El nuevo Código de Buenas Prácticas de IA en Europa: ¿avance real o más burocracia?

Europa sigue apostando por liderar el debate sobre inteligencia artificial (IA) a través de la regulación. El pasado verano, la Oficina Europea de IA presentó la versión definitiva del Código de Buenas Prácticas, dirigido a los proveedores de modelos de IA de “uso general” como ChatGPT de OpenAI o Gemini de Google. Con la aprobación de este Código, la Unión Europea consolida su papel como regulador proactivo y, según algunas voces, intervencionista dentro del sector tecnológico global. No obstante, persiste una duda clave: ¿aporta este nuevo Código claridad y garantías o incrementa la burocracia?

Una hoja de ruta flexible, pero no vinculante

El Código de Buenas Prácticas es, ante todo, una guía voluntaria y no una norma jurídicamente obligatoria, elaborada por expertos independientes. Está diseñado para facilitar el cumplimiento del recién adoptado Reglamento de IA de la Unión Europea e incide en tres cuestiones clave: transparencia, derechos de autor y gestión de riesgos sistémicos. Las entidades que adopten el Código pueden evidenciar su compromiso con las buenas prácticas y la cooperación dentro del marco europeo.

No obstante, el carácter voluntario introduce una dinámica de “regulación a la carta”. Cada empresa decide si se adhiere o si justifica el cumplimiento por otras vías. Para algunos, esta flexibilidad puede favorecer la adaptación y la innovación, mientras que otros advierten sobre posibles diferencias en la supervisión y la aplicación de criterios.

Transparencia: abrir la caja negra… en parte

El principio de transparencia figura entre los objetivos principales del Código, aunque su aplicación presenta ciertos límites prácticos. Los desarrolladores deben documentar aspectos esenciales de cada modelo (como especificaciones técnicas, usos previstos y consumo energético) para reguladores, empresas y organismos públicos. No obstante, el propio Código permite que algunos datos permanezcan confidenciales, amparándose en el secreto comercial o la protección de la propiedad intelectual, incluso durante períodos de hasta diez años. Así, la aplicación del principio de transparencia varía según los casos y la información disponible, generando escenarios donde la apertura es parcial y las justificaciones para limitarla pueden ser diversas.

Derechos de autor: un equilibrio delicado

El apartado sobre derechos de autor aborda uno de los mayores retos. Los modelos de IA se entrenan con enormes volúmenes de textos, imágenes y vídeos, lo que plantea preguntas incómodas: ¿de quién es ese contenido y quién decide sobre su uso? La versión final del Código elude algunas de las cuestiones más controvertidas, por ejemplo, hasta dónde llega el alcance del derecho de autor europeo fuera de la UE. La referencia al carácter extraterritorial se ha diluido, de modo que una start-up española o una multinacional estadounidense pueden interpretar el “cumplimiento” de formas muy distintas.

Aun así, los proveedores deben definir políticas para evitar el uso de material ilícito, respetar ciertos mecanismos de exclusión establecidos por los titulares de derechos en internet (por ejemplo, la configuración del archivo “robots.txt”, que puede indicar a los sistemas automatizados qué contenidos de una página web están permitidos o prohibidos para el acceso y uso) y ofrecer canales de reclamación.

Para los titulares de derechos intelectuales, el Código supone un tímido avance, ya que introduce ciertos mecanismos para la protección de sus obras, pero persisten retos en cuanto a transparencia y control efectivo. Por otro lado, para las empresas tecnológicas, este marco puede suponer incertidumbre y posibles riesgos legales, al exigir nuevas adaptaciones internas y la gestión de reclamaciones adicionales. En conjunto, este escenario evidencia la complejidad de equilibrar la protección de derechos, el impulso a la innovación y la claridad en las responsabilidades de los distintos actores.

Gestión del “riesgo sistémico”: ¿realidad o formalidad?

Los modelos considerados de mayor impacto (que pueden afectar la seguridad pública o el bienestar social) deben cumplir requisitos adicionales como el análisis, mitigación y reporte periódico de riesgos ante las autoridades. Sin embargo, la aplicación concreta de estos controles puede resultar compleja y estar sujeta a interpretación, con el riesgo de que el cumplimiento se limite a trámites formales sin garantizar una mitigación efectiva de los riesgos.

Supervisión: ¿incentivo o castigo?

En última instancia, el Código actúa como incentivo: colabora con las autoridades, documenta tu esfuerzo y podrías evitar multas de hasta el 3% de la facturación mundial o 15 millones de euros, lo que sea mayor. Las autoridades europeas han mostrado cierta flexibilidad inicial con quienes demuestren buena fe, aunque es probable que este margen sea temporal.

Conclusión: avance relevante, pero con interrogantes abiertos

Para las grandes tecnológicas, el Código de Buenas Prácticas de IA puede suponer tanto una oportunidad para reforzar la confianza social como un desafío operativo y legal. El documento aporta estructura y algunas certezas, pero mantiene abiertas cuestiones como los límites de la transparencia, la protección efectiva de la innovación, la aplicación coherente de los derechos de autor y el alcance real de la gestión de riesgos.

El mensaje de la Unión Europea es claro en cuanto a la necesidad de una IA responsable y transparente, aunque el proceso regulatorio continúa planteando retos y preguntas prácticas. El resultado dependerá, en última instancia, de la interpretación normativa, el desarrollo de buenas prácticas y la capacidad real de supervisión.

* Ceyhun Necati Pehlivan, abogado y counsel en Linklaters.