible por máquina. Esto se aplica a los resultados de los sistemas de IA generativa e incluye sistemas de IA de propósito general.
Por lo tanto, las medidas del Compromiso 1 incluyen:
Implementación de un enfoque de marcado multicapa, asegurando que estas salidas estén marcadas con al menos dos capas de marcado activo legible por máquina.
Los metadatos firmados digitalmente, las técnicas de marca de agua imperceptibles integradas en el contenido y los sistemas de huella digital o registro son métodos obligatorios para marcar el contenido generado por IA si este se genera o exporta en un formato compatible con dichas técnicas. Por ejemplo, los firmantes del Código deben incluir información sobre si el contenido ha sido generado o manipulado por IA como parte de los metadatos de un archivo de audio, imagen, vídeo o documento.
No eliminación del marcado legible por máquina Exige a los firmantes que hagan "todo lo posible" por preservar las marcas en el contenido generado o manipulado por su sistema de IA, absteniéndose de alterar o eliminar los metadatos existentes cuando sea técnicamente factible.
Transparencia de la cadena de procedencia Se trata de una medida opcional que anima a los signatarios a aplicar estándares de procedencia que proporcionen más información sobre la cadena de procedencia del contenido generado o manipulado por IA en todos los flujos de trabajo, siempre que sea técnicamente factible.
Funcionalidad opcional para marcas perceptibles (para deepfakes y texto publicado generado y manipulado por IA). Se anima a los proveedores de sistemas de IA generativa capaces de generar deepfakes y textos publicados generados y manipulados por IA a que proporcionen una funcionalidad opcional en la interfaz de su sistema e implementen una opción integrada que permita a los implementadores y otros usuarios aplicar directamente una marca o etiqueta perceptible y legible por máquina a un resultado generado, a su propia discreción.
Compromiso 2 – Detección del marcado de contenido generado por IA
El Compromiso 2 exige a los firmantes del Código que implementen medidas para permitir la detección de contenido de audio, imagen, vídeo o texto (o una combinación de estos) generado o manipulado por su sistema de IA. Asimismo, deben garantizar que esta información se proporcione de forma clara, distinguible y accesible mediante herramientas o API.
Las medidas del Compromiso 2 incluyen:
Mecanismos de detección para el marcado activo puestos a disposición de los operadores, usuarios finales y otros terceros. Esta medida exige a los signatarios que garanticen la disponibilidad, de forma gratuita, de una interfaz que permita a los implementadores de sistemas de IA, usuarios, usuarios finales y otras partes legítimas verificar si el contenido ha sido generado o manipulado por su sistema de IA.
mecanismos de detección forense Se trata de una medida opcional que anima a los signatarios a apoyar el desarrollo de detectores forenses capaces de detectar los resultados de los modelos de IA generativa disponibles en el mercado de la Unión, incluso cuando están integrados en sistemas.
Divulgación clara y accesible de los resultados de verificación y detección. Se exige a los firmantes que garanticen que los resultados de detección y verificación se presenten de forma clara y comprensible para quienes deseen verificar el origen del contenido. Esto incluye asegurar que los resultados proporcionen información basada en una marca de agua, metadatos, análisis forense u otras técnicas.
También deben garantizar que los resultados de los mecanismos de detección y sus interfaces de usuario, cuando corresponda, sean accesibles para las personas con discapacidad.
Fomentar la alfabetización en tecnologías de marcado y verificación basadas en IA. Se anima a los signatarios a garantizar que se proporcione documentación comprensible para el público general y otra información relevante (excluyendo secretos comerciales) a los implementadores y otros usuarios para que puedan tomar decisiones informadas sobre los mecanismos de marcado y detección que pueden utilizar. Asimismo, se les anima a proporcionar recursos de alfabetización en IA para los usuarios finales, según corresponda.
Compromiso 3 – Medidas para cumplir con los requisitos de las técnicas de marcado y detección
El Compromiso 3 exige a los signatarios que garanticen que las soluciones técnicas empleadas para el marcado y la detección de contenido generado o manipulado por IA sean eficaces, interoperables, robustas y fiables. Deben esforzarse por lograr la máxima eficacia, interoperabilidad, robustez y fiabilidad posibles de las soluciones de marcado y detección, y alcanzarlas en la medida en que sea técnicamente factible.
Efectividad Exige a los signatarios que implementen soluciones de marcado y detección adecuadas y capaces de permitir a las personas distinguir eficazmente entre el contenido generado o manipulado por IA y el contenido creado por humanos.
Confiabilidad El Código exige a los signatarios que implementen soluciones de marcado y detección que alcancen un alto nivel de fiabilidad en distintos contextos y casos de uso. Esto incluye considerar dos aspectos: la precisión de la detección del marcado en condiciones controladas y cómo varía la precisión de las soluciones de marcado y detección en función de la longitud, la entropía y la semántica del contenido.
