Impulso de los estándares a la Inteligencia Artificial

La Inteligencia Artificial (IA) tiene dos vertientes. Por un lado, la promesa de soluciones innovadoras que no se pueden conseguir con otro tipo de tecnología en prácticamente todos los campos de actividad, con el consiguiente impacto positivo en la sociedad, incluyendo el económico y la creación de empleo cualificado. Pero, por otro lado, también puede suponer una amenaza para los derechos fundamentales de las personas, si no se implanta con las protecciones adecuadas. ¿Cómo se puede encontrar un punto común entre estas dos vertientes?

Dadas las implicaciones para los derechos fundamentales de las personas que tiene la IA, no es posible que el mercado se autorregule, sobre todo teniendo en cuenta que la Unión Europea tiene unos valores muy concretos que no son aplicables en todo el mundo donde se desarrollan estas aplicaciones globales. Es necesario un marco legislativo que aporte certidumbre sobre qué se puede o no se puede hacer, tanto para garantizar los derechos de los usuarios, como para aportar seguridad jurídica a las empresas y homogeneizar el mercado europeo.

Con este propósito, la CE ha presentado la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley De Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión, que pretende específicamente:

• Garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión.
• Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA.
• Mejorar la gobernanza y la aplicación efectiva de la legislación en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA.
• Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.

Dada la amplísima variedad de sistemas de IA que existen o pueden existir, no es posible tratarlos a todos del mismo modo. La propuesta de Reglamento de IA los clasifica desde prácticas prohibidas (Título II) hasta sistemas de alto riesgo (Título III y Anexo III), y con algunas condiciones adicionales para determinados sistemas (Título IV).

En el caso de los sistemas de IA de alto riesgo, que grosso modo son aquellos que tienen implicaciones de seguridad o para los derechos fundamentales, es necesario garantizar su funcionamiento correcto desde el punto de vista técnico, y esta comprobación se hará mediante la aplicación de estándares europeos EN. La Comisión Europea ha solicitado a los organismos de normalización CEN, CENELEC y ETSI que desarrollen estándares para cubrir los siguientes aspectos:

Sistema de gestión de riesgos

Debe concebirse como un proceso continuo e iterativo que se desarrolla a lo largo de todo el ciclo de vida del sistema de IA y que tiene por objeto prevenir o minimizar los riesgos pertinentes para la salud, la seguridad o los derechos fundamentales. Debe ser compatible con los sistemas de gestión de riesgos propios de la aplicación específica del sistema de IA cuando forme parte de un componente de seguridad de un producto determinado.

Gobernanza y calidad de los conjuntos de datos utilizados

Los proveedores de sistemas de IA deben aplicar los procedimientos adecuados de gobernanza y gestión de datos (con especial atención a la generación y recopilación de datos, las operaciones de preparación de datos, las opciones de diseño, los procedimientos para detectar y abordar los sesgos o cualquier otra deficiencia relevante en los datos) y cubrir los aspectos de calidad de los conjuntos de datos utilizados para entrenar, validar y probar los sistemas de IA.

Registro automático de eventos

Los sistemas de IA deben incluir registro automático de eventos que permitan la trazabilidad de dichos sistemas a lo largo de su ciclo de vida, así como el seguimiento de sus operaciones, y faciliten el seguimiento posterior a la comercialización por parte de los proveedores.

Transparencia e información para los usuarios

Los sistemas de IA deben diseñarse de forma que garanticen la transparencia del funcionamiento para que los usuarios puedan comprender los resultados del sistema y utilizarlos adecuadamente. Deben ir acompañados de instrucciones de uso detalladas como capacidades y limitaciones del sistema, instrucciones de mantenimiento, información para perfiles de usuarios profesionales o no profesionales.

Supervisión humana

Los sistemas de IA deben contener medidas y procedimientos que garanticen la supervisión humana de su funcionamiento, que permitan que los usuarios comprendan, supervisen, interpreten, evalúen e intervengan en su comportamiento. En el caso de sistemas remotos de identificación biométrica, la acción resultante no debe basarse en el resultado de la identificación automática del sistema, debe ser validada por dos personas.

Especificaciones de precisión

Los proveedores de sistemas de IA deben declarar los parámetros y niveles de precisión pertinentes, incluyendo, cuando esté justificado, un conjunto de herramientas y parámetros adecuados para medir la precisión con respecto a niveles definidos.

Especificaciones de robustez

Los sistemas de IA deben contemplar medidas para garantizar su robustez, teniendo en cuenta las fuentes pertinentes de errores, fallos e incoherencias, así como las interacciones del sistema de IA con el entorno, incluidos los que siguen aprendiendo después de su comercialización o puesta en servicio, en particular en lo que respecta a los circuitos de retroalimentación.

