De “herramienta clave” a “deficiente”: reacciones al nuevo Código de IA de la Comisión Europea

Llega dos meses tarde, pero con la promesa de ser una pieza central en la implementación de los capítulos de Ley de IA de la UE que comenzarán a aplicarse el próximo 2 de agosto. Su objetivo es guiar a los proveedores de GPAI (los grandes modelos fundacionales como los que impulsan la IA generativa) en el cumplimiento normativo dentro del mercado europeo.

Redactado por un panel de 13 expertos independientes, el Código se centra en tres pilares fundamentales: transparencia, derechos de autor y seguridad. Según la Comisión, se trata de garantizar que los modelos de GPAI comercializados en el mercado europeo “sean seguros y transparentes”.

Tanto su proceso de elaboración como su contenido ha despertado escepticismo. Más de 1000 grupos de interés han participado en la consulta, si bien no todos por igual. De entre proveedores de IA, pymes, académicos, sociedad civil y expertos independientes, los menos representados en porcentaje eran los primeros: los proveedores. Sin embargo, son ellos quienes se han llevado la mayor atención.

Falta de equidad

Las grandes tecnológicas han disfrutado, según denuncian algunas organizaciones, de un trato privilegiado. “Hacia el final del proceso, ha habido una asimetría de información muy grande entre la industria y el resto de stakeholders, incluso con los Estados miembros”, afirma Toni Lorente, director de Gobernanza de IA para Europa en The Future Society.

No ha habido equidad en este sentido, comenta Laura Lázaro, abogada y directora del Programa de Equidad y Datos en Europa del Center for Democracy and Technology (CDT), una conocida organización con sede en EEUU. Lázaro atribuye esta situación a la preponderancia de estos actores en la propia Ley de IA. “Los espacios para la sociedad civil han sido muy restringidos, apenas circunscritos a una o dos sesiones”, lamenta.

La Comisión Europea publica el Código de Buenas Prácticas de la ley de IA tras meses de presiones y dudas

La patronal del sector digital Adigital -entre cuyos asociados se encuentran Google, Microsoft, Meta, Apple y Amazon- tiene otra lectura. “El proceso que ha dado lugar a este código ilustra el valor de la colaboración público-privada”, afirma Justo Hidalgo, director de IA de Adigital.

Hidalgo destaca también “la importancia de contar con foros de intercambio en los que se puedan sentar las bases de un marco común”. “El momento actual supone una oportunidad única para que todas las partes cooperen en la preparación del ecosistema europeo ante la inminente aplicación del Reglamento de Inteligencia Artificial”, añade.

Tanto Adigital como The Future Society y el CDT son algunas de las organizaciones que han participado oficialmente en el proceso de elaboración del Código de Prácticas desde el comienzo, en diferentes grupos de trabajo. Además, una figura clave en el proceso ha sido la investigadora española Nuria Oliver, directora de ELLIS Alicante y referente en el campo de la IA responsable.

Qué es y qué no es

Oliver ha sido la presidenta del Grupo de Trabajo de Transparencia y líder de la redacción de este apartado del Código. Considera que se trata de “un documento útil”, que integra los comentarios recibidos a lo largo de estos meses por todos los grupos de interés, y que “cumple con su función”.

En esto último, la investigadora hace especial énfasis, pues ha apreciado cierto desconocimiento en cuanto a la finalidad real del Código, incluso entre los propios participantes en el proceso. “Muchas personas no entendían bien el objetivo del documento”, señala. Por ejemplo, la sección de Transparencia no está pensada para el usuario final. No está orientada a decirle a una persona si está interactuando con una IA o a las obligaciones de etiquetado del contenido sintético. Eso es algo que ya cubre el Reglamento de IA en otros artículos.

El objetivo en este caso era facilitar a la Oficina Europea de IA, a las autoridades competentes a nivel nacional y a los proveedores cumplir con su papel y con la ley. En la práctica, se trata sobre todo de ayudar a estos últimos a simplificar la demostración de cumplimiento con las exigencias del Reglamento de IA. Esto es importante para aterrizar la AI Act en procedimientos técnicos concretos.

Oliver aclara que el Código no obliga por igual a todos: “Los modelos más pequeños o de código abierto no están sujetos a las mismas exigencias, y eso no siempre se entiende. El Código está centrado en modelos GPAI que puedan tener impacto sistémico, y en algunos casos, solo en aquellos con potencial de riesgo significativo”.