Robustez Se exige a los signatarios que implementen soluciones de marcado y detección que alcancen un alto nivel de robustez frente a alteraciones comunes y ataques maliciosos. Esto incluye garantizar que sus técnicas de marcado y detección sean robustas frente a operaciones de procesamiento típicas, como la duplicación, el recorte, la compresión, la captura de pantalla, entre otras. Los signatarios también deben evaluar la robustez frente a ataques maliciosos de sus soluciones de marcado y detección y actualizar con frecuencia las evaluaciones de amenazas.
Interoperabilidad Esta medida exige a los signatarios del Código que implementen soluciones técnicas para el marcado y la detección de contenido generado o manipulado por IA, que funcionen en todos los canales de distribución y entornos tecnológicos. El objetivo es garantizar la plena interoperabilidad de las soluciones de marcado y detección de los distintos proveedores de sistemas de IA que utilicen estándares comunes de marcado y detección.
Avances en el estado del arte del marcado y la detección. Alienta a los signatarios a invertir en investigación y desarrollo científico para avanzar en los mecanismos de marcado y detección de contenido generado y manipulado por IA. Esto dependerá de su capacidad y recursos.
Compromiso 4 – Pruebas, verificación y cumplimiento
El compromiso 4 exige que los firmantes se comprometan a establecer, mantener actualizados e implementar procesos de prueba, verificación y cumplimiento.
Las Medidas de Compromiso 4 incluyen:
Marco de cumplimiento, Esta medida exige a los signatarios que elaboren, implementen y actualicen un marco de cumplimiento que describa los procesos y medidas de marcado y detección que aplican para garantizar el cumplimiento del artículo 50, apartados 2 y 5, de la Ley de IA de la UE. Dicha medida deberá aplicarse de forma proporcional, teniendo en cuenta el tamaño y los recursos del proveedor.
El pruebas, verificación y monitoreo La medida exige a los signatarios que prueben las soluciones de marcado y detección para verificar su conformidad con los requisitos y medidas descritos en la Sección 1 del Código en condiciones reales, antes de su comercialización. Los proveedores de sistemas de IA generativa podrán basarse en los resultados de las pruebas realizadas por un modelo previo o por un proveedor externo de técnicas de marcado y detección.
Capacitación Especializada exige a los signatarios que proporcionen la formación adecuada al personal con funciones pertinentes para garantizar el cumplimiento del artículo 50(2) y (5) de la Ley de IA de la UE, que participen en el diseño y desarrollo de sistemas y modelos de IA y que sean responsables de garantizar que las medidas especificadas en la sección 1 del Código se implementen de manera efectiva.
Cooperación con las autoridades de vigilancia del mercado exige a los signatarios del Código que cooperen con las autoridades competentes de vigilancia del mercado para demostrar el cumplimiento del artículo 50(2) y (5) de la Ley de IA de la UE y sus compromisos en virtud del artículo 1 del Código.
Sección 2: Reglas para el etiquetado de deepfakes y textos publicados generados y manipulados por IA
La sección 2 es aplicable a los implementadores de sistemas de IA y se relaciona con el artículo 50(4) y (5) de la Ley de IA de la UE.
Los objetivos específicos de la Sección 2 del Código son servir como documento guía para demostrar el cumplimiento de las obligaciones de los implementadores de sistemas de IA generativa establecidas en la Ley, si bien la adhesión al Código no constituye prueba concluyente de dicho cumplimiento. Esta Sección está diseñada para ayudar a los implementadores de sistemas de IA que generan o manipulan contenido de imagen, audio o video que constituye un deepfake o texto a cumplir con sus obligaciones y permitir que las autoridades de vigilancia del mercado evalúen el cumplimiento.
Compromiso 1 – Divulgación de deepfakes generados y manipulados por IA y textos publicados
El Compromiso 1 exige a los firmantes que garanticen la divulgación coherente del origen artificial de los archivos deepfake generados o manipulados por IA, o de los textos publicados sobre asuntos de interés público.
Los signatarios pueden hacerlo utilizando el icono uniforme de la UE una vez que esté disponible o eligiendo un icono alternativo o una solución de etiquetado que cumpla con los requisitos especificados en las siguientes Medidas:
Requisitos de diseño para iconos, etiquetas o avisos legales Incluye una lista de requisitos para el diseño de iconos o etiquetas visuales. Esto incluye el elemento visual principal, la palabra «IA» en mayúsculas, posiblemente complementada con una breve etiqueta de texto que indique el tipo de intervención de la IA, por ejemplo, «generado con IA». Para contenido exclusivamente de audio, los firmantes deben incluir una breve advertencia audible. Encontrará más información sobre los requisitos específicos en el Código.
Requisitos de ubicación para iconos, etiquetas o avisos legales Se exige a los firmantes que muestren el icono, la etiqueta o la cláusula de exención de responsabilidad en una posición adecuada y visible, acorde con el formato y el contexto del contenido. Para obtener más información sobre los requisitos específicos, consulte el Código.
