La entrada en vigor el pasado 2 de agosto del bloque de obligaciones del RIA para los modelos de IA de uso general marca un antes y un después en cuanto a actuaciones y adaptaciones de políticas de uso y retroalimentación de sus algoritmos se refiere.

En este artículo se abordarán las implicaciones más inmediatas que cualquier operador que involucre sistemas de IA de uso general y preste servicios dentro de la Unión Europea, sin importar su domicilio social, deberá cumplir para evitar incurrir en procesos sancionadores.

Como nota previa, a lo largo del mes de julio, y, para facilitar la implementación del RIA, se han aprobado unos Códigos de Buenas Prácticas y sus Directrices de aplicación por parte de la Comisión Europea, mecanismos necesarios que facilitan el entendimiento del marco jurídico que se deriva de este nuevo Reglamento. Los interesados pueden solicitar la adhesión a estos Códigos, que, si bien no suponen una presunción de cumplimiento, si reducen la carga burocrática y los formalismos de las partes afectadas.

Obligaciones de proveedores de IA de uso general

Estas obligaciones se dividen fundamentalmente en un bloque de transparencia de los datos utilizados para el entrenamiento de los modelos, y otro de cumplimiento y respeto hacia los derechos de propiedad intelectual.

1. Bloque de transparencia

Este bloque de obligaciones requiere la entrega de formularios con información técnica por parte de los desarrolladores y proveedores a los terceros que integren sus modelos y a las autoridades nacionales. Las Directrices aprobadas prevén los plazos y los procedimientos específicos para la entrega de estos formularios.

La información que se deberá plasmar en los formularios aparece detallada en el Código de Buenas Prácticas dedicado a la transparencia.

A modo ejemplificativo, estos formularios deberán incorporar información sobre las propiedades del modelo de IA, los métodos de distribución de las licencias de uso, el proceso y los datos usados para el sistema de entrenamiento del sistema, el origen y tipología de los datos empleados y los usos previstos del sistema entre otros, con especial vigilancia y cautela hacia los derechos de autor.

Además, se requiere proporcionar un punto de contacto para que las oficinas competentes, así como proveedores o usuarios afectados puedan solicitar acceso a la documentación del modelo.

2. Bloque de respeto a los derechos de Propiedad Intelectual y secretos empresariales e información confidencial

Para salvaguardar los intereses y derechos de propiedad intelectual, en este segundo bloque, se requiere como medida fundamental la creación de una política pública de cumplimiento de derechos de autor que incorpore una serie de compromisos:

• que los sistemas de IA se retroalimenten únicamente a través de contenido legítimo, respetando los límites previstos y las declaraciones de optout para el uso de obras protegidas por derechos de autor.
• que se tomen medidas tecnológicas por parte de los desarrolladores para poder identificar y cumplir con las cláusulas de optout en conductas de web crawling y web scrapping, en textos y minería de datos. En este sentido se debe evitar acceder a webs identificadas como “sitios infractores/piratas” y utilizar el uso de rastreadores webs conformes con el protocolo de exclusión de robots (robots.txt). La Oficina de IA de la Unión Europea pondrá a disposición de terceros un listado de webs consideradas como infractores para que los interesados puedan consultarlas.
• que se tomen medidas tecnológicas concretas para mitigar y evitar el uso de obras protegidas por derechos de autor y que se incorporen estas medidas en las licencias de uso como clausulado específico para evitar la generación de outputs que constituyan plagios o infracciones de derechos de autor.

Se requiere también la creación de un punto de contacto para la presentación por terceros afectados de quejas, solicitudes de retirada o de información respecto a posibles vulneraciones de derechos.  

Obligaciones de refuerzo de proveedores de IA de uso general que presenten un riesgo sistémico relacionados con la seguridad y la protección

Adicionalmente a las medias previstas para los proveedores de IA de uso general, los modelos que presenten un riesgo sistémico deberán publicar, a través de sus páginas web una versión resumida de la siguiente información:

• el marco y medidas concretas para la mitigación de riesgos,

• los informes sobre los resultados de las evaluaciones de riesgos y las medidas de seguridad implementadas. Deberán incluir descripciones de los resultados obtenidos y las acciones adoptadas en consecuencia

Las publicaciones deberán respetar el deber de confidencialidad hacia la información sensible y no comprometer la eficacia de las medidas de seguridad.

Así mismo, las Directrices que complementan a estos Códigos de Buenas Prácticas y el RIA, ayudan a entender y calificar aquellos modelos que pueden generar un riesgo sistémico. Sin embargo, hasta la fecha no se han aprobado ni especificado los métodos de control que delimitan la línea que separa las IAs de uso general y las de riesgo sistémico. Si se establece ya el procedimiento de notificar esta condición a la Comisión Europea y los plazos previstos para ello, como obligación intrínseca a este tipo de modelos.

Los bloques de obligaciones que se especifican a lo largo de este artículo son de aplicación inmediata tanto a proveedores de IA como a terceros que integren el modelo de forma interna en virtud de una relación proveedor-cliente. También se prevén excepciones a los sistemas de IA de uso general que se configuren como open source y que cumplan una serie de requisitos, que se especifican en las Directrices. En su caso, sus licencias deben ser libres, y deben permitir un acceso al código sin restricciones, con plena capacidad para modificarlo y distribuirlo.

Régimen sancionador y consecuencias del incumplimiento del régimen de obligaciones

La Oficina de IA reconoce la dificultad que supone adaptar la configuración y las políticas internas de los sistemas que ya estén operando en el mercado, por lo que concede un plazo adicional de 2 años para su modificación. Así mismo, es pertinente indicar que los poderes ejecutivos de la Comisión entran en vigor a partir del 2 de agosto de 2026, pero esto no exime a los operadores de la obligatoriedad de aplicar las políticas y estándares de seguridad y cumplimientos especificados. A partir de agosto de 2026, la Comisión iniciará los procesos sancionadores y las multas serán efectivas.

Uno de los sectores más afectados con la llegada de los sistemas de IA, es sin duda el audiovisual. En ese sentido, los colectivos y entidades de gestión han elevado quejas reiterándose en el perjuicio que se está causando actualmente a los titulares de derechos en los procesos de alfabetización y retroalimentación de algoritmos de IA. Esta casuística se analizará en un segundo artículo, donde se abordará el impacto de la IA en el sector creativo, y los mecanismos de defensa con los que cuentan para hacer frente a esta nueva coyuntura.

En definitiva, la recomendación más inmediata es la de realizar una revisión de las políticas de derecho de autor y las medidas de transparencia de aquellas empresas que desarrollen IA, y de aquellos operadores económicos que incorporen en su sistema IA de uso general de terceros, a fin de asegurar el cumplimiento normativo del RIA evitando sanciones económicas que perjudiquen la reputación y el desarrollo empresarial de las partes involucradas.