Directrices sobre las obligaciones de transparencia para la IA

El artículo 50 del Reglamento de IA (RIA) impone una serie de obligaciones de transparencia a proveedores y responsables del despliegue de ciertos sistemas de IA, que tienen por objeto evitar la manipulación y la desinformación, y permitir que las personas tomen decisiones informadas cuando interactúan con una IA.

El pasado 8 de mayo, la Comisión Europea publicó un borrador de Directrices para aclarar el alcance de estas obligaciones y abrió una consulta pública que estará disponible hasta el 3 de junio, invitando a interesados de todo el ecosistema digital a aportar sus comentarios.

Obligaciones de transparencia del artículo 50 RIA

El artículo 50 RIA identifica cuatro situaciones en las que deben adoptarse medidas de transparencia para asegurar que usuarios afectados sepan si están interactuando con una IA o si están ante un contenido generado artificialmente. La obligación se impone, según el caso, en el proveedor del sistema de IA o en el responsable del despliegue del mismo. A continuación señalamos de qué supuestos se trata y algunas de las orientaciones que para cada caso proporciona el borrador de Directrices

a)   Sistemas interactivos (art. 50.1)

Los proveedores de sistemas de IA que interactúan directamente con personas deben diseñarlos de manera que estas personas sean informadas de que están tratando con una IA.

Las Directrices concretan esta obligación con ejemplos muy prácticos. En principio, se incluirían, por ejemplo, los asistentes de voz, chatbots o agentes conversacionales utilizados en atención pública, ayuda al cliente, comercio electrónico, finanzas, salud o educación, así como robots humanoides, mascotas robóticas, avatares de IA en entornos de realidad virtual, bots en redes sociales y agentes de programación. En cambio, quedarían fuera los robots industriales tradicionales que operan en un entorno cerrado y no están destinados a interactuar con humanos, los sistemas de recomendación algorítmica, los filtros de spam, las herramientas automáticas de traducción o transcripción, los sistemas de autenticación o reconocimiento biométrico y los sistemas back-end de apoyo a la decisión cuando la persona solo ve el resultado, pero no interactúa directamente con el sistema.

Por otro lado, el mismo artículo 50.1 RIA establece que esta obligación no se aplica cuando la interacción con la IA resulta evidente teniendo en cuenta las circunstancias. Así, las Directrices consideran que podría ser evidente la interacción, por ejemplo, en el caso de chatbots para desarrolladores profesionales o destinados solo a profesionales sanitarios debidamente formados. Por el contrario, no se beneficiarían de esa excepción, por ejemplo, los avatares o voces realistas en entornos de realidad virtual o aumentada cuando los usuarios –en particular menores, personas mayores o personas con discapacidad– tengan dificultades para distinguir entre una interacción humana y una interacción con IA. No cabría asumir que un chatbot integrado en una plataforma online o en un helpdesk supone un caso evidente de interacción con IA si el usuario puede percibir sus recomendaciones o contenidos como neutrales o generados por una persona.

b)   Marcado y detección de contenidos generados por IA (art. 50.2)

Para los proveedores de sistemas generativos, el artículo 50.2 impone un doble requisito: velar por que los contenidos generados por el sistema estén marcados en un formato legible por máquina, y facilitar mecanismos que permitan detectar que el contenido ha sido generado o manipulado artificialmente. El borrador de Directrices aclara que ambas medidas son inseparables: no basta con insertar una marca si no se ofrece a terceros los medios para identificarla. Además, propone utilizar soluciones técnicas combinadas (como marcas de agua, metadatos, métodos criptográficos o huellas digitales) que sean fiables, robustas, interoperables y proporcionadas al tipo de contenido. Estas marcas deben cumplir también con la normativa de protección de datos, aplicando principios como la minimización y la seguridad por diseño.

El borrador también distingue entre ajustes menores y otras alteraciones del contenido. Como ejemplos de modificaciones menores que podrían quedar fuera de la obligación de marcado menciona la corrección gramatical y ortográfica, las conversiones de formato, la compresión técnica, la reducción de ruido, el recorte menor, pequeños ajustes de color o iluminación, la eliminación de ojos rojos, la rotación de una imagen, el reescalado de un vídeo, la estabilización limitada, cambios menores en la velocidad de reproducción o correcciones para nivelar el horizonte. También cita las tecnologías de asistencia que transforman una aportación humana auténtica para permitir la comunicación a personas con discapacidad, como los sistemas aumentativos y alternativos de comunicación, puesto que no alteran el significado del contenido original.

