El 14 de junio de 2023, el Parlamento Europeo adoptó, por amplia mayoría, su texto de compromiso para la Ley de Inteligencia Artificial de la UE («Ley de IA”), allanando el camino para que las tres instituciones clave de la UE (el Consejo Europeo, la Comisión y el Parlamento) inicien el ‘negociaciones a tres bandas‘. Este es el último paso sustantivo en el proceso legislativo y ahora se espera que la Ley de IA sea adoptada y se convierta en ley alrededor de diciembre de 2023/enero de 2024. La Ley de IA será la primera legislación de IA de su tipo con alcance extraterritorial.
El texto de compromiso del Parlamento Europeo adopta conceptualmente el mismo enfoque que se propuso originalmente en la Propuesta de la Comisión Europea en abril de 2021, lo que significa que la IA se regulará en la UE sobre la base de un enfoque horizontal, independiente de la industria y basado en el riesgo, con las obligaciones regulatorias más onerosas (o incluso una prohibición) impuestas a los sistemas de IA que se considera que implican un grado de riesgo ‘inaceptable’ o ‘alto’ para los derechos fundamentales y otros intereses protegidos por la Ley de IA. La Ley AI se aplicará directamente en todos los Estados miembros de la UE y también podría aplicarse fuera de la UE, sobre la base del amplio alcance extraterritorial que fue ampliado por el Parlamento Europeo.
Sin embargo, en comparación con la iteración anterior del texto emitido por el Consejo de la UE en noviembre de 2022, el Parlamento Europeo ha propuesto modificaciones significativas para dar cuenta de la reciente crecimiento exponencial en base e IA generativa modelos y, a su vez, los riesgos percibidos asociados con dichos modelos de IA.
Otra modificación digna de mención en comparación con la iteración de noviembre de 2022 de la Ley AI es el aumento en el nivel de posibles multas de 30 millones de euros o el 6 % de la facturación mundial anual de una empresa para el ejercicio fiscal anterior (lo que sea mayor), a 40 millones de euros o el 7 % de la facturación mundial anual.
Discutimos a continuación las obligaciones aplicables a los modelos de IA básicos y generativos, este último un subconjunto del primero, en virtud de la Ley de IA propuesta por el Parlamento Europeo.
Conclusiones clave
- El texto de compromiso del Parlamento Europeo impone nuevos requisitos a los proveedores de modelos básicos de IA (que incluyen, como subconjunto, modelos generativos de IA). Dichos requisitos incluyen la obligación de demostrar el «cumplimiento desde el diseño» a lo largo del desarrollo de la IA para asegurar «desempeño adecuado, previsibilidad, interpretabilidad, corregibilidad, seguridad y ciberseguridad” así como un requisito para registrar el modelo de IA en una base de datos de la UE. Los modelos de IA generativa estarán sujetos a requisitos adicionales en relación con la transparencia del usuario, pruebas más exhaustivas y, lo que es más importante, la documentación y publicación de resúmenes detallados de los datos de capacitación.
- Es importante destacar que ni los sistemas de IA básicos ni los generativos se considerarán un sistema de IA de «riesgo inaceptable» o «alto riesgo» en virtud de la Ley de IA. por defecto – aunque podría caer dentro de cualquier categoría de riesgo dependiendo de cómo se utilicen.
- El texto de compromiso del Parlamento Europeo, cuya adopción se espera para enero de 2024, aumenta las posibles multas por incumplimiento a 40 millones o el 7% de la facturación mundial anual.
¿Qué son los modelos de IA básicos y generativos?
Las definiciones clave de la Ley de IA han sido objeto de mucho debate a lo largo del proceso legislativo y, en particular, la definición de un «sistema de IA» ha evolucionado con el tiempo. Como se señaló en nuestra última publicación de blog, la definición ahora está más alineada con la de la Organización para la Cooperación y el Desarrollo Económicos («OCDE”), favoreciendo la coordinación global en relación con los estándares de IA.
