Decálogo IA

PROPÓSITO CIENTÍFICO LEGÍTIMO

Utilizar la IA generativa exclusivamente para objetivos científicos válidos, respetando siempre la integridad y evitando la fabricación y falsificación de datos o el plagio.

CUMPLIMIENTO NORMATIVO

Conocer y observar la normativa vigente, derechos humanos, códigos éticos y políticas institucionales, asumiendo las consecuencias del incumplimiento.

SUPERVISIÓN HUMANA Y RESPONSABILIDAD

Mantener siempre el control y supervisión humana sobre los contenidos generados, aceptando la responsabilidad completa de su uso y resultados.

PRIVACIDAD Y CONFIDENCIALIDAD

No introducir información sensible, datos personales no anonimizados o material confidencial en herramientas de IA generativa en abierto, y controlar la configuración de la tecnología utilizada.

AUTORÍA, CONTRIBUCIÓN SUSTANCIAL Y PROPIEDAD INTELECTUAL

Respetar los derechos de autor, verificar y validar toda información generada, y no asumir nunca como propio el contenido creado por la IA generativa.

TRANSPARENCIA, TRAZABILIDAD, REPRODUCIBILIDAD Y REPLICABILIDAD

Declarar siempre el uso de la IA generativa, especificando qué herramientas se emplearon en la investigación, en qué etapas y con qué parámetros.

CIBERSEGURIDAD

Proteger los sistemas, evitando conectar la IA generativa a repositorios sin garantías suficientes de seguridad, para minimizar los riesgos y evitar las consecuencias negativas de un uso imprudente.

IMPUGNACIÓN Y REPARACIÓN

Conocer los procedimientos para objetar o rectificar resultados generados mediante IA generativa en caso de error o conflicto.

COMPETENCIA PROFESIONAL Y OPORTUNIDAD DE USO

Formarse para valorar el uso adecuado de estas herramientas y utilizarlas de manera crítica, reflexiva y eficiente.

JUSTICIA Y SOSTENIBILIDAD

Usar con responsabilidad la IA generativa, considerando su impacto social, económico y medioambiental en la comunidad científica y en la sociedad.

1. Propósito científico legítimo

La apuesta por una ciencia excelente y de calidad demanda un comportamiento íntegro y una conducta responsable, que asegure la calidad y el rigor en todas las etapas de la investigación, el cumplimiento de la normativa aplicable y la consideración de los aspectos éticos. El personal investigador debe plantear objetivos lícitos y legítimos y, según dispone la Declaración Nacional sobre Integridad Científica, perseguir un conocimiento basado en resultados contrastados y validados que permitan garantizar la credibilidad y solvencia de los mismos.

Actualmente, la mayoría de los sistemas de IA generativa están basados en teoría de la probabilidad y en modelos estocásticos. Estos sistemas utilizan modelos creados a partir de datos mediante métodos de aprendizaje automático (machine learning, ML), especialmente redes neuronales artificiales (deep learning, DL). Están en condiciones ahora de producir estructuras mucho más complejas que antes por dos razones: una mayor potencia de cálculo en los ordenadores (Unidad de Procesamiento Gráfico, Graphic Processor Unit, GPU), y la introducción de la capacidad de autosupervisión, o anotación automática de datos, en el proceso de aprendizaje (self-supervised learning). El sistema aprende sin usar etiquetas proporcionadas explícitamente como entrada.

Estas tecnologías han subvertido el procesamiento de lenguaje natural y los procesos de análisis y tratamiento de datos, y son cada vez más utilizadas en investigación, tanto básica como aplicada. Sin embargo, resultan evidencias suficientes que permiten afirmar que, en la creación de conocimiento, distintos sistemas de IA generativa pueden verse afectados por sesgos, tergiversaciones o plagios. Luego las evaluaciones de impacto, así como las de riesgos, resultan imprescindibles para la prevención de daños. En ningún caso, la utilización de sistemas y herramientas de IA puede excusar la mala praxis científica como la fabricación y falsificación de datos, plagio o cualquier otra conducta inaceptable. El sistema de IA generativa elegido no debería repercutir negativamente en los valores fundamentales enunciados en el presente Decálogo.

Como señala la UNESCO en su Recomendación sobre la ética de la inteligencia artificial, el uso de sistemas de IA no debe ir más allá de lo necesario para alcanzar un objetivo legítimo. La proporcionalidad e inocuidad se señalan como principios básicos. Asumimos y aconsejamos observar las nueve directrices de la Declaración de Principios para  Sistemas Algorítmicos Responsables de la ACM, su extensión a la IA generativa que ya ha sido mencionada, así como las recomendaciones para los investigadores contenidas en las Living guidelines on the responsible use of generative AI in research de la Comisión Europea. 