En el extremo contrario, el borrador de Directrices consideran que otras alteraciones del contenido sí exigirían marcado. En este sentido menciona los casos en que se generan traducciones o resúmenes mediante IA, se añaden objetos o información que no estaban presentes en la imagen o vídeo original, se eliminan u oscurecen fondos u objetos, se pixelan o difuminan rostros, se altera la forma del cuerpo o el color de piel de una persona, se realizan cambios extremos de iluminación, color o contraste, se convierte una imagen o vídeo en blanco y negro a color o se crean imágenes compuestas o clips de vídeo a partir de distintos elementos.

c)   Reconocimiento de emociones y categorización biométrica (art. 50.3)

Los sistemas de reconocimiento de emociones y de categorización biométrica plantean riesgos especialmente sensibles. El artículo 50.3 RIA impone obligaciones de transparencia, en este caso dirigidas a los responsables del despliegue que los utilizan estos sistemas. Según el borrador de Directrices, los responsables del despliegue de estos sistemas deben informar de forma clara a todas las personas expuestas de que se está utilizando tecnología de reconocimiento de emociones o categorización biométrica. El texto recuerda, además, que los sistemas de reconocimiento de emociones suelen quedar sujetos al régimen de sistemas de alto riesgo, salvo cuando estén prohibidos en determinados contextos, y que la obligación del artículo 50.3 RIA se aplica a los sistemas de categorización biométrica aun cuando no sean de alto riesgo.

Para visualizar cómo cabría comunicar esta información, las Directrices ofrecen dos ejemplos sencillos. En un videojuego, podría utilizarse una ventana emergente de onboarding antes de iniciar la partida, indicando que se graba el rostro del jugador para captar sus emociones. En un espacio físico, como una sala de exposiciones, podría colocarse un aviso visible en cada entrada explicando que las imágenes faciales de los visitantes se capturan al acceder para asignarlos a un determinado grupo de edad. La lógica de ambos ejemplos es la misma: la información debe llegar a la persona antes o, como muy tarde, en el momento de su primera exposición al sistema.

d)   Etiquetado de deep fakes y textos generados (art. 50.4)

El artículo 50.4 RIA impone a los responsables del despliegue de sistemas generativos la obligación de revelar explícitamente que el contenido es un deep fake (imágenes, vídeos o audios que recrean a personas o acontecimientos reales de forma tan realista que parecen auténticos), o que un texto publicado para informar sobre asuntos de interés público ha sido creado o manipulado por IA. Esta obligación se suma al marcado técnico exigido a los proveedores y se aplica siempre que el uso sea profesional y no esté amparado por una excepción legal.

El borrador ayuda a delimitar el alcance de esta obligación con un ejemplo sencillo: si una persona utiliza un sistema de IA para crear tarjetas de Navidad dirigidas a familiares incluyendo deep fakes de miembros de su hogar, ese uso puede quedar fuera de la obligación del responsable del despliegue de etiquetar el contenido por tratarse de una actividad puramente personal y no profesional. En cambio, si esa misma persona genera un deep fake del alcalde de su municipio para criticar determinadas decisiones políticas y lo publica en redes sociales, la exclusión ya no opera y el contenido debe etiquetarse. Incluso en el primer caso, las Directrices aclaran que el proveedor del sistema utilizado para generar esas imágenes seguiría sujeto a la obligación de marcado legible por máquina prevista para los contenidos generados o manipulados por IA.

Las Directrices proporcionan también otros ejemplos qué puede considerarse un deep fake: una imagen manipulada por IA en la que aparezcan dos futbolistas profesionales frente a un edificio parecido a un estadio, un audio generado mediante clonación de voz de los presentadores habituales de un podcast, un invitado comentando noticias, un vídeo generado por IA de una persona que se asemeja a un político pronunciando un discurso ante una audiencia, o la representación artificial de una influencer famosa en un contexto publicitario.

