Modelos de IA de finalidad general en la Ley de IA: preguntas & respuestas

La IA promete enormes beneficios para nuestra economía y nuestra sociedad. Los modelos de IA de uso general desempeñan un papel importante
a este respecto, ya que pueden utilizarse para una variedad de tareas y, por lo tanto, constituyen la base de una serie de sistemas de IA
descendentes, utilizados en Europa y en todo el mundo.

La Ley de IA tiene por objeto garantizar que los modelos de IA de uso general sean seguros y fiables.

Para lograr este objetivo, es fundamental que los proveedores de modelos de IA de uso general comprendan bien sus modelos a lo largo de toda la cadena de valor de la IA, tanto para permitir la integración de dichos modelos en los sistemas de IA descendentes como para cumplir sus obligaciones en virtud de la Ley de IA. Como se explica con más detalle a continuación, los proveedores de modelos de IA de uso general deben elaborar y proporcionar documentación técnica de sus modelos a la Oficina de IA y a los proveedores intermedios, deben establecer una política de derechos de autor y deben publicar un resumen del contenido de la formación. Además, los proveedores de modelos de IA de uso general que planteen riesgos sistémicos, lo que puede ocurrir ya sea porque son muy capaces o porque tienen un impacto significativo en el mercado interior por otros motivos, deben notificarlo a la Comisión, evaluar y mitigar los riesgos sistémicos, realizar evaluaciones de modelos, notificar incidentes graves y garantizar una ciberseguridad adecuada de sus modelos.

De este modo, la Ley de IA contribuye a una innovación segura y fiable en Europa.

La Ley de IA define un modelo de IA de uso general como «un modelo de IA, incluso cuando dicho modelo de IA está entrenado con una gran cantidad de datos utilizando la autosupervisión a escala, que muestra una generalidad significativa y es capaz de realizar de manera competente una amplia gama de tareas distintas, independientemente de la forma en que el modelo se introduzca en el mercado y que puede integrarse en una variedad de sistemas o aplicaciones posteriores» (artículo 3, apartado 63).

Los considerandos de la Ley de IA aclaran aún más qué modelos deben considerarse de generalidad significativa y capaces de realizar una amplia gama de tareas distintas.

Según el considerando 98, «mientras que la generalidad de un modelo también podría estar determinada, entre otras cosas, por una serie de parámetros, debe considerarse que los modelos con al menos mil millones de parámetros y formados con una gran cantidad de datos utilizando la autosupervisión a escala muestran una generalidad significativa y realizan de manera competente una amplia gama de tareas distintivas».

El considerando 99 añade que «los grandes modelos generativos de IA son un ejemplo típico de un modelo de IA de uso general, dado que permiten una generación flexible de contenidos, por ejemplo en forma de texto, audio, imágenes o vídeo, que pueden adaptarse fácilmente a una amplia gama de tareas distintivas».

Tenga en cuenta que la generalidad significativa y la capacidad de realizar de manera competente una amplia gama de tareas distintivas pueden lograrse mediante modelos dentro de una sola modalidad, como texto, audio, imágenes o video, si la modalidad es lo suficientemente flexible. Esto también puede lograrse mediante modelos que fueron desarrollados, ajustados o modificados de otra manera para ser particularmente buenos en una tarea específica.

La Oficina de IA tiene la intención de proporcionar más aclaraciones sobre lo que debe considerarse un modelo de IA de uso general, basándose en las ideas del Centro Común de Investigación de la Comisión, que actualmente está trabajando en un proyecto de investigación científica que aborda esta y otras cuestiones.

Los riesgos sistémicos son los riesgos de daños a gran escala derivados de los modelos más avanzados (es decir, los más avanzados) en un momento dado o de otros modelos que tienen un impacto equivalente (véase el artículo 3, apartado 65). Estos riesgos pueden manifestarse, por ejemplo, mediante la reducción de las barreras para el desarrollo de armas químicas o biológicas, cuestiones involuntarias de control sobre modelos autónomos de IA de uso general, o discriminación perjudicial o desinformación a escala (considerando 110). Los modelos más avanzados en un momento dado pueden plantear riesgos sistémicos, incluidos riesgos novedosos, ya que están impulsando el estado de la técnica. Al mismo tiempo, algunos modelos por debajo del umbral que refleja el estado de la técnica también pueden plantear riesgos sistémicos, por ejemplo, a través del alcance, la escalabilidad o el andamiaje.