La investigadora también insiste en que se trata de una especie de recetario: “La Ley dice el qué y el Código sugiere cómo, pero no puede ir más allá. Parte de los comentarios que recibimos se referían a cosas que simplemente no están en nuestras manos, como modificar la AI Act. Ese no es ni ha sido nunca su propósito”.

De “mejorable” a “deficiente”

Tanto The Future Society como el CDT consideran que se trata de un código “mejorable” y que podría haber llegado más lejos. Lázaro no oculta su decepción con el resultado final. “Para nosotros, el Código sigue siendo deficiente, especialmente en lo que respecta a la protección de los derechos humanos”, afirma.

Una de sus principales críticas se centra en la taxonomía de riesgos, es decir, en la manera en la que el Código clasifica los riesgos potenciales de los modelos GPAI. Según Lázaro, esta taxonomía minimiza los riesgos sociales y humanos en favor de aquellos de tipo catastrófico o existencial.

Lázaro sostiene que con los diferentes borradores del Código se han ido diluyendo las menciones explícitas a problemas como la discriminación, la privacidad, o la generación de imágenes sexuales no consensuadas. En la versión final, todo eso desapareció y quedó supeditado a una mención genérica a riesgos para los derechos humanos, señala.

Aunque el texto actual obliga a los proveedores a elaborar una lista de riesgos concretos relacionados con derechos fundamentales, el problema -según Lázaro- es que se les da completa discreción para decidir cuáles consideran relevantes. Tampoco hay un proceso externo de revisión. La experta lamenta que se deje en manos de la industria qué riesgos priorizar.

La ley europea de IA aterriza de forma definitiva: así será la transición de 24 meses hasta su obligado cumplimiento

Lorente también apunta a la flexibilidad de la industria para decidir qué consideran aceptable. Ahora el enfoque es más declarativo y basado en resultados. Algo más parecido a la autorregulación que a las directrices rígidas a las que se apuntaba en un principio. Han conseguido lo que querían -señala- y “tienen que demostrar que son capaces de hacerle frente”. Cumplir, en lugar de evadir sus responsabilidades.

El experto destaca además otras debilidades clave del documento. Una es que la Oficina de IA solo recibirá la información esencial del modelo dos semanas después de su entrada al mercado. Esto perpetúa la lógica de ‘primero lanzar y luego regular’, y expone a los ciudadanos europeos a modelos potencialmente peligrosos sin verificación previa.

Otro aspecto problemático es que la figura de los confidentes o whistleblowers no se haya tratado con mayor ambición. “Se menciona como parte de una ‘cultura de riesgo saludable’, pero no se articula un canal claro, seguro y cifrado para que puedan dirigirse al regulador”, señala Lorente.

También es preocupante, según el experto de The Future Society, la ausencia de un mecanismo de preparación frente a incidentes graves. Señala que en el tercer borrador del Código se hablaba de requerir planes o protocolos de contingencia específicos, pero esto no aparece en la versión final.

Traición a los derechos de autor

“Desde la perspectiva de los derechos de autor, el Código de Prácticas sigue siendo una traición para los profesionales de la cultura”, sostiene Nina George, comisaria de Asuntos Políticos del European Writers Council (EWC). La organización, que representa a más de 150.000 escritores de toda Europa, lleva desde el advenimiento de la IA generativa denunciando la falta de salvaguardias para los autores y creadores frente al uso masivo de sus obras para entrenar sistemas de IA.

El malestar no es nuevo. En versiones anteriores del borrador, la EWC expresó su preocupación por la falta de obligaciones claras sobre el uso de obras protegidas para entrenar modelos de IA, sin consentimiento ni compensación justa para los autores. En un comunicado reciente, la EWC destacó que esta situación vulnera no solo los derechos económicos de los autores, sino también su derecho moral a decidir cómo, cuándo y con qué propósito se reutilizan sus obras.

Otros colectivos, como Arte es Ética -una red iberoamericana de artistas, ilustradores, diseñadores y otros creadores- han expresado preocupaciones similares. En respuesta a DISRUPTORES, señalan que están analizando con detenimiento el Código antes de emitir una posición oficial. 