2. Cumplimiento Normativo

Cumplimiento normativo significa en primer lugar que las acciones y/o las conductas deben ser conformes a la regulación autonómica, nacional, comunitaria e internacional. El cumplimiento también alcanza a la adecuación de los comportamientos a las políticas públicas de las agencias oficiales (por ejemplo, las agencias de protección de datos o las autoridades nacionales de consumo y la competencia) y a las directrices, estándares, protocolos técnicos y guías de buenas prácticas en investigación. Resulta necesario subrayar el inexcusable deber de respeto a los Derechos Humanos plasmados en la Declaracion Universal de los DDHH de Naciones Unidas y en la Carta de los Derechos Fundamentales de la Unión Europea. En el desarrollo de proyectos nacionales inciden igualmente los límites constitucionales de cada Estado.

El comportamiento puede ser individual, relativo a las personas, o bien colectivo, relativo a las administraciones, asociaciones, organizaciones, empresas y corporaciones. Es importante señalar que, en las violaciones de derecho penal y también en las de derecho de propiedad y contractuales donde quede demostrada la intencionalidad o el incumplimiento manifiesto, la responsabilidad es individual. Corresponde al personal investigador cumplir con sus obligaciones jurídicas, éticas y sociales, y ser consciente de que las consecuencias pueden alcanzar también a la institución y a los investigadores/as responsables de la investigación.

En lo que respecta a la institución, y según el  Reglamento de Inteligencia Artificial (la denominada Ley Europea de IA) el diseño, desarrollo, implementación y uso de sistemas de IA, además de estar sujetos a reglas de conocimiento científico y técnico, deben cumplir requisitos estrictos de seguridad y privacidad. Deben ajustarse tanto a las competencias de gestión como, en el caso de sistemas de alto riesgo, a su autorización explícita para poder ser construidos y desplegados. Es aconsejable que antes y durante el uso de técnicas de IA generativa, el personal investigador conozca y utilice la pirámide de clasificación de niveles de riesgo establecida por el Reglamento de Inteligencia Artificial para cumplir con sus obligaciones. El Reglamento exige actuaciones razonables, verificables y documentadas, e incluye la revisión normativa y la evaluación de riesgos, además de la exigencia de trazabilidad (modelo, versión, parámetros y supervisión humana). Se recomienda prestar atención asimismo a las modificaciones para su aplicación contenidas en la propuesta del Reglamento Ómnibus Digital sobre IA que se implementarán en 2026 y 2027.

Por parte del personal investigador, en el uso de programas de IA generativa debe respetarse los términos de los contratos, cumplir con la normativa vigente y, de forma especialmente relevante,  tener en cuenta los estándares, protocolos y prácticas de cada campo específico de investigación y los principios éticos del Código de Buenas Prácticas Científicas del CSIC. Este código promueve la honestidad, integridad, independencia y ausencia de sesgos en la investigación. En caso de conflicto o de daño inducido, debe considerarse la calificación jurídica y ética de las acciones del personal investigador en la asignación de responsabilidades. De ahí la exigencia de diligencia previa y de conocimiento de las obligaciones por parte del equipo de investigación y de los integrantes del mismo.

Por último, debemos destacar un aspecto importante respecto a la normativa comunitaria. Las transferencias de datos, tanto de conocimiento como personales, fuera del espacio europeo, tienen implicaciones legales y de soberanía de datos muy relevantes. El personal investigador debe estar atento a los requisitos que debe cumplir y a las restricciones en vigor respecto a terceros países.

3. Supervisión Humana y Responsabilidad

Debe prevenirse la inclusión de resultados incorrectos con apariencia de veracidad, evitando posibles errores, invención de referencias bibliográficas, hechos, datos, enlaces, ilustraciones, o cualquier otro contenido falso.

La adopción de IA generativa en investigación requiere siempre de supervisión humana, puesto que la responsabilidad científica, moral y jurídica recae en las personas. En cualquier uso y para la creación de cualquier contenido, es un deber primordial mantener un espíritu crítico informado. Cuando en las actividades de investigación se utilicen contenidos creados por herramientas de IA se debe verificar con sumo cuidado las respuestas generadas.

La producción de contenidos mediante IA generativa en contextos de producción científica requiere una formación básica tanto sobre el funcionamiento de la IA generativa como sobre la ética investigadora, a fin de poder corregular su uso bajo la responsabilidad de la persona investigadora. La corregulación implica distinguir adecuadamente entre la agencia (o «agentividad») humana y la agencia de los sistemas artificiales, así como comprender cómo ambas interactúan dentro de un contexto de actividad científica específico, vinculado a los diferentes procesos de la tarea investigadora (diseño metodológico, recogida y análisis de datos, redacción científica, revisión por pares). El personal investigador es responsable de su trabajo y debe tomar decisiones informadas y críticas en todas las fases de la investigación. Este criterio resulta especialmente relevante en cuestiones relacionadas con la autoría, la trazabilidad del conocimiento y el reconocimiento de las producciones propias y ajenas.