En consecuencia, la Ley de IA clasifica un modelo de IA de uso general como un modelo de IA de uso general con riesgo sistémico si es uno de los modelos más avanzados en ese momento o si tiene un impacto equivalente (artículo 51, apartado 1). Los modelos que se consideran modelos de IA de propósito general con riesgo sistémico pueden cambiar con el tiempo, lo que refleja el estado de la técnica en evolución y la posible adaptación de la sociedad a modelos cada vez más avanzados. Actualmente, los modelos de IA de propósito general con riesgo sistémico son desarrollados por un puñado de empresas, aunque esto también puede cambiar con el tiempo.

Para capturar los modelos más avanzados, la Ley de IA establece inicialmente un umbral de 10^25 operaciones en coma flotante (FLOP) utilizadas para entrenar el modelo [artículo 51, apartado 1, letra a), y apartado 2]. Actualmente se estima que la formación de un modelo que cumpla este umbral costará decenas de millones de euros (EpochAI, 2024). La Oficina de IA supervisará continuamente la evolución tecnológica e industrial y la Comisión podrá actualizar el umbral para garantizar que siga seleccionando los modelos más avanzados a medida que evolucione el estado de la técnica mediante un acto delegado (artículo 51, apartado 3). Por ejemplo, podría ajustarse el valor del propio umbral o introducirse umbrales adicionales.

Para capturar modelos con un impacto equivalente a los modelos más avanzados, la Ley de IA faculta a la Comisión para designar modelos adicionales como de riesgo sistémico, sobre la base de criterios como el número de usuarios, la escalabilidad o el acceso a herramientas [artículo 51, apartado 1, letra b), anexo XIII].

La Oficina de IA tiene la intención de proporcionar más aclaraciones sobre cómo los modelos de IA de uso general se clasificarán como modelos de IA de uso general con riesgo sistémico, basándose en los conocimientos del Centro Común de Investigación de la Comisión, que actualmente está trabajando en un proyecto de investigación científica que aborda esta y otras cuestiones.

Las normas de la Ley de IA sobre modelos de IA de uso general se aplican a los proveedores que introducen dichos modelos en el mercado de la Unión, independientemente de que estén establecidos o localizados en la Unión o en un tercer país [artículo 2, apartado 1, letra a)].

Un proveedor de un modelo de IA de uso general es una persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolla un modelo de IA de uso general o que ha desarrollado un modelo de este tipo y lo introduce en el mercado, ya sea a título oneroso o gratuito (artículo 3, apartado 3).

Comercializar un modelo significa comercializarlo primero en el mercado de la Unión (artículo 3, apartado 9), es decir, suministrarlo para su distribución o uso en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a título oneroso o gratuito (artículo 3, apartado 10). Téngase en cuenta que un modelo de IA de uso general también se considera introducido en el mercado si el proveedor de dicho modelo integra el modelo en su propio sistema de IA que se comercializa o pone en servicio, a menos que el modelo a) se utilice para procesos puramente internos que no sean esenciales para proporcionar un producto o un servicio a terceros, b) los derechos de las personas físicas no se vean afectados, y c) el modelo no sea un modelo de IA de uso general con riesgo sistémico (considerando 97).

Las obligaciones de los proveedores de modelos de IA de uso general se aplican a partir del 2 de agosto de 2025 [artículo 113, letra b)], con normas especiales para los modelos de IA de uso general introducidos en el mercado antes de esa fecha (artículo 111, apartado 3).

Sobre la base del artículo 53 de la Ley de IA, los proveedores de modelos de IA de uso general deben documentar información técnica sobre el modelo con el fin de facilitar dicha información, previa solicitud, a la Oficina de IA y a las autoridades nacionales competentes [artículo 53, apartado 1, letra a)] y ponerla a disposición de los proveedores intermedios [artículo 53, apartado 1, letra b)]. También deben establecer una política para cumplir el Derecho de la Unión en materia de derechos de autor y derechos afines [artículo 53, apartado 1, letra c)] y elaborar y poner a disposición del público un resumen suficientemente detallado sobre el contenido utilizado para la formación del modelo [artículo 53, apartado 1, letra d)].

El Código de buenas prácticas en materia de IA de finalidad general debería proporcionar más detalles sobre estas obligaciones en las secciones relativas a la transparencia y los derechos de autor (dirigidas por el Grupo de Trabajo 1).

Sobre la base del artículo 55 de la Ley de IA, los proveedores de modelos de IA de uso general con riesgo sistémico tienen obligaciones adicionales. Deben evaluar y mitigar los riesgos sistémicos, en particular mediante la realización de evaluaciones de modelos, el seguimiento, la documentación y la notificación de incidentes graves, y la garantía de una protección adecuada de la ciberseguridad del modelo y su infraestructura física.