Desde la Asociación Europea de Derechos Digitales EDRi, Blue Tiyavorabun asegura que “aunque el Código de Prácticas sea preocupantemente deficiente, no debería utilizarse como caballo de Troya para detener los procedimientos clave de implementación de la Ley de IA, revirtiendo protecciones legales conseguidas con mucho esfuerzo”. Esto -añade- “debe analizarse a la luz de la actual desregulación climática de la Comisión Europea, que ya amenaza los derechos fundamentales”.

¿“Herramienta útil” o “desproporcionada”?

Adigital, por su parte, ve en este código “una herramienta clave para dar más claridad a los proveedores de modelos de IA y reducir la incertidumbre” a la hora de “demostrar su cumplimiento normativo”. La patronal también cree que será un instrumento útil para evitar una fragmentación en el conjunto de la Unión Europea.

“Si Europa aspira a integrar la IA en su modelo productivo de manera competitiva, es esencial que funcione como un verdadero clúster de innovación, con marcos de referencia unificados que impulsen la adopción responsable y normalicen su uso”, afirma Hidalgo.

Adigital es una firme defensora de la “autorregulación temprana” como “vía eficaz para que las empresas se anticipen a futuras obligaciones, adopten buenas prácticas desde el principio y generen confianza en la tecnología”. Y cree que este tipo de marcos ayudan a sentar “unas bases sólidas sobre las que construir un desarrollo de la IA para beneficio de todos”.

Primer paso dentro de la aplicación de la ley europea de IA: entran en vigor las prácticas prohibidas

Su visión contrasta con la de la Asociación de la Industria de la Computación y las Comunicaciones (CCIA), entre cuyos miembros se encuentran también numerosas grandes empresas tecnológicas. Según Financial Times, la patronal -con sede en EEUU- considera que el código “aún impone una carga desproporcionada a los proveedores de IA”.

La CCIA asegura que los signatarios siguen en desventaja frente a los no signatarios, al contrario de lo que afirman las fuentes consultadas por este periódico. Como señala Oliver, “los firmantes tienen la garantía de que el contenido del Código tiene plena conformidad con la AI Act, por lo que es una validación de cumplimiento”.

Lorente añade que la Oficina de IA ya ha manifestado que será más estricta a la hora de evaluar a los no firmantes. Desde la CE señalan que “los firmantes del Código se beneficiarán de una menor carga administrativa y una mayor seguridad jurídica en comparación con los proveedores que garanticen el cumplimiento por otros medios”.

Próximos pasos

Ahora la pregunta es si las grandes tecnológicas y los grandes jugadores en el ámbito de la IA generativa como OpenAI o Anthropic lo firmarán. Desde Google no responden aún. Señalan que "los europeos deberían tener acceso a modelos de IA seguros y de primera calidad cuando estén disponibles, y a un entorno que promueva la innovación y la inversión” y anuncian que compartirán sus opiniones más adelante, tras una revisión exhaustiva del Código.

Lo próximo será la aprobación del documento por parte de los Estados miembros. Además, se prevé que este mes se publiquen las directrices de la Comisión sobre GPAI, que aclararán quién está dentro y fuera del ámbito de aplicación de estas normas, y que pueden matizar el contenido del Código.

Sea como fuere, el documento no está escrito en piedra. Lorente espera que haya revisiones y actualizaciones a medida que se vea su funcionamiento, o que aparezcan nuevos modelos de IA, o que surjan incidentes que así lo requieran. Oliver corrobora que es un documento “relativamente vivo”, “porque lo que se quiere es que sea útil”. No obstante, afirma que la versión actual se ha pensado para ser estable y contempla escenarios como los de avance en nuevos modelos.

El Código de Prácticas para sistemas GPAI pone de relieve las tensiones crecientes en la gobernanza tecnológica europea: entre la desregulación, el pragmatismo regulador y la defensa de principios fundamentales. El documento -como subraya Lorente- podría ser mejor, pero también peor. Su legitimidad ahora no solo dependerá de la adopción voluntaria de la industria, sino de su capacidad para corregirse a sí mismo cuando esta no esté a la altura.

Si Europa aspira a liderar una IA ética y humanista, necesitará algo más que declaraciones bienintencionadas o marcos de autorregulación. Necesitará instituciones que escuchen más allá de los lobbies más poderosos, y que rindan cuentas ante la sociedad civil. Si las reglas llegan siempre después del daño, la IA no será una herramienta al servicio de la democracia, sino -como ya hemos visto en numerosas ocasiones- un motor de desigualdad, opacidad y concentración de poder.