Entrada en vigor del Reglamento IA: la gestión del riesgo en los sistemas IA mediante la ISO/IEC 42001:2023

El pasado 12 de julio de 2024 fue publicado el Reglamento de Inteligencia Artificial.  El Reglamento de IA viene a establecer, entre otras cuestiones, normas armonizadas para la introducción en el mercado la puesta en servicio y la utilización de sistemas de IA en la Unión, así como prohibiciones de determinadas prácticas de IA y  requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas. 

¿Qué es un sistema IA? 

Según el Reglamento es “un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales.

Aplicación del Reglamento

El Reglamento es de aplicación a los siguientes agentes del mercado:

• A los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado. 
• A los modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país.
• A los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión. 
• A los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión. 
• A los importadores y distribuidores de sistemas de IA. 
• A los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca. 
• A  los representantes autorizados de los proveedores que no estén establecidos en la Unión. 
• A las personas afectadas que estén ubicadas en la Unión.

Prácticas prohibidas

Está prohibido la utilización de sistemas IA para las siguientes prácticas:

• Técnicas subliminales que trascienden la conciencia de una persona para alterar de manera sustancial su comportamiento de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona u a otra.
• Para aprovechar alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física o mental para alterar de manera sustancial el comportamiento de una persona que pertenezca a dicho grupo de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra.
• Utilización por parte de las autoridades públicas o en su representación con el fin de evaluar o clasificar la fiabilidad de personas físicas durante un período determinado de tiempo atendiendo a su conducta social o a características personales o de su personalidad conocidas o predichas, de forma que la clasificación social resultante provoque una o varias de las situaciones siguientes:
  • Un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos enteros en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente. 
  • Un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos enteros que es injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este.

• El uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes: 
  • La búsqueda selectiva de posibles víctimas concretas de un delito, incluidos menores desaparecidos. 
  • La prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de un atentado terrorista. 
  • La detección, la localización, la identificación o el enjuiciamiento de la persona que ha cometido o se sospecha que ha cometido, entre otros, delitos de terrorismo y trata de seres humanos. 

Gestión del riesgo en los sistemas de Alto riesgo

Un sistema de IA se considerará de alto riesgo cuando reúnan una serie de requisitos establecidos en el propio Reglamento y, en ese caso, se deberá llevar a cabo una gestión del riesgo de los sistemas de alto riesgo, entre otros, se consideran sistemas de alto riesgo: Sistemas de identificación biométrica remota; Sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas, del tráfico rodado o del suministro de agua, gas, calefacción o electricidad; sistemas relacionados con la Educación y formación profesional como los destinados a para evaluar los resultados del aprendizaje, seguimiento de comportamientos prohibidos de los estudiantes o la admisión en los centros educativos; sistemas destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos. (Todos los sistemas de alto riesgo están identificado en el anexo II del Reglamento).

En cualquier caso, para estos sistemas IA de alto riesgo se establecerá, implantará, documentará y mantendrá un sistema de gestión de riesgos asociado a los mismos. Dicho sistema de gestión de riesgos consistirá en un proceso iterativo continuo que se llevará a cabo durante todo el ciclo de vida del sistema IA, el cual requerirá actualizaciones sistemáticas periódicas y constará de las siguientes etapas:

• Identificación y análisis de los riesgos conocidos y previsibles vinculados a cada sistema de IA de alto riesgo. 
• Estimación y evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo en cuestión se utilice conforme a su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible. 
• Evaluación de otros riesgos que podrían surgir a partir del análisis de los datos recogidos con el sistema de seguimiento posterior a la comercialización. 
• Adopción de medidas oportunas de gestión de riesgos con arreglo a lo dispuesto en los apartados siguientes.

A la hora de determinar cuáles son las medidas de gestión de riesgos más adecuadas, se procurará:

• Eliminar o reducir los riesgos en la medida en que sea posible mediante un diseño y un desarrollo adecuados. 
• Implantar, cuando proceda, unas medidas de mitigación y control apropiadas en relación con los riesgos que no puedan eliminarse. 
• Proporcionar la información oportuna en relación con los riesgos e impartir formación a los usuarios.

Sistemas de Gestión de IA

Actualmente existe la ISO/EC 42001:2023 como Sistema de gestión de IA que se espera que sea armonizada como estándar europeo. 

La estructura principal de dicho estándar ISO es la siguiente:

• Términos y definiciones.
• Contexto.
• Planificación y control operativo: 
  • Análisis de riesgos IA. 
  • Tratamiento del riesgo IA. 
  • Evaluación de Impacto del sistema IA. 
• Realización de la evaluación:
  • Monitorización, medición, análisis y evaluación. 
  • Auditoría interna.
• Mejora del sistema:
  • Mejora continua. 
  • No conformidades y acciones correctivas.

El objetivo de esta ISO es proporcionar un sistema que ayude a las organizaciones a desempeñar los desafíos sociales, de seguridad y de protección de los derechos de los usuarios, de forma responsable. Para ello, incluye requisitos para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión IA dentro del contexto de la organización. 

En un estándar que, en definitiva, le interesa a cualquier organización que desarrolle, monitorice o proporcione productos o servicios que utilicen IA. 

Certificación de los sistemas IA

Se presumirá que los sistemas de IA de alto riesgo que sean conformes con normas armonizadas, o partes de estas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea son conformes con los requisitos establecidos en el capítulo 2 del presente título en la medida en que dichas normas prevean estos requisitos.

Sanciones

Según el artículo 99, los Estados miembros serán quienes establezcan el régimen de sanciones y otras medidas de ejecución (advertencias o medidas no pecuniarias) en caso de infracción del Reglamento por parte de los operadores.

No obstante, se establecen las sanciones respecto a determinadas disposiciones del Reglamento, llegando hasta los 35 millones de euros de multa o, si el infractor es una empresa, hasta el 7% de su volumen de negocios mundial, en caso de infringir la prohibición de las prácticas de IA contenidas en el artículo 5.

Entrada en vigor

El Reglamento entra en vigor el 1 de agosto de 2024 momento, a partir del cual, las organizaciones deben empezar a preparar sus Sistemas de Gestión IA para dar cumplimiento al Reglamento si bien fija distintas fechas, a partir de febrero de 2025, para la entrada en vigor de sus distintas disposiciones.