El Código de buenas prácticas de IA de finalidad general debe proporcionar más detalles sobre estas obligaciones en las secciones relativas a la evaluación del riesgo sistémico, la mitigación del riesgo técnico y la mitigación del riesgo de gobernanza (dirigidas por los grupos de trabajo 2, 3 y 4, respectivamente).

Las obligaciones de elaborar y facilitar documentación a la Oficina de IA, las autoridades nacionales competentes y los proveedores intermedios [artículo 53, apartado 1, letras a) y b)] no se aplican si el modelo se publica con arreglo a una licencia gratuita y de código abierto y sus parámetros, incluidas las ponderaciones, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público. Esta exención no se aplica a los modelos de IA de uso general con riesgo sistémico (artículo 53, apartado 2). Los considerandos 102 y 103 aclaran en mayor medida lo que constituye una licencia gratuita y de código abierto, y la Oficina de IA tiene la intención de proporcionar más aclaraciones sobre cuestiones relativas a los modelos de IA de uso general de fuente abierta.

Por el contrario, los proveedores de modelos de IA de uso general con riesgo sistémico deben cumplir sus obligaciones en virtud de la Ley de IA, independientemente de si sus modelos son de código abierto. Tras la publicación del modelo de código abierto, las medidas necesarias para garantizar el cumplimiento de las obligaciones de los artículos 53 y 55 pueden ser más difíciles de aplicar (considerando 112). Por lo tanto, los proveedores de modelos de IA de uso general con riesgo sistémico pueden tener que evaluar y mitigar los riesgos sistémicos antes de publicar sus modelos como de código abierto.

El Código de buenas prácticas en materia de IA de finalidad general debe proporcionar más detalles sobre lo que implican las obligaciones de los artículos 53 y 55 para las diferentes formas de liberar modelos de IA de finalidad general, incluida la externalización abierta.

Una cuestión importante pero difícil en la que se basa este proceso es la de encontrar un equilibrio entre la búsqueda de los beneficios y la mitigación de los riesgos derivados de la externalización abierta de modelos avanzados de IA de uso general: los modelos avanzados de IA de uso general de fuente abierta pueden aportar beneficios sociales significativos, en particular mediante el fomento de la investigación en materia de seguridad de la IA; al mismo tiempo, cuando estos modelos son de código abierto, las mitigaciones del riesgo se eluden o eliminan más fácilmente.

El artículo 2, apartado 8, especifica que la Ley de IA «no se aplica a ninguna actividad de investigación, ensayo o desarrollo relativa a sistemas o modelos de IA antes de su introducción en el mercado o puesta en servicio».

Al mismo tiempo, muchas de las obligaciones de los proveedores de modelos de IA de uso general (con y sin riesgo sistémico) se refieren explícita o implícitamente a la fase de investigación y desarrollo de modelos destinados a la comercialización, pero antes de esta. Por ejemplo, este es el caso de las obligaciones de los proveedores de notificar a la Comisión que su modelo de IA de uso general cumple o cumplirá el umbral de cálculo de la formación (artículos 51 y 52), de documentar información sobre la formación y las pruebas (artículo 53) y de evaluar y mitigar el riesgo sistémico (artículo 55). En particular, el artículo 55, apartado 1, letra b), especifica explícitamente que «los proveedores de modelos de IA de uso general con riesgo sistémico evaluarán y mitigarán los posibles riesgos sistémicos a escala de la Unión, incluidas sus fuentes, que puedan derivarse del desarrollo (...) de modelos de IA de uso general con riesgo sistémico».

En cualquier caso, la Oficina de IA espera que las conversaciones con los proveedores de modelos de IA de uso general con riesgo sistémico comiencen temprano en la fase de desarrollo. Esto es coherente con la obligación de los proveedores de modelos de IA de uso general que cumplan el umbral de cálculo de la formación establecido en el artículo 51, apartado 2, de «notificar a la Comisión sin demora y, en cualquier caso, en un plazo de dos semanas a partir de que se cumpla dicho requisito o se sepa que se cumplirá» (artículo 52, apartado 1). De hecho, la formación de modelos de IA de uso general requiere una planificación considerable, que incluye la asignación inicial de recursos informáticos, por lo que los proveedores de modelos de IA de uso general pueden saber si su modelo alcanzará el umbral de cálculo de la formación antes de que se complete la formación (considerando 112).

La Oficina de Inteligencia Artificial tiene la intención de proporcionar más aclaraciones sobre esta cuestión.

