La pestaña Ley de IA de la UELas primeras disposiciones, como las relativas a las prácticas de IA prohibidas, entraron en vigor en febrero de 2025. La implementación gradual de los requisitos continúa hasta agosto de 2027, cuando todos los sistemas deberán cumplir con las obligaciones de la Ley. Este mes, la Oficina de IA publicó el Código de Prácticas de IA de Propósito General para proveedores de modelos de IA de Propósito General (IAPG) y modelos IAPG con riesgo sistémico.
El Código, una herramienta voluntaria elaborada por expertos independientes, está diseñado para ayudar a los proveedores de modelos GPAI a cumplir con sus obligaciones en virtud de la Ley. Los firmantes deberán publicar resúmenes de los datos de entrenamiento, evitar el uso no autorizado de contenido protegido por derechos de autor y establecer marcos internos para la supervisión de riesgos. El Código sirve como guía para demostrar el cumplimiento de las obligaciones estipuladas en los artículos 53 y 55 de la Ley de IA de la UE, si bien su adhesión no constituye una prueba concluyente de cumplimiento.
Se compone de tres capítulos: Transparencia, Derechos de Autor y Seguridad. En este blog, exploramos los tres capítulos introducidos en el Código de Práctica y describimos los próximos pasos para las organizaciones.
Términos clave utilizados en el Código de prácticas
Riesgo sistémico: La Ley de IA de la UE define el riesgo sistémico como específico de las capacidades de alto impacto: los modelos entrenados con una cantidad acumulada de cómputo mayor a 10^25 operaciones de punto flotante poseen capacidades de alto impacto.
Compromisos: Las obligaciones que los firmantes del Código de Prácticas se comprometen a asumir, por ejemplo:
- Documentación
- Adopción de un marco de seguridad y protección de última generación.
medidas: Las acciones específicas que los firmantes adoptan para alinearse con los compromisos y cumplir con las obligaciones del Código de Prácticas, por ejemplo:
- Mantener actualizada la documentación del modelo
- Creación del marco de seguridad y protección.
Código de prácticas de la Ley de IA de la UE sobre IA (GPAI): Transparencia
El capítulo de Transparencia contiene un compromiso – Documentación – y tres medidas (1.1, 1.2 y 1.3) para garantizar la transparencia, integridad y relevancia de la información proporcionada por los proveedores de modelos GPAI y modelos GPAI con riesgo sistémico.
Los firmantes deben documentar toda la información mencionada en el Formulario de Documentación Modelo, que se describe a continuación, y actualizarlo para reflejar los cambios pertinentes. Las empresas también deben conservar las versiones anteriores de la Documentación Modelo hasta por 10 años.
Para garantizar la transparencia, las organizaciones también deben divulgar la información de contacto de la Oficina de Inteligencia Artificial para solicitar acceso a la información necesaria. Deben proporcionar información adicional actualizada cuando se les solicite, en un plazo razonable y, en todo caso, en un plazo máximo de 14 días tras recibir la solicitud.
Las organizaciones deben asegurarse de que la información que proporcionan esté controlada en términos de calidad e integridad y se conserve como evidencia de cumplimiento.
¿Qué es el Formulario Modelo de Documentación?
El capítulo de Transparencia incluye un Formulario Modelo de Documentación que permite a los proveedores documentar la información necesaria para cumplir con la obligación de la Ley de IA de la UE de garantizar la transparencia suficiente. El formulario indica, para cada elemento, si la información está destinada a los proveedores intermedios, a la Oficina de IA o a las autoridades nacionales competentes.
Los destinatarios de la información proporcionada en el formulario de documentación modelo deben respetar la confidencialidad de la información de conformidad con el artículo 78 de la Ley de IA de la UE y garantizar que existan medidas de ciberseguridad para proteger la seguridad y la confidencialidad de la información.
