Garrigues Digital_

Innovación legal en la economía 4.0

 

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

AESIA impulsa el cumplimiento del Reglamento europeo de Inteligencia Artificial con 16 guías y herramientas prácticas

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado 16 guías y un compendio de ‘check-list’ para facilitar la implementación y el cumplimiento del Reglamento de Inteligencia Artificial de la Unión Europea (RIA). Estos recursos ofrecen orientación práctica para ayudar a proveedores y responsables a adaptarse a las nuevas obligaciones.

La AESIA he hecho públicas en su página web un total de 16 guías y varios check-list desarrollados en el marco del piloto español de “sandbox” regulatorio de IA. El objetivo de estas guías interpretativas y de carácter no vinculante es apoyar en la implementación y el cumplimiento del RIA. La propia AESIA avanza que estas guías serán actualizadas una vez que se apruebe el paquete legislativo conocido como “Ómnibus Digital” que modificaría el RIA y sobre el que ya emitimos un breve resumen que puede encontrar aquí.

Las guías permiten a cualquier interesado entender mejor el contenido de algunas de las obligaciones establecidas en el RIA, mediante la explicación con ejemplos de casos concretos en los que tales obligaciones se aplican. En cualquier caso, dado que el enfoque es generalista y didáctico, es necesario contar con asesoramiento experto en la normativa y las medidas técnicas, ya que el RIA no es una regulación aislada de aplicación autónoma e independiente, sino que precisa de ser complementado con otras normas de aplicación directa igualmente importantes (por ejemplo, el RGPD o la normativa europea de ciberseguridad).

Describimos brevemente a continuación los documentos publicados por la AESIA.

A. Guías introductorias

  • Guía de Introducción al RIA: proporciona una visión general de las obligaciones clave que impone el reglamento a los distintos operadores (proveedores, responsables del despliegue…), sirviendo de base para comprender las guías técnicas posteriores.
  • Guía práctica y ejemplos para entender el RIA: el objetivo de esta guía es “facilitar la comprensión del Reglamento de IA desde un enfoque práctico”. A partir de una serie de casos de uso (por ejemplo, sistema de IA de identificación biométrica en el trabajo, sistemas de IA en la gestión de personal o sistemas de IA para la detección de denuncias falsas) analiza los diferentes conceptos clave del Reglamento de Inteligencia Artificial.

B. Guías técnicas

  • Guía de Evaluación de la Conformidad: se detalla el procedimiento que deben seguir los proveedores de sistemas de IA de alto riesgo para superar el proceso de evaluación de conformidad (“marcado CE”).
  • Guía de Gestión de Calidad: explica cómo desarrollar políticas y procedimientos de calidad para la IA, que aseguren el cumplimiento permanente de los requisitos del Reglamento de IA.
  • Guía de Gestión de Riesgos: describe las medidas organizativas y técnicas necesarias para identificar, analizar, evaluar y mitigar continuamente los riesgos que un sistema de IA pueda plantear a la salud, la seguridad o los derechos fundamentales de las personas.
  • Guía de Supervisión Humana: ofrece pautas sobre cómo asignar personas con la competencia, formación y autoridad necesarias para supervisar el funcionamiento del sistema de IA.
  • Guía de Datos y Gobernanza de Datos: desarrolla los requisitos de calidad y gobernanza de datos que deben cumplir los sistemas de IA de alto riesgo.
  • Guía de Transparencia: analiza las formas de cumplir con las obligaciones de información a los usuarios previstas en el RIA.
  • Guía de Precisión: contiene orientaciones para que los proveedores evalúen y garanticen que el rendimiento del sistema de IA es suficientemente exacto y fiable para su finalidad prevista, minimizando errores.
  • Guía de Solidez: recomienda medidas para asegurar la robustez de los sistemas ante fallos y condiciones adversas.
  • Guía de Ciberseguridad: incluye recomendaciones para proteger los sistemas de IA contra accesos o manipulaciones no autorizadas, ataques y otras amenazas de seguridad. Incluye un inventario de los riesgos y amenazas específicos de la IA (por ejemplo, ataques que alteran los datos de entrenamiento, vulnerabilidades en modelos generativos, etc.) así como controles de ciberseguridad para contrarrestar estos riesgos y amenazas.
  • Guía de Registros: recoge cómo implementar mecanismos de registro automático de eventos para trazabilidad y auditoría.
  • Guía de Notificación de Incidentes: ofrece orientaciones sobre cómo cumplir con las obligaciones de notificar a las autoridades cualquier incidente grave relacionado con los sistemas de IA. Asimismo, la guía detalla qué se considera “incidente grave” y los protocolos a seguir cuando ocurren.
  • Guía de Documentación Técnica: ofrece indicaciones sobre cómo preparar la documentación técnica exhaustiva que debe acompañar a cada sistema de IA de alto riesgo.

C. ‘Check-list’ y manual para explicar su funcionamiento

  • Por último, la AESIA ha publicado 13 check-list que, en palabras de la propia AESIA, permiten “llevar a cabo un autodiagnóstico del cumplimiento de los requisitos establecidos por el reglamento por parte de sus sistemas de IA de alto riesgo, y diseñar un plan de adaptación de sus sistemas a los requisitos establecidos por el mismo”.
  • Estos check-list van acompañados de un manual para explicar su funcionamiento.
  • Los check-list podrían utilizarse junto con los recursos facilitados por la Comisión Europea a través del “EU AI Act Compliance Checker”, estos últimos publicados ya hace un tiempo.