Los modelos de IA de uso general pueden modificarse o afinarse en nuevos modelos (considerando 97). En consecuencia, las entidades descendentes que afinan o modifican de otro modo un modelo de IA de propósito general existente pueden convertirse en proveedores de nuevos modelos. Las circunstancias específicas en las que una entidad descendente se convierte en proveedora de un nuevo modelo son una cuestión difícil con implicaciones económicas potencialmente grandes, ya que muchas organizaciones e individuos afinan o modifican de otro modo los modelos de IA de propósito general desarrollados por otra entidad. La Oficina de Inteligencia Artificial tiene la intención de proporcionar más aclaraciones sobre esta cuestión.

En caso de modificación o ajuste de un modelo de IA de uso general existente, las obligaciones de los proveedores de modelos de IA de uso general establecidas en el artículo 53 deben limitarse a la modificación o ajuste, por ejemplo, complementando la documentación técnica ya existente con información sobre las modificaciones (considerando 109). Las obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico contempladas en el artículo 55 podrán limitarse de manera similar. El Código de prácticas de IA de propósito general podría reflejar las diferencias entre los proveedores que desarrollan inicialmente modelos de IA de propósito general y los que ajustan o modifican de otro modo un modelo existente.

Obsérvese que, independientemente de si una entidad descendente que incorpore un modelo de IA de uso general en un sistema de IA se considera proveedora del modelo de IA de uso general, dicha entidad debe cumplir los requisitos y obligaciones pertinentes de la Ley de IA para los sistemas de IA.

Sobre la base del artículo 56 de la Ley de IA, el Código de buenas prácticas de IA de finalidad general debe detallar la manera en que los proveedores de modelos de IA de uso general y de modelos de IA de uso general con riesgo sistémico pueden cumplir sus obligaciones en virtud de la Ley de IA. La Oficina de IA está facilitando la elaboración de este Código de buenas prácticas, con cuatro grupos de trabajo presididos por expertos independientes en los que participan cerca de 1 000 partes interesadas, representantes de los Estados miembros de la UE y observadores europeos e internacionales.

Más concretamente, el Código de buenas prácticas debe detallar al menos cómo los proveedores de modelos de IA de uso general pueden cumplir las obligaciones establecidas en los artículos 53 y 55. Esto significa que cabe esperar que el Código de buenas prácticas tenga dos partes: una que se aplique a los proveedores de todos los modelos de IA de uso general (artículo 53), y otra que se aplique únicamente a los proveedores de modelos de IA de uso general con riesgo sistémico (artículo 55). Otra obligación que puede estar cubierta por el Código de buenas prácticas es la obligación de notificar a la Comisión a los proveedores de modelos de IA de uso general que cumplan o se espere que cumplan las condiciones enumeradas en el artículo 51 para ser clasificados como modelo de IA de uso general con riesgo sistémico (artículo 52, apartado 1).

El Código de Buenas Prácticas no debe abordar, entre otras, las siguientes cuestiones: definir conceptos y definiciones clave de la Ley de IA (como el «modelo de IA de uso general»), actualizar los criterios o umbrales para clasificar un modelo de IA de uso general como modelo de IA de uso general con riesgo sistémico (artículo 51), esbozar cómo la Oficina de IA hará cumplir las obligaciones de los proveedores de modelos de IA de uso general (capítulo IX, sección 5), y cuestiones relativas a multas, sanciones y responsabilidad.

En cambio, estas cuestiones pueden abordarse por otros medios (decisiones, actos delegados, actos de ejecución, otras comunicaciones de la Oficina de IA, etc.).

No obstante, el Código de buenas prácticas puede incluir compromisos por parte de los proveedores de modelos de IA de uso general para documentar y comunicar información adicional, así como para implicar a la Oficina de IA y a terceros a lo largo de todo el ciclo de vida del modelo, en la medida en que se considere necesario para que los proveedores cumplan efectivamente sus obligaciones en virtud de la Ley de IA.

La Ley de IA distingue entre sistemas de IA y modelos de IA, imponiendo requisitos para determinados sistemas de IA (capítulos II a IV) y obligaciones para los proveedores de modelos de IA de uso general (capítulo V). Si bien las disposiciones de la Ley de IA relativas a los sistemas de IA dependen del contexto de uso del sistema, las disposiciones de la Ley de IA relativas a los modelos de IA de uso general se aplican al propio modelo, independientemente de cuál sea o vaya a ser su uso final. El Código de buenas prácticas solo debe referirse a las obligaciones de la Ley de IA para los proveedores de modelos de IA de uso general.

