La Comisión Europea continúa desgranando el Reglamento de Inteligencia Artificial: definición de sistema de IA y código de buenas prácticas

El pasado 6 de febrero, en atención de las previsiones establecidas en el artículo 96.1. f) del Reglamento IA, la Comisión Europea publicó las directrices sobre la definición de sistema de inteligencia artificial, que se unen a las publicadas días antes sobre las prácticas prohibidas de inteligencia artificial, sobre las que ya publicamos anteriormente este post.

Estas nuevas directrices tienen por objetivo tratar de ayudar a los diferentes operadores a identificar si se encuentran ante un sistema de inteligencia artificial que se encuentre regulado por el Reglamento de IA.

Las directrices vienen a tratar de concretar la definición de “sistema de inteligencia artificial” contenida en el artículo 3 (1) del Reglamento IA. Como se desprende de este artículo, y se matiza en las directrices, a la hora de analizar si estamos ante un sistema de inteligencia artificial, debemos encontrarnos ante un sistema cumpla todos estos requisitos:

• Basado en una máquina (hardware y software).
• Diseñado para funcionar con diferentes niveles de autonomía, es decir, que pueda actuar con cierto grado de independencia con respecto a la actuación humana y tenga ciertas capacidades para funcionar sin intervención humana.
• Que pueda mostrar capacidad de adaptación tras el despliegue, un elemento que no es requisito indispensable para estar dentro del ámbito de aplicación del Reglamento IA. Es decir, un sistema de inteligencia artificial puede tener tal consideración a efectos del Reglamento IA incluso aunque no tengan capacidad de adaptación tras el despliegue.
• Que tenga objetivos explícitos o implícitos, es decir, tanto objetivos establecidos claramente que se codifican directamente por el desarrollador del sistema (por ejemplo, optimización de costes en una función) como objetivos que no se establecen explícitamente, pero se pueden deducir del comportamiento o asunciones subyacentes del sistema.
• Que infiera de la información de entrada que recibe la manera de generar resultados de salida, es decir, no se basa en reglas predefinidas por humanos para ejecutar automáticamente operaciones.
• Las directrices citan algunos ejemplos que no cumplirían este elemento y, por tanto, no serían un sistema de inteligencia artificial a los efectos del Reglamento de IA: sistemas de gestión de bases de datos para filtrar o seleccionar según determinado criterio o sistemas de análisis meramente descriptivo como podría ser un software que utiliza técnicas de estadística sobre datos de encuestas.
• Los resultados de salida generados puedan ser, entre otros, predicciones, contenido, recomendaciones o decisiones. El Reglamento IA utiliza la expresión “como”, lo que quiere decir que el resultado de salida puede ser otro.
• Que el resultado de salida pueda influir en entornos físicos o virtuales. La propia redacción del reglamento determina que esta influencia no es esencial para la calificación de un sistema como IA.

Si bien estas directrices aún no están formalmente aprobadas y no tienen carácter vinculante, pueden ayudar a interpretar alguno de los múltiples términos indefinidos contenidos en el artículo 3 del Reglamento de IA. Esto puede ser de especial utilidad, teniendo en cuenta que la mayor parte del tejido empresarial se encuentra revisando y clasificando, contrarreloj, los sistemas de inteligencia artificial que utilizan, desarrollan o introducen en el mercado.

IA de uso general

El otro documento publicado por la Comisión Europea al que nos referimos es el tercer borrador del Código de Buenas Prácticas para la Inteligencia Artificial (IA) de Uso General, elaborado por expertos independientes. Este documento es fundamental para detallar las obligaciones establecidas en el Reglamento de IA, proporcionando a los proveedores directrices claras para garantizar el cumplimiento normativo y fomentar el desarrollo de modelos de IA seguros y fiables.

Este tercer borrador presenta una estructura más simplificada y precisa en comparación con versiones anteriores. Se centra en una serie de compromisos de alto nivel, acompañados de medidas detalladas para su implementación efectiva. Entre los aspectos más destacados, se incluyen:

• Transparencia y derechos de autor: todos los proveedores de modelos de IA de uso general deben cumplir con obligaciones específicas en materia de transparencia y respeto a los derechos de autor. Para facilitar este proceso, se ha incorporado un formulario de documentación estandarizado que permite recopilar y presentar la información requerida de manera coherente y accesible.
• Evaluación y mitigación de riesgos sistémicos: para los proveedores de modelos de IA que puedan representar riesgos sistémicos (definidos en el Reglamento de IA), el código establece medidas específicas. Estas incluyen la realización de evaluaciones exhaustivas de los modelos, la implementación de estrategias de mitigación de riesgos, la notificación obligatoria de incidentes graves y el cumplimiento de estrictas normas de ciberseguridad.

La creación de este código ha sido un esfuerzo colaborativo, coordinado por la Oficina Europea de IA, queha contado con la participación activa de cerca de 1.000 partes interesadas, incluyendo proveedores de modelos de IA, intermediarios, representantes de la industria, sociedad civil, académicos y expertos independientes. Esta diversidad asegura que el código refleje una amplia gama de perspectivas y conocimientos especializados.

Para los profesionales del derecho especializados en el mundo digital, este código representa una herramienta esencial. Ofrece un marco detallado sobre las responsabilidades y mejores prácticas para los proveedores de modelos de IA de uso general, facilitando la interpretación y aplicación del Reglamento de IA. Además, promueve la adopción de prácticas que equilibran la innovación tecnológica con la protección de los derechos fundamentales y la seguridad de los usuarios.

Se espera que el código definitivo esté listo en mayo de 2025, proporcionando a los proveedores una guía clara para demostrar el cumplimiento del Reglamento de IA antes de su plena aplicabilidad en agosto de 2025. La versión final incorporará las aportaciones recibidas durante esta última fase de consulta, asegurando que las directrices sean prácticas y adaptadas a las necesidades del sector.

Siguientes pasos

La complejidad jurídica y técnica de esta nueva norma exige un esfuerzo de análisis y adaptación para todos los involucrados en las tareas de desarrollo de tecnología y en su cumplimiento regulatorio. Así lo demuestra el hecho de que la propia Comisión Europea esté publicando materiales de ayuda a la interpretación y aplicación de la norma.