A Primer on the EU AI Act

Actualització de l'11 de juliol de 2025: Després de la publicació del text final del codi de bones pràctiques per a la IA de propòsit general, compartim una visió general de com enfoquem l'entrada en vigor de les disposicions aplicables als models d'IA de propòsit general el 2 d'agost de 2025. 

L'any passat, vam publicar aquesta introducció a la Llei d'IA de la UE per exposar una visió preliminar de com ens preparàvem per a la implementació d'aquests nous requisits legals. 

Des d'aleshores, hem participat activament en l'aplicació del text prenent part en l'elaboració del codi de bones pràctiques per a la IA de propòsit general, un marc perquè els proveïdors d'IA compleixin la Llei d'IA de la UE. Després de mesos d'esforços col·lectius amb experts, societat civil i indústria, s'ha publicat un codi final. Avui anunciem la nostra decisió de signar el codi de bones pràctiques i utilitzar-lo per demostrar el compliment de les nostres obligacions pertinents en virtut de la Llei d'IA de la UE.  

En signar el codi, fem un pas concret dins del nostre pla més ampli de compliment de la Llei d'IA de la UE. Reflecteix el nostre compromís d'assegurar continuïtat, fiabilitat i confiança a mesura que la regulació entra en vigor, mentre continuem col·laborant amb empreses i ciutadans europeus i els oferim models d'IA cada cop més capaços, segurs i protegits perquè puguin aprofitar els beneficis de la revolució de la IA.

La signatura del codi reforça moltes de les mesures de seguretat i transparència capdavanteres al sector que hem impulsat durant els últims anys. Vam ser una de les primeres empreses a publicar un protocol integral de seguretat i protecció, el nostre Entorn de treball de preparació (2023), que descriu el nostre enfocament per desplegar models d'IA d'avantguarda de manera segura. 

D'acord amb el nostre compromís de revisar i millorar contínuament els marcs interns de rendició de comptes i governança, vam publicar⁠ una versió actualitzada de l'Entorn de treball de preparació l'abril de 2025. 

A mesura que continuem desenvolupant i desplegant una tecnologia cada cop més capaç, supervisem i mitiguem activament una àmplia gamma de riscos nous i problemes reals de seguretat per mantenir els nostres models fiables i segurs. I perfeccionem i millorem constantment aquests processos. 

• Fa temps que publiquem fitxes del model detallades i documentació tècnica amb els nostres principals llançaments que expliquen què poden i què no poden fer els nostres models, quins riscos hem avaluat i en quins aspectes encara estem aprenent. 
• El Safety Hub ofereix accés públic als resultats de les avaluacions de seguretat dels nostres models.
• La nostra xarxa d'equip vermell incorpora experts externs per sotmetre els nostres models a proves de pressió
• L'especificació del model ofereix una finestra sobre com donem forma al comportament del model perquè reflecteixi els valors humans i les normes democràtiques.

En conjunt, aquest treball ha estat fonamental per establir estàndards de seguretat i protecció al sector i orientar el desenvolupament d'un codi de bones pràctiques viable basat en les millors pràctiques del sector. Crear una IA segura i responsable és una tasca que no s'acaba mai. Continuarem millorant de manera iterativa el nostre enfocament de la seguretat per ajudar a garantir que la nostra tecnologia s'utilitzi de manera responsable per beneficiar tothom, sigui on sigui al món.

Treballarem estretament amb l'Oficina d'IA de la UE, les autoritats pertinents i els nostres clients a mesura que s'implementi la Llei d'IA en els propers mesos i anys, perquè puguem garantir col·lectivament els beneficis de la IA per a la societat i l'economia europees. 

Actualització: el 25 de setembre de 2024, ens vam adherir als tres compromisos bàsics del Pacte de la UE sobre IA.

1. Adoptar una estratègia de governança de la IA per fomentar l'adopció de la IA a l'organització i avançar cap al compliment futur de la Llei d'IA;
2. dur a terme, en la mesura del possible, un mapatge dels sistemes d'IA subministrats o desplegats en àmbits que es considerarien d'alt risc segons la Llei d'IA;
3. promoure la sensibilització i l'alfabetització en IA del seu personal i d'altres persones que tractin amb sistemes d'IA en nom seu, tenint en compte els seus coneixements tècnics, experiència, educació i formació, així com el context en què s'han d'utilitzar els sistemes d'IA, i considerant les persones o grups de persones afectats per l'ús dels sistemes d'IA.

