13/05/2021

LEY DE INTELIGENCIA ARTIFICIAL. PROPUESTA DE REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO POR EL QUE SE ESTABLECEN NORMAS ARMONIZADAS SOBRE LA INTELIGENCIA ARTIFICIAL (21 04 2021). Segunda Parte

Propuesta de Reglamento de la UE sobre Inteligencia Artificial.

Segunda Parte

 

  1. Sistemas de IA de Alto Riesgo

4.1.- Clasificación de los Sistemas de IA como de Alto Riesgo.

Se considerará de alto riesgo un Sistema de IA cuando se cumplan las dos condiciones siguientes:

  • el sistema de IA está destinado a ser utilizado como componente de seguridad de un producto, o es en sí mismo un producto, cubierto por la legislación de armonización de la Unión Europea prevista en el correspondiente Anexo del Reglamento;
  • el producto cuyo componente de seguridad es el sistema de IA, o el propio sistema de IA como producto, debe someterse a una evaluación de la conformidad por parte de terceros con vistas a la comercialización o puesta en servicio de dicho producto.

Además de los sistemas de IA de alto riesgo que cumplan dichas condiciones, también se considerarán de alto riesgo los sistemas de IA que se mencionen en el Anexo III del Reglamento sobre Inteligencia Artificial.

4.2.- Requisitos para los Sistemas de IA de Alto Riesgo.

Los sistemas de IA de alto riesgo deberán cumplir los requisitos establecidos a continuación.

  • Sistema de gestión de riesgos: Se establecerá, aplicará, documentará y mantendrá un sistema de gestión de riesgos en relación con los sistemas de IA de alto riesgo.
  1. El sistema de gestión de riesgos consistirá en un proceso interativo continuo que se desarrollará a lo largo de todo el ciclo de vida de un sistema de IA de alto riesgo y que requerirá una actualización sistemática periódica.

Comprenderá las siguientes etapas: identificación y análisis de los riesgos conocidos y previsibles asociados a cada sistema de IA de alto riesgo;

  1. estimación y evaluación de los riesgos que pueden surgir cuando el sistema de IA de alto riesgo se utiliza de acuerdo con su finalidad prevista y en condiciones de uso indebido razonablemente previsibles;
  2. la evaluación de otros riesgos que puedan surgir, basada en el análisis de los datos recogidos en el sistema de seguimiento posterior a la comercialización;
  3. la adopción de medidas adecuadas de gestión de riesgos.

Dichas medidas de gestión de riesgos tendrán debidamente en cuenta los efectos y las posibles interacciones resultantes de la aplicación combinada de los requisitos establecidos anteriormente. Tendrán en cuenta el estado de la técnica generalmente reconocido, incluido el reflejado en las normas armonizadas o las especificaciones comunes pertinentes.

Las medidas de gestión del riesgo serán tales que cualquier riesgo residual asociado a cada peligro, así como el riesgo residual global de los sistemas de IA de alto riesgo, se consideren aceptables, siempre que el sistema de IA de alto riesgo se utilice de acuerdo con su finalidad prevista o en condiciones de uso indebido razonablemente previsibles. Estos riesgos residuales se comunicarán al usuario.

A la hora de determinar las medidas de gestión de riesgos más adecuadas, se garantizará lo siguiente:

  • eliminación o reducción de los riesgos en la medida de lo posible mediante un diseño y desarrollo adecuados;
  • en su caso, la aplicación de medidas adecuadas de mitigación y control en relación con los riesgos que no pueden eliminarse;
  • el suministro de información adecuada a la hora de eliminar o reducir los riesgos relacionados con el uso del sistema de IA de alto riesgo, se tendrán debidamente en cuenta los conocimientos técnicos, la experiencia, la educación y la formación que cabe esperar del usuario, así como el entorno en el que se pretende utilizar el sistema.

Los sistemas de IA de alto riesgo se someterán a pruebas con el fin de determinar las medidas de gestión de riesgos más adecuadas. Las pruebas garantizarán que los sistemas de IA de alto riesgo funcionen de forma coherente para su finalidad prevista.

Los procedimientos de prueba deben ser adecuados para lograr el propósito previsto del sistema de IA y no tienen que ir más allá de lo necesario para lograr ese propósito.

