El Reglamento Europeo de Inteligencia Artificial (EU AI Act) establece un marco normativo para la comercialización y puesta en servicio de sistemas de IA en la Unión Europea. Un elemento central de esta regulación es la categoría de "alto riesgo", designada para aquellos sistemas con potencial de afectar negativamente a la salud, la seguridad o los derechos fundamentales de las personas.
Comprender si un sistema entra en esta categoría es crucial, ya que activa una serie de requisitos técnicos y de gobernanza de obligado cumplimiento. Para ello, el Artículo 6 del EU AI Act establece dos vías principales de clasificación:
Sistemas de IA que son componentes de seguridad en productos ya sujetos a la legislación de la UE, según se detalla en el Anexo I.
Sistemas de IA que operan en áreas críticas específicamente listadas en el Anexo III del Reglamento.
A continuación, exploramos en detalle cada una de estas categorías y los requisitos que implican.
Es importante destacar una distinción fundamental en el impacto que esta clasificación tiene sobre los procesos de desarrollo. Para los proveedores de sistemas de IA como componentes de seguridad en productos ya regulados, que operan en sectores con una estricta regulación, la adaptación al EU AI Act implicará, en muchos casos, la extensión de sus sistemas de gestión de la calidad (SGC) existentes para cubrir los nuevos requisitos específicos de la IA.
Por el contrario, para los desarrolladores de sistemas de IA en áreas críticas, que pueden no contar con un SGC formalizado, la implementación de los requisitos desde cero representa un desafío de mayor envergadura, con un impacto más profundo en sus metodologías y ciclos de vida de desarrollo.
Sistemas de IA como Componentes de Seguridad en Productos Regulados (Anexo I)
La primera categoría, detallada en el Anexo I del Reglamento, se refiere a sistemas de IA que funcionan como componentes de seguridad dentro de productos que ya están sujetos a una estricta legislación armonizada de la Unión. Si un software de IA se integra en alguno de los siguientes dominios, se clasifica por defecto como de alto riesgo:
Dominio del Producto | Normativa Específica | Ámbito de Aplicación |
Maquinaria y Robótica | Máquinas y componentes de seguridad. | |
Ascensores y componentes de seguridad para ascensores. | ||
Equipos radioeléctricos. | ||
Transporte por Carretera | Homologación de vehículos de motor y sus remolques. | |
Vehículos de dos o tres ruedas y cuatriciclos. | ||
Vehículos agrícolas y forestales. | ||
Seguridad general de vehículos de motor y protección de ocupantes. | ||
Transporte Ferroviario | Interoperabilidad del sistema ferroviario. | |
Transporte Aéreo | Normas comunes en la aviación civil (incluye aeronaves no tripuladas). | |
Normas comunes para la seguridad de la aviación civil. | ||
Transporte Marítimo y Fluvial | Equipamiento marino. | |
Embarcaciones de recreo y motos acuáticas. | ||
Transporte por Cable | Instalaciones de transporte por cable. | |
Productos Sanitarios | Productos sanitarios. | |
Productos sanitarios para diagnóstico in vitro. | ||
Juguetes | Seguridad de los juguetes. | |
Equipos de Protección Individual | Equipos de protección individual (EPI). | |
Componentes Industriales | Aparatos de gas. | |
Equipos a presión. | ||
Aparatos para atmósferas potencialmente explosivas (ATEX). |
En resumen, si un sistema de IA se desarrolla con la intención de ser utilizado como componente de seguridad en cualquiera de los productos listados, o si el propio sistema de IA es un producto sujeto a dicha legislación, se clasifica automáticamente como de alto riesgo. Esto impone a los desarrolladores la obligación de integrar los requisitos del EU AI Act dentro de los marcos de conformidad ya existentes para estos productos. Así, la inmensa mayoría de los productos de IA médicos —desde software de análisis de imagen diagnóstica hasta sistemas de apoyo a la decisión clínica—, ya cubiertos por los reglamentos MDR o IVDR, caerían dentro de esta categoría. Para sus desarrolladores, esto implica que el proceso de certificación y marcado CE de sus productos deberá ahora incorporar y demostrar el cumplimiento de los exigentes requisitos del Reglamento de IA.
