Sistemas de IA de Alto Riesgo según el EU AI Act

El Reglamento Europeo de Inteligencia Artificial (EU AI Act) establece un marco regulador para la comercialización y despliegue de sistemas de IA en la Unión Europea. Un elemento central de esta regulación es la categoría de "alto riesgo", designada para sistemas con potencial de afectar negativamente la salud, seguridad o derechos fundamentales de las personas.

Comprender si un sistema pertenece a esta categoría es crucial, ya que desencadena una serie de requisitos técnicos y de gobernanza obligatorios. Para ello, el Artículo 6 del EU AI Act establece dos vías principales de clasificación:

1. Sistemas de IA que son componentes de seguridad en productos ya sujetos a legislación de la UE, según el Anexo I.
2. Sistemas de IA que operan en áreas críticas específicamente enumeradas en el Anexo III del Reglamento.

Sistemas de IA como Componentes de Seguridad (Anexo I)

La primera categoría, detallada en el Anexo I del Reglamento, se refiere a sistemas de IA que funcionan como componentes de seguridad dentro de productos ya sujetos a estricta legislación de armonización de la Unión. Si un software de IA está integrado en cualquiera de los siguientes dominios, se clasifica como alto riesgo por defecto:

| Dominio del Producto | Regulación Específica | Ámbito de Aplicación | | --- | --- | --- | | Maquinaria y Robótica | Directiva 2006/42/CE | Maquinaria y componentes de seguridad | | | Directiva 2014/33/UE | Ascensores y componentes de seguridad | | | Directiva 2014/53/UE | Equipos radioeléctricos | | Transporte por Carretera | Reglamento (UE) 2018/858 | Homologación de vehículos de motor | | | Reglamento (UE) 2019/2144 | Seguridad general de vehículos | | Transporte Ferroviario | Directiva (UE) 2016/797 | Interoperabilidad del sistema ferroviario | | Transporte Aéreo | Reglamento (UE) 2018/1139 | Normas comunes de aviación civil | | Sanidad | Reglamento (UE) 2017/745 | Productos sanitarios | | | Reglamento (UE) 2017/746 | Productos sanitarios para diagnóstico in vitro | | Juguetes | Directiva 2009/48/CE | Seguridad de los juguetes | | Equipos de Protección | Reglamento (UE) 2016/425 | Equipos de protección individual |

En resumen, si un sistema de IA se desarrolla con la intención de ser utilizado como componente de seguridad en cualquiera de los productos enumerados, o si el propio sistema de IA es un producto sujeto a dicha legislación, se clasifica automáticamente como de alto riesgo.

Esto obliga a los desarrolladores a integrar los requisitos del EU AI Act en los marcos de cumplimiento existentes para estos productos. Así, la gran mayoría de productos de IA médica—desde software de análisis de imágenes diagnósticas hasta sistemas de apoyo a la decisión clínica—ya cubiertos por los reglamentos MDR o IVDR entrarían en esta categoría.

Sistemas de IA para Áreas Críticas (Anexo III)

La segunda categoría se centra en el uso previsto del sistema. Se presume que una IA es de alto riesgo si está destinada a operar en cualquiera de las siguientes áreas y casos de uso específicos:

| Área Crítica | Casos de Uso Específicos | | --- | --- | | Identificación biométrica | Sistemas de identificación biométrica remota "en tiempo real" y "a posteriori" | | Infraestructura crítica | Sistemas de IA como componentes de seguridad en la gestión del tráfico y suministro de agua, gas, calefacción y electricidad | | Educación y formación | Sistemas para determinar el acceso a instituciones educativas o evaluar estudiantes | | Empleo y gestión de trabajadores | Sistemas para seleccionar candidatos, asignar tareas o evaluar el rendimiento | | Acceso a servicios esenciales | Sistemas para evaluar la solvencia crediticia, elegibilidad para beneficios públicos o priorizar servicios de emergencia | | Aplicación de la ley | Sistemas para evaluar el riesgo de reincidencia, polígrafos, análisis de evidencias o predicción del delito | | Migración, asilo y fronteras | Sistemas para evaluar riesgos de seguridad, verificar documentos de viaje o asistir en solicitudes de asilo | | Justicia y procesos democráticos | Sistemas para asistir a autoridades judiciales o influir en el comportamiento electoral |

