Boletín nº 56 de la Ley de IA de la UE: Normas de IA de uso general
Risto Uuk
Los miembros del Parlamento Europeo enviaron una carta a la Oficina de IA pidiendo una mayor inclusión de la sociedad civil y otras partes interesadas en la redacción de códigos de prácticas para la IA de uso general.
Proceso legislativo
Los eurodiputados tienen preguntas sobre el proceso de códigos de prácticas: Morning Tech de POLITICO publicó una carta (desafortunadamente detrás de un muro de pago) de los eurodiputados Brando Benifei, Svenja Hahn, Katerina Konečná, Sergey Lagodinsky, Kim Van Sparrentak, Axel Voss y Kosma Złotowski instando a la Oficina de IA de la UE incluir a la sociedad civil en la redacción de reglas para modelos potentes de IA. En la carta, expresan su preocupación porque la Comisión planea inicialmente involucrar solo a proveedores de modelos de IA, lo que podría permitirles definir estas prácticas ellos mismos. Los eurodiputados argumentan que este enfoque podría socavar el desarrollo de un código de prácticas sólido y globalmente influyente para modelos de IA de uso general. Destacan la importancia de un proceso inclusivo que involucre diversas voces de las empresas, la sociedad civil, el mundo académico y otras partes interesadas. Los legisladores piden a la Oficina de IA que cumpla con el requisito de la Ley de IA de incluir a estos grupos junto con los proveedores de modelos de IA. Los eurodiputados advierten que permitir que las empresas que dominan el mercado influyan en el proceso de forma aislada corre el riesgo de crear una perspectiva estrecha, lo que contradice los objetivos de la UE para el desarrollo de la IA.
Lo último sobre los códigos: según la editora tecnológica de Euractiv, Eliza Gkritsi, la Comisión Europea planea permitir que los proveedores de modelos de IA redacten códigos de prácticas para el cumplimiento de la Ley de IA, con organizaciones de la sociedad civil en una función de consulta. Este enfoque ha generado preocupaciones sobre la autorregulación de la industria porque los códigos demostrarán el cumplimiento de los modelos de IA de propósito general hasta que se establezcan estándares armonizados. La Comisión podrá conceder a estos códigos validez en toda la UE mediante un acto de ejecución. A algunos miembros de la sociedad civil les preocupa que esto pueda llevar a que las grandes tecnológicas escriban sus propias reglas. El lenguaje de la Ley de IA sobre la participación de las partes interesadas en la redacción de estos códigos era ambiguo. La Comisión afirma que una próxima convocatoria de manifestaciones de interés describirá cómo participarán las distintas partes interesadas, incluida la sociedad civil. Sin embargo, los detalles siguen sin estar claros. Se contratará una empresa externa para gestionar el proceso de redacción, incluida la participación de las partes interesadas y las reuniones semanales del grupo de trabajo. La Oficina de AI supervisará el proceso pero se centrará principalmente en aprobar los códigos finales.
¿Cómo definir productos de alto riesgo en relación con las reglas sectoriales? Según Jacob Wulff Wold, de Euractiv, se espera que la Comisión Europea clasifique los componentes de servicios de emergencia y ciberseguridad basados en IA en dispositivos conectados a Internet como de alto riesgo según la Ley de IA. Esta interpretación, revelada en un documento sobre la interacción entre la Directiva sobre equipos de radio (RED) y la Ley de IA, sienta un precedente para clasificar otros productos de IA. Los criterios de clasificación incluyen tener un componente de seguridad cubierto por la legislación existente y requerir una evaluación de terceros para su cumplimiento. Incluso cuando la RED permite la autoevaluación, los componentes de ciberseguridad basados en IA todavía se consideran de alto riesgo. Este enfoque puede extenderse a otros sectores cubiertos por legislación armonizada relevante para la Ley de IA, como los dispositivos médicos, la aviación y la maquinaria pesada.
