Guies pràctiques per al compliment del RIA

Estes guies es publiquen sense perjuí de les guies tècniques que està elaborant la Comissió Europea, i que tenen per objectiu assegurar l'aplicació consistent de la regulació europea d'IA. Les guies espanyoles proporcionaran una base al grup de treball de la Comissió per a l'elaboració de les guies europees. 

La Secretaria d'Estat de Digitalització i Intel·ligència Artificial a través de la seua Direcció General d'Intel·ligència Artificial, i amb la col·laboració de l'Agència Espanyola de Supervisió d'Intel·ligència Artificial (AESIA), entre altres autoritats nacionals de vigilància de mercat, publiquen 16 guies pràctiques que servixen de suport a la implementació i l'emplene del Reglament Europeu d'Intel·ligència Artificial (RIA).

Les guies, fruit del Sandbox d'IA, tenen com a objectiu ajudar al teixit productiu espanyol que desenrotlla o implementa sistemes d'IA d'alt risc a complir amb la normativa vigent. Els documents proporcionen recomanacions alineades amb els requisits reguladors a l'espera que s'aproven les normes harmonitzades d'aplicació per a tots els estats membres; i ajudaran a les pimes, start-ups i grans empreses a desenrotllar sistemes d'IA innovadors, de confiança i respectuosos amb els drets fonamentals.

Les guies, que no tenen caràcter vinculant, ni substituïxen ni desenrotllen la normativa aplicable, s'han estructurat en tres blocs:

1. Guies introductòries:

• 01. Introducció al Reglament d'IA. Esta guia oferix una comprensió general del RIA, el seu abast normatiu, àmbit d'aplicació i les principals obligacions que d'ell es deriven. Té com a objectiu familiaritzar al lector amb els elements essencials del Reglament, abordant de manera breu i estructurada els conceptes clau.
• 02. Guia pràctica i exemples per a entendre el Reglament d'Intel·ligència Artificial. Facilita la comprensió del Reglament des d'un enfocament pràctic, proporcionant una introducció a les guies tècniques, així com exemples hipotètics de sistemes d'IA d'alt risc.

2. Guies tècniques:

• 03. Avaluació de conformitat. L'objectiu és orientar, en el marc del sandbox d'IA, sobre el procés d'avaluació de la conformitat al qual hauran de sotmetre's els sistemes d'intel·ligència artificial d'alt risc del Reglament europeu d'IA. (“marcatge CE”)
  04. Sistema de gestió de la qualitat. Esta guia presenta les mesures organitzatives i tècniques que serviran a proveïdors i responsables del desplegament per a donar compliment a l'article 17 del RIA; el qual establix els requisits de gestió de la qualitat que hauran d'incorporar tot sistema d'IA d'alt risc i uns certs sistemes d'IA de propòsit general.
• 05. Sistema de gestió de riscos. Esta guia presenta les mesures necessàries per a identificar, analitzar, avaluar i mitigar els possibles riscos d'un sistema d'IA i que serviran a proveïdors i responsables del desplegament per a donar compliment a l'article 9 sobre el sistema de gestió de riscos. Per a facilitar la seua comprensió s'incorpora un document Excel que arreplega el procés de desenrotllament per a diferents casos d'ús.
• 06. Supervisió humana. El RIA dedica el seu article 14 a la Vigilància Humana sobre sistemes d'IA d'alt risc. Les persones han de ser capaces de prendre decisions autònomes amb coneixement de causa en relació amb els sistemes d'IA, per a això la vigilància humana ha d'ocupar un lloc central en la funcionalitat del sistema.
• 07. Dades i governança de la dada. Esta guia se centra en l'article 10 del RIA sobre els requisits de governança de dades que haurà d'incorporar tot sistema d'IA d'alt risc i uns certs sistemes d'IA de propòsit general. La governança de dades és el conjunt d'elements que s'implementen per a garantir que les dades utilitzades en l'entrenament, validació i prova siguen adequats, pertinents, suficientment representatius i complixen els requisits de qualitat i completitud establits.
• 08. Transparència i provisió d'informació als usuaris. Este document proporciona mesures d'implementació per a entitats proveïdores i usuàries dels sistemes d'IA que faciliten el compliment de les obligacions expressades en l'article 13 del RIA, dedicat completament a la transparència.
• 09. Precisió. L'article 15 del RIA aborda els requisits de precisió, solidesa i ciberseguretat que ha de complir el sistema d'IA. Esta guia se centra específicament en la precisió indicant mesures perquè els sistemes d'IA no degraden les seues especificacions de rendiment i exactitud una vegada posats en marxa.
• 10. Solidesa. Esta guia posa l'accent en la solidesa dels sistemes d'IA arreplegada en l'article 15 del RIA. La solidesa tècnica és un requisit clau per als sistemes d'IA d'alt risc, que han de ser resilients en relació amb els comportaments perjudicials o indesitjables. La guia proposa mesures per a previndre estes situacions.
• 11. Ciberseguretat. Conforme al que s'establix en l'article 15 del Reglament d'IA, esta guia proporciona mesures en matèria de ciberseguretat per a sistemes d'IA, específicament en els aspectes relatius a intel·ligència artificial, de manera que s'integre en un esquema de ciberseguretat més ampli.
• 12. Registres i arxius de registre generats automàticament. Esta guia presenta les mesures que serviran a proveïdors i responsables de desplegament de sistemes d'IA a donar compliment als requisits del RIA referents a la generació i conservació de registres que tot sistema d'IA d'alt risc ha d'incorporar. El desenrotllament d'un sistema de gestió de registres adequat facilitarà altres tasques com la transparència o rendició de comptes.
• 13. Pla de vigilància postcomercialització. El RIA indica la necessitat de realitzar un pla de vigilància postcomercialització per als sistemes d'IA d'alt risc; és a dir, dissenyar un conjunt d'activitats conduïdes pels proveïdors i responsables del desplegament per a recol·lectar i avaluar l'experiència obtinguda i així identificar la necessitat de prendre qualsevol acció.
• 14. Notificació d'incidents greus. Esta guia se centra en l'article 73 del RIA i descriu el procediment de notificació d'incidents greus, així com les mesures que permeten abordar este procediment.
• 15. Documentació tècnica. L'objectiu d'esta guia és explicar què exigix el Reglament europeu d'IA a la documentació tècnica, com reflectir-lo i com ha de ser conservada tota la documentació requerida

3. Checklist de guies de requisits:

• 16. Manual de checklist de guies de requisits.
• Checklist i exemples: inclou (en arxiu zip) exemples esmentats en les guies i tots els Excel que contenen la ferramenta checklist per a cada un dels 12 requisits sobre els quals és necessari realitzar un diagnòstic:
  • Sistema de gestió de qualitat
  • Sistema de gestió de riscos
  • Supervisió humana
  • Dades i governança de dades
  • Transparència
  • Precisió
  • Solidesa
  • Ciberseguretat
  • Registres
  • Documentació tècnica
  • Vigilància postcomercialització
  • Gestió d'incidents greus

Estes guies estan subjectes a un procés permanent d'avaluació i revisió, amb actualitzacions periòdiques conforme al desenrotllament dels estàndards i les diferents directrius publicades des de la Comissió Europea, i seran actualitzades una vegada s'aprove l'Òmnibus digital que modifica el Reglament d'IA.