La Excepción Clave del Artículo 6

El reglamento introduce una excepción relevante. Un sistema que opera en las áreas mencionadas podría no considerarse de alto riesgo si su salida es puramente accesoria a la acción correspondiente y, por tanto, no influye sustancialmente en su resultado.

El análisis de relevancia es clave: si el sistema de IA solo realiza una tarea preparatoria y la decisión final depende de un humano que puede verificar o descartar fácilmente la recomendación, el sistema puede no clasificarse como de alto riesgo.

Requisitos Obligatorios para Proveedores de IA de Alto Riesgo

Una vez que un sistema se clasifica como de alto riesgo, los proveedores deben demostrar diligencia a lo largo de su ciclo de vida, lo que se traduce en requisitos técnicos y de gobernanza específicos:

• Implementar un sistema de gestión de riesgos (Artículo 9) para la identificación, evaluación y mitigación continua de los peligros potenciales del modelo.

• Asegurar la calidad y gobernanza de los datos (Artículo 10), garantizando que los conjuntos de datos de entrenamiento, validación y prueba sean representativos, libres de sesgos y su procedencia esté documentada.

• Crear y mantener documentación técnica (Artículo 11) lo suficientemente exhaustiva como para permitir que un tercero comprenda la arquitectura del sistema, los algoritmos utilizados y sus limitaciones.

• Diseñar el sistema para generar registros automáticos (Artículo 12) para asegurar la trazabilidad de sus decisiones y permitir la investigación de incidentes.

• Garantizar la transparencia (Artículo 13), proporcionando a los usuarios finales la información necesaria para comprender que están interactuando con un sistema de IA.

• Incorporar mecanismos de supervisión humana (Artículo 14) que permitan a una persona monitorizar, intervenir o detener el sistema si es necesario.

• Garantizar la robustez técnica, precisión y ciberseguridad (Artículo 15) de los modelos frente a errores y ataques externos.

Enfrentar estos requisitos sin un marco adecuado representa un considerable consumo de recursos de ingeniería, desviando el enfoque del equipo de la innovación central del producto.

La Solución: Venturalítica

Venturalítica ofrece una plataforma SaaS diseñada para traducir la complejidad regulatoria en un marco de trabajo para equipos de desarrollo, integrando el cumplimiento en el ciclo de vida del software.

Nuestra plataforma proporciona las siguientes capacidades:

• Asistencia en la Clasificación de Riesgo: La distinción entre "influencia sustancial" y "accesoria" es compleja. Nuestro asistente inteligente guía a los equipos a través de este análisis de impacto para una correcta clasificación del sistema desde las fases iniciales.

• Gestión Integral de Requisitos: Venturalítica proporciona un marco y herramientas para implementar cada una de las obligaciones del EU AI Act, desde la gestión de riesgos hasta la generación de documentación técnica.

• Optimización del "Time to Compliance": Nuestra métrica clave es reducir el tiempo necesario para alcanzar el cumplimiento. Transformamos un proceso que podría llevar meses de consultoría en un flujo de trabajo ágil y gestionado, liberando recursos de desarrollo.

Navega con confianza en el entorno regulado de la IA. Usa la regulación como guía y deja que Venturalítica sea tu aliado estratégico.

Solicita una demo para conocer cómo Venturalítica puede integrarse en tu ciclo de desarrollo y asegurar el cumplimiento de tu sistema con el EU AI Act.

En el próximo artículo de esta serie, profundizaremos en el Artículo 9, relativo a los sistemas de gestión de riesgos.