La formación previa, la preparación y la supervisión de los resultados resultan así cruciales tanto en el uso de herramientas de IA generativa como cuando estas son objeto de investigación y desarrollo. Según las Living Guidelines de la Comisión, los sesgos pueden darse en los datos de entrenamiento, las instrucciones (prompts), las citas (que pueden ser inventadas) y la interpretación (la opacidad producida por la dificultad de identificar la trazabilidad y de explicar las inferencias).

La Declaración de Principios para  Sistemas Algorítmicos Responsables de la ACM subraya que los algoritmos pueden ser alimentados y entrenados mediante técnicas de aprendizaje automático que resulten opacas y produzcan errores. En el uso de IA generativa el personal investigador debe documentar claramente la forma en que se hayan seleccionado los conjuntos de datos, las variables y los modelos específicos utilizados para el desarrollo, entrenamiento, validación y tests, así como las medidas específicas que se hayan usado para garantizar la calidad de los datos y los resultados. Es recomendable, asimismo, contar con procesos de verificación y validación independientes susceptibles de ser sometidos a escrutinio público. Así, el personal investigador debería facilitar la realización de pruebas por parte de terceros. El Oxford Internet Institute ha advertido sobre los problemas de replicabilidad y la fiabilidad de las métricas utilizadas hasta ahora para validar los sistemas de IA generativa mediante evaluaciones comparativas de calidad (benchmarking).

Por otra parte, la supervisión humana no sólo es exigible en el diseño de sistemas de IA, sino en la gestión de todas las fases del ciclo de vida de los sistemas de IA usados en investigación: detectar problemas, corregirlos y, si es necesario, retirar ordenadamente aquellos servicios o productos previamente puestos a disposición de terceros. Es recomendable establecer protocolos sobre cómo reportar incidentes (errores graves, sesgos detectados, violaciones de privacidad, etc.) y cómo actuar al respecto, incluso si debe suspenderse o desmantelarse un servicio o producto (un modelo, por ejemplo).

4. Privacidad y confidencialidad

Cabe la posibilidad de que el personal investigador incurra inadvertidamente en violaciones de la privacidad y la confidencialidad que pueden dar lugar a sanciones de las Agencias de Protección de Datos o a litigios en los tribunales. Además, las plataformas de IA generativa suelen conservar y reutilizar estos datos. Con la salvedad de las excepciones de las versiones Pro, aquellas con licencias de empresa o cuando se activa la función de actividad de incógnito, debe evitarse el uso de instrumentos de IA generativa.

Una forma simple de definir la privacidad es entenderla como la protección de un espacio reservado de cualquier intromisión frente al dominio público. La confidencialidad significa que determinados datos están sujetos a restricciones de acceso y divulgación, de manera que se requiere autorización para acceder a este tipo de información, gestionarla, manejarla o hacerla pública. En definitiva, una información confidencial solo se comparte con quien estrictamente se desee y se pueda compartir. La confidencialidad también implica la protección de la información sensible y la exigencia de no revelar información obtenida en relaciones de confianza. Ambas dimensiones resultan relevantes para la investigación.

Existe el riesgo de que la privacidad y la confidencialidad no estén adecuadamente protegidas. Si no se desactiva la opción correspondiente en los ajustes de cada aplicación, las herramientas más utilizadas de IA generativa guardan por defecto las conversaciones con el fin de seguir entrenando a los modelos, incluyendo la revisión humana para mejorar el servicio. Por lo tanto, debe tenerse sumo cuidado con la información que se facilita, evitando compartir datos personales e información sensible o protegida, así como resultados legalmente protegidos o con valor comercial. Igualmente, se recomienda informarse sobre si las herramientas se encuentran en versión beta y si almacenan las interacciones para entrenar al modelo. En el entorno de investigación resulta prudente utilizar herramientas cerradas, libres cerradas o con diferente nivel de protección.

Los recientes desarrollos del Código de Buenas Prácticas del Reglamento de Inteligencia Artificial que entró en vigor el 2 de agosto de 2025, y la Guía del Comité Europeo de Protección de Datos sobre la Interacción entre el Reglamento de Servicios Digitales y el Reglamento General de Protección de Datos (Guidelines 3/2025 on the Interplay between the DSA and the GDPR), efectiva desde el 12 de septiembre del mismo año, subrayan que el respeto a los derechos de privacidad, tanto desde el diseño como por defecto, debe ser parte integral del desarrollo de la IA generativa.