Las pruebas de los sistemas de IA de alto riesgo se realizarán, según proceda, en cualquier momento del proceso de desarrollo y, en cualquier caso, antes de la comercialización o la puesta en servicio. Las pruebas se realizarán en función de parámetros y umbrales probabilísticos definidos de forma preliminar y adecuados a la finalidad prevista del sistema de IA de alto riesgo.

Se tendrá en cuenta específicamente si es probable que el sistema de IA de alto riesgo sea accedido por niños o tenga un impacto sobre ellos.

  • Datos y gobernanza de datos:

Los sistemas de IA de alto riesgo que hagan uso de técnicas que impliquen el entrenamiento de modelos con datos se desarrollarán sobre la base de conjuntos de datos de entrenamiento, validación y prueba.

Los conjuntos de datos de entrenamiento, validación y prueba estarán sujetos a prácticas adecuadas de gobernanza y gestión de datos.

Dichas prácticas se referirán, en particular, a lo siguiente

  • las opciones de diseño pertinentes;
  • la recogida de datos;
  • las operaciones de procesamiento de preparación de datos pertinentes, como la anotación, el etiquetado, la limpieza, el enriquecimiento y la agregación;
  • la formulación de los supuestos pertinentes, especialmente en lo que respecta a la información que los datos deben medir y representar;
  • una evaluación previa de la disponibilidad, la cantidad y la idoneidad de los conjuntos de datos que se necesitan;
  • examen en vista de los posibles sesgos;
  • la identificación de las posibles lagunas o deficiencias de los datos, y la forma de subsanarlas.

Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, representativos, sin errores y completos.

Deberán tener las propiedades estadísticas adecuadas, incluso, cuando sea aplicable, en lo que respecta a las personas o grupos de personas en los que se pretende utilizar el sistema de IA de alto riesgo.

Estas características de los conjuntos de datos podrán cumplirse a nivel de conjuntos de datos individuales o de una combinación de ellos.

Los conjuntos de datos de entrenamiento, validación y prueba deberán tener en cuenta, en la medida en que lo requiera la finalidad prevista, las características o elementos propios del entorno geográfico, conductual o funcional específico en el que se pretende utilizar el sistema de IA de alto riesgo.

En la medida en que sea estrictamente necesario para garantizar la supervisión, la detección y la corrección de sesgos en relación con los sistemas de IA de alto riesgo, los proveedores de dichos sistemas podrán tratar las categorías especiales de datos personales con sujeción a las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas, incluidas las limitaciones técnicas a la reutilización y el uso de medidas de seguridad y de preservación de la intimidad de última generación, como la seudonimización, o el cifrado cuando la anonimización pueda afectar significativamente a la finalidad perseguida. Se aplicarán prácticas adecuadas de gobernanza y gestión de datos para el desarrollo de sistemas de IA de alto riesgo distintos de los que hacen uso de técnicas que implican el entrenamiento de modelos.

  • Documentación Técnica:

La documentación técnica de un sistema de IA de alto riesgo se elaborará antes de su comercialización o puesta en servicio y se mantendrá actualizada.

La documentación técnica se elaborará de forma que demuestre que el sistema de IA de alto riesgo cumple los requisitos establecidos y proporcione a las autoridades nacionales competentes y a los organismos notificados toda la información necesaria para evaluar la conformidad del sistema de IA con dichos requisitos.

  • Registro de datos:

Los sistemas de IA de alto riesgo se diseñarán y desarrollarán con capacidades que permitan el registro automático de eventos ("logs") mientras los sistemas de IA de alto riesgo están en funcionamiento.

Las capacidades de registro garantizarán un nivel de trazabilidad del funcionamiento del sistema de IA a lo largo de su ciclo de vida que sea apropiado para la finalidad prevista del sistema.

En particular, las capacidades de registro permitirán supervisar el funcionamiento del sistema de IA de alto riesgo en lo que respecta a la aparición de situaciones que puedan dar lugar a que el sistema de IA presente un riesgo, o que den lugar a una modificación sustancial, y facilitarán el seguimiento posterior a la comercialización.

