Claves para preparar la documentación técnica bajo el Reglamento europeo de Inteligencia Artificial

Por Moisés Barrio
TWITTER @moisesbarrioa

La reciente aprobación del Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.º 300/2008, (UE) n.º 167/2013, (UE) n.º 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial, RIA -o Artificial Intelligence Act-) ha abierto una nueva etapa en la regulación jurídica de los sistemas de inteligencia artificial en la Unión Europea.

Como establece su considerando 1, el objetivo del RIA es “mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial (en lo sucesivo, «sistemas de IA») en la Unión, de conformidad con los valores de la Unión, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea”.

El RIA establece por ello un marco jurídico armonizado para el desarrollo, la comercialización en el mercado de la Unión Europea y el uso de productos y servicios de inteligencia artificial (IA). Además, la norma pretende alcanzar una serie de objetivos específicos: (i) garantizar que los sistemas de IA comercializados en la UE sean seguros y respeten la legislación de la UE vigente, (ii) garantizar la seguridad jurídica para facilitar la inversión y la innovación en IA, (iii) mejorar la gobernanza y la aplicación efectiva de la legislación de la UE sobre derechos fundamentales y requisitos de seguridad aplicables a los sistemas de IA, y (iv) facilitar el desarrollo de un mercado único de aplicaciones de IA lícitas, seguras y fiables y evitar la fragmentación del mercado.

Entre sus obligaciones fundamentales, los proveedores de sistemas de IA de alto riesgo deberán preparar una documentación técnica exhaustiva antes de su introducción en el mercado. La documentación técnica puede definirse como el conjunto de documentos que describen en detalle todos los aspectos técnicos y legales de un sistema de inteligencia artificial. Esta documentación es crucial para demostrar el cumplimiento de los requisitos del RIA, para facilitar la evaluación por parte de los organismos reguladores y para proporcionar seguridad jurídica a los responsables del despliegue.

El artículo 11 del RIA, titulado precisamente “Documentación técnica”, impone la elaboración de la documentación técnica de los sistemas de IA de alto riesgo antes de su introducción en el mercado o puesta en servicio. Esta documentación no sólo debe ser exhaustiva, sino que también debe mantenerse actualizada durante todo el ciclo de vida del sistema de IA. Su objetivo principal es demostrar el cumplimiento de los requisitos establecidos en el RIA y proporcionar información clara y completa a las autoridades nacionales competentes y a los responsables del despliegue.

La documentación técnica es, por tanto, un componente clave que debe elaborarse como parte de los procedimientos de evaluación de la conformidad necesarios para los sistemas de IA de alto riesgo. Además, también constituye un factor que debe tenerse en cuenta a la hora de evaluar la “finalidad prevista” del sistema de IA (que es un aspecto pertinente para determinar el alcance de las obligaciones de un sistema de alto riesgo incluido en el anexo III del RIA).

La documentación técnica, tal como se indica en el anexo IV del RIA, está estructurada de forma que abarque diversos aspectos cruciales para evaluar la conformidad del sistema de IA y brindar a los responsables de la implantación la información necesaria para comprender y gestionar debidamente el sistema de IA implantado.

La documentación tiene que incluir una descripción de los siguientes elementos:
a) Del sistema de IA en general. Este apartado debe describir una visión general del sistema de IA, su finalidad prevista, las interacciones con el hardware y el software y sus descripciones, los detalles de la interfaz de usuario y las instrucciones de uso para el implantador, etc.
b) Los elementos del sistema y su proceso de desarrollo. Aquí los proveedores de IA deben detallar el proceso de desarrollo, incluidas las metodologías, las especificaciones de diseño (es decir, la lógica general del sistema de IA), las decisiones clave de diseño, la arquitectura del sistema, los componentes de terceros, una descripción de los conjuntos de datos utilizados para el entrenamiento, las medidas de supervisión humana, los procedimientos de validación y prueba, así como las medidas de ciberseguridad.
c) Información detallada acerca de la supervisión, el funcionamiento y el control del sistema de IA Este apartado debe profundizar en las capacidades y limitaciones del sistema, los resultados imprevistos previsibles, las medidas de supervisión humana, las especificaciones sobre los datos de entrada y la adecuación de las métricas de rendimiento.
d) Parámetros de rendimiento para el sistema de IA concreto.
e) Una descripción detallada del sistema de gestión de riesgos.
f) Una descripción de los cambios pertinentes realizados por el proveedor en el sistema a lo largo de su ciclo de vida.
g) Una lista de las normas armonizadas, aplicadas total o parcialmente.
h) Una copia de la declaración UE de conformidad.
i) Una descripción detallada del sistema establecido para evaluar el funcionamiento del sistema de IA en la fase posterior a la comercialización, incluido el plan de vigilancia post-comercialización.

La información técnica se conservará durante un periodo de diez años a partir de la comercialización o puesta en servicio del sistema de IA de alto riesgo (art. 18.1 RIA).

Los requisitos de documentación técnica establecidos en el artículo 11 del RIA están en concordancia con la documentación necesaria para la declaración de conformidad y del marcado CE del sistema de IA que establece el RIA, haciendo hincapié en la necesidad de una documentación exhaustiva que demuestre el cumplimiento de las normas y permita una supervisión eficaz de las operaciones, así como un control posterior a la comercialización. Del mismo modo, la documentación técnica sirve para que los proveedores de IA demuestren el cumplimiento de los rigurosos requisitos del Reglamento.

Por lo tanto, la preparación de la documentación técnica debe llevarse a cabo conjuntamente (o al menos de forma coherente) con la política de gobernanza de la IA del fabricante y la documentación relativa al marcado CE. Para los sistemas de IA de alto riesgo relacionados con un producto cubierto por la legislación de armonización de la UE enumerada en la sección A del anexo I del RIA, como, por ejemplo, los productos sanitarios, los juguetes o la maquinaria, puede elaborarse un único conjunto de documentación técnica que combine la información exigida en virtud del RIA y la legislación de la UE correspondiente. Esto refleja el planteamiento del Reglamento de garantizar la coherencia, evitar la duplicación y minimizar las cargas adicionales para los proveedores que tienen que someterse a la evaluación de conformidad y cumplir las obligaciones y la legislación de la UE vigente que establece los requisitos para sus productos.