Ley de IA: Código de conducta para modelos GPAI

Tras tres borradores y varias reuniones, los cuatro grupos de trabajo han presentado a la Comisión Europea la versión final del Código de Conducta para modelos de IA de Propósito General (IAPG), como los que sustentan ChatGPT, Gemini y Claude. Se trata, en esencia, de directrices para el cumplimiento de las disposiciones de la Ley de IA, vigente desde el 2 de agosto. La Asociación de la Industria de la Computación y las Comunicaciones (CCIA) criticó inmediatamente el texto.

El código de conducta no es obligatorio , pero sirve para ilustrar cómo deben cumplirse los artículos 53 y 55 de la Ley de IA, relativos a los modelos GPAI (estándar y con riesgos sistémicos). Las empresas que optan por adherirse al código se comprometen a seguir las instrucciones establecidas en los tres capítulos .

El primer capítulo trata sobre la transparencia . Los proveedores de IA deben proporcionar información completa sobre sus modelos cuando se lanzan al mercado y se actualizan. Esto se realiza mediante un formulario dividido en varias secciones. Por ejemplo, la empresa debe especificar el nombre del modelo, la fecha de lanzamiento, la arquitectura, el tamaño, los tipos de entrada/salida, los métodos de distribución y licencia, el tipo de uso y las especificaciones del proceso de entrenamiento.

El segundo capítulo trata sobre los derechos de autor . Los firmantes se comprometen a cumplir con la legislación europea sobre derechos de autor. Por ejemplo, no deben utilizar el contenido del sitio web sin autorización ni entrenar modelos con material pirateado. También deben implementar medidas para evitar la generación de resultados que infrinjan los derechos de autor.

El tercer capítulo aborda la seguridad de los modelos de IA con riesgos sistémicos. Los proveedores se comprometen a detectar y mitigar riesgos, como el uso de modelos para llevar a cabo ciberataques o desarrollar armas. Los incidentes de seguridad deben notificarse y las medidas correctivas deben tomarse dentro de plazos específicos (por ejemplo, dos días para daños a infraestructura crítica y cinco días para filtraciones de datos).

Varias empresas europeas habían solicitado un aplazamiento en la implementación de la Ley de IA para los modelos GPAI, pero la Comisión Europea confirmó la fecha límite del 2 de agosto. Según la Cámara de Comercio, el código de conducta beneficiará a los proveedores que no lo firmen e introduce medidas que van más allá del alcance de la Ley de IA.