Marco normativo actual de la Inteligencia Artificial

5 de noviembre de 2024 Noticias

Es los últimos tiempos la Inteligencia Artificial está siendo portada del mundo empresarial y por ende de la sociedad. Como anteriores revoluciones digitales cual internet, redes sociales, servicios en la nube, … en sus primeros pasos presentan controversia en su modo de expansión y aplicación. 

Como siempre el marco regulador va por detrás de la tecnología que avanza de forma constante y misericorde.  

En la actualidad han confluido dos elementos normativos que empiezan a definir las reglas de juego respecto al desarrollo y gestión de la Inteligencia Artificial: el reglamento europeo y la reciente norma ISO de gestión de Inteligencia Artificial.

El Reglamento Europeo de Inteligencia artificial (AIA, por Artificial Intelligence Act)

Este año se ha publicado el Reglamento (UE2024/1689) con fecha de 13 de marzo. En el se establecen las normas armonizadas en materia de inteligencia artificial. 

El reglamento es de aplicación para:

  • Proveedores que comercialicen o utilicen sistemas IA que afecten a Europa.
  • Proveedores y usuarios de terceros países cuyos sistemas produzcan resultados que se utilicen en la Unión.
  • Usuarios físicamente establecidos en la UE.
  • Proveedores de sistemas y sus representantes autorizados, importadores y distribuidores.
Lo primero que cabe destacar es el establecimiento de categorías que van desde el riesgo mínimo sin restricciones de uso de IA hasta el riesgo inaceptable (como se ha definido para el escaneo social). Se ha establecido dos categorías intermedias una con requisitos específicos de transparencia e información y una de alto riesgo que requiere de unos controles concretos.

Sistemas de IA de Alto Riesgo (HRAIS).

1. Clasificación (art.6) 
2. Requisitos (art.8) 
    •   Gestión de riesgos (art.9) 
    •   Datos y su gobernanza (art.10) 
    •   Documentación técnica (art.11) 
    •   Registros de operación (art.12) 
    •   Transparencia (art.13) 
    •   Supervisión (art.14) 
    •   Precisión, robustez y ciberseguridad (art.15) 
3. Obligaciones de proveedores, usuarios y otros (art.16) 
4. Autoridades notificantes y entidades notificadas (art.30) 
5. Normas y conformidad (art. 40) 

En Anexo III se establen las categorías de sistema IA de alto riesgo con posible impacto sobre la salud, la seguridad o los derechos fundamentales.

•  Sistemas de identificación biométrica
•  Gestión de infraestructuras críticas
•  Educación y formación profesional
•  Selección de personal y gestión de las relaciones laborales
•  Gestión del acceso de las personas a servicios esenciales públicos y privados
•  Actividades de fuerzas y cuerpos de seguridad
•  Migración, asilo y control de fronteras
•  Administración de justicia y procesos democráticos

El reglamento define varias entidades de supervisión.

Establece tres actores principales:

•  Sistemas de Inteligencia Artificial
•  Proveedores de IA
•  Usuarios de IA

Y como no podía ser de otra manera dispone de un régimen de confidencialidad y sanciones (desde los 500.000 euros a 30 millones)

Nueva ISO42001 de Sistemas de Gestión de Inteligencia artificial

El año pasado tuvimos la novedad de la publicación de la BS-ISO/IEC 42001:2023, que establecía el marco de referencia de los sistemas de gestión para el desarrollo de aplicaciones de inteligencia artificial.

La norma no presenta grandes cambios en los puntos generales. Se mantiene la estructura de alto nivel común para el resto de las normas ISO de sistemas de Gestión. 

Donde observamos el núcleo diferencial es el de la tabla A1 de controles:

A.2 Políticas relativas a IA
A.3 Organización interna
A.4 Recursos para sistemas IA
A.5 Evaluación de impacto de los sistemas IA
A.6 Ciclo de vida de los sistemas IA
A.7 Datos para sistema IA
A.8 Información para partes interesadas de los sistemas IA
A.9 Uso de los sistemas IA
A.10 Relaciones con Terceras partes y clientes

Respecto a los controles la mayoría son herencia de normas como la ISO20000 de gestión de servicios IT o la ISO27001 de seguridad de la información. 

Controles habituales como la gestión de riesgos, recursos (humanos y técnicos), desarrollo, producción, usuarios, monitorización y relaciones con partes interesadas, tienen en esta norma un enfoque centrado en el desarrollo y uso de la Inteligencia Artificial en las organizaciones.

Las principales novedades respecto a la Inteligencia Artificial de estos controles son:

La gestión del ciclo de vida de Inteligencias artificiales, poniendo especial énfasis en requisitos legales del diseño y desarrollo por lo que enlaza con el reciente reglamento europeo.

La gestión de los datos que alimentan las IA, procedencia y preparación de estos.

Uso de los sistemas IA, no sólo el desarrollo requiere de control, sino que los objetivos de su aplicación y los procesos implicados también deberán estar bajo control.
Información a partes interesadas, tanto proveedores como usuarios.

¿Y ahora qué?

Estas reglas iniciales del juego son un primer marco normativo para sentar las bases de lo que va a ser la próxima revolución tecnológica en el mundo digital. Es obvio que en los próximos años vamos a asistir a una profusión de normas y ajustes que vendrán de la implantación de esta nueva tecnología de forma generalizada en el mercado.

La partida no ha hecho más que empezar.

Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
Soci fundador de TotalRisk 

Llegir article en català


La asistencia es gratuita (se requiere inscripción previa

© 2017 30Virtual. TODOS LOS DERECHOS RESERVADOS. Aviso legal.