Creiem que l'enfocament bàsic del Pacte sobre IA en l'alfabetització en IA, l'adopció i la governança apunta a les prioritats adequades per garantir que els beneficis de la IA es distribueixin àmpliament. A més, està alineat amb la nostra missió d'oferir tecnologies segures i capdavanteres que beneficiïn tothom.

La Llei d'IA de la UE⁠(s'obre en una finestra nova) és un marc regulador important dissenyat per gestionar el desenvolupament, el desplegament i l'ús de la IA a tot Europa. Posa un gran èmfasi en la seguretat per promoure una adopció fiable de la IA a Europa, tot protegint la salut, la seguretat i els drets fonamentals. Introdueix nous requisits basats en els riscos associats als sistemes d'IA, amb un enfocament especial en els casos d'alt risc i d'ús inacceptable, així com obligacions especials per als models i sistemes d'IA de propòsit general (GPAI). 

Tot i que el procés legislatiu s'ha completat i la llei entrarà en vigor l'agost de 2024, caldran orientacions addicionals i legislació d'aplicació per definir l'abast de la llei, especialment pel que fa a la seva aplicació a models GPAI com els d'OpenAI. 

A OpenAI, ens comprometem a complir la Llei, no només perquè és una obligació legal, sinó també perquè l'objectiu de la llei està alineat amb la nostra missió de desenvolupar i desplegar una IA segura que beneficiï tota la humanitat. Estem orgullosos de presentar models capdavanters al sector tant en capacitats com en seguretat. Creiem en un enfocament equilibrat i científic en què les mesures de seguretat⁠ s'integren en el procés de desenvolupament des del principi. Els nostres equips cobreixen un ampli espectre d'esforços tècnics per abordar els reptes de seguretat de la IA, incloent-hi avaluacions dels models dins del nostre Entorn de treball de preparació⁠ abans del seu desplegament, equip vermell⁠ intern i extern, supervisió⁠ posterior al desplegament per detectar abusos, programes de Bug Bounty⁠ i Cybersecurity Grant⁠, i contribució a estàndards d'autenticitat⁠, entre d'altres. 

Treballarem estretament amb l'Oficina d'IA de la UE i altres autoritats pertinents a mesura que s'implementi la nova llei en els propers mesos, i esperem que l'experiència que hem acumulat ajudi a impulsar els objectius de la Llei pel que fa al desplegament d'una IA segura i beneficiosa.  

En aquest article, oferim una visió general d'alguns temes clau de la Llei d'IA, amb un enfocament especial en els casos d'ús prohibits i d'alt risc.

La Llei d'IA entrarà en vigor l'1 d'agost de 2024, 20 dies després de la seva publicació al Diari Oficial de la UE. Tot i que la majoria de les disposicions de la Llei no seran efectives fins 24 mesos després de la seva entrada en vigor, cal tenir presents diversos terminis importants: 

• Les prohibicions de pràctiques prohibides seran efectives 6 mesos després de l'entrada en vigor (febrer de 2025) 
• Els codis de bones pràctiques, que cobriran molts dels detalls d'implementació necessaris per complir la Llei, s'hauran de finalitzar dins dels 9 mesos posteriors a l'entrada en vigor (maig de 2025) 
• La majoria de les obligacions relatives a la IA de propòsit general seran efectives 12 mesos després de l'entrada en vigor (agost de 2025). 
• Les obligacions per a la majoria dels sistemes d'IA d'alt risc s'aplicaran 24 mesos després de l'entrada en vigor (agost de 2026). 

Els sistemes GPAI preexistents que no hagin estat objecte d'una modificació substancial, i certs sistemes d'IA que són components de sistemes informàtics a gran escala identificats a l'annex X de la Llei d'IA, tindran un termini d'implementació més llarg de 36 mesos (agost de 2027).

