Presentando el fenómeno 

No pasa día en que no encontremos en algún periódico digital o en papel alguna noticia -ya sea para alabarlo como para denostarlo- sobre el famoso ChatGPT-4 o ChatGPT Plus, aunque existen otros modelos similares como Stable Diffusion, Luminous, DALL-E, Midjourney, etc… Se trata de modelos de inteligencia artificial (IA) generativa (“large generative AI models”) que se incluyen dentro de la categoría “foundation models” o “modelos fundacionales” (Bommasani, R., et al., “On the opportunities and risks of foundation models”, arXiv preprint arXiv:2108.07258, 2021. Fecha de la consulta: junio 2023), que están transformando la forma en que nos comunicamos, producimos, creamos o trabajamos. Aparecen definidos en el art. 3.1c de la última Propuesta de Ley de IA de 9 de mayo de 2023 hecha pública con las enmiendas del Parlamento europeo [Draft Compromise Amendments on the Draft Report Proposal for a regulation of the European Parliament and of the Council on harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9 0146/2021 – 2021/0106(COD)), https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ40/DV/2023/05- 11/ConsolidatedCA_IMCOLIBE_AI_ACT_EN.pdf. Fecha de la consulta: junio 2023]:  

‘foundation model’ means an AI model that is trained on broad data at scale, is designed for generality of output, and can be adapted to a wide range of distinctive tasks. 

El nuevo considerando núm. 60e introducido en esta última Propuesta de Ley de IA toma en cuenta estos “modelos fundacionales” explicando su aplicabilidad y funcionamiento del siguiente modo: 

Foundation models are a recent development, in which AI models are developed from algorithms designed to optimize for generality and versatility of output. Those models are often trained on a broad range of data sources and large amounts of data to accomplish a wide range of downstream tasks, including some for which they were not specifically developed and trained. Those systems can be unimodal or multimodal, trained through various methods such as supervised learning or reinforced learning. AI systems with specific intended purpose or general purpose AI systems can be an implementation of a foundation model, which means that each foundation model can be reused in countless downstream AI or general purpose AI systems. These models hold growing importance to many downstream applications and systems”. 

Van más allá que un sistema de IA basado en machine learning o, dicho con otras palabras, consisten en sistemas avanzados de machine learning que, una vez han aprendido patrones y correlaciones a partir de los datos, aunque no se les haya dicho explícitamente que lo hagan, son capaces de generar nuevos casos, situaciones o ejemplos a partir de los datos de entrenamiento. Estos modelos necesitan una gran cantidad de datos lo que conlleva que el sistema deba entrenarse también con datos de libre acceso en internet y que lo haga constantemente de acuerdo con un modelo de aprendizaje autosupervisado por el propio sistema. Esto tiene sus riesgos en cuanto, por un lado, a la calidad de los datos debido los sesgos que puedan presentar y, por otro, en relación con el cumplimiento de la legislación sobre protección de datos personales. 

Preguntado al propio ChatGPT-4 en qué consiste un “modelo fundacional” tomando el rol de un ingeniero informático (en inglés) ha indicado lo que sigue: 

Prompt 1: “A foundation model is a large-scale neural network that can learn from massive amounts of unlabeled data, such as text, images, audio, or video, using self-supervised learning techniques. Self-supervised learning is a way of training a neural network without human annotations, by creating and solving auxiliary tasks based on the data itself. For example, a self-supervised learning task for text data could be to predict the next word in a sentence, or to fill in the blanks in a paragraph. By doing this, the neural network can learn the structure and semantics of natural language”. 

¿Para qué sirven estos modelos? Le vuelvo a preguntar. 

Prompt 2: “Some applications of foundation models are: 

Ahora me interesa que explique cómo funciona ChatGPT y contesta: 

Prompt 3: “ChatGPT is a large language model (LLM) developed by OpenAI that can be used for natural language processing tasks, such as text generation and language translation. ChatGPT uses deep learning algorithms to generate text responses to queries. The model is based on the GPT-3 architecture, which is a type of transformer model that uses self-attention mechanisms to process and generate text”. 

Algunas inconsistencias en la regulación cuando se trata de modelos fundacionales  

El aspecto que quiero tratar, en este momento, es el encaje de estos modelos fundacionales, en particular, de IA generativa en la futura Ley europea de inteligencia artificial tanto en la versión adoptada por el Consejo que se hizo pública el 6 de diciembre de 2022 (https://data.consilium.europa.eu/doc/document/ST-14954-2022-INIT/en/pdf. Fecha de la consulta: junio 2023) pues hace referencia explícita a este tipo de sistemas de IA (art. 4a-c) como en la ya mencionada Propuesta de Ley de IA del Parlamento europeo (art. 28b). El debate en el Parlamento europeo ha girado en torno a su calificación o no como sistemas de alto riesgo. Parece que al final formalmente se ha descartado esta opción. Pero solo formalmente ya que se exige que cumplan requisitos y obligaciones similares a las de los sistemas de alto riesgo en la medida en que se entrenan con grandes cantidades de datos de libre acceso, aunque quizá el acento debería ponerse más en los usos que se hagan de estos modelos que en los datos con los que se entrenan. 

