Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Los modelos de IA de uso general en el Reglamento de Inteligencia Artificial
En el marco del Reglamento de Inteligencia Artificial (RIA), la finalidad de un sistema de IA es uno de los elementos más importantes. Así, como hemos visto en otros artículos de este blog, de acuerdo con el RIA la finalidad de un sistema puede determinar si se clasifica como de alto riesgo o si directamente el uso de ese sistema está prohibido.
Precisamente por esa especial relevancia que el RIA otorga a la finalidad de un sistema de IA, llama la atención la existencia de sistemas que el RIA cataloga como de “uso general”, es decir, sistemas basados en un modelo de IA de uso general y que pueden servir para multitud fines (incluyendo su integración en otros sistemas de IA aguas abajo) y sin obedecer a un propósito específico.
RIA clasifica de "uso general" modelos de IA que pueden aplicarse a una amplia gama de propósitos, sin estar limitados a una función específica.
Si, conforme al RIA, la finalidad específica de un sistema de IA es uno de los elementos principales para determinar el riesgo que presenta dicho sistema, ¿qué papel tienen en el RIA aquellos sistemas que no tienen una finalidad concreta, sino una general? Este artículo busca responder a esta pregunta y examinar cómo el Reglamento aborda este concreto uso de la inteligencia artificial.
Los sistemas y modelos de uso general
Como se ha mencionado antes, en términos generales, un sistema de IA de uso general es un sistema que abarca una gran variedad de usos potenciales, contemplados o no originalmente por los creadores del sistema.
Este tipo de sistemas están basados en modelo de IA de uso general, un tipo de modelo de IA que se utiliza para adaptarse a multitud de fines y aplicaciones en etapas posteriores, incluidas aquellas para los que el modelo no ha sido específicamente desarrollado y entrenado. Estos modelos pueden ser componentes esenciales para un sistema de IA pero que, en ningún caso, pueden constituir un sistema de IA como tal.
◾ Como ejemplo de estos conceptos podemos, ChatGPT de OpenAI utiliza el como modelo GPT-4, siendo éste un modelo de IA de uso general. Por su parte, ChatGPT en sí mismo sería un sistema de IA de uso general al tratarse de un sistema de IA basado en un modelo de IA de uso general.
Riesgo sistémico: el enfoque al riesgo en los modelos de uso general
Como se adelantaba anteriormente, estos modelos de uso general no obedecen una finalidad específica, por lo que limitarlos sólo a una categoría de riesgos en función de una única finalidad es prácticamente imposible.
Por ello, el RIA hace una distinción entre aquellos modelos de IA de uso general que suponen un riesgo sistémico y aquellos que no, disponiendo obligaciones adicionales a los que presentan un riesgo sistémico. De acuerdo con el Considerando 110 de RIA, como riesgo sistémico podrían entenderse (entre otros):
- Efectos negativos reales o razonablemente previsibles en relación con accidentes graves, perturbaciones de sectores críticos y consecuencias graves para la salud y la seguridad públicas.
- Efectos negativos reales o razonablemente previsibles sobre los procesos democráticos, la seguridad pública y seguridad económica.
- La difusión de contenidos ilegales, falsos o discriminatorios.
Conforme al RIA, se considera que un modelo de IA de uso general presenta riesgo sistémico cuando se cumplen alguna de las siguientes condiciones:
a) El modelo tiene capacidades de gran impacto, entendiéndose como tal aquellas capacidades que igualan o exceden las capacidades registradas en los modelos de IA de uso general más avanzados. En este sentido, el RIA presume que existen capacidades de gran impacto cuando la cantidad de cálculo utilizada para su entrenamiento sea mayor que 10^25 FLOPS.
✅ En estos casos, el proveedor del modelo deberá notificarlo a la Comisión Europea en el plazo de dos semanas, aunque durante este periodo podrá presentar argumentos (que podrán ser desestimados por la Comisión) para demostrar que, excepcionalmente, el modelo no presenta un riesgo sistémico a pesar de tener capacidades de gran impacto.
b) Cuando la Comisión Europea lo determine de oficio o tras recibir una alerta cualificada de que un modelo de IA de uso general puede tener capacidades de alto impacto.
