Sistemas de IA de propósito general y modelos fundacionales: futuras obligaciones para su comercialización en España
Publicado el 31st mayo 2023
Las futuras obligaciones requerirían inversiones sustanciales en cumplimiento regulatorio
El reciente lanzamiento de sistemas de IA de propósito general (aquellos sistemas que pueden adaptarse a multitud de usos, incluyendo aquellos para los que no fue diseñado), que están teniendo una acogida masiva en el mercado, ha influido significativamente los trabajos del futuro Reglamento Europeo de Inteligencia Artificial (el “Reglamento”). Si en diciembre de 2022 el Consejo ya introducía el concepto de sistemas de IA de propósito general, es el Parlamento Europeo quien ahora profundiza en estos y en los modelos fundacionales, proponiendo nuevas obligaciones para su introducción en el mercado.
La propuesta del Consejo establece que los sistemas de IA de propósito general que puedan usarse como sistemas de IA de alto riesgo o integrarse en este tipo de sistemas, estarán sometidos a requisitos específicos. Para distinguir si un sistema de IA debe ser calificado como de alto riesgo o no, es importante destacar que la propuesta de la Comisión incluye una lista de áreas críticas y casos de uso que conllevarían dicha calificación, si bien se espera que el texto final incluya requisitos adicionales.
Entre estos requisitos aplicables a los sistemas de IA de propósito general referidos arriba destacan (i) la adopción de un sistema de gestión de riesgos, (ii) cumplir con estándares de gestión de los conjuntos de datos de entrenamiento, (iii) conservación de documentos –incluyendo logs o registros de actividad del sistema- y (iv) garantizar que el sistema es explicable y seguro y que puede ser sometido a vigilancia humana.
Los proveedores de estos sistemas deberán cumplir con estos requisitos, y además estarán obligados a implementar un sistema de gestión de calidad, conservando durante al menos 10 años la documentación relevante. Una obligación fundamental será la de someter a evaluación de conformidad el sistema de IA, lo que hace esencial la asistencia por parte de expertos independientes que asesoren no solo técnicamente, sino en jurídicamente sobre el impacto que estos sistemas puedan tener sobre la seguridad, los derechos fundamentales o el medioambiente, entre otros. Además, los proveedores deberán Informar y cooperar con las autoridades nacionales competentes, para asegurar el cumplimiento continuo del Reglamento.
Los requisitos y obligaciones citados arriba no resultarían de aplicación si el proveedor excluye expresamente todos los usos de alto riesgo en las instrucciones que elabore para su sistema de IA. Esta exclusión solo será permisible si el proveedor tiene motivos suficientes para considerar que el sistema no será objeto de un uso indebido una vez comercializado. Esto ha sido objeto de críticas por parte de un sector de la industria ya que no siempre sería posible excluir exhaustivamente todo uso indebido que un tercero pueda hacer, incluso cuando el proveedor hubiera aplicado un grado de diligencia adecuado según el estado vigente de la técnica. En este sentido, vemos probable que, durante la fase final de aprobación de la propuesta de Reglamento, el legislador europeo intente profundizar en esta cuestión.
Por su parte, el Parlamento Europeo ha trabajado en una serie de enmiendas donde se introducen obligaciones adicionales y se regulan expresamente los modelos fundacionales. Las enmiendas se centran en delimitar las responsabilidades en toda la cadena de comercialización de los sistemas (p.ej. al ser modificados por usuarios que posteriormente comercialicen la versión modificada), la obligación de realizar evaluaciones de impacto, de medir el consumo energético de los sistemas, de hacer público el entrenamiento con obras protegidas por propiedad intelectual o el registro público de estos sistemas.
En España, la Secretaría de Estado de Digitalización e Inteligencia Artificial acaba de publicar el borrador de Real Decreto que regulará el entorno de pruebas o sandbox en el que los proveedores de sistemas de IA podrán autoevaluar su experiencia a la hora de simular el cumplimiento del proyecto de Reglamento. La experiencia adquirida en el sandbox podría influir en las futuras obligaciones de estos proveedores.
En conclusión, hasta el momento, uno de los puntos clave de la propuesta de Reglamento es la obligación de los proveedores de sistemas de IA de propósito general o modelos fundacionales de analizar el potencial uso de sus productos como sistemas de IA de alto riesgo o la potencial integración de sus productos en este tipo de sistemas. El resultado de este análisis es el que desencadenaría la aplicación o no del futuro Reglamento al sistema a comercializar.
En esta última fase legislativa, las negociaciones entre Comisión, Parlamento y Consejo serán clave para profundizar en el contenido de las obligaciones, que tendrán un impacto fundamental en los límites de la responsabilidad de los proveedores de sistemas de IA de propósito general y modelos fundacionales.