En cambio, no serían deep fakes una imagen de una esfinge volando sobre la Torre Eiffel, un vídeo de ratones discutiendo en lenguaje humano sobre el mejor tipo de queso en una campaña publicitaria, una emisión de radio manipulada solo para normalizar el volumen o reducir ruido sin cambiar las palabras ni la forma de hablar, o una caricatura generada a partir de una imagen preexistente de un acontecimiento histórico.

El borrador de Directrices aclara también el régimen específico de obras artísticas, creativas, satíricas, ficticias o análogas. El art. 50.4 RIA señala que “cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, las obligaciones de transparencia establecidas en el presente apartado se limitarán a la obligación de hacer pública la existencia de dicho contenido generado o manipulado artificialmente de una manera adecuada que no dificulte la exhibición o el disfrute de la obra”. Según el borrador de Directrices, pueden entrar en esta categoría, por ejemplo, los efectos especiales generados por IA en películas que simulen actores, rejuvenezcan intérpretes o creen réplicas digitales de personas fallecidas; la música generada por IA que se asemeje al estilo de artistas existentes; una imagen manipulada de un político en una escena claramente dirigida a criticar sus decisiones; o imágenes de videojuegos que simulen personas o localizaciones existentes. Sin embargo, no se trataría del mismo modo un vídeo manipulado con simulaciones de personas anunciando un producto para persuadir a los consumidores de comprarlo, ni una imagen con personas famosas que sugiera su participación en actividades sin finalidad ficticia, satírica o similar.

Por último, el mismo art. 50.4 RIA exige a los responsables del despliegue de un sistema de IA que genere o manipule texto para informar de asuntos de interés general que adviertan de esta generación o manipulación artificial. Las Directrices mencionan, como ejemplos de estos casos, un resumen generado por IA de un artículo periodístico escrito por una persona sobre una decisión reciente de un ayuntamiento, partes manipuladas de un artículo académico sobre los efectos de distintas dietas en una enfermedad, informes corporativos manipulados publicados en la web de una sociedad cotizada con información para inversores o un mensaje generado por IA en el perfil de redes sociales de un instituto meteorológico avisando de una tormenta y de las medidas de precaución correspondientes.

Por el contrario, no entrarían en esta categoría una novela o un poema de ficción generados por IA, un texto publicitario de una empresa –si no contiene, por ejemplo, afirmaciones sobre salud, seguridad de los consumidores o sostenibilidad– o un resumen de noticias producido por un chatbot que solo está disponible para el usuario que lo ha solicitado.

Como excepción, el art. 50.4 exime de esta obligación de transparencia los casos en que “el contenido generado por IA haya sido sometido a un proceso de revisión humana o de control editorial y cuando una persona física o jurídica tenga la responsabilidad editorial por la publicación del contenido”. A este respecto, el borrador de Directrices cita como ejemplos de supuestos cubiertos por esta excepción un artículo periodístico manipulado por IA que ha pasado por el control editorial del redactor jefe, un blog académico manipulado por IA sometido a revisión interna por pares bajo la responsabilidad del centro de investigación, o avisos públicos de seguridad generados por IA y aprobados por un funcionario antes de distribuirse a los ciudadanos. En cambio, por ejemplo, no quedaría cubierta la publicación de artículos generados por IA sobre política europea sin una deliberada revisión humana, ni bastaría someter esos textos a revisión por otro sistema de IA con una comprobación humana meramente superficial antes de su publicación.

El código de buenas prácticas en desarrollo

En paralelo a elaboración de las Directrices, la Comisión Europea continúa con el proceso participativo para elaborar un Código de buenas prácticas sobre transparencia en la generación de contenidos. Este código no será de cumplimiento obligatorio, pero pretende ofrecer un marco uniforme para cumplir con las exigencias del artículo 50, especialmente en lo relativo al marcado y etiquetado de contenidos generados por IA.

El proceso de redacción del código cuenta con expertos independientes, proveedores, asociaciones de usuarios, organizaciones de la sociedad civil y académicos. El Código de buenas prácticas supone una oportunidad para que la industria, la academia y la sociedad civil definan estándares técnicos y operativos que faciliten el cumplimiento y garanticen que la innovación se desarrolla de manera responsable.