Guías prácticas para o cumprimento do RIA

Estas guías publícanse sen prexuízo das guías técnicas que está a elaborar a Comisión Europea, e que teñen por obxectivo asegurar a aplicación consistente da regulación europea de IA. As guías españolas proporcionarán unha base ao grupo de traballo da Comisión para a elaboración das guías europeas. 

A Secretaría de Estado de Dixitalización e Intelixencia Artificial a través da súa Dirección Xeral de Intelixencia Artificial, e coa colaboración da Axencia Española de Supervisión de Intelixencia Artificial (AESIA), entre outras autoridades nacionais de vixilancia de mercado, publican 16 guías prácticas que serven de apoio á implementación e o cumprimento do Regulamento Europeo de Intelixencia Artificial (RIA).

As guías, froito do Sandbox de IA, teñen como obxectivo axudar ao tecido produtivo español que desenvolve ou implementa sistemas de IA de alto risco a cumprir coa normativa vixente. Os documentos proporcionan recomendacións aliñadas cos requisitos regulatorios á espera de que se aproben as normas harmonizadas de aplicación para todos os estados membros; e axudarán ás pemes, start-ups e grandes empresas a desenvolver sistemas de IA innovadores, confiables e respectuosos cos dereitos fundamentais.

As guías, que non teñen carácter vinculante, nin substitúen nin desenvolven a normativa aplicable, estruturáronse en tres bloques:

1. Guías introdutorias:

• 01. Introdución ao Regulamento de IA. Esta guía ofrece unha comprensión xeral do RIA, o seu alcance normativo, ámbito de aplicación e as principais obrigacións que del derívense. Ten como obxectivo familiarizar ao lector cos elementos esenciais do Regulamento, abordando de maneira breve e estruturada os conceptos clave.
• 02. Guía práctica e exemplos para entender o Regulamento de Intelixencia Artificial. Facilita a comprensión do Regulamento desde un enfoque práctico, proporcionando unha introdución ás guías técnicas, así como exemplos hipotéticos de sistemas de IA de alto risco.

2. Guías técnicas:

• 03. Avaliación de conformidade. O obxectivo é orientar, no marco do sandbox de IA, sobre o proceso de avaliación da conformidade ao que haberán de someterse os sistemas de intelixencia artificial de alto risco do Regulamento europeo de IA (“marcado CE”).
• 04. Sistema de xestión da calidade. Esta guía presenta as medidas organizativas e técnicas que servirán a provedores e responsables do despregamento para dar cumprimento ao artigo 17 do RIA; o cal establece os requisitos de xestión da calidade que deberán incorporar todo sistema de IA de alto risco e certos sistemas de IA de propósito xeral.
• 05. Sistema de xestión de riscos. Esta guía presenta as medidas necesarias para identificar, analizar, avaliar e mitigar os posibles riscos dun sistema de IA e que servirán a provedores e responsables do despregamento para dar cumprimento ao artigo 9 sobre o sistema de xestión de riscos. Para facilitar a súa comprensión incorpórase un documento Excel que recolle o proceso de desenvolvemento para diferentes casos de uso.
• 06. Supervisión humana. O RIA dedica o seu artigo 14 á Vixilancia Humana sobre sistemas de IA de alto risco. As persoas deben ser capaces de tomar decisións autónomas con coñecemento de causa en relación cos sistemas de IA, para iso a vixilancia humana debe ocupar un lugar central na funcionalidade do sistema.
• 07. Datos e gobernanza do dato. Esta guía céntrase no artigo 10 do RIA sobre os requisitos de gobernanza de datos que deberá incorporar todo sistema de IA de alto risco e certos sistemas de IA de propósito xeral. A gobernanza de datos é o conxunto de elementos que se implementan para garantir que os datos utilizados no adestramento, validación e proba sexan adecuados, pertinentes, suficientemente representativos e cumpren os requisitos de calidade e completitude establecidos.
• 08. Transparencia e provisión de información aos usuarios. Este documento proporciona medidas de implementación para entidades provedoras e usuarias dos sistemas de IA que faciliten o cumprimento das obrigacións expresadas no artigo 13 do RIA, dedicado de maneira total á transparencia.
• 09. Precisión. O artigo 15 do RIA aborda os requisitos de precisión, solidez e ciberseguridade que debe cumprir o sistema de IA. Esta guía céntrase especificamente na precisión indicando medidas para que os sistemas de IA non degraden as súas especificacións de rendemento e exactitude unha vez postos en marcha.
• 10. Solidez. Esta guía fai fincapé na solidez dos sistemas de IA recollida no artigo 15 do RIA. A solidez técnica é un requisito crave para os sistemas de IA de alto risco, que deben ser resilientes en relación cos comportamentos prexudiciais ou indesexables. A guía propón medidas para previr as devanditas situacións.
• 11. Ciberseguridade. Conforme ao establecido no artigo 15 do Regulamento de IA, esta guía proporciona medidas en materia de ciberseguridade para sistemas de IA, especificamente nos aspectos relativos a intelixencia artificial, de maneira que se integre nun esquema de ciberseguridade máis amplo.
• 12. Rexistros e arquivos de rexistro xerados automaticamente. Esta guía presenta as medidas que servirán a provedores e responsables de despregamento de sistemas de IA a dar cumprimento aos requisitos do RIA referentes á xeración e conservación de rexistros que todo sistema de IA de alto risco debe incorporar. O desenvolvemento dun sistema de xestión de rexistros adecuado facilitará outras tarefas como a transparencia ou rendición de contas.
• 13. Plan de vixilancia poscomercialización. O RIA indica a necesidade de realizar un plan de vixilancia poscomercialización para os sistemas de IA de alto risco; é dicir, deseñar un conxunto de actividades conducidas polos provedores e responsables do despregamento para colleitar e avaliar a experiencia obtida e así identificar a necesidade de tomar calquera acción.
• 14. Notificación de incidentes graves. Esta guía céntrase no artigo 73 do RIA e describe o procedemento de notificación de incidentes graves, así como as medidas que permiten abordar o devandito procedemento.
• 15. Documentación técnica. O obxectivo desta guía é explicar que esixe o Regulamento europeo de IA á documentación técnica, como reflectilo e como debe ser conservada toda a documentación requirida.

3. Checklist de guías de requisitos:

• 16. Manual de checklist de guías de requisitos.
• Checklist e exemplos: inclúe (en arquivo zip) exemplos mencionados nas guías e todos os Excel que conteñen a ferramenta checklist para cada un dos 12 requisitos sobre os cales é necesario realizar un diagnóstico:
  • Sistema de xestión de calidade
  • Sistema de xestión de riscos
  • Supervisión humana
  • Datos e gobernanza de datos
  • Transparencia
  • Precisión
  • Solidez
  • Ciberseguridade
  • Rexistros
  • Documentación técnica
  • Vixilancia poscomercialización
  • Xestión de incidentes graves

Estas guías están suxeitas a un proceso permanente de avaliación e revisión, con actualizacións periódicas conforme ao desenvolvemento dos estándares e as distintas directrices publicadas desde a Comisión Europea, e serán actualizadas unha vez apróbese o *Ómnibus dixital que modifica o Regulamento de IA.