Esto requiere medidas técnicas como la privacidad diferencial, el filtrado de datos y la capacidad de desaprendizaje de modelos. Se plantean retos de ejecución cuando los datos personales se integran en los parámetros del modelo entrenado. Por lo tanto, resulta difícil para quienes utilizan la herramienta comprobar que estos requisitos se cumplen efectivamente y es posible que la aceptación acrítica de los resultados de los sistemas conduzca a violaciones de la privacidad y de la propiedad intelectual.

Esto constituye un problema particularmente sensible. La configuración de la defensa de la privacidad en el conjunto de los ordenamientos jurídicos que defienden la protección de datos, se basa en el consentimiento de la persona afectada para la compartición de datos personales. Sin embargo, la mayoría de los particulares presta su consentimiento sin un conocimiento real de los datos que cede y de los fines y alcance de su cesión. El consentimiento se recaba muchas veces mediante la mera adhesión a condiciones generales de uso o la utilización de formularios de difícil comprensión para el ciudadano medio. Un planteamiento ético de la creación de bases de datos para su uso en inteligencia generativa debe tener en cuenta estas circunstancias, y aplicar un filtrado previo de datos personales improcedentes y mecanismos de anonimización.

EL National Institute of Standards and Technology el Departamento de Comercio de Estados Unidos (NIST, en adelante),  ha definido con precisión distintas acepciones de confidencialidad. La confidencialidad en la regulación de la IA se extiende más allá de la protección de datos tradicional para abarcar toda la cadena de valor de la IA, lo que exige que los equipos de investigación que desarrollen sistemas de IA, especialmente si lo hacen con empresas, implementen arquitecturas de seguridad integrales que protejan la información sensible del acceso no autorizado durante las fases de entrenamiento, procesamiento e inferencia. Las medidas técnicas de confidencialidad incluyen la implementación de mecanismos de filtrado para evitar la fuga de datos personales en los resultados de IA, el uso de cifrado para datos en tránsito y en reposo, la implementación de técnicas de privacidad diferencial durante el entrenamiento y el establecimiento de entornos de procesamiento seguros con aislamiento de red y restricciones de acceso.

5. Autoría, contribución sustancial y propiedad intelectual

El reconocimiento de autoría en una obra literaria, artística o científica requiere haber contribuido de forma que la aportación intelectual resulte relevante. Los criterios de autoría exigen, además de la contribución sustancial a la creación intelectual de que se trate, la aprobación de la versión final de la misma y la asunción de responsabilidad respecto a la contribución aportada y el conocimiento producido.

En España, se distingue entre propiedad intelectual (PI, en adelante) y propiedad industrial. La PI protege la creatividad y la innovación (en arte, ciencia y tecnología, incluyendo el software) y es importante subrayar que la protección opera desde el inicio, desde que se genera la creación original, y no requiere de registro previo. La propiedad industrial, en cambio, se refiere a las patentes, diseños, marcas registradas y denominaciones de origen que tienen un valor comercial. Sobre las características de la PI, puede consultarse el Real Decreto Legislativo 1/1996, de 12 de abril.

Los derechos de carácter personal que integran la PI atribuyen al autor la plena disposición y el derecho exclusivo a la explotación de la obra, de manera que para su divulgación y publicación se requiere su consentimiento. Corresponde al autor decidir la licencia o cesión de derechos de explotación que otorga. Sin embargo, si la investigación ha sido financiada con fondos públicos, la publicación y difusión de los resultados debe realizarse mediante licencias internacionales de bienes comunes (como Creative Commons). Hay que recordar en este punto que, como organismo público, el CSIC  se compromete y promueve una política de ciencia abierta que está en consonancia con la política europea de ciencia abierta para la innovación. La Red de Bibliotecas y Archivos del CSIC es el sistema horizontal encargado de garantizar el acceso a los recursos de información científica a los investigadores del CSIC dando soporte al proceso de investigación.

Dado que las herramientas y sistemas de IA generativa se entrenan con grandes volúmenes de datos que pueden contener textos, imágenes, diseños, etc., protegidos por derechos de autor y derechos de propiedad industrial, su uso y sus creaciones pueden constituir infracciones de PI e industrial. Debe optarse por modelos entrenados con contenido autorizado y revisar los términos de uso y las licencias de las herramientas.

Aunque hay diferencias entre la regulación de los Estados Unidos y la europea sobre la PI relativa a la IA generativa, una instrucción (prompt) no puede considerarse una creación intelectual generadora de derechos de autor. Tampoco basta con tener ideas para obtener una patente. El Convenio sobre la Patente Europea (European Patent Convention) requiere que los inventos sean innovadores, impliquen una actividad inventiva y sean susceptibles de aplicación industrial. En Estados Unidos, la PI comprende obras o ideas creativas plasmadas en una forma que permite compartirlas o que otros puedan recrearlas, emularlas o fabricarlas. Las patentes, las marcas, los derechos de autor y los secretos comerciales se consideran distintos tipos de PI.