Análisis
 |
Resumen de los códigos de prácticas: Jimmy Farrell, líder de políticas de IA de la UE en Pour Demain, publicó una introducción a los códigos de prácticas para proveedores de modelos de IA de propósito general (GPAI) en el sitio web de la Ley de IA de la UE. El artículo 56 de la Ley establece códigos de práctica como mecanismo de cumplimiento temporal para los proveedores del modelo GPAI. Estos códigos cierran la brecha entre el momento en que las obligaciones de los proveedores entran en vigor (12 meses) y el momento en que se adoptan las normas formales (más de 3 años). Si bien es voluntario, la adhesión a estos códigos presupone la conformidad con las obligaciones de los artículos 53 y 55. Los proveedores que no sigan los códigos deben demostrar su cumplimiento por otros medios. La Oficina de IA puede invitar a proveedores de GPAI y autoridades nacionales a redactar los códigos, con el apoyo de la sociedad civil, la industria y el mundo académico. El proceso de redacción puede involucrar grupos de trabajo de múltiples partes interesadas divididos por tema. Los códigos deben redactarse dentro de los nueve meses posteriores a la entrada en vigor de la ley para dar tiempo a la aprobación de la Comisión. Se espera que formen la base para futuras normas GPAI y deben reflejar fielmente las intenciones de la Ley, incluidas las preocupaciones sobre salud, seguridad y derechos fundamentales. La estructura puede parecerse a marcos anteriores, como los códigos de desinformación, que presentan compromisos de alto nivel con submedidas e indicadores de desempeño detallados.
Revisión de la literatura para los códigos: SaferAI escribió una revisión de la literatura para informar los códigos de práctica de la UE sobre modelos de IA de propósito general (GPAI) con riesgos sistémicos. El texto enfatiza la importancia de las estructuras organizativas, como las funciones de auditoría interna, los consejos de ética de la IA y el modelo de las 3 líneas de defensa, en la gobernanza de una organización. Para la identificación de riesgos, la revisión recomienda combinar técnicas tradicionales como el análisis de escenarios y el método de espina de pescado con métodos especializados como el equipo rojo. Los autores sugieren utilizar taxonomías de riesgo propuestas por Weidinger et al. y Hendrycks et al. para la identificación integral de riesgos. Añaden que el análisis de riesgos debe integrar métodos de la literatura de gestión de riesgos y evaluación de la IA, con el marco BRACE (Benchmark and Red team AI Capability Assessment) destacado como un enfoque equilibrado. Los autores afirman que las estrategias de mitigación deberían incluir medidas de despliegue y contención, seguridad por diseño, ingeniería de seguridad y controles organizativos. El texto también enfatiza la necesidad de que los códigos de práctica sean interoperables con otros marcos, incluido ISO/IEC 23894:2023, los Códigos de Conducta del Proceso de Hiroshima del G7, los Compromisos de Seguridad de la IA de la Frontera de Seúl y el Marco de Gestión de Riesgos de la IA del NIST.
Resumen de la configuración de aplicación: Los abogados de Freshfields Bruckhaus Deringer escribieron un resumen de las principales instituciones involucradas en la aplicación de la Ley de IA. La Comisión Europea hace cumplir la Ley a nivel de la UE; la Oficina de IA tiene poderes exclusivos sobre la IA de propósito general (GPAI) y los Estados miembros de la UE manejan otros aspectos a través de una vigilancia del mercado designada y mediante autoridades notificantes. La Oficina de AI supervisa el cumplimiento de la GPAI, coordina las investigaciones transfronterizas y puede anular decisiones nacionales en ciertos casos. Las autoridades nacionales de vigilancia del mercado tienen amplios poderes para la vigilancia, investigación y aplicación de disposiciones ajenas a la GPAI. El Consejo Europeo de Inteligencia Artificial, compuesto por representantes de cada Estado miembro, asesora a la Comisión y a los Estados miembros sobre la aplicación coherente de la Ley. Un panel científico de expertos independientes respalda las actividades de aplicación de la ley y puede emitir "alertas calificadas" sobre riesgos sistémicos en los modelos GPAI. El Supervisor Europeo de Protección de Datos participa en la aplicación de la Ley para las instituciones y organismos de la UE.
Comentarios