Guies pràctiques per al compliment del RIA

Aquestes guies es publiquen sense perjudici de les guies tècniques que està elaborant la Comissió Europea, i que tenen per objectiu assegurar l'aplicació consistent de la regulació europea de IA. Les guies espanyoles proporcionaran una base al grup de treball de la Comissió per a l'elaboració de les guies europees. 

La Secretaria d'Estat de Digitalització i Intel·ligència Artificial a través de la seva Direcció General d'Intel·ligència Artificial, i amb la col·laboració de l'Agència Espanyola de Supervisió d'Intel·ligència Artificial (AESIA), entre altres autoritats nacionals de vigilància de mercat, publiquen 16 guies pràctiques que serveixen de suport a la implementació i l'empleno del Reglament Europeu d'Intel·ligència Artificial (RIA).

Les guies, fruit del Sandbox de IA, tenen com a objectiu ajudar al teixit productiu espanyol que desenvolupa o implementa sistemes de IA d'alt risc a complir amb la normativa vigent. Els documents proporcionen recomanacions alineades amb els requisits reguladors a l'espera que s'aprovin les normes harmonitzades d'aplicació per a tots els estats membres; i ajudaran a les pimes, start-ups i grans empreses a desenvolupar sistemes de IA innovadors, de confiança i respectuosos amb els drets fonamentals.

Les guies, que no tenen caràcter vinculant, ni substitueixen ni desenvolupen la normativa aplicable, s'han estructurat en tres blocs:

1. Guies introductòries:

• 01. Introducció al Reglament de IA. Aquesta guia ofereix una comprensió general del RIA, el seu abast normatiu, àmbit d'aplicació i les principals obligacions que d'ell es derivin. Té com a objectiu familiaritzar al lector amb els elements essencials del Reglament, abordant de manera breu i estructurada els conceptes clau.
• 02. Guia pràctica i exemples per a entendre el Reglament d'Intel·ligència Artificial. Facilita la comprensió del Reglament des d'un enfocament pràctic, proporcionant una introducció a les guies tècniques, així com exemples hipotètics de sistemes de IA d'alt risc.

2. Guies tècniques:

• 03. Avaluació de conformitat. L'objectiu és orientar, en el marc del sandbox de IA, sobre el procés d'avaluació de la conformitat al qual hauran de sotmetre's els sistemes d'intel·ligència artificial d'alt risc del Reglament europeu de IA. (“marcatge CE”).
• 04. Sistema de gestió de la qualitat. Aquesta guia presenta les mesures organitzatives i tècniques que serviran a proveïdors i responsables del desplegament per a donar compliment a l'article 17 del RIA; el qual estableix els requisits de gestió de la qualitat que hauran d'incorporar tot sistema de IA d'alt risc i uns certs sistemes de IA de propòsit general.
• 05. Sistema de gestió de riscos. Aquesta guia presenta les mesures necessàries per a identificar, analitzar, avaluar i mitigar els possibles riscos d'un sistema de IA i que serviran a proveïdors i responsables del desplegament per a donar compliment a l'article 9 sobre el sistema de gestió de riscos. Per a facilitar la seva comprensió s'incorpora un document Excel que recull el procés de desenvolupament per a diferents casos d'ús.
• 06. Supervisió humana. El RIA dedica el seu article 14 a la Vigilància Humana sobre sistemes de IA d'alt risc. Les persones han de ser capaces de prendre decisions autònomes amb coneixement de causa en relació amb els sistemes de IA, per a això la vigilància humana ha d'ocupar un lloc central en la funcionalitat del sistema.
• 07. Dades i governança de la dada. Aquesta guia se centra en l'article 10 del RIA sobre els requisits de governança de dades que haurà d'incorporar tot sistema de IA d'alt risc i uns certs sistemes de IA de propòsit general. La governança de dades és el conjunt d'elements que s'implementen per a garantir que les dades utilitzades en l'entrenament, validació i prova siguin adequats, pertinents, prou representatius i compleixen els requisits de qualitat i completitud establecidosa.
• 08. Transparència i provisió d'informació als usuaris. Aquest document proporciona mesures d'implementació per a entitats proveïdores i usuàries dels sistemes de IA que facilitin el compliment de les obligacions expressades en l'article 13 del RIA, dedicat completament a la transparencia.
• 09. Precisió. L'article 15 del RIA aborda els requisits de precisió, solidesa i ciberseguretat que ha de complir el sistema de IA. Aquesta guia se centra específicament en la precisió indicant mesures perquè els sistemes de IA no degradin les seves especificacions de rendiment i exactitud una vegada posats en marxa.
• 10. Solidesa. Aquesta guia posa l'accent en la solidesa dels sistemes de IA recollida en l'article 15 del RIA. La solidesa tècnica és un requisit clau per als sistemes de IA d'alt risc, que han de ser resilients en relació amb els comportaments perjudicials o indesitjables. La guia proposa mesures per a prevenir aquestes situacions.
• 11. Ciberseguretat. Conforme al que s'estableix en l'article 15 del Reglament de IA, aquesta guia proporciona mesures en matèria de ciberseguretat per a sistemes de IA, específicament en els aspectes relatius a intel·ligència artificial, de manera que s'integri en un esquema de ciberseguretat més ampli.
• 12. Registres i arxius de registre generats automàticament. Aquesta guia presenta les mesures que serviran a proveïdors i responsables de desplegament de sistemes de IA a donar compliment als requisits del RIA referents a la generació i conservació de registres que tot sistema de IA d'alt risc ha d'incorporar. El desenvolupament d'un sistema de gestió de registres adequat facilitarà altres tasques com la transparència o rendició de comptes.
• 13. Pla de vigilància postcomercialització. El RIA indica la necessitat de realitzar un pla de vigilància postcomercialització per als sistemes de IA d'alt risc; és a dir, dissenyar un conjunt d'activitats conduïdes pels proveïdors i responsables del desplegament per a recol·lectar i avaluar l'experiència obtinguda i així identificar la necessitat de prendre qualsevol acció.
• 14. Notificació d'incidents greus. Aquesta guia se centra en l'article 73 del RIA i descriu el procediment de notificació d'incidents greus, així com les mesures que permeten abordar aquest procediment.
• 15. Documentació tècnica. L'objectiu d'aquesta guia és explicar què exigeix el Reglament europeu de IA a la documentació tècnica, com reflectir-ho i com ha de ser conservada tota la documentació requerida.

3. Checklist de guies de requisits:

• 16. Manual de checklist de guies de requisits.
• Checklist i exemples: inclou (en arxiu zip) exemples esmentats en les guies i tots els Excel que contenen l'eina checklist per a cadascun dels 12 requisits sobre els quals és necessari realitzar un diagnòstic:
  • Sistema de gestió de qualita
  • Sistema de gestió de riscos
  • Supervisió humana
  • Dades i governança de dades
  • Transparència
  • Precisió
  • Solidesa
  • Ciberseguretat
  • Registres
  • Documentació tècnica
  • Vigilància postcomercialització
  • Gestió d'incidents greus

Aquestes guies estan subjectes a un procés permanent d'avaluació i revisió, amb actualitzacions periòdiques conforme al desenvolupament dels estàndards i les diferents directrius publicades des de la Comissió Europea, i seran actualitzades una vegada s'aprovi l'Òmnibus digital que modifica el Reglament de IA.