El contenido generado por IA no puede asumirse per se como creación original. Es necesario validar y verificar la información, interpretarla oportunamente y declarar el grado de contribución de la IA generativa, tanto en la redacción de proyectos como en las publicaciones resultantes.

Existe otro factor que debe considerarse en la introducción de la IA generativa: la afectación de los derechos de los consumidores y usuarios y la incidencia de las fórmulas algorítmicas de IA en las relaciones comerciales, con posibles prácticas contrarias al derecho antitrust o contrarias a la lealtad en el comercio. Estos daños, aunque se produzcan inadvertidamente, pueden  acarrear sanciones por parte de las autoridades reguladoras.

6. Transparencia, Trazabilidad, Reproducibilidad y Replicabilidad.

La creciente adopción de herramientas de IA generativa viene acompañada de la exigencia ética de declarar cuál ha sido el grado de contribución de la herramienta de IA generativa en cada creación. Muchas revistas, consorcios editoriales, congresos, medios divulgativos y entidades financiadoras han dictado directrices que deben consultarse para hacer un uso transparente de la IA generativa. El deber de declarar también aplica a aquellos trabajos que se depositan en repositorios digitales, ya sea en forma de preprint o como publicación final no revisada por pares.

Cuando los datos se obtengan, compartan o procesen en un espacio de datos (institucional, sectorial o europeo), deberá declararse tal circunstancia y el equipo deberá ajustarse a sus instrumentos de gobernanza (acuerdos de participación, políticas de acceso/uso y condiciones de intercambio), sin perjuicio del cumplimiento del estándar de diligencia media del personal investigador.

Existe un debate ético en evolución sobre qué es obligatorio, opcional e innecesario declarar respecto al empleo de la IA generativa en todos los procesos. Estas exigencias pueden variar entre disciplinas, consorcios editoriales y otros entornos de la investigación. Por lo tanto, en cuanto a la exigencia de declaración, no existe una política única que se ajuste a todos los contenidos y campos de conocimiento. Por ejemplo, en muchas revistas es obligatorio declarar su uso para mejorar la legibilidad y corrección de textos, mientras que en otras se ha vuelto opcional. También es común demandar la declaración de la tipología científica, técnica y jurídica de las herramientas.

Hay que referirse en este punto a la reproducibilidad y la replicabilidad de los resultados científicos. La reproducibilidad remite a la transparencia y al rigor técnico. La replicabilidad, a la robustez científica. La primera significa que con los mismos datos, el mismo código y el mismo protocolo, un investigador pueda obtener los mismos resultados que los producidos en la investigación original. La segunda, significa que el uso del mismo método sobre datos nuevos pueda generar resultados coherentes con los de la investigación original. Ambas características son exigibles. En investigación, si los resultados producidos con IA no son reproducibles y replicables, pierden valor científico y dificultan la auditoría interna y externa. La IA (modelos opacos, datos dinámicos, servicios en la nube...) hace que la reproducibilidad y la replicabilidad sean especialmente complicadas. Es necesario, pues, documentar adecuadamente los conjuntos de datos, registrar los modelos utilizados, las instrucciones (prompts) y los flujos de procesamiento de datos (pipelines).

En el ámbito de la publicación científica, algunos consorcios editoriales han creado una sección específica antes de la lista de referencias para las declaraciones. Otras revistas proponen realizarlas en la sección de “Métodos” y otras piden incluir los detalles en los anexos o materiales suplementarios. La American Psychological Association (APA) también ha actualizado sus guías para la citación en texto de la IA generativa y para incluirla como una herramienta de software más en las referencias. CEUR-Working Proceedings, una de las revistas en acceso abierto más generalmente utilizadas, ofrece una política sobre herramientas de asistencia de IA detallando las prácticas que considera aceptables y cuales no en las publicaciones: la IA generativa puede ayudar a la redacción de un artículo, pero nunca suplantarla, y debe usarse de manera responsable. Desde 1997 existe el  Committee on Publication Ethics (COPE), una organización sin ánimo de lucro que agrupa a muchas revistas científicas. Últimamente también se ha posicionado en contra de que las herramientas de IA reciban la consideración de autor/a.

En el ámbito más general (desarrollos, patentes, etc.), el personal investigador debe identificar el procedimiento correcto para explicitar la declaración. Ante las posibles vulneraciones de derechos de propiedad se plantea el problema de la prueba. En los procesos civiles quien alega debe probar, es decir, aportar pruebas del daño sufrido, y un particular cuyos derechos se hayan visto vulnerados tiene graves dificultades para demostrar la trazabilidad del proceso de decisión en una IA generativa. En propiedad industrial opera el principio de la inversión de la carga de la prueba, luego sería el demandado el que tendría que probar que su producto es original. En cualquier caso, de cara a la salvaguarda de los derechos económicos y de autoría, es recomendable que, en la medida de lo posible, el personal investigador mantenga un registro de trazabilidad.

