Descifrando la Ley de IA de la UE Parte 5 -Código de Prácticas sobre IA de Propósito General de la UE: Capítulo sobre Derechos de Autor

El 10 de julio de 2025, la Comisión Europea presentó el Código de Prácticas sobre Inteligencia Artificial de Propósito General (IA-PG). Elaborado por un grupo independiente de expertos bajo la dirección de la Oficina de IA de la UE, el Código puede funcionar como una hoja de ruta estructurada para que los proveedores de modelos de IA-PG operacionalicen sus obligaciones legales bajo la Ley de IA de la UE, en particular conforme a los artículos 53 y 55.

Aunque de carácter voluntario, el Código tiene un peso legal y estratégico considerable. Sirve como un instrumento de derecho blando, ofreciendo un marco oficialmente respaldado para demostrar el cumplimiento de algunas de las áreas más complejas de la Ley de IA, especialmente aquellas relacionadas con los riesgos sistémicos, la transparencia y el cumplimiento de los derechos de autor.

¿Cuál es la función del Código de Prácticas?

1. Operacionalizar los requisitos legales

La función principal del Código es traducir las obligaciones legales abstractas de la Ley de IA en medidas concretas y aplicables. Mientras que la Ley de IA establece principios generales y deberes para los proveedores y usuarios de IA-PG, el Código aporta el “cómo”.

Mapea los deberes legales de los artículos 53 (para todos los proveedores de IA-PG) y 55 (para modelos de alto impacto) en procedimientos detallados. Esto incluye normas de documentación, expectativas de transparencia de datos y estrategias de mitigación de riesgos en diversos ámbitos (por ejemplo, uso indebido, sesgos, derechos de propiedad intelectual, seguridad).

Por ejemplo, el Código transforma el vago requisito de “respetar los derechos de autor” en obligaciones precisas sobre el comportamiento de los rastreadores web, la procedencia de los datos y el monitoreo de las salidas generadas.

2. Establecer una presunción de cumplimiento

Al alinearse con el Código, los firmantes se benefician de una presunción refutable de conformidad con las obligaciones relevantes de la Ley de IA. Esto reduce significativamente la carga de cumplimiento y aporta seguridad jurídica, especialmente útil en entornos transfronterizos dentro de la UE donde la interpretación y aplicación pueden variar entre autoridades nacionales.

Esto es similar a cómo funcionan los códigos de conducta o las cláusulas contractuales tipo en otros regímenes regulatorios de la UE como el RGPD. Sirven como instrumentos de cumplimiento reconocidos en los que los reguladores y tribunales pueden apoyarse para evaluar la diligencia debida y la buena fe.

3. Proporcionar un (poco) refugio regulatorio

Aunque no constituye un refugio legal formal, adherirse al Código puede mitigar el riesgo de acciones de cumplimiento o litigios. Es probable que los reguladores de la UE se centren primero en las empresas no firmantes o en aquellas que se desvíen del Código sin una justificación sólida.

En términos prácticos, firmar e implementar el Código se convierte en una estrategia defensiva, una forma de mostrar innovación responsable y ganar buena voluntad ante reguladores, sociedad civil y socios comerciales.

4. Promover normas y convergencia en el sector

El Código cumple una función de establecimiento de normas dentro del ecosistema de IA. Al codificar lo que constituye una “buena práctica” para los modelos de IA-PG en Europa, fomenta la estandarización entre proveedores y promueve la interoperabilidad con esfuerzos regulatorios globales (como los de la OCDE, el Instituto de Seguridad de la IA del Reino Unido o las Órdenes Ejecutivas de EE.UU. sobre IA).

Esto ayuda a establecer criterios comunes para la auditoría, transparencia y gobernanza ética de datos, especialmente en áreas polémicas como los medios sintéticos, la divulgación de riesgos y el cumplimiento de los derechos de autor.

5. Rellenar vacíos mientras se implementa completamente la Ley de IA

La aplicación completa de la Ley de IA es gradual, con obligaciones para IA-PG que comienzan el 2 de agosto de 2025, y requisitos específicos para modelos de alto impacto que entran en vigor un año después. El Código actúa como un instrumento de cumplimiento transitorio, ayudando a los proveedores a prepararse antes de que comience la aplicación vinculante.