Uso opcional de un icono de la UE y participación en su desarrollo. Se trata de un compromiso opcional que anima a los signatarios a utilizar el icono común a nivel de la UE y a apoyar el desarrollo de una etiqueta uniforme de la UE diseñada para proporcionar información más avanzada y útil sobre los elementos de contenido generados o manipulados mediante inteligencia artificial.
Compromiso 2 – Cumplimiento, concienciación y revisión proporcionales
Para cumplir con el Compromiso 2, los signatarios deben implementar procesos internos proporcionales, medidas de sensibilización y mecanismos de revisión para la correcta aplicación del etiquetado de deepfakes y publicaciones de texto en el ámbito del artículo 50(4) de la Ley de IA de la UE.
Cumplimiento interno exige a los signatarios que establezcan, adapten o mantengan documentación interna proporcional para especificar cómo implementan las obligaciones de divulgación en virtud de las secciones mencionadas de la Ley de IA de la UE.
Concienciación y formación exige a los signatarios que realicen esfuerzos razonables y proporcionados para garantizar el conocimiento de las obligaciones de divulgación en virtud del artículo 50, apartados 4 y 5, de la Ley de IA de la UE entre el personal directamente involucrado en la aplicación de las medidas de etiquetado o en la supervisión del cumplimiento de las Medidas del artículo 2 del Código.
Revisión, comentarios y cooperación con las autoridades Requiere que los signatarios apoyen la implementación efectiva de las obligaciones de divulgación a través de mecanismos de revisión y retroalimentación, como proporcionar canales que permitan a las personas o a terceros de confianza, como verificadores de datos independientes, señalar las divulgaciones incorrectas o faltantes.
Compromiso 3 – Divulgación adecuada de obras artísticas, creativas y similares
El Compromiso 3 exige a los signatarios que implementen medidas para divulgar el contenido deepfake que forme parte de obras o programas artísticos, creativos, satíricos, de ficción o análogos. La divulgación debe realizarse de manera apropiada, sin obstaculizar la exhibición ni el disfrute de la obra. En el Código se incluyen sugerencias específicas sobre su ubicación.
Compromiso 4 – Revisión humana, control editorial y responsabilidad en relación con las publicaciones de texto generadas o manipuladas por IA
Para garantizar el cumplimiento del Compromiso 4, los signatarios deberán establecer, adaptar o mantener una documentación mínima que demuestre que el texto generado o manipulado por IA, publicado con el fin de informar al público sobre asuntos de interés público, ha sido sometido a revisión humana o control editorial antes de su publicación, y que una persona física o jurídica es responsable editorial de la publicación.
La documentación deberá incluir la identificación de la persona con responsabilidad editorial, incluyendo su nombre, cargo y datos de contacto, así como una descripción general de las medidas adoptadas para garantizar que se lleve a cabo una revisión humana adecuada.
Adherencia al Código de Prácticas ISO 42001
El Código de Buenas Prácticas es voluntario. Sin embargo, ofrece una forma para que los proveedores y quienes implementan sistemas de IA demuestren su cumplimiento con las obligaciones legales de transparencia de la Ley de IA de la UE.
El norma ISO 42001 Proporciona un marco de buenas prácticas para la creación, el mantenimiento y la mejora continua de un sistema de gestión de IA (AIMS) y también puede contribuir al cumplimiento de la Ley de IA de la UE. El estándar está diseñado para garantizar que las organizaciones consideren cuestiones específicas relacionadas con la IA, como la seguridad, la protección, la equidad, la transparencia, la calidad de los datos y la calidad de los sistemas de IA a lo largo de su ciclo de vida.
La norma ISO 42001 proporciona una base para que las organizaciones implementen un Sistema de Gestión de la Inteligencia Artificial (SIIA) ético y transparente que abarque modelos, sistemas y despliegue de IA. Un SIIA sólido y conforme a la norma ISO 42001 permite a las organizaciones mantener y demostrar fácilmente el cumplimiento del Código de Buenas Prácticas y la Ley de IA de la UE.
Cumplimiento del Código de Buenas Prácticas de la Ley de IA de la UE sobre Transparencia del Contenido Generado por IA
Implementar las medidas necesarias para cumplir con el Código de Buenas Prácticas puede resultar un desafío. Como mínimo, las organizaciones deben adoptar las medidas requeridas para el marcado y la detección transparentes de la IA, revisar la documentación de los procesos de supervisión humana e identificar las discrepancias entre su enfoque actual de transparencia y las medidas exigidas por el Código de Buenas Prácticas.
Si su organización está considerando la certificación ISO 42001, contáctenos para descubrir cómo ISMS.online puede ayudarle. Dé el siguiente paso hacia una gestión de IA responsable y metódica, y asegúrese de que el uso de la IA en su organización cumpla con las obligaciones legales de la Ley de IA de la UE.
Amplíe su conocimiento
Blog: ¿Podría la ISO 42001 convertirse en el regulador de facto de la IA en el Reino Unido?
Webinar: Lecciones de una de las primeras certificaciones ISO 42001 del mundo