✅ Pasados al menos seis meses desde la designación de un modelo como de riesgo sistémico por la Comisión, el proveedor podrá enviar una solicitud motivada a la Comisión para que vuelva a evaluar si el modelo debe seguir considerándose como de riesgo sistémico. Si la Comisión desestima la solicitud, no podrá volver a enviar otra hasta que hayan transcurrido seis meses.
Obligaciones de los proveedores de modelos de IA de uso general
Todos aquellos proveedores de modelos de IA de uso general -tengan o no riesgo sistémico- deberán cumplir las siguientes obligaciones:
1. Elaborar y mantener actualizada:
- Documentación técnica del modelo -con al menos la información detallada en el anexo XI del RIA- para poder facilitarla a la Oficina de IA y/o a las autoridades competentes.
- Información para aquellos proveedores de sistemas de IA que quieran integrar el modelo en sus sistemas, que contenga al menos el contenido del anexo XII del RIA.
2. Establecer directrices para cumplir la legislación aplicable en materia de derechos de autor. En particular, deberán respetar las reservas de derechos (mecanismos opt-out) expresadas por los titulares de las obras protegidas por derechos de autor.
3. Poner a disposición del público un resumen del contenido utilizado para el entrenamiento del modelo IA.
4. Cooperar con la Comisión y las autoridades competentes.
Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico
Además de las obligaciones mencionadas anteriormente para todos los proveedores de modelos de IA de uso general, aquellos proveedores de modelos que presenten un riesgo sistémico deberán cumplir con las siguientes obligaciones:
1. Presentar en la documentación técnica del modelo que se proporcione a la Oficina de IA y a las autoridades nacionales competentes si lo solicitan la siguiente información adicional:
- Una descripción detallada de las estrategias de evaluación y sus resultados.
- Cuando proceda, una descripción detallada de las medidas adoptadas para realizar pruebas adversarias internas o externas (como la utilización de “equipos rojos” o red teams, en inglés) y adaptaciones de los modelos.
- Cuando proceda, una descripción detallada de la arquitectura del sistema.
2. Evaluar los modelos de conformidad con protocolos y herramientas normalizados que reflejen el estado de la técnica.
3. Evaluar el origen y reducir los posibles riesgos sistémicos a escala de la Unión que puedan derivarse del desarrollo, la introducción en el mercado o el uso de modelos de uso general con riesgo sistémico.
4. Vigilar, documentar y comunicar sin demora indebida a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, la información pertinente sobre incidentes graves y las posibles medidas correctoras para resolverlos.
5. Velar por que se establezca un nivel adecuado de protección de la ciberseguridad para el modelo de uso general con riesgo sistémico y la infraestructura física del modelo.
Códigos de buenas prácticas para proveedores de modelos de IA de uso general
Como se puede apreciar, los proveedores de modelos de IA de uso general —especialmente aquellos con riesgo sistémico— tienen una carga de obligaciones significativa. Para aliviarla, el RIA establece que la Oficina de IA de la Comisión facilite la elaboración, revisión y adaptación de códigos de buenas prácticas, contando con las distintas perspectivas de las autoridades nacionales competentes, los propios proveedores de modelos de IA de uso general y otros expertos en la materia.
RIA dicta que la Oficina de IA de la Comisión debe apoyar la creación, revisión y modificación de códigos de conducta integrando diversos puntos de vista.
Una vez aprobados estos códigos de buenas prácticas, los proveedores de modelos de estos modelos de IA pueden adherirse a ellos para demostrar el cumplimiento de las obligaciones del RIA. Con carácter general, estos códigos deberán estar finalizados a más tardar 9 meses después de la entrada en vigor del RIA.
Conclusión
Los modelos de IA de uso general son uno de los elementos de mayor relevancia del RIA. El enfoque basado en riesgos que empapa la totalidad del RIA se ve igualmente plasmado a la hora de regular este tipo de modelos, tal y como refleja la distinción de obligaciones entre aquellos modelos que presentan riesgo sistémico y los que no.
En cualquier caso, la adhesión a códigos de buenas prácticas puede facilitar a los proveedores de estos modelos el cumplimiento con las obligaciones que establece el Reglamento.
Imagen: Benzoix / Freepik.
