Moisés Barrio Andrés
Letrado del Consejo de Estado
Asesor de diversos Estados y de la Unión Europea en materia de regulación digital
Profesor de Derecho digital
Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid.
1. Introducción
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) y por el que se modifican los Reglamentos (CE) n.o 300/2008 (LA LEY 3589/2008) (UE) n.o 167/2013 (LA LEY 2703/2013) (UE) n.o 168/2013 (UE) 2018/858 (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE (LA LEY 13360/2014) (UE) 2016/797 (LA LEY 8246/2016) y (UE) 2020/1828 (Reglamento de Inteligencia Artificial (LA LEY 16665/2024) o RIA en lo sucesivo) establece numerosos requisitos imprecisos para los sistemas de IA, como evaluaciones de riesgos y requisitos de ciberseguridad, que podrían plantear problemas de cumplimiento a las empresas.
Por eso, las normas armonizadas elaboradas por los organismos europeos de normalización (OEN) desempeñarán un papel fundamental en la especificación de estos requisitos, incluida, por ejemplo, la exigencia de aplicar medidas adecuadas de gestión de riesgos (cfr. art. 9 RIA). Las empresas que cumplan las normas armonizadas pueden beneficiarse de una presunción de conformidad, lo que significa que se presumirá que sus productos cumplen ciertos elementos del RIA a menos que existan pruebas de no conformidad (1) . Los OEN están elaborando actualmente nuevas normas que, según el objetivo fijado por la Comisión Europea, deberán estar finalizadas para el 30 de abril de 2025, más de un año antes de que el RIA sea plenamente aplicable. Sin embargo, dado el calado de las diversas normas requeridas, su complejidad, los limitados recursos de los OEN y un calendario ya de por sí apretado, es probable que el plazo se traslade a finales del propio 2025.
Los organismos de normalización de la UE ya han revisado las normas existentes que podrían facilitar el cumplimiento del RIA y, en la medida de lo posible, las están utilizando como base para desarrollar las normas armonizadas particulares en el ámbito de la IA (2) . Las empresas pueden aprovechar su trabajo de compliance para adherirse a estas normas para facilitar también el cumplimiento del Reglamento (UE) 2024/1689 (LA LEY 16665/2024).
Como es lógico, las empresas que utilicen herramientas de IA que entren en el ámbito de aplicación del RIA querrán comprobar cuáles de las normas existentes pueden aprovechar, y deberán estar muy pendientes del programa de trabajo y el desarrollo de nuevas normas armonizadas por parte de los organismos de normalización de la UE.
2. Concepto de normas armonizadas
Las normas armonizadas de la UE son especificaciones técnicas, de carácter no obligatorio, que definen requisitos para productos, procesos de producción, servicios o métodos de ensayo. Por tanto, estas especificaciones técnicas son voluntarias y las elaboran la industria y los agentes del mercado. Las normas armonizadas garantizan la interoperabilidad y la seguridad, reducen costes y facilitan la integración de las empresas en la cadena de valor y el comercio.
En el Derecho de la Unión, una norma armonizada es una norma europea desarrollada por un OEN reconocido: el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (CENELEC) o el Instituto Europeo de Normas de Telecomunicación (ETSI). Algunos ejemplos son las normas armonizadas para productos individuales con el fin de cumplir los requisitos generales de seguridad de los productos, por ejemplo, las normas relativas a los requisitos y métodos de ensayo para sillas infantiles (3) o las normas para cumplir la regulación sobre productos sanitarios (4) .
Los OEN están elaborando actualmente normas relacionadas con diversos sectores y actos legislativos de la UE. Un ejemplo notable es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (LA LEY 26819/2022), sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009 (LA LEY 20148/2009) (UE) n.o 648/2012 (LA LEY 13237/2012) (UE) n.o 600/2014 (LA LEY 9344/2014) (UE) n.o 909/2014 y (UE) 2016/1011, conocido como Reglamento de Resiliencia Operativa Digital (DORA), que establece requisitos de ciberseguridad específicos del sector para las entidades financieras. DORA ordena que las Autoridades Europeas de Supervisión (la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM) —conocidas colectivamente como «Autoridades Europeas de Supervisión»—) elaboren de forma conjunta un total de trece instrumentos normativos en este particular.
Las normas armonizadas ofrecerán una orientación crucial a las empresas sobre cómo evaluar y mitigar los riesgos asociados a los productos de IA y proporcionarán especificaciones técnicas precisas para aclarar los requisitos del RIA que éste formula de forma genérica.
3. Presunción de conformidad
La adhesión a las normas armonizadas, diseñadas específicamente para desarrollar la legislación de la UE, confiere una presunción de conformidad con los requisitos esenciales de dicha legislación. En otras palabras, si los productos cumplen las normas armonizadas, se presume el cumplimiento del requisito.
