Cargando. Por favor, espere

La estandarización en el Reglamento Europeo de Inteligencia Artificial

Barrio Andrés, Moisés

LA LEY 30785/2024

Normativa comentada
Ir a Norma Regl. (UE) 2024/1689 UE, de 13 Jun. (normas armonizadas en materia de inteligencia artificial)
Ir a Norma Reg. 2022/2554 UE, de 14 Dic. (resiliencia operativa digital del sector financiero y por el que se modifican los Regl. n.º 1060/2009, n.º 648/2012, n.º 600/2014, (UE), n.º 909/2014 y 2016/1011)
Ir a Norma Regl. 600/2014 UE, de 15 May. (mercados de instrumentos financieros y por el que se modifica el Regl. (UE) nº 648/2012)
Ir a Norma Regl. 167/2013 UE, de 5 Feb. (homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos)
Ir a Norma Regl. 1025/2012 UE, de 25 Oct. (normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE, 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE y deroga Decisión 87/95/CEE)
Ir a Norma Regl. 648/2012 UE, de 4 Jul. (derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones)
Ir a Norma Regl. 1060/2009 CE, de 16 Sep. 2009 (sobre las agencias de calificación crediticia) 
Ir a Norma Regl. 300/2008 CE del Parlamento Europeo y del Consejo de 11 Mar. (normas comunes para la seguridad de la aviación civil y derogación del Regl. 2320/2002 CE)
Ir a Norma Directiva 2016/797 UE, de 11 May. (interoperabilidad del sistema ferroviario dentro de la Unión Europea)
Ir a Norma Directiva 2014/90/UE de 23 Jul. (equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo)
Ir a Norma Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 Dic. 2001 (seguridad general de los productos)
Ir a Norma Decisión 2021/610 UE de 14 Abr. (modificación Decisión (UE) 2020/437 respecto a las normas armonizadas sobre entre otros lsos vehículos ransporte sanitario y sus equipos, equipo anestésico y respiratorio, evaluación biológica de productos sanitarios)
Ir a Norma Decisión 2020/437 UE de 24 Mar. (normas armonizadas aplicables a los productos sanitarios elaboradas en apoyo de la Directiva 93/42/CEE del Consejo)
Comentarios
Resumen

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, establece numerosos requisitos imprecisos para los sistemas de IA, como evaluaciones de riesgos y requisitos de ciberseguridad, que podrían plantear problemas de cumplimiento a las empresas. Por eso, las normas armonizadas elaboradas por los organismos europeos de normalización (OEN) desempeñarán un papel fundamental en la especificación de estos requisitos.

Portada

Moisés Barrio Andrés

Letrado del Consejo de Estado

Asesor de diversos Estados y de la Unión Europea en materia de regulación digital

Profesor de Derecho digital

Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid.

1. Introducción

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) y por el que se modifican los Reglamentos (CE) n.o 300/2008 (LA LEY 3589/2008) (UE) n.o 167/2013 (LA LEY 2703/2013) (UE) n.o 168/2013 (UE) 2018/858 (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE (LA LEY 13360/2014) (UE) 2016/797 (LA LEY 8246/2016) y (UE) 2020/1828 (Reglamento de Inteligencia Artificial (LA LEY 16665/2024) o RIA en lo sucesivo) establece numerosos requisitos imprecisos para los sistemas de IA, como evaluaciones de riesgos y requisitos de ciberseguridad, que podrían plantear problemas de cumplimiento a las empresas.

Por eso, las normas armonizadas elaboradas por los organismos europeos de normalización (OEN) desempeñarán un papel fundamental en la especificación de estos requisitos, incluida, por ejemplo, la exigencia de aplicar medidas adecuadas de gestión de riesgos (cfr. art. 9 RIA). Las empresas que cumplan las normas armonizadas pueden beneficiarse de una presunción de conformidad, lo que significa que se presumirá que sus productos cumplen ciertos elementos del RIA a menos que existan pruebas de no conformidad (1) . Los OEN están elaborando actualmente nuevas normas que, según el objetivo fijado por la Comisión Europea, deberán estar finalizadas para el 30 de abril de 2025, más de un año antes de que el RIA sea plenamente aplicable. Sin embargo, dado el calado de las diversas normas requeridas, su complejidad, los limitados recursos de los OEN y un calendario ya de por sí apretado, es probable que el plazo se traslade a finales del propio 2025.

Los organismos de normalización de la UE ya han revisado las normas existentes que podrían facilitar el cumplimiento del RIA y, en la medida de lo posible, las están utilizando como base para desarrollar las normas armonizadas particulares en el ámbito de la IA (2) . Las empresas pueden aprovechar su trabajo de compliance para adherirse a estas normas para facilitar también el cumplimiento del Reglamento (UE) 2024/1689 (LA LEY 16665/2024).