En la versión del Consejo UE sobre la Ley de IA se introdujeron los arts. 4a-4c donde se aludió a los sistemas de IA con finalidad general (“general-purpose AI systems”). El art. 3.1 letra b de la Ley los define de la siguiente manera: “AI system that – irrespective of how it is placed on the market or put into service, including as open source software – is intended by the provider to perform generally applicable functions such as image and speech recognition, audio and video generation, pattern detection, question answering, translation and others; a general purpose AI system may be used in a plurality of contexts and be integrated in a plurality of other AI systems”. El considerando núm. 12c indicaba que estos sistemas debían estar sujetos a las obligaciones propias de los sistemas de IA de alto riesgo, si eran usados como tales o como componentes de sistemas de alto riesgo (art. 4b 1.1 y art. 4b.2). Tales obligaciones debían cumplirse una vez que la Comisión haya especificado, mediante actos de implementación, cómo las normas relativas a los sistemas de alto riesgo debían adaptarse a los sistemas con una finalidad general respecto de su funcionalidad, características, así como teniendo en cuenta las especificidades de la IA en la cadena de valor y el desarrollo tecnológico (art. 4b 1.1). Excepcionalmente, el proveedor de estos sistemas de IA con finalidad general no debería cumplir con las obligaciones propias de los sistemas de IA de alto riesgo cuando excluyera explícita y públicamente los usos de alto riesgo (art. 4c.1). Ahora bien, esta excepción dejaba de aplicarse si el proveedor había hecho la exclusión acerca de los usos de alto riesgo de mala fe (art. 4c.2). 

Si el proveedor detectaba o era informado sobre el mal uso del sistema, debía adoptar todas las medidas necesarias (“notice-and-action mechanism”) para frenar ese mal uso y evitar el posible daño que el sistema pudiera ocasionar (art. 4c.3).  

Pues bien, los sistemas de IA con finalidad general son los que están presentes en los modelos fundacionales y de IA generativa. Como decía estos modelos operan con una gran cantidad de datos y parámetros; mucho más allá que un sistema de IA basado en machine learning. Son mucho más versátiles, pueden emplearse para resolver tareas para las cuales no han sido entrenados específicamente y operan de forma “generalista”. Así, lo mismo se pueden usar para fines educativos que económicos, para traducir o resumir textos, redactar poemas o producir imágenes nunca vistas. 

La definición del sistema de IA con finalidad general es excesivamente amplia en la medida en que basta la “posibilidad” (“may”) de que el sistema sea usado en una pluralidad de contextos o integrado en una pluralidad de sistemas de IA para automáticamente calificarlos como sistemas de IA con esa finalidad. Esto ha llevado a afirmar a algunos autores que la definición es “over-inclusive” (Philipp Hacker, Andreas Engel, Marco Mauer, “Regulating ChatGPT and other Large Generative AI Models”, working paper, arXiv:2302.02337v8. Fecha de la consulta: junio 2023). En este sentido, sostienen que para comprender a los verdaderos sistemas de IA de propósito general debería ser “necesario” que se aplicaran en múltiples contextos e integrados en una pluralidad de sistemas de IA y no que se tratara tan solo de una posibilidad. Esto podría dar la impresión que se ha corregido en la Propuesta de Ley que se hizo pública el 9 de mayo de 2023, en las enmiendas introducidas por el Parlamento europeo, que considera que los sistemas de IA con finalidad general son aquellos que: “can be used in and adapted to a wide range of applications for which it was not intentionally and specifically designed”. Sin embargo, ahora es demasiado “genérica” y, de nuevo, vuelve a expresarse en términos de posibilidad -“can”-, sin que por ello se solventen las cuestiones que después comentaré; más bien al contrario, quizá incluso se agraven más. Y sigue siendo “over-inclusive”. 