7.  Ciberseguridad

La IA generativa no está exenta de riesgos en materia de seguridad y los desafíos que plantea son muy diversos. En relación a las plataformas y su intercomunicación, el NIST define la ciberseguridad como la prevención de daños, la protección y la restauración de los sistemas de computación, los sistemas de comunicaciones electrónicas, los servicios de comunicaciones electrónicas, las comunicaciones por cable y las comunicaciones electrónicas, incluida la información que contienen, con el fin de garantizar su disponibilidad, integridad, autenticación, confidencialidad y no repudio. Este último principio garantiza que una parte no pueda negar su participación en una comunicación o transacción digital. Proporciona una prueba verificable del origen y la integridad de los datos, lo que imposibilita que un emisor niegue el envío de un mensaje o que un receptor niegue su recepción. Esto se logra generalmente mediante métodos criptográficos como las firmas digitales, que utilizan una clave privada para firmar un mensaje y una clave pública para verificar la firma. En relación con las posibilidades de configuración de las plataformas y sistemas de computación, debe asegurarse la correcta protección de datos de posicionamiento, navegación y tiempo (PNT), que incluyen información sobre la ubicación (como longitud, latitud y altitud), orientación y hora.

Los ataques adversarios pueden manipular los modelos de IA generativa para generar respuestas falsas, incorrectas o perjudiciales. La IA generativa puede asimismo utilizarse para correos electrónicos de phishing altamente personalizados, adaptándose a cada destinatario para aumentar las probabilidades de éxito de sus objetivos malintencionados. Otros usos maliciosos incluyen el secuestro de datos, el robo de ideas y secretos comerciales, el descubrimiento de vulnerabilidades, la creación de malwares, y la automatización de ataques a gran escala. Se aconseja extremar las precauciones y controlar las configuraciones de seguridad de las herramientas utilizadas, ya sean libres, privadas o institucionales, conocer e implementar las recomendaciones de la institución para estar prevenido ante usos adversos y ser conscientes de las posibilidades de hackeo.

Por otra parte, la confidencialidad en la regulación de la IA generativa se extiende más allá de la protección de datos tradicional para abarcar toda la cadena de valor de la IA, lo que exige que los equipos de investigación que desarrollen sistemas de IA generativa, especialmente si lo hacen con empresas, implementen arquitecturas de seguridad integrales que protejan la información sensible del acceso no autorizado durante las fases de entrenamiento, procesamiento e inferencia. Atendiendo a la función desempeñada, algunos sistemas de IA deberían ir acompañados por mecanismos de aseguramiento de la responsabilidad civil.

Las medidas técnicas de confidencialidad incluyen la implementación de mecanismos de filtrado para evitar la fuga de datos personales en los resultados, el uso de cifrado para datos en tránsito y en reposo, la implementación de técnicas de privacidad diferencial durante el entrenamiento y el establecimiento de entornos de procesamiento seguros con aislamiento de red y restricciones de acceso. En el caso del desarrollo de sistemas de IA generativa, el personal investigador debe asegurar la estabilidad y fiabilidad de los sistemas. Hay que acreditar su solidez mediante el registro de la documentación relativa a las pruebas y cambios a lo largo de sus ciclos de vida.

Hay otro aspecto que cabe resaltar. Cuando no se trata de usar la IA con fines de investigación, sino que el objeto de esta es la propia IA (o el desarrollo de la IA, por ejemplo, mediante el diseño de modelos), se asumen responsabilidades adicionales: puede estarse creando recursos tecnológicos con capacidades que mal utilizadas pueden tener consecuencias negativas. En este sentido, deberían evaluarse los riesgos
de doble uso —mal uso intencional o no previsto— y diseñar medidas de seguridad desde el inicio.

Se recomienda consultar la Normativa de Seguridad de la Información del CSIC (2024), el Esquema Nacional de Seguridad (2022) y, por lo que respecta a la regulación europea, la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022.

8. Impugnación y Reparación

Los resultados de la IA generativa pueden general conflictos de intereses, por tanto, no sólo es necesario conocer, de antemano, la política de las publicaciones respecto a su uso, sino que es recomendable saber qué tipo de controversia puede producirse, qué tipo de respuesta es esperable y cuáles son los mecanismos previstos en el caso de error de apreciación o de conflicto. El principio de impugnación se refiere a estas situaciones. Cuando un sistema de IA generativa afecta significativamente a una persona, comunidad, grupo o entorno, suele existir un proceso que permite cuestionar el uso o los resultados del sistema. Es responsabilidad del personal investigador conocerlos y, en su caso, buscar el asesoramiento de la institución a la que pertenece, puesto que esta también puede quedar afectada.