Es importante destacar que el texto de compromiso del Parlamento Europeo incluye, por primera vez, definiciones para los modelos de IA «base» y «generativa» de la siguiente manera:
- Un “modelo básico” significa: “un modelo de sistema de IA que se entrena en datos amplios a escala, está diseñado para la generalidad de la salida y se puede adaptar a una amplia gama de tareas distintivas”; y
- “IA generativa” significa: “modelos básicos utilizados en sistemas de IA destinados específicamente a generar, con diferentes niveles de autonomía, contenido como texto complejo, imágenes, audio o video”.
Modelos de IA básicos (incl. generativos), como modelos de lenguaje grande (“LLM”) se distinguen principalmente de los modelos de IA más tradicionales porque, a través del procesamiento de grandes conjuntos de datos no estructurados (no etiquetados) y, a menudo, técnicas de aprendizaje automático no supervisadas (o ‘autosupervisadas’), pueden realizar una amplia gama de tareas diferentes. A diferencia de los modelos que no son de base, que generalmente están capacitados para realizar una tarea específica, los modelos de base tomarán los aprendizajes que hayan obtenido al realizar la tarea A para aplicarlos a la tarea B. Para evitar confusiones, tenga en cuenta que los modelos de IA «generativos» constituyen un subconjunto particular. de modelos “fundamentales”; y, la Ley AI impondría requisitos regulatorios adicionales a los modelos “generativos”.
¿Cuáles son las Obligaciones Clave?
Es clave tener en cuenta que los sistemas de IA básicos (incluidos los generativos) no se considerarán un sistema de IA de «riesgo inaceptable» o «alto riesgo» en virtud de la Ley de IA. por defecto – y en ese sentido, las obligaciones regulatorias más onerosas de la Ley de IA (incluida la posible prohibición) no se aplican a dichos sistemas por el mero hecho de que son IA básica y/o generativa. Sin embargo, el Parlamento Europeo adoptó una nueva disposición legal específica, en Artículo 28b de la Ley de IA – que establece los requisitos legales que la fundación AI debe cumplir. Como se indicó anteriormente, se aplica un conjunto adicional de obligaciones reglamentarias a la IA generativa en virtud del artículo 28b.
Los requisitos reglamentarios previstos en el artículo 28 ter se imponen a proveedores de modelos básicos de IA. Los usuarios de modelos básicos de IA no están dentro del alcance del artículo 28b, sin embargo, pueden estar dentro del alcance de otras obligaciones reglamentarias de la Ley de IA, por ejemplo, cuando el sistema de IA básico califica como de alto riesgo según la Ley de IA (Título III de la Ley de IA ).
- Quién se considera un ‘Proveedor’ de Foundation AI: la Ley de IA define a un proveedor como aquellos que desarrollan (o encargan el desarrollo de) sistemas de IA con el objetivo de colocar el sistema en el mercado de la UE o ponerlo en servicio con su propio nombre o marca comercial (ya sea de pago o de forma gratuita). cargar). Es importante destacar que, en el texto actual de la Ley de IA, el concepto de ‘proveedor’ se ha considerado específicamente en el contexto del escenario en el que la IA básica se ofrece ‘como servicio’: por ejemplo, la empresa X otorga acceso a la API a la empresa Y para que la empresa Y desarrolle aplicaciones impulsadas por IA. En tal caso, es probable que tanto la empresa X como la Y se consideren un «proveedor» en virtud de la Ley de IA, lo que significa que, en relación con los modelos básicos de IA, el concepto de «proveedor» puede aplicarse a un conjunto de organizaciones más amplio que el original. anticipado.
- Evaluación continua de riesgos, mitigación de riesgos y «cumplimiento por diseño»: Los proveedores deberán demostrar a lo largo del desarrollo del modelo básico de IA que:
- han identificado, considerado y mitigado los riesgos que el modelo básico de IA plantea para las personas y la sociedad, incluso en relación con la salud y la seguridad, los derechos fundamentales, el medio ambiente, la democracia o el estado de derecho; y
- han diseñado y desarrollado el modelo para garantizar “desempeño adecuado, previsibilidad, interpretabilidad, corregibilidad, seguridad y ciberseguridad”.
