¿Qué incluye el Código de Prácticas de IA de Uso General de la Nueva Ley de IA de la UE?

El Código de Prácticas de IA de Uso General de la Ley de IA de la Unión Europea establece un marco de referencia voluntario que guía a los proveedores de modelos de inteligencia artificial de propósito general hacia un cumplimiento responsable y ético. Su aplicación está estrechamente vinculada a la norma ISO 42001, que proporciona la estructura necesaria para implementar un sistema de gestión de IA conforme a los principios de transparencia, seguridad y confianza.

Este código marca un paso decisivo en la madurez regulatoria de la inteligencia artificial en Europa. Nace como una herramienta práctica para alinear los desarrollos tecnológicos con la legislación, fomentando la gestión del riesgo y la protección de derechos fundamentales en un entorno digital cada vez más complejo.

Qué es el Código de Prácticas de IA de Uso General

El Código de Prácticas de IA de Uso General es una guía voluntaria para los proveedores de modelos de inteligencia artificial de propósito general y aquellos con riesgo sistémico. Su objetivo es facilitar el cumplimiento de los artículos 53 y 55 de la Ley de Inteligencia Artificial de la UE, anticipando la aplicación total de la normativa prevista para 2027.

Aunque su adhesión no constituye prueba definitiva de cumplimiento, sí representa un compromiso verificable con las buenas prácticas en IA responsable. El Código se articula en tres capítulos esenciales (transparencia, derechos de autor y seguridad) que reflejan las dimensiones clave de un uso confiable y ético de la tecnología.

Transparencia: la base de la confianza en la IA

El primer capítulo del Código de Prácticas de IA de Uso General se centra en la documentación y trazabilidad de los modelos de IA. Los proveedores deben mantener actualizada toda la información relativa al entrenamiento, arquitectura, limitaciones y propósito de uso de los modelos de propósito general.

Se incluye un formulario que especifica qué información debe compartirse con la Oficina de IA de la Unión Europea o con las autoridades nacionales, garantizando la protección de la confidencialidad según el artículo 78 de la Ley. Este enfoque fomenta una transparencia responsable, suficiente para la supervisión regulatoria y, a la vez, respetuosa con la propiedad intelectual y la seguridad de los modelos.

Entre las medidas destacadas se incluyen:

• Conservar versiones históricas de la documentación durante 10 años.
• Proporcionar información adicional en un máximo de 14 días tras el requerimiento.
• Establecer procesos de control de calidad sobre los datos y registros.

En la práctica, este capítulo del Código de Prácticas de IA de Uso General refuerza la capacidad de las organizaciones para demostrar conformidad mediante evidencia verificable, principio también recogido en ISO 42001.

Derechos de autor: responsabilidad sobre los datos y resultados

El segundo capítulo del Código de Prácticas de IA de Uso General aborda un tema especialmente sensible: los derechos de autor en el entrenamiento y generación de contenido por IA. Los firmantes del código deben adoptar una política de derechos de autor documentada, que establezca procedimientos para el uso legítimo de contenidos protegidos, así como la gestión de reclamaciones de titulares de derechos. Entre las principales obligaciones se encuentran:

• Respetar las reservas de derechos mediante mecanismos legibles por máquina, como el archivo robots.txt.
• Evitar la recopilación de datos desde sitios web o fuentes con infracciones acreditadas.
• Implementar un punto de contacto para titulares de derechos y reclamaciones.

Este apartado consolida una práctica ética en el uso de datos y alinea el cumplimiento con las exigencias de la Directiva de Derechos de Autor de la UE, mitigando el riesgo legal y reputacional.

Seguridad: gestión de riesgos sistémicos en modelos de IA

El tercer capítulo del Código de Prácticas de IA de Uso General es el más extenso y técnico, centrado en la seguridad y protección frente a riesgos sistémicos. Se dirige especialmente a los modelos con gran capacidad de cómputo, considerados de impacto elevado. Incluye diez compromisos que abarcan desde la adopción de un marco de seguridad integral hasta la creación de informes de modelo y notificación de incidentes.

Los principales compromisos en la gestión de riesgos son los siguientes:

• Identificación y análisis del riesgo sistémico: definir escenarios, evaluar impactos y determinar criterios de aceptación.
• Medidas de mitigación: aplicar controles técnicos y organizativos para mantener los riesgos en niveles aceptables.
• Informe de seguridad y protección: documento obligatorio previo a la comercialización del modelo, que debe mantenerse actualizado.
• Asignación de responsabilidades: definir funciones y recursos para la gestión de riesgos a todos los niveles de la organización.
• Notificación de incidentes graves: establecer protocolos de seguimiento y comunicación inmediata a la Oficina de IA.

Este enfoque se alinea plenamente con la estructura de evaluación, tratamiento y documentación de riesgos contemplada en ISO 42001, ofreciendo un puente directo entre la gobernanza normativa y la gestión interna de la IA.

Por qué adherirse al Código de Prácticas de IA de Uso General

Aunque su aplicación es voluntaria, adherirse al Código de Prácticas de IA de Uso General representa una oportunidad estratégica para las organizaciones. Facilita la demostración de cumplimiento, mejora la transparencia ante clientes y reguladores y contribuye a fortalecer la reputación corporativa en materia de ética de la IA.

Además, promueve la integración de políticas internas coherentes con las mejores prácticas internacionales, impulsando la creación de entornos de IA confiables, seguros y sostenibles.

La conexión entre el Código de Prácticas de IA de Código General e ISO 42001

ISO 42001 proporciona la estructura necesaria para implementar un Sistema de Gestión de la Inteligencia Artificial (SGIA) que garantice el cumplimiento continuo con la Ley de IA. Ambas iniciativas, el Código y la norma, comparten principios comunes: gestión de riesgos, transparencia, trazabilidad y mejora continua.

Por ejemplo:

• Las cláusulas 6.1.2 y 6.1.3 de ISO 42001 abordan la evaluación y tratamiento de riesgos de IA, en línea con el capítulo de seguridad del Código.
• La cláusula 8.3 exige procesos de documentación y mantenimiento de registros, directamente relacionados con los requisitos de transparencia.

Así, las organizaciones que ya implementan ISO 42001 tienen una ventaja competitiva al poder demostrar evidencia objetiva de cumplimiento con el Código de Prácticas de IA de Uso General y con la Ley de IA de la UE.

Software ISO 42001

El Software ISO 42001 permite automatizar procesos clave como la identificación de riesgos, la trazabilidad documental o la gestión de incidentes, facilitando la alineación con los requisitos del Código de Prácticas de IA de Uso General.

Gracias a su entorno digital colaborativo y adaptable, el software impulsa una gestión de IA segura, transparente y auditable. Con esta herramienta, las organizaciones pueden no solo cumplir la Ley de IA de la UE, sino también liderar su transformación digital con confianza y responsabilidad. Para conocerla, contacta con nuestros asesores.