Cumplir con el Reglamento Europeo de IA (RIA): un reto ineludible para las empresas
Cumplir con el Reglamento Europeo de IA (RIA): un reto ineludible para las empresas
El Reglamento Europeo de Inteligencia Artificial (RIA) establece un marco legal para el uso seguro y responsable de la IA en las empresas, con un enfoque basado en el riesgo que afecta a distintos sectores y que busca impulsar la innovación y la confianza. La normativa entró en vigor en agosto de 2024 y su aplicación completa será obligatoria tras un periodo de adaptación hasta 2026, con fases progresivas que incluyen alfabetización, códigos de buenas prácticas y sanciones.
Entrada en vigor escalonada: la RIA comenzó a aplicarse en agosto de 2024, con disposiciones generales y prohibiciones para sistemas de riesgo inaceptable desde febrero de 2025, y sanciones vinculantes desde agosto de 2025, aunque con un periodo transitorio sin sanciones automáticas hasta el 11 de mayo de 2026.
¿Qué deben hacer las empresas? las empresas deben analizar riesgos, ética, legislación, gobernanza, calidad, sistemas de gestión de IA y auditoría para cumplir con la normativa y aprovecharla como ventaja competitiva. Para ello, deberían establecer un plan de acción que evidencie la buena diligencia de la organización para el cumplimiento de la RIA, que debería tener en cuenta los siguientes principios recogidos en dicho reglamento:
Las empresas que adopten un enfoque proactivo, alineando desde el inicio los desarrollos de IA con la RIA y los estándares internacionales, no solo reducirán su exposición a sanciones, sino que reforzarán su posicionamiento, competitividad, resiliencia y confianza de sus clientes y de los reguladores. En España, el órgano regulador principal de la Inteligencia Artificial es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA).
En conclusión, es esencial mantener un enfoque activo y constante para el cumplimiento de la RIA y para asegurar el desarrollo y uso de la IA de forma ética, segura, transparente y conforme a la normativa.
En BDO contamos con especialistas en el departamento de Risk Advisory Services para ayudar a las empresas al cumplimiento de la RIA.
Entrada en vigor escalonada: la RIA comenzó a aplicarse en agosto de 2024, con disposiciones generales y prohibiciones para sistemas de riesgo inaceptable desde febrero de 2025, y sanciones vinculantes desde agosto de 2025, aunque con un periodo transitorio sin sanciones automáticas hasta el 11 de mayo de 2026.
¿Qué deben hacer las empresas? las empresas deben analizar riesgos, ética, legislación, gobernanza, calidad, sistemas de gestión de IA y auditoría para cumplir con la normativa y aprovecharla como ventaja competitiva. Para ello, deberían establecer un plan de acción que evidencie la buena diligencia de la organización para el cumplimiento de la RIA, que debería tener en cuenta los siguientes principios recogidos en dicho reglamento:
- Gestión de riesgos y gobernanza: Es fundamental categorizar riesgos asociados al uso de IA, implementar marcos de gobernanza basados en estándares internacionales como la ISO/IEC 23894 que proporciona directrices para la gestión de riesgos en sistemas de IA, la ISO/EIC 38507 que regula la gobernanza en sistemas de Inteligencia Artificial (IA) o las guías del NIST AI Risk Management Framework, y desarrollar políticas internas de ética y auditoría. La RIA establece las obligaciones legales, técnicas y de privacidad, centrando el eje de actuación y regulatorio sobre los sistemas denominados de Riesgo Alto o Riesgo Inaceptable, de cara a su uso restrictivo o prohibido.
- Sistema de Gestión de IA: Se recomienda integrar el Sistema de Gestión de la Inteligencia Artificial (SGIA) con el Sistema de Gestión de Seguridad de la Información para asegurar el cumplimiento y la calidad. La ISO/IEC 42001 es la primera norma internacional para la gestión responsable de sistemas de IA. Fue publicada en 2023 y establece los requisitos para crear, implementar, mantener y mejorar un SGIA dentro de las organizaciones.
- Auditoría y control: Las auditorías deben evaluar liderazgo, supervisión, gestión de riesgos, políticas, transparencia y formación para garantizar la eficacia y alineación con la RIA.
- Transparencia y formación: La información sobre IA debe adaptarse a diferentes públicos explicando el funcionamiento de algoritmos y gestión de datos, complementado con formación en alfabetización IA para abordar ética, equidad y sesgos.
- Obligaciones para proveedores: Los proveedores de sistemas de IA deben gestionar riesgos, garantizar transparencia, trazabilidad, supervisión humana y entregar documentación técnica, integrando estas obligaciones en contratos para mitigar riesgos legales y reputacionales.
- Supervisión y verificación: Es crucial establecer planes de supervisión, monitorización, auditorías y canales claros para asegurar la intervención en decisiones críticas y responder eficazmente a incidentes.
Las empresas que adopten un enfoque proactivo, alineando desde el inicio los desarrollos de IA con la RIA y los estándares internacionales, no solo reducirán su exposición a sanciones, sino que reforzarán su posicionamiento, competitividad, resiliencia y confianza de sus clientes y de los reguladores. En España, el órgano regulador principal de la Inteligencia Artificial es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA).
En conclusión, es esencial mantener un enfoque activo y constante para el cumplimiento de la RIA y para asegurar el desarrollo y uso de la IA de forma ética, segura, transparente y conforme a la normativa.
En BDO contamos con especialistas en el departamento de Risk Advisory Services para ayudar a las empresas al cumplimiento de la RIA.