Como es lógico, las empresas que utilicen herramientas de IA que entren en el ámbito de aplicación del RIA querrán comprobar cuáles de las normas existentes pueden aprovechar, y deberán estar muy pendientes del programa de trabajo y el desarrollo de nuevas normas armonizadas por parte de los organismos de normalización de la UE.

2. Concepto de normas armonizadas

Las normas armonizadas de la UE son especificaciones técnicas, de carácter no obligatorio, que definen requisitos para productos, procesos de producción, servicios o métodos de ensayo. Por tanto, estas especificaciones técnicas son voluntarias y las elaboran la industria y los agentes del mercado. Las normas armonizadas garantizan la interoperabilidad y la seguridad, reducen costes y facilitan la integración de las empresas en la cadena de valor y el comercio.

En el Derecho de la Unión, una norma armonizada es una norma europea desarrollada por un OEN reconocido: el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (CENELEC) o el Instituto Europeo de Normas de Telecomunicación (ETSI). Algunos ejemplos son las normas armonizadas para productos individuales con el fin de cumplir los requisitos generales de seguridad de los productos, por ejemplo, las normas relativas a los requisitos y métodos de ensayo para sillas infantiles (3) o las normas para cumplir la regulación sobre productos sanitarios (4) .

Los OEN están elaborando actualmente normas relacionadas con diversos sectores y actos legislativos de la UE. Un ejemplo notable es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (LA LEY 26819/2022), sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009 (LA LEY 20148/2009) (UE) n.o 648/2012 (LA LEY 13237/2012) (UE) n.o 600/2014 (LA LEY 9344/2014) (UE) n.o 909/2014 y (UE) 2016/1011, conocido como Reglamento de Resiliencia Operativa Digital (DORA), que establece requisitos de ciberseguridad específicos del sector para las entidades financieras. DORA ordena que las Autoridades Europeas de Supervisión (la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM) —conocidas colectivamente como «Autoridades Europeas de Supervisión»—) elaboren de forma conjunta un total de trece instrumentos normativos en este particular.

Las normas armonizadas ofrecerán una orientación crucial a las empresas sobre cómo evaluar y mitigar los riesgos asociados a los productos de IA y proporcionarán especificaciones técnicas precisas para aclarar los requisitos del RIA que éste formula de forma genérica.

3. Presunción de conformidad

La adhesión a las normas armonizadas, diseñadas específicamente para desarrollar la legislación de la UE, confiere una presunción de conformidad con los requisitos esenciales de dicha legislación. En otras palabras, si los productos cumplen las normas armonizadas, se presume el cumplimiento del requisito.

En el ámbito de la IA, así se establece en el artículo 40.1 del RIA: «Los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con normas armonizadas, o partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) n.o 1025/2012 (LA LEY 19005/2012) se presumirá que son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, en su caso, con las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento, en la medida en que dichas normas contemplen estos requisitos u obligaciones».

4. El RIA y el proceso de normalización

Con fecha 22 de mayo de 2023, la Comisión Europea emitió una petición de normalización para el RIA (5) . La Comisión encargó al CEN y al CENELEC el desarrollo de nuevas normas europeas o documentos europeos de normalización para apoyar el RIA antes del 30 de abril de 2025 (art. 1 de la solicitud). La petición exige que estas normas garanticen que los sistemas de IA introducidos en el mercado de la UE sean seguros y respeten los derechos fundamentales. Además, las normas encargadas deben fomentar la inversión y la innovación en IA, así como aumentar la competitividad y el crecimiento del mercado de la UE (cdo. 3) de la solicitud).

Ya en enero de 2023, el Comité Técnico Conjunto CEN-CENELEC (JTC 21) propuso una hoja de ruta para apoyar la normalización de la IA en el Derecho de la Unión. El comité llevó a cabo un análisis para identificar las normas entonces existentes relacionadas con la IA y las actividades de normalización en curso de otras organizaciones de normalización (SDO), principalmente ISO/IEC JTC 1/SC 42 (6) .

El Centro Común de Investigación (CCI) de la Comisión Europea evaluó esta hoja de ruta de normalización, y llegó a la conclusión de que las normas internacionales existentes cumplen parcialmente los requisitos del RIA para una inteligencia artificial fiable, con muchas lagunas que precisamente se abordarán en las normas europeas previstas. Por ejemplo, el CCI evaluó la idoneidad de la norma ISO/IEC 42001, Information technology —Artificial intelligence— Management system, para su adopción como norma armonizada en el marco del RIA: así, la norma ISO/IEC 42001 ya ofrece una cobertura limitada del registro y el mantenimiento de eventos.