Por otro lado, debe destacarse la dificultad que supone para el proveedor que se aplique la excepción del art. 4c.1 (versión Consejo UE), esto es, excluir usos de alto riesgo actuando de buena fe, puesto que el sistema una vez introducido en el mercado podría ser objeto de, como mínimo, un uso de alto riesgo que difícilmente puede controlar aquél. Así, por ejemplo, el ChatGPT puede ser uso para la selección de trabajadores o para puntuar a una persona que solicita un préstamo o un seguro, proponer un diagnóstico médico o controlar si se cumplen los requisitos de seguridad de un producto. Estos son usos potencialmente de alto riesgo y salvo que se pueda verificar técnicamente que usos de alto riesgo quedan excluidos del ChatGPT, en principio, gran parte de sus usos podrían ser calificados de alto riesgo con lo cual, a pesar de ser un sistema de IA con finalidad general, sería considerado un sistema de IA de alto riesgo sin poder acogerse a la exclusión prevista en el art. 4c.1. Si esto es así, se deberá cumplir con las obligaciones propias de estos sistemas debiéndose establecer un sistema de gestión de los riesgos (art. 9 versión Consejo UE).  

Dada la gran versatilidad de la IA generativa, es prácticamente imposible para los proveedores determinar e identificar cada posible riesgo previsible que pueda afectar a la salud, la seguridad y los derechos fundamentales de las personas (art. 9.2a, art. 4b.6 versión Consejo UE). La misma cuestión se plantea en caso de establecer sistemas de ciberseguridad teniendo en cuenta todos los posibles usos previsibles de alto riesgo. Como apuntan los autores en líneas superiores mencionados, además de que el coste económico de ello es prohibitivo es difícilmente realizable. Por tanto, todo este análisis se tiene que basar en imaginar hipótesis que pueden luego darse en la práctica o no. Así pues, la regulación prevista para los sistemas de IA con finalidad general en la futura Ley de IA impone una carga demasiado pesada para los proveedores de sistemas de IA generativa que solo podrán satisfacer BigTech como Meta, Google, Microsoft, Apple, dejando fuera del mercado a pequeñas y medianas empresas. En esta dirección, la regulación prevista puede producir un efecto anticompetitivo pues, a la postre, el mercado se acabará concentrando en esas pocas compañías que asumir esos costes. ¿Dónde queda entonces de la promoción de la innovación y la competitividad en el campo de la IA (art. 40(2)(b) y art. 53(1b)(a)? ¿No va esto en contra de la recién estrenada Digital Markets Act (Regulation (EU) 2022/1925 of the European Parliament and of the Council of 14 September 2022 on contestable and fair markets in the digital sector, OJ L265/1)? 

En la última versión que ha salido del Parlamento europeo, se somete, como advertía más arriba, a estos “foundation models” a requerimientos y obligaciones específicas para mitigar en la medida de lo posible los riesgos y daños que se pudieran ocasionar debido precisamente a que al tratarse de sistemas de IA con una finalidad general se aplican a gran cantidad de contextos y pueden tener una gran cantidad de usos y aplicaciones. A pesar de esta regulación específica para estos modelos dentro del marco de la Ley de IA, se manifiesta, a mi entender, de forma eufemística, en el considerando nr. 60g, que el cumplimiento de todos estos requisitos y obligaciones no supone que estos sistemas sean considerados de alto riesgo (¡). En efecto, se lee en él que: 

“such models should be subject to proportionate and more specific requirements and obligations under this Regulation, namely foundation models should assess and mitigate possible risks and harms through appropriate design, testing and analysis, should implement data governance measures, including assessment of biases, and should comply with technical design requirements to ensure appropriate levels of performance, predictability, interpretability, corrigibility, safety and cybersecurity and should comply with environmental standards. These obligations should be accompanied by standards. Also, foundation models should have information obligations and prepare all necessary technical documentation for potential downstream providers to be able to comply with their obligations under this Regulation. Generative foundation models should ensure transparency about the fact the content is generated by an AI system, not by humans. These specific requirements and obligations do not amount to considering foundation models as high-risk AI systems but should guarantee that the objectives of this Regulation to ensure a high level of protection of fundamental rights, health and safety, environment, democracy and rule of law are achieved. 

Se pone en evidencia que, aunque no se pretenda considerarlos sistemas de alto riesgo, se asimilan mucho a ellos, si se tiene en cuenta todos esos requerimientos y obligaciones específicos, que se especifican en el nuevo art. 28b, que deberán los proveedores tener en cuenta. Como indicaba con anterioridad, el coste de adoptar estas medidas es altamente prohibitivo si se tiene en cuenta lo imposible que resulta para los proveedores imaginarse todos los escenarios posibles en los que estos modelos -y, en concreto- los sistemas de IA generativa- se aplican. Tan solo con la obligación que exige el art. 28b 2a se puede atisbar la dificultad de cumplimiento y los costes que ello representaría: 

a) demonstrate through appropriate design, testing and analysis that the identification, the reduction and mitigation of reasonably foreseeable risks to health, safety, fundamental rights, the environment and democracy and the rule of law prior and throughout development with appropriate methods such as with the involvement of independent experts, as well as the documentation of remaining non-mitigable risks after development”. 