Sistemas de IA diseñados para operar en áreas críticas (Anexo III)
La segunda categoría se centra en el uso previsto del sistema y la regula el Anexo III. Se presume que una IA es de alto riesgo si está destinada a operar en alguna de las siguientes áreas y casos de uso específicos:
Área Crítica | Casos de Uso Específicos |
|---|---|
Identificación biométrica | Sistemas de identificación biométrica remota "en tiempo real" y "diferido". |
Infraestructuras críticas | Sistemas de IA como componentes de seguridad en la gestión del tráfico y el suministro de agua, gas, calefacción y electricidad. |
Educación y formación | Sistemas para determinar el acceso a centros educativos o para evaluar a los estudiantes. |
Empleo y gestión de trabajadores | Sistemas para la selección de candidatos, la asignación de tareas o la evaluación del rendimiento. |
Acceso a servicios esenciales | Sistemas para evaluar la solvencia crediticia, la elegibilidad para prestaciones públicas o la priorización de servicios de emergencia. |
Aplicación de la ley | Sistemas para evaluar el riesgo de reincidencia, polígrafos, análisis de pruebas o predicción de delitos. |
Migración, asilo y fronteras | Sistemas para evaluar riesgos de seguridad, verificar documentos de viaje o asistir en el examen de solicitudes de asilo. |
Justicia y procesos democráticos | Sistemas para asistir a autoridades judiciales o para influir en el comportamiento de voto. |
Por lo tanto, la clasificación en esta segunda categoría depende fundamentalmente del propósito para el cual el sistema de IA ha sido diseñado y comercializado. Si su caso de uso se encuentra entre los listados en el Anexo III, o si por su naturaleza es análogo a los descritos, se activa la presunción de alto riesgo. La evaluación debe considerar si el sistema, por su finalidad y contexto, encaja en el espíritu de las áreas críticas identificadas, lo que conduce a la necesidad de evaluar si la excepción del Artículo 6 es aplicable.
La Excepción Clave del Artículo 6: Relevancia de la Influencia del Sistema
El reglamento introduce una excepción relevante en la clausula 6.3. Un sistema que opere en las áreas críticas mencionadas podría no ser considerado de alto riesgo si su resultado es puramente accesorio para la acción correspondiente y, por tanto, no influye de manera sustancial en el resultado de la misma.
El análisis de relevancia es clave: si el sistema de IA solo realiza una tarea preparatoria y la decisión final depende de un ser humano que puede verificar o desestimar fácilmente la recomendación, es posible que el sistema no se clasifique como de alto riesgo.
Si un sistema cumple los criterios de la primera categoría, o los de la segunda sin que aplique esta excepción, se considera de alto riesgo y debe hacer frente a una serie de desafíos de ingeniería.
Requisitos Obligatorios para Proveedores de Sistemas de IA de Alto Riesgo
Una vez que un sistema es clasificado como de alto riesgo, los proveedores deben demostrar diligencia durante todo su ciclo de vida, lo que se traduce en requisitos técnicos y de gobernanza específicos:
Implementar un sistema de gestión de riesgos (Artículo 9) para la identificación, evaluación y mitigación continua de los peligros potenciales del modelo.
Garantizar la calidad y gobernanza de los datos (Artículo 10), asegurando que los datasets de entrenamiento, validación y prueba sean representativos, estén libres de sesgos y su procedencia esté documentada.
Crear y mantener una documentación técnica (Artículo 11) exhaustiva que permita a un tercero comprender la arquitectura del sistema, los algoritmos utilizados y sus limitaciones.
Diseñar el sistema para que genere registros automáticos (Artículo 12) que aseguren la trazabilidad de sus decisiones y permitan la investigación de incidentes.
Garantizar la transparencia (Artículo 13), proporcionando a los usuarios finales la información necesaria para comprender que interactúan con un sistema de IA.
Incorporar mecanismos de supervisión humana (Artículo 14) que permitan a una persona monitorizar, intervenir o detener el sistema si es necesario.
Asegurar la robustez técnica, la precisión y la ciberseguridad (Artículo 15) de los modelos frente a errores y ataques externos.
Afrontar estos requisitos sin un marco de trabajo adecuado representa un consumo considerable de recursos de ingeniería, desviando el foco del equipo de la innovación principal del producto.
La Solución: Venturalítica, una Plataforma Estratégica para la Conformidad Regulatoria
Venturalítica ofrece una plataforma SaaS diseñada para traducir la complejidad regulatoria en un framework de trabajo para equipos de desarrollo, integrando el cumplimiento en el ciclo de vida del software.
Nuestra plataforma proporciona las siguientes capacidades:
Asistencia en la Clasificación de Riesgo: La distinción entre "influencia sustancial" y "accesorio" es compleja. Nuestro asistente inteligente guía a los equipos en este análisis de impacto para una correcta clasificación del sistema desde las fases iniciales.
Gestión Integral de Requisitos: Venturalítica proporciona un marco de trabajo y herramientas para implementar cada una de las obligaciones del EU AI Act, desde la gestión de riesgos hasta la generación de la documentación técnica.
Optimización del "Time to Compliance": Nuestra métrica clave es la reducción del tiempo necesario para alcanzar la conformidad. Transformamos un proceso que podría requerir meses de consultoría en un flujo de trabajo ágil y gestionado, liberando recursos de desarrollo.
Navegue con seguridad en el entorno de la IA regulada. Utilice el reglamento como una guía y permita que Venturalítica sea su aliado estratégico.
Solicite una demostración para conocer cómo Venturalítica puede integrarse en su ciclo de desarrollo y asegurar la conformidad de su sistema con el EU AI Act.
En la siguiente publicación de esta serie, se analizará en profundidad el Artículo 9, relativo a los sistemas de gestión de riesgos.