Ley de IA de la UE Código de prácticas GPAI – Copyright
El capítulo dos del Código de prácticas aborda los derechos de autor y contiene un compromiso (la política de derechos de autor) y cinco medidas que los firmantes deben implementar para garantizar el cumplimiento de la legislación de la UE sobre derechos de autor y derechos conexos, de conformidad con el artículo 53 de la Ley de IA de la UE.
En términos generales, este capítulo incluye:
- Establecer una política de derechos de autor
- Adopción de medidas para cumplir con la política de derechos de autor y las reservas de derechos de la UE
- Mitigación del riesgo de infracción de derechos de autor en los resultados de los modelos de IA
- Establecer un punto de contacto para la comunicación con los titulares de derechos y la presentación de reclamaciones.
Para cumplir con los requisitos de este capítulo, los firmantes deben implementar y actualizar sistemáticamente una política de derechos de autor para los modelos GPAI que comercializan en la UE, y mantenerla en un único documento. Asimismo, deben garantizar la asignación de responsabilidades dentro de su organización para la implementación y el mantenimiento de dicha política.
Las organizaciones que deseen adherirse al Código de Prácticas también deben asegurarse de reproducir y extraer únicamente contenido protegido por derechos de autor y de acceso legal al navegar por internet. Esto implica excluir los sitios web que los tribunales o las autoridades de la UE consideren que infringen los derechos de autor. Se publicará una lista de estos sitios web para respaldar esta medida.
En consonancia con esto, las organizaciones deben cumplir con las reservas de derechos al rastrear internet, por ejemplo, empleando rastreadores web que lean y sigan las instrucciones del archivo robots.txt de un sitio web, el cual indica las áreas del sitio a las que los rastreadores pueden acceder. Además, las organizaciones deben identificar y cumplir con otros protocolos legibles por máquina adecuados para expresar reservas de derechos.
Código de prácticas de la Ley de IA de la UE sobre seguridad y protección de la GPAI
El tercer y último capítulo del Código de Prácticas es el más exhaustivo, ya que describe prácticas para la gestión de riesgos sistémicos y apoya a los proveedores en el cumplimiento de las obligaciones de la Ley de IA de la UE para los modelos GPAI que presentan riesgo sistémico. Este capítulo incluye diez compromisos compuestos por múltiples medidas:
Adopción, implementación y actualización de un marco de seguridad y protección adecuado Describir los procesos y medidas de gestión de riesgos sistémicos que las organizaciones han implementado para garantizar que los riesgos sistémicos derivados de sus modelos sean aceptables.
Identificación del riesgo sistémico: Las organizaciones deben implementar un proceso estructurado para identificar los riesgos sistémicos derivados de sus modelos de IA y desarrollar escenarios de riesgo sistémico para cada riesgo sistémico identificado.
Análisis de riesgo sistémico, incluida la recopilación de información independiente del modelo, la realización de evaluaciones, la modelización del riesgo sistémico, la estimación del riesgo sistémico y la realización de un seguimiento posterior a la comercialización.
Determinación de la aceptación del riesgo sistémico, incluyendo la especificación de criterios de aceptación, la determinación de si los riesgos sistémicos derivados de un modelo de IA son aceptables y la decisión de si se debe proceder con el desarrollo y uso en función de la determinación de aceptación del riesgo sistémico.
Implementación de mitigaciones de seguridad durante todo el ciclo de vida del modelo para garantizar que los riesgos sistémicos derivados del modelo sean aceptables, por ejemplo, modificando el comportamiento del modelo en aras de la seguridad.
Implementación de mitigaciones de seguridad Como un nivel adecuado de protección cibernética. Las organizaciones también deben garantizar que los riesgos sistémicos derivados del acceso, uso o robo no autorizados de los modelos sean aceptables.
Creación de un informe del modelo de seguridad y protección Antes de comercializar un modelo, se debe garantizar su actualización. Las organizaciones pueden crear un único Informe de Modelo para varios modelos si los procesos y medidas de evaluación y mitigación de riesgos sistémicos de un modelo no se pueden comprender sin la referencia a los demás. Las pymes pueden reducir el nivel de detalle de sus Informes de Modelo para reflejar las limitaciones de tamaño y capacidad.