También influirá en la orientación futura que emitirá la Oficina de IA de la UE, por lo que la adopción temprana se convierte en una estrategia proactiva de cumplimiento.

Análisis en profundidad: El Capítulo sobre Derechos de Autor

De los tres capítulos del Código (transparencia, derechos de autor y riesgos sistémicos), el Capítulo sobre Derechos de Autor destaca por ser tanto jurídicamente delicado como operativamente exigente.

Fue objeto de amplias consultas con editoriales, titulares de derechos y empresas de IA, ya que aborda uno de los temas más polémicos en la IA generativa: el uso legal de datos para entrenamiento y la mitigación de resultados infractores.

Resumen de las obligaciones en materia de derechos de autor

El Capítulo de Derechos de Autor describe cinco acciones clave que los proveedores de IA deben implementar:

1. Redactar y mantener una política de derechos de autor

• Los firmantes deben crear una política interna de gobernanza que detalle cómo gestionan el material protegido por derechos de autor.
• Esto incluye políticas sobre la selección de conjuntos de datos, flujos de trabajo de entrenamiento, protocolos de rastreo y filtrado de resultados.
• Una persona o unidad designada debe supervisar el cumplimiento, las auditorías y las actualizaciones.

2. Usar datos legalmente accesibles

• Los proveedores deben evitar entrenar modelos con contenido que esté detrás de muros de pago, protegido con DRM, o proveniente de sitios web en listas negras por infracción.
• Deben rastrear y documentar las fuentes de los datos de entrenamiento y asegurarse de que todos los usos sean legales según el derecho de autor de la UE, incluidas las excepciones para minería de textos y datos (TDM).

3. Respetar los mecanismos de exclusión

El Código refuerza la importancia de las reservas de los titulares de derechos, especialmente aquellas expresadas a través de:

• robots.txt

• metadatos legibles por máquina

• APIs de licencias

Las empresas deben configurar sus rastreadores web y herramientas de adquisición de datos para detectar y respetar automáticamente estas reservas.

4. Prevenir resultados infractores

Los modelos generativos deben incorporar medidas técnicas para evitar la reproducción no autorizada de obras protegidas.
Esto puede incluir:

• Filtros de salida

• Detectores de similitud

• Restricciones en la formulación de instrucciones (prompts)

• Controles contractuales en los términos de servicio del usuario

5. Gestionar eficazmente las reclamaciones por infracción

• Los proveedores deben mantener un mecanismo de reclamación accesible y transparente.
• Los titulares de derechos deben poder denunciar resultados infractores y recibir respuestas en tiempo razonable.
• Se espera que los proveedores tomen medidas correctivas cuando estén justificadas.

Conclusiones estratégicas para empresas de IA y equipos legales

Para departamentos legales, consejeros generales y responsables de cumplimiento que asesoran a empresas de IA, el Código de Prácticas —especialmente el capítulo de derechos de autor— exige una alineación interna proactiva:

• Realizar evaluaciones de riesgo de derechos de autor sobre los conjuntos de datos actuales y futuros.

• Redactar o actualizar las políticas de gobernanza de derechos de autor en línea con la estructura del Código.

• Implementar reglas de cumplimiento para rastreadores, incluyendo el monitoreo rutinario de reservas de derechos.

• Colaborar con los equipos de producto para integrar controles sobre los resultados generados.

• Prepararse para posibles auditorías de la UE, especialmente si tus modelos están clasificados como IA-PG de alto impacto.

Aviso Legal:

El contenido de este blog se proporciona únicamente con fines informativos generales y no constituye asesoramiento jurídico. Si bien nos esforzamos por asegurar que la información sea precisa y esté actualizada, puede que no refleje los desarrollos legales más recientes ni las circunstancias específicas de tu organización. Los lectores no deben actuar basándose en la información contenida en este blog sin antes buscar asesoramiento legal profesional. El uso de esta información no crea una relación abogado-cliente