No obstante, existen interacciones entre los dos conjuntos de normas, ya que los modelos de IA de uso general suelen integrarse en los sistemas de IA y formar parte de ellos. Si un proveedor del modelo de IA de uso general integra un modelo de IA de uso general en un sistema de IA, dicho proveedor debe cumplir las obligaciones de los proveedores de modelos de IA de uso general y, si el sistema de IA entra en el ámbito de aplicación de la Ley de IA, debe cumplir los requisitos aplicables a los sistemas de IA. Si un proveedor intermedio integra un modelo de IA de uso general en un sistema de IA, el proveedor del modelo de IA de uso general debe cooperar con el proveedor intermedio del sistema de IA para garantizar que este último pueda cumplir sus obligaciones en virtud de la Ley de IA si el sistema de IA entra en el ámbito de aplicación de la Ley de IA (por ejemplo, facilitando determinada información al proveedor intermedio).

Dadas estas interacciones entre modelos y sistemas, y entre las obligaciones y los requisitos para cada uno, una cuestión importante que subyace en el Código de Buenas Prácticas se refiere a qué medidas son apropiadas en la capa del modelo y cuáles deben tomarse en la capa del sistema.

El Código de buenas prácticas debe establecer sus objetivos, medidas y, en su caso, indicadores clave de rendimiento (ICR) para medir la consecución de sus objetivos. Las medidas y los indicadores clave de rendimiento relacionados con las obligaciones aplicables a los proveedores de todos los modelos de IA de uso general deben tener debidamente en cuenta el tamaño del proveedor y permitir formas simplificadas de cumplimiento para las pymes, incluidas las empresas emergentes, que no deben representar un coste excesivo ni desincentivar el uso de dichos modelos (considerando 109). Además, los indicadores clave de rendimiento relacionados con las obligaciones aplicables a los proveedores de modelos de IA de uso general con riesgo sistémico deben reflejar las diferencias de tamaño y capacidad entre los distintos proveedores [artículo 56, apartado 5], garantizando al mismo tiempo que sean proporcionales a los riesgos [artículo 56, apartado 2, letra d)].

Tras la publicación del primer borrador del Código de Buenas Prácticas, se espera que en los próximos meses se celebren otras tres rondas de redacción. Trece presidentes y vicepresidentes, procedentes de diversos orígenes en ciencias de la computación, gobernanza de la IA y derecho, son responsables de sintetizar las presentaciones de una consulta de múltiples partes interesadas y los debates con el Plenario del Código de Práctica que consta de alrededor de 1000 partes interesadas. Este proceso iterativo dará lugar a un Código de Buenas Prácticas definitivo que deberá reflejar las distintas propuestas, garantizando al mismo tiempo una aplicación convincente del marco jurídico.

Si se aprueba mediante un acto de ejecución, el Código de buenas prácticas obtiene validez general, lo que significa que la adhesión al Código de buenas prácticas se convierte en un medio para demostrar el cumplimiento de la Ley de IA. No obstante, el cumplimiento de la Ley de IA también puede demostrarse de otras maneras.

Sobre la base de la Ley de IA, los efectos jurídicos adicionales del Código de Buenas Prácticas son que la Oficina de IA puede hacer cumplir el Código de Buenas Prácticas (artículo 89, apartado 1) y debe tener en cuenta los compromisos contraídos en el Código de Buenas Prácticas a la hora de fijar el importe de las multas (artículo 101, apartado 1).

Si bien el primer proyecto de Código de buenas prácticas aún no contiene detalles sobre su revisión y actualización, cabe esperar que otras iteraciones del proyecto y cualquier acto de ejecución adoptado para aprobar el Código de buenas prácticas definitivo incluyan esta información.

La Oficina de IA hará cumplir las obligaciones de los proveedores de modelos de IA de uso general (artículo 88), así como apoyará a los organismos de gobernanza de los Estados miembros en el cumplimiento de los requisitos para los sistemas de IA (artículo 75), entre otras tareas. La aplicación por parte de la Oficina de IA se basa en las competencias que le confiere la Ley de IA, a saber, las competencias para solicitar información (artículo 91), llevar a cabo evaluaciones de modelos de IA de uso general (artículo 92), solicitar medidas a los proveedores, incluida la aplicación de medidas de reducción del riesgo y la recuperación del modelo del mercado (artículo 93), e imponer multas de hasta el 3 % del volumen de negocios anual mundial o de 15 millones de euros, si esta cifra es superior (artículo 101).