En el ámbito de la IA, así se establece en el artículo 40.1 del RIA: «Los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con normas armonizadas, o partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) n.o 1025/2012 (LA LEY 19005/2012) se presumirá que son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, en su caso, con las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento, en la medida en que dichas normas contemplen estos requisitos u obligaciones».
4. El RIA y el proceso de normalización
Con fecha 22 de mayo de 2023, la Comisión Europea emitió una petición de normalización para el RIA (5) . La Comisión encargó al CEN y al CENELEC el desarrollo de nuevas normas europeas o documentos europeos de normalización para apoyar el RIA antes del 30 de abril de 2025 (art. 1 de la solicitud). La petición exige que estas normas garanticen que los sistemas de IA introducidos en el mercado de la UE sean seguros y respeten los derechos fundamentales. Además, las normas encargadas deben fomentar la inversión y la innovación en IA, así como aumentar la competitividad y el crecimiento del mercado de la UE (cdo. 3) de la solicitud).
Ya en enero de 2023, el Comité Técnico Conjunto CEN-CENELEC (JTC 21) propuso una hoja de ruta para apoyar la normalización de la IA en el Derecho de la Unión. El comité llevó a cabo un análisis para identificar las normas entonces existentes relacionadas con la IA y las actividades de normalización en curso de otras organizaciones de normalización (SDO), principalmente ISO/IEC JTC 1/SC 42 (6) .
El Centro Común de Investigación (CCI) de la Comisión Europea evaluó esta hoja de ruta de normalización, y llegó a la conclusión de que las normas internacionales existentes cumplen parcialmente los requisitos del RIA para una inteligencia artificial fiable, con muchas lagunas que precisamente se abordarán en las normas europeas previstas. Por ejemplo, el CCI evaluó la idoneidad de la norma ISO/IEC 42001, Information technology —Artificial intelligence— Management system, para su adopción como norma armonizada en el marco del RIA: así, la norma ISO/IEC 42001 ya ofrece una cobertura limitada del registro y el mantenimiento de eventos.
Por el momento, cabe listar las normas ya adoptadas por el JTC 21:
- – CEN/CLC ISO/IEC/TR 24027:2023 (WI=JT021017), Information technology —Artificial intelligence (AI)— Bias in AI systems and AI aided decision making, de 20 de diciembre de 2023.
- – CEN/CLC ISO/IEC/TR 24029-1:2023 (WI=JT021018), Artificial Intelligence (AI) —Assessment of the robustness of neural networks— Part 1: Overview, de 20 de diciembre de 2023.
- – EN ISO/IEC 22989:2023 (WI=JT021004), Information technology —Artificial intelligence— Artificial intelligence concepts and terminology, de 28 junio de 2023.
- – EN ISO/IEC 23053:2023 (WI=JT021005), Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML), de 28 de junio de 2023.
- – EN ISO/IEC 23894:2024 (WI=JT021016), Information technology —Artificial intelligence— Guidance on risk management, de 21 de febrero de 2024.
- – EN ISO/IEC 25059:2024 (WI=JT021014), Software engineering —Systems and software Quality Requirements and Evaluation (SQuaRE)— Quality model for AI systems, de 7 de agosto de 2024.
- – EN ISO/IEC 8183:2024 (WI=JT021020), Information technology —Artificial intelligence— Data life cycle framework, de 12 de junio de 2024.
Además, las normas armonizadas no específicas de la IA son también pertinentes para el desarrollo y el uso de la IA. La norma ISO/IEC 27001, Information security, cybersecurity and privacy protection —Information security management systems— Requirements, por ejemplo, puede orientar el desarrollo de políticas de ética de la IA y evaluaciones de impacto de la protección de datos, al proporcionar un enfoque estructurado para gestionar los riesgos asociados a las tecnologías de IA, aunque no sea una norma armonizada con arreglo al RIA.
5. Programa de trabajo y calendario normativo
Con la aprobación oficial del RIA, los OEN han comenzado a desarrollar normas armonizadas adicionales. El CEN y el CENELEC publicaron un programa de trabajo en el que se delinean las normas que ya se han redactado o modificado y las que se desarrollarán, incluido un calendario estimado (7) . El programa detalla el progreso actual de las normas y muestra qué normas cumplirán los requisitos de la petición de normalización de la Comisión Europea.
El CEN y el CENELEC coinciden ampliamente en que las normas internacionales, por ejemplo, las normas ISO, deben utilizarse, pero adaptadas para cumplir los requisitos del RIA. Esto significa que las empresas que deban cumplir con el RIA y que ya cumplen normas internacionales como, por ejemplo, la ISO/IEC 42001, podrán aprovechar su cumplimiento original para cumplir las disposiciones pertinentes del RIA.
Por lo demás, resulta muy conveniente estar pendientes de las normas elaboradas por los OEN para asegurarse de que los respectivos modelos de negocio y productos de la entidad cumplen los requisitos legales aplicables bajo el nuevo grupo normativo encabezado por el RIA.