El equipo de investigación, en cumplimiento del estándar de diligencia media del personal investigador, deberá prever, detectar y gestionar controversias o daños derivados del uso de IA generativa, activando los protocolos de impugnación y reparación (notificación, preservación de evidencias, corrección y comunicación a editores y fuentes de financiación).

El conocimiento del contexto y de los interlocutores también es relevante. En IA es muy frecuente la colaboración con proveedores tecnológicos y financiación privada. Esto puede influir en la elección de herramientas, en la interpretación de resultados y en la comunicación pública de la investigación. Hay muchos intereses en juego y la presión de las compañías tecnológicas es grande. Por ello hay que ser especialmente escrupulosos sobre qué se recibe o se contrata a terceros y a cambio de qué (declarar fuentes de financiación y relaciones con empresas proveedoras de IA; acuerdos de colaboración, como los que permiten el acceso anticipado, preferente o gratuito a servicios y productos de IA; publicación de resultados cuando hay interés comercial; etc.).

La impugnación en la regulación de la IA generativa abarca tanto la capacidad técnica de las personas para rebatir las decisiones impulsadas por ella, como los mecanismos procesales que permiten una reparación significativa cuando los sistemas de IA generativa causan daño o producen resultados no deseados. La impugnación efectiva requiere más que explicaciones post hoc del funcionamiento algorítmico: exige proporcionar fundamentos fácticos que permitan a las personas identificar si se han cumplido las condiciones legales para las decisiones adversas, distinguiendo entre: (i) explicaciones técnicas del funcionamiento del sistema; (ii)  justificaciones jurídicas para resultados específicos; (iii)  y la creación de registros que permitan la auditoría y posibles mecanismos públicos de supervisión y análisis con garantía para ambas partes.

Los mecanismos de impugnación y reparación deben ser significativos y de fácil acceso, incluyendo procedimientos de quejas efectivas, entidades de cumplimiento imparciales que faciliten los procesos de revisión y puntos de contacto para los usuarios que crean que sus derechos han sido violados. El desafío radica en garantizar el equilibrio entre las personas y los sistemas de IA generativa. Un paso previo es utilizar los mecanismos previstos en el Código de Buenas Prácticas Científicas del CSIC y en el Manual de Conflictos de Intereses del CSIC.

Reiteramos que los particulares disponen de pocos medios, conocimientos y facilidades para la prueba de la vulneración de sus derechos personales o económicos. Para equilibrar la situación sería de todo punto necesario establecer archivos de trazabilidad y un mecanismo de acceso a la prueba, apto para la auditoría técnica, por un lado, y para su uso en el proceso civil, por otro.

9. Competencia profesional y Oportunidad de uso

Para una utilización eficiente de la IA generativa, en distintos grados y atendiendo a las características del campo de investigación, se requiere un aprendizaje específico que comprenda las diferentes arquitecturas, modelos y la tecnología de instrucciones (prompts). Hay que considerar, asimismo, el contexto de uso y la capacidad de validación de los resultados. De forma consciente y crítica deben tenerse también en cuenta sus problemas de opacidad, sesgos o limitaciones, así como la consideración de la mejora que aporta. En síntesis, un uso eficiente y ético de la IA generativa requiere un nivel suficiente de habilidades adquiridas y conocimiento sobre los resultados esperados. La complejidad de las aplicaciones debe adecuarse al nivel de formación y experiencia. En coherencia con el estándar de diligencia media del personal investigador, el equipo acreditará competencia técnica mínima, valorará limitaciones y riesgos, y documentará la oportunidad de uso, evitando la automatización acrítica.

En las aplicaciones actuales, la ingeniería de instrucciones (prompts) intenta contextualizar cada indicación para mejorar la utilidad y fiabilidad de los resultados de la IA generativa. Un ejemplo de uso no experimentado puede ser que la redacción de un texto en inglés de una persona no nativa altere sustancialmente el significado y la originalidad de una contribución. Otro ejemplo puede darse en la automatización de procesos no controlados de diseño experimental, algoritmia, desarrollo de software o analítica de datos donde las instrucciones que no recojan las especificidades de los problemas, puedan dar información muy estandarizada o errónea.

En Europa, la adquisición de capacidades en IA generativa es uno de los pilares básicos establecido por la Brújula para la Competitividad y el Plan de Acción para el Continente de la IA . Debe venir también acompañada de un refuerzo de los conocimientos en ética e integridad de la investigación. Se aconseja familiarizarse tanto con los usos particulares de la IA generativa como con las políticas para su utilización, basadas en la normativa nacional y europea que define sus límites, especialmente el Reglamento de Inteligencia Artificial (Ley Europea de IA, ya citada). La adopción de la IA generativa no debe ignorar el deber de mitigar sus posibles efectos adversos, tales como la erosión de habilidades (deskilling) o el incremento indebido de la dependencia tecnológica.