En el caso de los sistemas de IA de alto riesgo mencionados en el apartado 4.1., anterior, letra a), las capacidades de registro proporcionarán, como mínimo:

  • registro del periodo de cada uso del sistema (fecha y hora de inicio y fecha y hora de finalización de cada uso);
  • la base de datos de referencia con la que el sistema ha cotejado los datos de entrada;
  • los datos de entrada para los que la búsqueda ha dado lugar a una coincidencia;
  • la identificación de las personas físicas que participan en la verificación de los resultados.
  • Transparencia y suministro de información a los usuarios:

Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de forma que se garantice que su funcionamiento es lo suficientemente transparente como para que los usuarios puedan interpretar los resultados del sistema y utilizarlos adecuadamente.

Se garantizará un tipo y grado de transparencia adecuados, con vistas a lograr el cumplimiento de las obligaciones pertinentes del usuario y del proveedor.

Los sistemas de IA de alto riesgo irán acompañados de instrucciones de uso en un formato digital adecuado o de otro tipo que incluya información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los usuarios.

La información a proveer deberá especificar:

  • la identidad y los datos de contacto del proveedor y, en su caso, de su representante autorizado;
  • las características, capacidades y limitaciones de rendimiento del sistema de IA de alto riesgo, incluyendo:
  • su finalidad;
  • el nivel de precisión, robustez y ciberseguridad con respecto al cual se ha probado y validado el sistema de IA de alto riesgo y que puede esperarse, así como cualquier circunstancia conocida y previsible que pueda repercutir en ese nivel esperado de precisión, robustez yciberseguridad;
  • cualquier circunstancia conocida o previsible, relacionada con el uso del sistema de IA de alto riesgo de acuerdo con su finalidad prevista o en condiciones de uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales;
  • su rendimiento en lo que respecta a las personas o grupos de personas sobre los que se pretende utilizar el sistema;
  • cuando proceda, las especificaciones de los datos de entrada, o cualquier otra información pertinente en cuanto a los conjuntos de datos de entrenamiento, validación y prueba utilizados, teniendo en cuenta la finalidad prevista del sistema de IA.
  • los cambios en el sistema de IA de alto riesgo y su rendimiento que hayan sido predeterminados por el proveedor en el momento de la evaluación inicial de la conformidad, si los hubiera;
  • las medidas de supervisión humana, incluidas las medidas técnicas establecidas para facilitar la interpretación de los resultados de los sistemas de IA por parte de los usuarios;
  • la vida útil prevista del sistema de IA de alto riesgo y las medidas de mantenimiento y cuidado necesarias para garantizar el buen funcionamiento de dicho sistema de IA, incluso en lo que respecta a las actualizaciones de software.
  • Supervisión humana:

Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de tal manera, incluso con herramientas adecuadas de interfaz hombre-máquina, que puedan ser supervisados eficazmente por personas físicas durante el período en que el sistema de IA esté en uso.

La supervisión humana tendrá por objeto prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales que puedan surgir cuando un sistema de IA de alto riesgo se utilice de acuerdo con su finalidad prevista o en condiciones de uso indebido razonablemente previsible, en particular cuando dichos riesgos persistan a pesar de la aplicación de las normas previstas al efecto por el Reglamento.

La supervisión humana se garantizará mediante una o todas las medidas siguientes:

  • identificados e incorporados, cuando sea técnicamente factible, en el sistema de IA de alto riesgo por el proveedor antes de su comercialización o puesta en servicio;
  • identificados por el proveedor antes de comercializar o poner en servicio el sistema de IA de alto riesgo y que son adecuados para ser aplicados por el usuario.

Las antes citadas medidas permitirán a las personas a las que se asigne la supervisión humana hacer lo siguiente, según las circunstancias:

  • comprender plenamente las capacidades y limitaciones del sistema de IA de alto riesgo y poder supervisar debidamente su funcionamiento, de modo que puedan detectarse y abordarse lo antes posible los indicios de anomalías, disfunciones y rendimientos inesperados;
  • ser conscientes de la posible tendencia a confiar o sobre confiar automáticamente en los resultados producidos por un sistema de IA de alto riesgo ("sesgo de automatización"), en particular para los sistemas de IA de alto riesgo utilizados para proporcionar información o recomendaciones para las decisiones que deben tomar las personas físicas;
  • ser capaz de interpretar correctamente los resultados del sistema de IA de alto riesgo, teniendo en cuenta en particular las características del sistema y las herramientas y métodos de interpretación disponibles;
  • poder decidir, en cualquier situación concreta, no utilizar el sistema de IA de alto riesgo o ignorar, anular o invertir el resultado del sistema de IA de alto riesgo;
  • poder intervenir en el funcionamiento del sistema de IA de alto riesgo o interrumpir el sistema mediante un botón de "parada" o un procedimiento similar.
  • Precisión, solidez y ciberseguridad:

Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de manera que alcancen, a la luz de su objetivo, un nivel de precisión adecuado, robustez y ciberseguridad, y que se comporten de forma coherente en esos aspectos a lo largo de su ciclo de vida.