De otra parte, resulta curioso que los sistemas de IA de finalidad general como son los modelos fundacionales no sean per se considerados sistemas de alto riesgo y que, sin embargo, si se hace alguna modificación sustancial en los mismos, una vez han sido introducidos en el mercado o puestos en servicio, sí se consideren de alto riesgo (art. 28.2 Propuesta Parlamento UE) y, entonces, deban cumplir con todos esos requerimientos y obligaciones. El incumplimiento de ellos supone la imposición de una sanción económica que puede llegar hasta los 10.000.000 de euros. Las PYMEs se quedarán fuera. 

La Ley de IA (versión Consejo UE) establece en su art. 2.7 y en el considerando nr. 12b que la misma no se aplica a ninguna actividad relacionada con la investigación y desarrollo en relación con la IA. Aunque la versión del Parlamento europeo (art. 5b y considerandos nr. 12a-c) parte del mismo principio, no es tan taxativo en la medida en que si los componentes del programa de libre acceso forman parte de un sistema de IA de alto riesgo o se trata de un sistema de IA al que se aplican los Títulos II a IV de la Propuesta, se aplicarán las normas correspondientes a los sistemas de alto riesgo. Además, la Comisión mediante actos delegados podrá establecer excepciones a “esta excepción” para prevenir abusos existentes y potenciales. 

La IA generativa se puede usar para fines científicos. Ahora bien, esta no es su “única finalidad”. Precisamente, los modelos como ChatGPT se usan para múltiples finalidades por lo que difícilmente los proveedores se podrán acoger a esta excepción. Por otro lado, el riesgo de abuso de la excepción de investigación es difícilmente controlable por el proveedor. De ahí que el acento también se tenga que poner en el usuario profesional (“deployer”) que es quién ajusta el modelo para un uso específico, a la hora de determinar sobre quién recae la responsabilidad de cumplir con los requerimientos y obligaciones a los que deben estar sujetos los “modelos fundacionales”. En este sentido, las responsabilidades deberían distribuirse entre los actores de forma razonable y proporcionada de suerte que cada uno de los sujetos intervinientes en la cadena de valor puedan cumplir efectivamente con las mismas. Esto es lo que parece que se pretende por la Propuesta emanada del Parlamento europeo. En efecto, el art. 29 establece las obligaciones que deben cumplir los “deployers” de los sistemas de alto riesgo. Sin embargo, éstos son olvidados cuando se trata de modelos fundacionales, pues el art. 28b solo menciona las obligaciones de los proveedores. 

Los proveedores deben colaborar con los usuarios suministrándoles la necesaria información (art. 4b). Si bien deben respetarse los derechos de propiedad intelectual y secreto comercial (considerando nr. 60 versión Parlamento europeo), el art. 28.2b establece que: “trade secrets shall be preserved and shall only be disclosed provided that all specific necessary measures pursuant to Directive (EU) 2016/943 are taken in advance to preserve their confidentiality, in particular with respect to third parties. Where necessary, appropriate technical and organizational arrangements can be agreed to protect intellectual property rights or trade secrets”. Esta es una norma que se encuentra también en la Propuesta de Directiva de responsabilidad extracontractual por el uso de sistemas de IA [28.9.2022 COM(2022) 496 final], el RGPD (art. 15.4) y en la Propuesta de Reglamento de espacio europeo de datos sanitarios [3.5.2022 COM(2022) 197 final] y que recuerda al sistema americano de “pretrial discovery” [McKown, J. R., “Discovery of Trade Secrets”, Santa Clara Computer & High Tech. LJ, 10 (1994), 35]. Si bien cuando se trata de la víctima de un daño ocasionado por un sistema de IA o el interesado titular de los datos personales puede aceptarse que tenga derecho a acceder a determinada información o documentación, en el caso de la Ley de IA puede ser problemático en la medida en que este derecho de acceso puede conducir a que otros “competidores” soliciten tener acceso a información en perjuicio del poseedor de la misma. Téngase en cuenta que proveedor, deployer y otros sujetos de la cadena de valor del sistema de IA pueden ser, en algunos casos, socios colaboradores, pero, en otros, pueden ser competidores. En definitiva, debería revisarse esta medida de suerte que el acceso a la información y documentación protegida por derechos de exclusiva fuera limitado. 

Dra. Susana Navas Navarro