10. Justicia social y Sostenibilidad

Estas Directrices han propuesto algunos principios para el uso de la inteligencia artificial generativa en investigación que incluyen: (i) la transparencia en la divulgación y atribución de los resultados, (ii) la verificación del contenido y los análisis generados, (iii) la documentación de los datos, (iv) un enfoque basado en la ética, la equidad, el respeto a la ley y los derechos humanos, (v) un debate, supervisión y participación pública permanente.

La IA generativa tiene una dimensión económica, social y política que ha permeado y modificado ya la vida cotidiana y laboral de muchas personas, afecta a la generación, desempeño y mantenimiento de puestos de trabajo, y tiene un impacto muy relevante en la naturaleza y los sistemas ecológicos. Esto hace más urgente la creación de un consenso en la comunidad científica para el desarrollo de una IA generativa responsable y sostenible.

En todas las áreas incluidas en los Espacios Comunes Europeos de Datos ―desde la energía, industria y las finanzas a la educación, la salud, la administración, la movilidad y el turismo― el uso de la IA generativa ha tenido ya un impacto transformador. Sin embargo, la innovación no está exenta de riesgos. Algunos ya han sido señalados en estas Directrices, como el sesgo en los datos de entrenamiento, las respuestas y la interpretación, o la dificultad en la trazabilidad de los algoritmos y procesos de información.

Es importante considerar los efectos actuales y futuros de la IA generativa, tanto durante su proceso de diseño y producción, como en la elaboración y aplicación de sistemas. El desarrollo y uso no sustantivo, poco transparente, o sesgado de la IA generativa, así como una actitud que apueste exclusivamente por el ánimo de lucro sin atender a su impacto, puede causar daños a personas, colectivos minoritarios, contextos sociales, entornos naturales, empresas y al propio tejido empresarial. Esta posición se ajusta a la Agenda de Políticas del Espacio Europeo de Investigación (ERA Policy Agenda) ), a sus políticas estructurales (ERA structural policies) y al Código de Conducta Europeo para la Integridad en la Investigación, quienes promueven un enfoque holístico en el desarrollo tecnológico integrando la equidad de género, la igualdad de oportunidades y la inclusión, así como la sostenibilidad y la participación ciudadana.

Los investigadores comunican sus resultados y métodos, incluido el uso de servicios o herramientas automatizadas y de IA, de forma compatible con las normas aceptadas de la disciplina y en su caso de tal manera que éstos puedan ser verificados y reproducidos.
Los investigadores, las instituciones de investigación y organizaciones revisan y evalúan las solicitudes presentadas para su publicación, financiación, nombramiento, promoción o gratificación de manera transparente y justificable, y revelan el uso de la IA y de herramientas automatizadas.
El Código determina que es una vulneración de la integridad científica, ocultar el uso de IA o herramientas automatizadas en la creación de contenidos o la redacción de publicaciones.
 

Según el Programa de las Naciones Unidas para el Medio Ambiente es necesario considerar los ciclos del hardware y el software como un todo, desde la extracción de materias primas, la producción, el transporte y la construcción de centros de datos, la gestión de los residuos electrónicos, hasta la recopilación, preparación de datos e implementación. En este ciclo, el consumo de recursos de la IA generativa, especialmente de agua y energía, es inmenso y se prevé que vaya en aumento. Sobre esta cuestión es necesario implementar métodos y parámetros estandarizados para medir el impacto medioambiental de la IA generativa y dar prioridad a la investigación sobre tecnologías verdes (green computing), eficiencia energética y economía circular en la computación en la nube y en los centros de datos.

En síntesis, la utilización de IA generativa en investigación exige un compromiso expreso de no discriminación, reducción de brechas digitales y minimización de la huella ambiental, garantizando la accesibilidad de herramientas y resultados (diseño universal, formatos interoperables, alternativas perceptivas) y la equidad algorítmica mediante la identificación y mitigación documentada de sesgos. A tal fin, y actuando según el estándar de diligencia media del personal investigador, se priorizarán modelos y despliegues eficientes, infraestructuras con energía renovable y soluciones descentralizadas que refuercen la soberanía tecnológica -incluyendo, cuando sea viable, la computación periférica (on-premise/edge), el aprendizaje colaborativo o federado (federated learning) y la participación en espacios de datos (institucionales, sectoriales o europeos).

Hay que establecer reglas claras de gobernanza para fomentar la federación, la eficiencia y el consumo cooperativo de datos, sin desbordar las finalidades ni las garantías jurídicas aplicables; además, la contratación necesariamente considerará aspectos éticos (tales como la eficiencia, la accesibilidad y derecho de salida, la auditabilidad). Cuando la IA generativa haya contribuido a la producción de resultados con impacto social, se declarará tal intervención, así como las medidas adoptadas en materia de accesibilidad, equidad y sostenibilidad.