Por el momento, cabe listar las normas ya adoptadas por el JTC 21:

  • CEN/CLC ISO/IEC/TR 24027:2023 (WI=JT021017), Information technology —Artificial intelligence (AI)— Bias in AI systems and AI aided decision making, de 20 de diciembre de 2023.
  • CEN/CLC ISO/IEC/TR 24029-1:2023 (WI=JT021018), Artificial Intelligence (AI) —Assessment of the robustness of neural networks— Part 1: Overview, de 20 de diciembre de 2023.
  • EN ISO/IEC 22989:2023 (WI=JT021004), Information technology —Artificial intelligence— Artificial intelligence concepts and terminology, de 28 junio de 2023.
  • EN ISO/IEC 23053:2023 (WI=JT021005), Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML), de 28 de junio de 2023.
  • EN ISO/IEC 23894:2024 (WI=JT021016), Information technology —Artificial intelligence— Guidance on risk management, de 21 de febrero de 2024.
  • EN ISO/IEC 25059:2024 (WI=JT021014), Software engineering —Systems and software Quality Requirements and Evaluation (SQuaRE)— Quality model for AI systems, de 7 de agosto de 2024.
  • EN ISO/IEC 8183:2024 (WI=JT021020), Information technology —Artificial intelligence— Data life cycle framework, de 12 de junio de 2024.

Además, las normas armonizadas no específicas de la IA son también pertinentes para el desarrollo y el uso de la IA. La norma ISO/IEC 27001, Information security, cybersecurity and privacy protection —Information security management systems— Requirements, por ejemplo, puede orientar el desarrollo de políticas de ética de la IA y evaluaciones de impacto de la protección de datos, al proporcionar un enfoque estructurado para gestionar los riesgos asociados a las tecnologías de IA, aunque no sea una norma armonizada con arreglo al RIA.

5. Programa de trabajo y calendario normativo

Con la aprobación oficial del RIA, los OEN han comenzado a desarrollar normas armonizadas adicionales. El CEN y el CENELEC publicaron un programa de trabajo en el que se delinean las normas que ya se han redactado o modificado y las que se desarrollarán, incluido un calendario estimado (7) . El programa detalla el progreso actual de las normas y muestra qué normas cumplirán los requisitos de la petición de normalización de la Comisión Europea.

El CEN y el CENELEC coinciden ampliamente en que las normas internacionales, por ejemplo, las normas ISO, deben utilizarse, pero adaptadas para cumplir los requisitos del RIA. Esto significa que las empresas que deban cumplir con el RIA y que ya cumplen normas internacionales como, por ejemplo, la ISO/IEC 42001, podrán aprovechar su cumplimiento original para cumplir las disposiciones pertinentes del RIA.

Por lo demás, resulta muy conveniente estar pendientes de las normas elaboradas por los OEN para asegurarse de que los respectivos modelos de negocio y productos de la entidad cumplen los requisitos legales aplicables bajo el nuevo grupo normativo encabezado por el RIA.

(1)

Así, una primera explicación se contiene en el prólogo de BARRIO ANDRÉS, Moisés (dir.), Comentarios al Reglamento Europeo de Inteligencia Artificial (LA LEY 16665/2024). Editorial La Ley, Madrid, 2024, y en los comentarios pertinentes en el seno de la obra. También, vid. MUÑOZ VELA, José Manuel, La regulación de la inteligencia artificial. Reto y oportunidad desde una perspectiva global e internacional. Editorial Aranzadi, Madrid, 2024, capítulo 10.

Ver Texto
(2)

Las normas existentes adaptadas por el JTC 21 están disponibles en el Cuadro de Estado CEN-CENELEC publicado por la presidencia del JTC 21; y el programa de trabajo del JTC 21 está disponible en el Informe del Grupo de Enfoque CEN-CENELEC titulado «Hoja de Ruta sobre Inteligencia Artificial (IA)» (septiembre de 2020).

Ver Texto
(3)

Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001 (LA LEY 13727/2001), relativa a la seguridad general de los productos.

Ver Texto
(4)

Decisión de Ejecución (UE) 2021/610 de la Comisión, de 14 de abril de 2021 (LA LEY 7848/2021), por la que se modifica la Decisión de Ejecución (UE) 2020/437 (LA LEY 4126/2020) en lo que respecta a las normas armonizadas sobre los vehículos de transporte sanitario y sus equipos, el equipo anestésico y respiratorio, la evaluación biológica de productos sanitarios, el envasado para productos sanitarios esterilizados terminalmente, la esterilización de productos para la salud, la investigación clínica de productos sanitarios para humanos, los implantes quirúrgicos no activos, los productos sanitarios que utilizan tejidos animales y sus derivados, la electroacústica y los equipos electromédicos.

Ver Texto
(5)

C(2023)3215.

Ver Texto
(6)

Por ejemplo, ISO/IEC JTC 1 y sus subcomités.

Ver Texto
(7)

CEN/CLC/JTC 21 Programa de trabajo.

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll