Hace poco más de un año entró en vigor el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 por el que se establece normas armonizadas en materia de inteligencia artificial.
El más conocido como Reglamento de Inteligencia Artificial (en adelante, RIA), finalizará su total aplicación en agosto de 2027, cuando todas las medidas que establece serán de cumplimiento obligatorio.
Sin embargo, las empresas ya hace tiempo que están incorporando a sus procesos, sistemas de IA, para mejorarlos, agilizar-los y reducir costes y tiempos.
La Comisión Europea publicó unas cláusulas de contratación pública de la IA con el objetivo de establecer responsabilidades para un desarrollo fiable, transparente y responsable de las tecnologías entre el proveedor y la administración pública.
En la contratación de sistemas de IA por parte de las empresas, también se deben adaptar las cláusulas de los contratos a los requisitos técnicos y legales que exige el RIA.
El artículo 16 del RIA establece las obligaciones de los proveedores de sistemas de IA de alto riesgo y el artículo 53 del RIA establece las obligaciones de los proveedores de modelos de IA de propósito general.
Entendiendo estos dos como las dos principales variantes de sistemas de IA, se deben traducir estas obligaciones en las exigencias que una empresa debe exigir a un proveedor al que quiere contratarle una IA.
A continuación, se ofrece un listado de aquellas cuestiones que será relevante tener en cuenta e implementar para una contratación segura de la IA.
- Objeto del contrato:
Se debe definir claramente el sistema de IA que se va a adquirir, su finalidad, y el entorno en el que se utilizará.
Esto es relevante puesto que permitirá clasificar el sistema y concluir si es un sistema de alto riesgo, riesgo limitado o aceptable.
- Cláusulas clave: Se deberán incluir cláusulas que obliguen al proveedor a:
- Describir cómo funcionará el sistema
- Explicar los criterios de decisión del sistema
- Detallar la información acerca de los algoritmos utilizados
- Obligaciones de tipo técnico: El proveedor tiene unas obligaciones técnicas que el sistema debe cumplir. El cumplimiento de estas obligaciones debe poder ser demostrada ante la empresa contratista. Por lo que, a su vez, será una buena práctica por parte de la empresa pedir esta documentación técnica acerca de la gestión de riesgos, la calidad y trazabilidad de los datos, mecanismos de control y supervisión humana, etc.
- Normativas conexas: el uso de sistemas de IA y la aplicación del RIA debe siempre coordinarse con la normativa de protección de datos y las normativas de ciberseguridad. Por lo que se deberán también definir en el contrato cuestiones relativas a las garantías en el uso de datos personales, propiedad de los datos, etc.
Finalmente, como cualquier otro contrato de servicios tecnológicos, será relevante incluir requisitos sobre protección frente a ataques, procedimiento de respuesta ante incidencias, responsabilidades ante fallos del sistema, cuestiones relativas al mantenimiento y actualización, etc.
En resumen, las principales obligaciones establecidas por el RIA para proveedores son la base de las exigencias que deberá tener la empresa en el momento de contratar un sistema de IA.
Simultáneamente al uso de la IA, la empresa deberá cumplir con sus propias obligaciones en este campo, empezando por la alfabetización en materia de inteligencia artificial, promoviendo la formación entre sus empleados para que conozcan los requisitos de la normativa y los riesgos que puede suponer su uso.