Guías prácticas para el cumplimiento del RIA

Estas guías se publican sin perjuicio de las guías técnicas que está elaborando la Comisión Europea, y que tienen por objetivo asegurar la aplicación consistente de la regulación europea de IA. Las guías españolas proporcionarán una base al grupo de trabajo de la Comisión para la elaboración de las guías europeas. 

La Secretaría de Estado de Digitalización e Inteligencia Artificial a través de su Dirección General de Inteligencia Artificial, y con la colaboración de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), entre otras autoridades nacionales de vigilancia de mercado, publican 16 guías prácticas que sirven de apoyo a la implementación y el cumplimento del Reglamento Europeo de Inteligencia Artificial (RIA).

Las guías, fruto del Sandbox de IA, tienen como objetivo ayudar al tejido productivo español que desarrolla o implementa sistemas de IA de alto riesgo a cumplir con la normativa vigente. Los documentos proporcionan recomendaciones alineadas con los requisitos regulatorios a la espera de que se aprueben las normas armonizadas de aplicación para todos los estados miembros; y ayudarán a las pymes, start-ups y grandes empresas a desarrollar sistemas de IA innovadores, confiables y respetuosos con los derechos fundamentales.

Las guías, que no tienen carácter vinculante, ni sustituyen ni desarrollan la normativa aplicable, se han estructurado en tres bloques:

1. Guías introductorias:

• 01. Introducción al Reglamento de IA. Esta guía ofrece una comprensión general del RIA, su alcance normativo, ámbito de aplicación y las principales obligaciones que de él se deriven. Tiene como objetivo familiarizar al lector con los elementos esenciales del Reglamento, abordando de manera breve y estructurada los conceptos clave.
• 02. Guía práctica y ejemplos para entender el Reglamento de Inteligencia Artificial. Facilita la comprensión del Reglamento desde un enfoque práctico, proporcionando una introducción a las guías técnicas, así como ejemplos hipotéticos de sistemas de IA de alto riesgo.

2. Guías técnicas:

• 03. Evaluación de conformidad. El objetivo es orientar, en el marco del sandbox de IA, sobre el proceso de evaluación de la conformidad al que habrán de someterse los sistemas de inteligencia artificial de alto riesgo del Reglamento europeo de IA (“marcado CE”).
• 04. Sistema de gestión de la calidad. Esta guía presenta las medidas organizativas y técnicas que servirán a proveedores y responsables del despliegue para dar cumplimiento al artículo 17 del RIA; el cual establece los requisitos de gestión de la calidad que deberán incorporar todo sistema de IA de alto riesgo y ciertos sistemas de IA de propósito general.
• 05. Sistema de gestión de riesgos. Esta guía presenta las medidas necesarias para identificar, analizar, evaluar y mitigar los posibles riesgos de un sistema de IA y que servirán a proveedores y responsables del despliegue para dar cumplimiento al artículo 9 sobre el sistema de gestión de riesgos. Para facilitar su comprensión se incorpora un documento Excel que recoge el proceso de desarrollo para diferentes casos de uso.
• 06. Supervisión humana. El RIA dedica su artículo 14 a la Vigilancia Humana sobre sistemas de IA de alto riesgo. Las personas deben ser capaces de tomar decisiones autónomas con conocimiento de causa en relación con los sistemas de IA, para ello la vigilancia humana debe ocupar un lugar central en la funcionalidad del sistema.
• 07. Datos y gobernanza del dato. Esta guía se centra en el artículo 10 del RIA sobre los requisitos de gobernanza de datos que deberá incorporar todo sistema de IA de alto riesgo y ciertos sistemas de IA de propósito general. La gobernanza de datos es el conjunto de elementos que se implementan para garantizar que los datos utilizados en el entrenamiento, validación y prueba sean adecuados, pertinentes, suficientemente representativos y cumplen los requisitos de calidad y completitud establecidos.
• 08. Transparencia y provisión de información a los usuarios. Este documento proporciona medidas de implementación para entidades proveedoras y usuarias de los sistemas de IA que faciliten el cumplimiento de las obligaciones expresadas en el artículo 13 del RIA, dedicado por entero a la transparencia.
• 09. Precisión. El artículo 15 del RIA aborda los requisitos de precisión, solidez y ciberseguridad que debe cumplir el sistema de IA. Esta guía se centra específicamente en la precisión indicando medidas para que los sistemas de IA no degraden sus especificaciones de rendimiento y exactitud una vez puestos en marcha.
• 10. Solidez. Esta guía hace hincapié en la solidez de los sistemas de IA recogida en el artículo 15 del RIA. La solidez técnica es un requisito clave para los sistemas de IA de alto riesgo, que deben ser resilientes en relación con los comportamientos perjudiciales o indeseables. La guía propone medidas para prevenir dichas situaciones.
• 11. Ciberseguridad. Conforme a lo establecido en el artículo 15 del Reglamento de IA, esta guía proporciona medidas en materia de ciberseguridad para sistemas de IA, específicamente en los aspectos relativos a inteligencia artificial, de manera que se integre en un esquema de ciberseguridad más amplio.
• 12. Registros y archivos de registro generados automáticamente. Esta guía presenta las medidas que servirán a proveedores y responsables de despliegue de sistemas de IA a dar cumplimiento a los requisitos del RIA referentes a la generación y conservación de registros que todo sistema de IA de alto riesgo debe incorporar. El desarrollo de un sistema de gestión de registros adecuado facilitará otras tareas como la transparencia o rendición de cuentas.
• 13. Plan de vigilancia poscomercialización. El RIA indica la necesidad de realizar un plan de vigilancia poscomercialización para los sistemas de IA de alto riesgo; es decir, diseñar un conjunto de actividades conducidas por los proveedores y responsables del despliegue para recolectar y evaluar la experiencia obtenida y así identificar la necesidad de tomar cualquier acción.
• 14. Notificación de incidentes graves. Esta guía se centra en el artículo 73 del RIA y describe el procedimiento de notificación de incidentes graves, así como las medidas que permiten abordar dicho procedimiento.
• 15. Documentación técnica. El objetivo de esta guía es explicar qué exige el Reglamento europeo de IA a la documentación técnica, cómo reflejarlo y cómo debe ser conservada toda la documentación requerida.

3. Checklist de guías de requisitos:

• 16. Manual de checklist de guías de requisitos.
• Checklist y ejemplos: incluye (en archivo zip) ejemplos mencionados en las guías y todos los Excel que contienen la herramienta checklist para cada uno de los 12 requisitos sobre los cuales es necesario realizar un diagnóstico:
  • Sistema de gestión de calidad
  • Sistema de gestión de riesgos
  • Supervisión humana
  • Datos y gobernanza de datos
  • Transparencia
  • Precisión
  • Solidez
  • Ciberseguridad
  • Registros
  • Documentación técnica
  • Vigilancia poscomercialización
  • Gestión de incidentes graves

Estas guías están sujetas a un proceso permanente de evaluación y revisión, con actualizaciones periódicas conforme al desarrollo de los estándares y las distintas directrices publicadas desde la Comisión Europea, y serán actualizadas una vez se apruebe el Ómnibus digital que modifica el Reglamento de IA.