Asignación de responsabilidad por riesgo sistémico definiendo responsabilidades para gestionar los riesgos sistémicos de los modelos en todos los niveles de la organización y asignando recursos apropiados a aquellos a quienes se les han asignado responsabilidades para gestionar el riesgo sistémico.
Informe de incidentes graves, Implementando procesos y medidas para el seguimiento, la documentación y la notificación de incidentes graves a la Oficina de Inteligencia Artificial (y a las autoridades nacionales competentes, cuando corresponda) sin demoras indebidas. Los signatarios también deben proporcionar los recursos necesarios para dichos procesos y medidas.
Documentación adicional y transparencia – incluyendo la documentación de la implementación de este Capítulo y la publicación de versiones resumidas de sus Informes Marco y Modelo, según sea necesario. La documentación adicional incluye una descripción detallada de la arquitectura del modelo, su integración en los sistemas de IA, las evaluaciones del modelo realizadas de conformidad con este Capítulo y las medidas de mitigación de seguridad implementadas.
Adherencia al Código de Prácticas ISO 42001
El Código de Prácticas es voluntario. Sin embargo, ofrece a los proveedores de modelos GPAI y modelos GPAI con riesgo sistémico una manera de demostrar su cumplimiento de las obligaciones legales de la Ley de IA de la UE.
Si su empresa planea adherirse al Código de Prácticas, ISO 42001, La norma ISO 42001 proporciona un marco de buenas prácticas para la creación, el mantenimiento y la mejora continua de un sistema de gestión de IA (AIMS) y también puede contribuir al cumplimiento más amplio de la Ley de IA de la UE. La norma ISO XNUMX está diseñada para garantizar que las organizaciones consideren cuestiones específicas relacionadas con la IA, como la seguridad, la protección, la equidad, la transparencia, la calidad de los datos y la calidad de los sistemas de IA a lo largo de su ciclo de vida.
Si bien el Código de prácticas de GPAI está dirigido a proveedores de modelos de IA, no de sistemas, la norma ISO 42001 proporciona una base para que las organizaciones implementen un AIMS ético y transparente que cubra tanto los modelos como los sistemas de IA por igual.
Existe una alta convergencia entre los requisitos de la norma y las medidas y compromisos descritos en el Código de Prácticas. Por ejemplo, la norma ISO 42001 exige que las organizaciones identifiquen y gestionen los riesgos de la IA (Cláusula 6.1.2. Evaluación de riesgos de la IA, Cláusula 6.1.3. Tratamiento de riesgos de la IA, y Cláusula 8.3. Tratamiento de riesgos de la IA).
La implementación de la norma ISO 42001 también implica la creación de procesos de documentación y registro que cubran todos los aspectos del AIMS, incluyendo políticas, procedimientos, datos de rendimiento y registros de cumplimiento. Esto se alinea directamente con el requisito de documentación del Capítulo Uno del Código de Prácticas.
Un AIMS sólido y compatible con la norma ISO 42001 puede permitir a las organizaciones mantener y demostrar fácilmente evidencia de cumplimiento con el Código de prácticas y la Ley de IA de la UE.
Próximos Pasos
Implementar las medidas necesarias para cumplir con el Código de Prácticas puede ser un desafío. Ahora es el momento de revisar sus esfuerzos actuales de documentación de IA, la alineación con los derechos de autor y la gestión de riesgos sistémicos, identificando las brechas entre su gestión actual y las medidas exigidas por el Código de Prácticas.
Si su organización está considerando cumplir con la norma ISO 42001, contactar Para descubrir cómo ISMS.online puede ayudarle. Dé el siguiente paso hacia una gestión responsable y metódica de la IA, garantizando la implementación de modelos y sistemas de IA de forma ética, segura y conforme a sus obligaciones legales según la Ley de IA de la UE.