La Llei d'IA s'aplica principalment als «sistemes d'IA», que la Llei defineix com «un sistema basat en màquines dissenyat per funcionar amb diferents nivells d'autonomia, que pot mostrar capacitat d'adaptació després del desplegament i que, per a objectius explícits o implícits, infereix, a partir de l'entrada que rep, com generar sortides com ara prediccions, contingut, recomanacions o decisions que poden influir en entorns físics o virtuals».  Aquesta definició és àmpliament coherent amb la definició de l'OCDE de «sistemes d'IA» publicada el 2023 i amb la definició utilitzada a l'Ordre Executiva 14110 de l'Administració Biden sobre el desenvolupament i ús segur, protegit i fiable de la intel·ligència artificial.  

És important destacar que la Llei d'IA diferencia entre proveïdors i desplegadors de sistemes d'IA. Els proveïdors són entitats, com OpenAI, que desenvolupen un sistema d'IA o un model d'IA de propòsit general. També inclou entitats que fan desenvolupar un sistema d'IA o un model d'IA de propòsit general i el comercialitzen o posen el sistema d'IA en servei amb el seu propi nom o marca comercial, ja sigui de pagament o gratuïtament. 

Els desplegadors són clients o socis que utilitzen aquests sistemes o models en les seves pròpies aplicacions, com ara integrar GPT‑4o en un cas d'ús específic. Tot i que la majoria d'obligacions de la Llei d'IA recauen sobre els proveïdors més que no pas sobre els desplegadors, és important assenyalar que un desplegador que integra un model d'IA en el seu propi sistema d'IA pot convertir-se en proveïdor segons la Llei, per exemple utilitzant la seva pròpia marca comercial en un sistema d'IA o modificant-lo de maneres no previstes pel proveïdor.

Les organitzacions de fora de la UE també hauran de complir la Llei d'IA en una varietat de condicions que poden tenir un abast molt ampli.  Per exemple, la Llei s'aplica si: 

• Un proveïdor posa un sistema d'IA o un model GPAI al mercat de la UE, independentment de si l'empresa està establerta a la UE o en un altre país; 
• Els desplegadors d'un sistema d'IA tenen el seu establiment o es troben dins de la UE; 
• Els proveïdors i desplegadors de sistemes d'IA estan establerts o es troben en un tercer país, però la sortida produïda pel sistema d'IA s'utilitza dins de la UE.

L'ampli abast extraterritorial de la Llei d'IA significa que les empreses no europees hauran de complir la Llei per atendre clients de la UE, independentment de si tenen la seu dins de la UE.

La Llei d'IA es basa en un marc basat en el risc, amb requisits específics per als sistemes d'IA d'alt risc i de risc inacceptable. La Llei exigeix que les empreses classifiquin el nivell de risc dels seus sistemes d'IA per determinar les obligacions reguladores corresponents, i estableix diverses categories o nivells de sistemes d'IA, cadascun amb obligacions diferents.

Determinades pràctiques d'IA que es considera que plantegen un risc inacceptable per als drets de les persones estan totalment prohibides. Aquestes pràctiques inclouen:   

• Desplegar tècniques subliminars, manipuladores o enganyoses per distorsionar el comportament i perjudicar la presa de decisions informada, causant danys significatius. 
• Explotar vulnerabilitats relacionades amb l'edat, la discapacitat o les circumstàncies socioeconòmiques per distorsionar el comportament, causant danys significatius. 
• Sistemes de categorització biomètrica que infereixen atributs sensibles com ara raça, opinions polítiques, afiliació sindical, creences religioses o filosòfiques, vida sexual o orientació sexual (amb excepcions limitades per a l'etiquetatge o el filtratge de conjunts de dades obtinguts legalment i per a l'ús per les forces de l'ordre) 
• Sistemes de puntuació social, com ara sistemes que avaluen o classifiquen persones o grups segons el comportament social o els trets personals, causant-los perjudici. 
• Avaluar el risc que una persona cometi delictes penals basant-se únicament en perfils o trets de personalitat (amb excepcions limitades) 
• Compilar bases de dades de reconeixement facial mitjançant la recopilació indiscriminada d'imatges facials d'internet o de gravacions de CCTV
• Inferir emocions en llocs de treball o institucions educatives 
• Identificació biomètrica remota en temps real en llocs públics per a l'aplicació de la llei (amb certes excepcions).

