En diciembre de 2023 la Comisión Europea y el Parlamento Europeo llegaron a un acuerdo final sobre el Reglamento de Inteligencia Artificial (RIA). Quizás la novedad más importante es que se regulan los sistemas de Inteligencia Artificial de Uso General (IAUG), -dentro de estos los modelos de Inteligencia Artificial Generativa (IAG)-, que se agrega a los prohibidos, los de alto y bajo riesgo.
Los sistemas de IAUG se destacan por su capacidad para desempeñarse con competencia en una amplia gama de tareas diferenciadas, siendo su generalidad una característica fundamental. Estos modelos suelen ser entrenados con grandes conjuntos de datos utilizando métodos diversos como el aprendizaje auto supervisado, no supervisado o por refuerzo, lo que les permite adquirir un amplio conocimiento y habilidades para abordar distintos desafíos con eficacia.
Por otro lado, los modelos de IAG de gran escala representan un claro ejemplo de sistemas de IAUG de uso general, al posibilitar la creación versátil de contenido en diversos formatos como texto, audio, imágenes o vídeo, adaptándose con facilidad a una amplia variedad de funciones específicas.
El RIA categoriza los modelos de IAUG en función de si presentan o no un riesgo sistémico. Para evaluar las capacidades de gran impacto de aquellos de riesgo sistémico, se utilizan parámetros técnicos específicos. Además, se contempla la posibilidad de considerar otros sistemas similares al IAUG a través de una decisión de la Comisión. Este proceso podría originarse con la alerta de expertos científicos y la consideración de criterios equivalentes a los de gran impacto. Se establece una presunción de riesgo sistémico para aquellos modelos cuyo entrenamiento supere las 1025 operaciones de coma flotante. En la actualidad solo ChatGPT 4 supera ese umbral.
Los sistemas de IAUG que no alcancen el umbral de 1025 operaciones de coma flotante pero que aún así afecten los derechos fundamentales deben estar sujetos a regulaciones específicas para garantizar su implementación y uso sin comprometer dichos derechos. Más allá del criterio del poder computacional, cualquier sistema de IAUG con potencial de impacto significativo en los derechos fundamentales debe cumplir con estándares de transparencia, exactitud y supervisión, como lo estipula el marco regulatorio. Esto implica realizar evaluaciones de impacto detalladas, mantener documentación técnica apropiada y asegurar supervisión humana adecuada, especialmente en situaciones donde las decisiones del sistema puedan tener consecuencias importantes para los individuos.
Los criterios de evaluación de modelos de IAUG podrán adaptarse según los avances tecnológicos para mantener su relevancia con el progreso técnico. El RIA establece criterios específicos para determinar si un modelo de IAUG posee capacidades o efectos equivalentes, que lo clasificarían como modelo con riesgo sistémico. Estos criterios incluyen la complejidad estructural del modelo, la calidad y tamaño de los datos de entrenamiento, la cantidad de cálculo para entrenamiento, las modalidades de entrada y salida del modelo, sus capacidades de adaptación y su impacto en el mercado y número de usuarios registrados.
Las obligaciones de los proveedores para los modelos de inteligencia artificial de uso general, incluso si no representan un riesgo sistémico, incluyen mantener actualizada la documentación técnica del modelo y garantizar la accesibilidad de la información para los proveedores de sistemas de IA interesados en integrar el modelo en sus sistemas. Los modelos de IAUG considerados de riesgo sistémico deben cumplir con evaluación y mitigación de riesgos, vigilancia de incidentes graves y garantizar la ciberseguridad de su infraestructura. Sin embargo, estas obligaciones no se aplican a los proveedores que divulgan modelos bajo licencias libres y de código abierto, siempre que la información relevante del modelo sea pública.
Además, se requiere el cumplimiento de los derechos de autor y la publicación de un resumen detallado del entrenamiento del modelo.
Los proveedores de inteligencia artificial que no tienen establecimiento en la Unión Europea deben designar representantes autorizados dentro de la UE. Estos representantes son responsables de verificar la documentación, colaborar con las autoridades y proporcionar información requerida. Sin embargo, esta obligación no se aplica a proveedores que divulgan modelos de IA bajo licencias de código abierto que permiten acceso público y modificaciones, siempre que la información relevante esté disponible públicamente. Esta excepción no cubre modelos de IAUG que representen un riesgo sistémico.
Cuando los usuarios modifican los sistemas de IAUG para obtener resultados no previstos por el proveedor, ¿la responsabilidad recae en los usuarios? No está claro. Por analogía, se puede argumentar que al modificar o personalizar el sistema más allá de las especificaciones originales, los usuarios pasan a desempeñar el papel de proveedores. Sin embargo, el proveedor original conserva la responsabilidad de asegurar que el sistema cumpla con las normativas y sea seguro dentro de los usos previstos.
Para protegerse contra las responsabilidades que podrían surgir de las modificaciones o usos no previstos de sus sistemas de IAUG por parte de los usuarios, los proveedores deberían implementar medidas proactivas como proporcionar documentación detallada y establecer directrices de uso claras en los contratos de licencia. Esto incluye especificar las modificaciones permitidas y las condiciones bajo las cuales el sistema debe ser utilizado, junto con cláusulas de indemnización para proteger al proveedor de litigios potenciales derivados del uso indebido del sistema por parte de los usuarios.
El RIA, en su forma actual, marca el inicio de un extenso proceso normativo. Este establece la responsabilidad en la Comisión Europea y en su recién creada Oficina de IA para desarrollar una regulación más precisa con el fin de hacer cumplir un marco normativo general que, en ocasiones, se muestra ambiguo y vago.
