Llei d’IA (Reglament de la UE 2024/1689) i ISO 42001

/ certificat ISO / Per

Reglament 2024/1689, la Llei d'IA, ISO 42001 i els sistemes de gestió

El Reglament (UE) 2024/1689, conegut com a Llei de la IA de la UE, marca un punt d’inflexió en la regulació dels sistemes d’intel·ligència artificial a Europa. Amb l’entrada en vigor de les seves obligacions per als sistemes d’IA d’alt risc, les organitzacions que no estiguin preparades s’enfronten a multes de fins a 35 milions d’euros o del 7 % de la seva facturació anual mundial.

Però la «Llei d’IA» és, sobretot, una regulació sobre la gestió, el control i la responsabilitat de la tecnologia.

Què exigeix la Llei d'IA pel que fa a la gestió de la qualitat?

L’article 17 del Reglament estableix una obligació clara per als proveïdors de sistemes d’IA d’alt risc d’establir i mantenir un sistema de gestió de la qualitat que garanteixi el compliment continu de la Llei d’IA. Aquest sistema ha de cobrir, entre altres elements clau:

  • Polítiques, procediments i instruccions documentades
  • Tècniques de disseny, desenvolupament i control de qualitat per a sistemes d’IA
  • Gestió de canvis, incidents i no conformitats
  • Seguiment postmercat
  • Canals de comunicació amb les autoritats competents

Tot això us sonarà molt si ja treballeu amb les normes ISO per a sistemes de gestió integrats.

ISO/IEC 42001: la norma específica per a la gestió de la IA

El 2023, l’ISO va publicar la norma ISO/IEC 42001, la primera norma internacional per a sistemes de gestió de la intel·ligència artificial. La seva estructura basada en l’Annex SL facilita la integració amb les normes ISO 9001, ISO 14001 o ISO 27001. La norma ISO 42001 aborda directament els requisits establerts a la Llei d’IA per als sistemes d’IA d’alt risc:

  • Avaluació i gestió de riscos al llarg del cicle de vida del sistema d’IA
  • Governança de les dades d’entrenament, validació i prova
  • Supervisió humana i traçabilitat de les decisions automatitzades
  • Gestió d’incidents i seguiment posterior al desplegament
  • Política d’IA i compromís demostrable de l’alta direcció

Molts dels requisits de la Llei d’IA tenen una contrapartida directa en els controls de la ISO 42001, la qual cosa converteix aquesta norma en el marc més robust per demostrar el compliment normatiu a les autoritats de supervisió.

A quines empreses s'aplica realment la Llei d'IA?

La Llei d’IA no només s’aplica a les grans empreses tecnològiques. S’aplica a qualsevol organització que desenvolupi, comercialitzi, implanti o utilitzi sistemes d’IA a la Unió Europea, independentment de la seva mida o país d’origen. A més, la formació en alfabetització en IA per al personal és obligatòria per a totes les empreses que utilitzen sistemes d’intel·ligència artificial.

A Espanya, l’Agència Espanyola de Supervisió de la Intel·ligència Artificial (AESIA) té les facultats d’inspeccionar i imposar sancions.

Contacteu-nos i us ajudarem a avaluar si el vostre sistema de gestió està alineat amb la Llei d’IA.

FAQs sobre la Llei d'IA i la ISO 42001

La Llei d’IA no exigeix explícitament la certificació ISO 9001, però molts dels seus requisits ja estan coberts per aquesta norma:

  • Enfocament basat en el risc. Incorpora la identificació de riscos per garantir el compliment de la Llei d’IA i la confiança reguladora.
  • Gestió de documents. Garanteix la traçabilitat dels documents per al compliment de la Llei d’IA, la transparència i el control regulador.
  • Revisió per la direcció. Avalua les decisions de la direcció per garantir el compliment de la Llei d’IA i una gestió responsable de la IA.
  • Control de proveïdors i processos externalitzats. Controla els proveïdors externalitzats per garantir el compliment de la Llei d’IA, la seguretat i la transparència.

Una empresa amb la norma ISO 9001 implantada té un avantatge clar sobre aquelles que han de crear el seu sistema des de zero. No obstant això, la norma ISO 9001 per si sola no garanteix el compliment del Reglament 2024/1689, però redueix significativament la bretxa inicial.

Els passos clau que heu de seguir per implementar la Llei de la IA són:

  1. Inventariar els vostres sistemes d’IA: Moltes organitzacions utilitzen IA integrada a les RH, el CRM, el servei d’atenció al client o la producció sense ser-ne plenament conscients.
  2. Classificar el nivell de risc: La Llei de la IA distingeix entre: Risc inacceptable (prohibit) Risc elevat Risc limitat (obligacions de transparència) Risc mínim La classificació depèn de l’ús del sistema, no de la tecnologia.
  3. Revisar el sistema de gestió existent: Si la vostra organització ja té la ISO 9001, una anàlisi de bretxes respecte a la Llei d’IA és el punt de partida més eficient.
  4. Considerar la implementació de la ISO 42001: Això és especialment rellevant per a les organitzacions que desenvolupen o integren estratègicament la IA en els seus processos de negoci.

La nostra experiència en sistemes de gestió i consultoria d’IA us ajudarà a demostrar, mitjançant un sistema de gestió ISO 42001, que els processos que cobreix la Llei d’IA estan controlats i són responsables.

Com a consultoria ISO, oferim serveis de consultoria especialitzats per a la implementació i certificació de la norma ISO/IEC 42001, així com la seva integració amb els sistemes ISO existents.

Si la vostra empresa està avaluant com posicionar-se en relació amb el Reglament (UE) 2024/1689, us podem ajudar a identificar quins requisits ja compliu i quines àrees cal reforçar, sense haver de començar des de zero.