La Llei imposa obligacions estrictes als sistemes que ha determinat que representen una amenaça substancial per a la salut, la seguretat o els drets fonamentals de les persones, que es classifiquen com a IA d'alt risc (HRAI). Aquests inclouen: a) sistemes que són components de seguretat d'un producte subjecte a altres lleis de la UE, i b) casos d'ús específics, com ara sistemes destinats a determinar l'accés o l'admissió a institucions educatives, a contractar o seleccionar treballadors o supervisar-ne el rendiment, a determinar l'elegibilitat per a ajuts públics, la solvència creditícia, avaluar l'elegibilitat i els preus de les assegurances de salut, entre d'altres.  

Els sistemes HRAI han de complir obligacions reguladores rigoroses, com ara establir un sistema de gestió de riscos per avaluar contínuament els riscos i les estratègies de mitigació al llarg del cicle de vida d'un sistema HRAI, mesures integrals de governança de dades per provar i avaluar els riscos de biaix, preparar documentació tècnica detallada abans que el sistema es comercialitzi i obligacions de supervisió contínua. 

Altres sistemes d'IA que no presenten riscos inacceptables o elevats només estan subjectes a requisits limitats, com ara obligacions de transparència. Per exemple, la Llei especifica que s'ha d'informar les persones quan interactuen amb un sistema d'IA com un xatbot, i que les imatges, l'àudio o el vídeo manipulats artificialment s'han d'etiquetar clarament. És probable que la majoria dels sistemes d'IA del mercat entrin en aquesta categoria.

S'apliquen requisits especials als proveïdors de models i sistemes d'IA de propòsit general, com OpenAI, als quals se'ls exigirà: 

• Desenvolupar documentació tècnica detallada del model i proporcionar-la a l'Oficina d'IA quan la sol·liciti
• Crear documentació per als desplegadors que utilitzen el model GPAI per desenvolupar els seus propis sistemes d'IA
• Implementar polítiques destinades a respectar la legislació de drets d'autor de la UE
• Proporcionar un resum del contingut utilitzat per entrenar el model GPAI 

A més, als proveïdors de models GPAI amb capacitats d'alt impacte que es consideri que presenten «riscos sistèmics» (p. ex., models entrenats amb una gran quantitat de còmput, definit tècnicament com 10^25 FLOPs), se'ls exigirà: 

• Dur a terme avaluacions del model per identificar i mitigar riscos sistèmics, i avaluar i mitigar contínuament els riscos presents
• Notificar a la Comissió Europea els models que compleixin els criteris d'aquesta categoria
• Supervisar i notificar incidents greus 
• Implementar mesures adequades de ciberseguretat per al model i la seva infraestructura física

Els proveïdors de models GPAI podran basar-se en un codi de bones pràctiques per demostrar el compliment dels requisits de la Llei d'IA. És probable que aquests codis de bones pràctiques estableixin les bases dels detalls específics per implementar aquestes obligacions, i esperem amb interès treballar amb l'Oficina d'IA de la UE a mesura que es desenvolupin durant els propers 9 mesos. 

OpenAI es compromet a complir la Llei d'IA de la UE i treballarem estretament amb la nova Oficina d'IA de la UE a mesura que s'implementi la llei. En els propers mesos, continuarem preparant documentació tècnica i altres orientacions per als proveïdors i desplegadors posteriors dels nostres models GPAI, alhora que continuem avançant en la protecció i la seguretat dels models que oferim al mercat europeu i més enllà.   

Si la vostra organització intenta determinar com complir la Llei d'IA, primer hauríeu d'intentar classificar qualsevol sistema d'IA dins del seu àmbit. Identifiqueu quins sistemes GPAI i altres sistemes d'IA utilitzeu, determineu com es classifiquen i considereu quines obligacions deriven dels vostres casos d'ús. També hauríeu de determinar si sou proveïdor o desplegador respecte de qualsevol sistema d'IA dins de l'àmbit. Aquestes qüestions poden ser complexes, així que hauríeu de consultar assessorament legal si teniu preguntes.