Ciberseguridad

Deben proporcionarse soluciones organizativas y técnicas adecuadas para garantizar que los sistemas de IA sean resistentes a los intentos de alterar su uso, comportamiento y funcionamiento o de comprometer sus propiedades de seguridad por parte de terceros malintencionados que exploten las vulnerabilidades de estos sistemas. Las soluciones organizativas y técnicas incluirán, por tanto, cuando proceda, medidas para prevenir y controlar los ciberataques que intenten manipular activos específicos de la IA, como conjuntos de datos de entrenamiento o modelos entrenados o explotar las vulnerabilidades de los activos digitales de un sistema de IA o de la infraestructura de TIC subyacente.

Sistema de gestión de la calidad para proveedores

Los proveedores de sistemas de IA deben implantar un sistema de gestión de la calidad que asegure el cumplimiento continuo de los aspectos descritos en los puntos 2 al 8.

Evaluación de la conformidad

Deben establecerse procedimientos de verificación y validación de los sistemas de IA que garanticen que los sistemas de IA puestos en el mercado son adecuados para su uso y el sistema de gestión de la calidad descrito en el punto 9 se ha implantado de forma correcta. Estos procedimientos deben contemplar la posibilidad de una autoevaluación o una evaluación por un tercero independiente.

Los estándares que se van a utilizar para demostrar la conformidad con estos requisitos se están elaborando en el comité europeo CEN/CENELEC JTC 21 Artificial Intelligence, utilizando en su mayor parte los estándares desarrollados en el comité internacional ISO/IEC JTC 1/SC 42 Artificial Intelligence, para alinear los requisitos europeos con los internacionales. En el ámbito nacional, estos estándares se desarrollan en el comité CTN 71/SC 42 Inteligencia artificial y big data, y para la parte de ciberseguridad, en el CTN 320 Ciberseguridad y protección de datos personales.

En la figura 1 se muestra un cuadro preliminar con algunas de las normas y proyectos disponibles en este momento. La relación exacta de normas necesarias se determinará en los próximos meses, y la Comisión Europea ha requerido que estas normas estén disponibles para el 31 de octubre de 2024.

La explosión de tecnologías basadas en aprendizaje automático iniciada aproximadamente hacia 2013 ha provocado un importante impulso en el mercado de la Inteligencia Artificial (IA). Este crecimiento no parece que vaya a ver su fin pronto y, de hecho, existen estudios que apuntan a una cifra de crecimiento del 40 % anual entre 2022 y 2028.

Este despegue tan súbito ha traído consigo la publicación de las primeras normas técnicas asociadas a la tecnología. Tales estándares resultan de una importancia fundamental para conseguir una mayor calidad en el desarrollo de la IA. Pero su importancia es aún mayor cuando se reconoce que la IA presenta un carácter dual en cuanto al riesgo-beneficio. Es una tecnología que puede aportar importantes beneficios socioeconómicos, pero también puede traer aparejados riesgos en función del caso de uso.

El objetivo es, por tanto, maximizar el beneficio y minimizar los riesgos en tales situaciones. El mejor aliado es la utilización de un conjunto de normas técnicas que especifiquen cómo deben desarrollarse y probarse los sistemas de IA, en qué condiciones deben ponerse en marcha y cómo deben utilizarse. Actualmente, existe un apoyo manifiesto en el desarrollo jurídico internacional, como en la propuesta de Reglamento Europeo de IA, en la que se señala la necesidad de desarrollar estas normas técnicas y que sean adoptadas como requisito para una correcta evaluación de conformidad. Si bien estamos en una fase inicial, el desarrollo de estas normas traerá consigo una IA más responsable.

La falta de legislación sobre Inteligencia Artificial comienza a ser algo del pasado, ahora los actores involucrados y en particular los que somos empresarios en este sector, vamos a ver condicionados nuestros procesos y servicios comerciales por la legislación que entre en vigor.

La propuesta de Reglamento Europeo de Inteligencia Artificial adelanta, que, en muchos casos, serán normas técnicas las que servirán a las empresas para certificar la adecuación de sus productos o servicios a la legislación. Esto no es algo nuevo, las normas técnicas siempre han servido para definir y evaluar la conformidad de que productos y servicios de todo ámbito cumplen con la legislación (ejemplo el marcado CE). Próximamente esto también afectará a productos y servicios que contengan algoritmos de IA.

Si como empresa o como usuario, esto te puede afectar, la buena noticia es que muchas de estas normas técnicas se están desarrollado, siendo en España el CTN 71/SC 42 el responsable de estas nuevas normas. Desde este subcomité te animo a ayudarnos en su desarrollo.