És els darrers temps la Intel·ligència Artificial està sent portada del món empresarial i per tant de la societat. Com a anteriors revolucions digitals com internet, xarxes socials, serveis al núvol, … en els seus primers passos presenten controvèrsia en la seva manera d'expansió i aplicació.
Com sempre el marc regulador va darrere de la tecnologia que avança de forma constant.
Actualment han confluït dos elements normatius que comencen a definir les regles de joc respecte al desenvolupament i gestió de la Intel·ligència Artificial: el reglament europeu i la recent norma ISO de gestió d'IA.
El Reglament Europeu d'Intel·ligència artificial (AIA, per Artificial Intelligence Act)
Aquest any s'ha publicat el Reglament (UE2024/1689) amb data 13 de març. S'hi estableixen les normes harmonitzades en matèria d'intel·ligència artificial.
El reglament és aplicable per a:
- Proveïdors que comercialitzin o utilitzin sistemes IA que afectin Europa.
- Proveïdors i usuaris de tercers països els sistemes dels quals produeixin resultats que s'utilitzen a la Unió.
- Usuaris físicament establerts a la UE.
- Proveïdors de sistemes i els seus representants autoritzats, importadors i distribuïdors.
El primer que cal destacar és l'establiment de categories que van des del risc mínim sense restriccions d'ús de la IA fins al risc inacceptable. S'han establert dues categories intermèdies una amb requisits específics de transparència i informació i una d'alt risc que requereix uns controls concrets.
Sistemes d'IA d'Alt Risc (HRAIS).
1. Classificació (art.6)
2. Requisits (art.8)
• Gestió de riscos (art.9)
• Dades i la seva governança (art.10)
• Documentació tècnica (art.11)
• Registres d‟operació (art.12)
• Transparència (art.13)
• Supervisió (art.14)
• Precisió, robustesa i ciberseguretat (art.15)
3. Obligacions de proveïdors, usuaris i altres (art.16)
4. Autoritats notificants i entitats notificades (art.30)
5. Normes i conformitat (art. 40)
A l'Annex III s'estableixen les categories de sistema IA d'alt risc amb possible impacte sobre la salut, la seguretat o els drets fonamentals.
• Sistemes d'identificació biomètrica
• Gestió d'infraestructures crítiques
• Educació i formació professional
• Selecció de personal i gestió de les relacions laborals
• Gestió de l'accés de les persones a serveis essencials públics i privats
• Activitats de forces i cossos de seguretat
• Migració, asil i control de fronteres
• Administració de justícia i processos democràtics
El reglament defineix diverses entitats de supervisió.
Estableix tres actors principals:
• Sistemes d'intel·ligència artificial
• Proveïdors d'IA
• Usuaris d'IA
I com no podia ser altrament disposa d'un règim de confidencialitat i sancions (des dels 500.000 euros a 30 milions)
Nova ISO42001 de Sistemes de Gestió d'Intel·ligència artificial
L´any passat vam tenir la novetat de la publicació de la BS-ISO/IEC 42001:2023, que establia el marc de referència dels sistemes de gestió per al desenvolupament d´aplicacions d´intel·ligència artificial.
La norma no presenta grans canvis als punts generals. Es manté l'estructura d'alt nivell comú per a la resta de normes ISO de sistemes de gestió.
On observem el nucli diferencial és el de la taula A1 de controls:
A.2 Polítiques relatives a IA
A.3 Organització interna
A.4 Recursos per a sistemes IA
A.5 Avaluació dimpacte dels sistemes IA
A.6 Cicle de vida dels sistemes IA
A.7 Dades per a sistema IA
A.8 Informació per a parts interessades dels sistemes IA
A.9 Ús dels sistemes IA
A.10 Relacions amb Terceres parts i clients
Pel que fa als controls la majoria són herència de normes com la ISO20000 de gestió de serveis IT o la ISO27001 de seguretat de la informació.
Controls habituals com la gestió de riscos, recursos (humans i tècnics), desenvolupament, producció, usuaris, monitorització i relacions amb parts interessades, tenen en aquesta norma un enfocament centrat en el desenvolupament i ús de la Intel·ligència Artificial a les organitzacions.
Les novetats principals respecte a la Intel·ligència Artificial d'aquests controls són:
La gestió del cicle de vida d'intel·ligències artificials, posant especial èmfasi en requisits legals del disseny i desenvolupament pel que enllaça amb el recent reglament europeu.
La gestió de les dades que alimenten les IA, la procedència i la preparació d'aquestes.
Ús dels sistemes IA, no només el desenvolupament requereix control, sinó que els objectius de la seva aplicació i els processos implicats també hauran d'estar sota control.
Informació a parts interessades, tant proveïdors com a usuaris.
I ara què?
Aquestes regles inicials del joc són un primer marc normatiu per establir les bases del que serà la propera revolució tecnològica al món digital. És obvi que en els propers anys assistirem a una profusió de normes i ajustaments que vindran de la implantació d'aquesta nova tecnologia de forma generalitzada al mercat.
La partida no ha fet més que començar.
Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
Soci fundador de TotalRisk
Leer artículo en castellano