Para cumplir con estos requisitos, el artículo 28b establece que los proveedores pueden tratar de confiar en expertos independientes que puede ofrecer asesoramiento sobre la gestión del riesgo de IA, así como considerar y anticipar de forma independiente varios riesgos durante la etapa de diseño del modelo básico de IA («cumplimiento por diseño»). Además, los proveedores deben asegurarse de documentar adecuadamente cualquier riesgo residual cuando ponen en servicio un sistema de IA. Los proveedores también deben realizar pruebas exhaustivas del modelo en varias etapas de desarrollo ya lo largo del ciclo de vida del modelo. Por último, los proveedores deben establecer un sistema de gestión de la calidad para realizar un seguimiento del cumplimiento del modelo de IA básico con el artículo 28b.
- Confíe en conjuntos de datos de calidad: los proveedores deben tener debidamente en cuenta los conjuntos de datos que están alimentando en los modelos básicos de IA, ya que es más probable que los modelos básicos de IA detecten y actúen en consecuencia, por ejemplo, el sesgo. Los proveedores de sistemas de IA básicos solo pueden utilizar conjuntos de datos que estén sujetos a medidas adecuadas de gobernanza de datos específicas para dichos modelos, incluidas, en particular, medidas para examinar, por ejemplo, el sesgo en los modelos básicos.
- Documentar y registrar AI Foundation Model: los proveedores están obligados a redactar una extensa documentación técnica e instrucciones de uso, incluso para permitir que los proveedores de modelos básicos de IA en sentido descendente cumplan con la Ley de IA y registren modelos básicos en una base de datos de la UE.
- Considere el impacto ambiental: debido a la amplia potencia informática y de procesamiento que se requiere para habilitar los modelos básicos de IA, los proveedores de dichos modelos deben considerar el impacto ambiental de sus sistemas y hacer uso de los estándares relevantes (que se desarrollarán bajo la Ley de IA) para poder para mejorar la eficiencia energética.
- Obligaciones Aplicables a la IA Generativa: los modelos básicos de IA que califican como ‘IA generativa’ bajo la Ley de IA, deben cumplir con un adicional conjunto de obligaciones en relación con la transparencia del usuario, pruebas más exhaustivas y, lo que es más importante, la documentación y publicación de resúmenes detallados de los datos que se utilizaron para entrenar el sistema de IA generativa, donde dichos datos de entrenamiento están protegidos por la ley de derechos de autor.
Estas obligaciones se aplican desconsiderado de si el modelo básico es un producto independiente o integrado en un sistema de IA, e independientemente de cómo se ofrezca o distribuya, incluido dónde se ofrece la IA básica de forma gratuita o de código abierto). Se desarrollarán estándares bajo la Ley AI para especificar más los requisitos anteriores.
Próximos pasos
Las negociaciones del diálogo tripartito ya han comenzado, y las enmiendas adicionales al texto de la Ley de IA deben monitorearse de cerca, especialmente en relación con la IA generativa. La UE tiene como objetivo cerrar estas discusiones para noviembre de 2023, y se espera la adopción final de la Ley AI en cualquiera de los dos Diciembre 2023 o Enero 2024. Poco después de su adopción, la Ley de AI será directamente aplicable en los Estados miembros de la UE (es decir, sin que los Estados miembros de la UE tengan que promulgar/implementar la Ley de AI en la legislación nacional), aunque se espera un período de gracia de entre 24 y 36 meses. aplicar. Como resultado del rápido desarrollo de las regulaciones sobre IA, incluida la Ley de IA y otras leyes y estándares internacionales de IA que se están desarrollando a nivel mundial, las empresas que desarrollan, proporcionan o usan IA deben considerar desarrollar una estrategia y un programa de cumplimiento de IA.