Los niveles de precisión y las métricas de precisión pertinentes de los sistemas de IA de alto riesgo se declararán en las instrucciones de uso que los acompañan.

Los sistemas de IA de alto riesgo deberán ser resistentes en lo que respecta a los errores, fallos o incoherencias que puedan producirse en el sistema o en el entorno en el que opera el sistema, en particular debido a su interacción con personas físicas u otros sistemas.

La solidez de los sistemas de IA de alto riesgo puede lograrse mediante soluciones técnicas de redundancia, que pueden incluir planes de respaldo o a prueba de fallos.

Los sistemas de IA de alto riesgo que sigan aprendiendo después de ser comercializados o puestos en servicio se desarrollarán de manera que se garantice que los resultados posiblemente sesgados debido a los resultados utilizados como entrada para futuras operaciones ("bucles de retroalimentación") se aborden debidamente con medidas de mitigación adecuadas.

Los sistemas de IA de alto riesgo serán resistentes en lo que respecta a los intentos de terceros no autorizados de alterar su uso o rendimiento aprovechando las vulnerabilidades del sistema.

Las soluciones técnicas destinadas a garantizar la ciberseguridad de los sistemas de IA de alto riesgo deberán ser adecuadas a las circunstancias pertinentes y a los riesgos.

Las soluciones técnicas para hacer frente a las vulnerabilidades específicas de la IA incluirán, en su caso, medidas para prevenir y controlar los ataques que intenten manipular el conjunto de datos de entrenamiento ("envenenamiento de datos"), las entradas diseñadas para hacer que el modelo cometa un error ("ejemplos adversos"), o los defectos del modelo.

4.3.- Obligaciones de los proveedores y usuarios de sistemas de IA de Alto Riesgo.

  • Proveedores:

Los proveedores de sistemas de IA de alto riesgo deberán:

  • garantizar que sus sistemas de IA de alto riesgo cumplen los requisitos establecidos en el apartado 4.2. anterior;
  • disponer de un sistema de gestión de la calidad;
  • elaborar la documentación técnica del sistema de IA de alto riesgo;
  • cuando están bajo su control, conservan los registros generados automáticamente por sus sistemas de IA de alto riesgo;
  • garantizar que el sistema de IA de alto riesgo se somete al correspondiente procedimiento de evaluación de la conformidad, antes de su comercialización o puesta en servicio;
  • cumplir con las obligaciones de registro;
  • adoptar las medidas correctoras necesarias, si el sistema de IA de alto riesgo no se ajusta a los requisitos establecidos en el apartado 4.2. anterior;
  • informar a las autoridades nacionales competentes de los Estados miembros en los que hayan puesto a disposición o en servicio el sistema de IA y, en su caso, al organismo notificado del incumplimiento y de las medidas correctoras adoptadas;
  • colocar el marcado CE en sus sistemas de IA de alto riesgo para indicar la conformidad con el Reglamento;
  • a petición de una autoridad nacional competente, demostrar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en el apartado 4.2. anterior.
  • Sistema de gestión de la calidad:

Los proveedores de sistemas de IA de alto riesgo establecerán un sistema de gestión de la calidad que garantice el cumplimiento del Reglamento de IA.

Dicho sistema estará documentado de forma sistemática y ordenada en forma de políticas, procedimientos e instrucciones escritas, e incluirá al menos los siguientes aspectos:

  • una estrategia de cumplimiento de la normativa, incluido el cumplimiento de los procedimientos de evaluación de la conformidad y los procedimientos de gestión de las modificaciones del sistema de IA de alto riesgo;
  • técnicas, procedimientos y acciones sistemáticas que se utilizarán para el diseño, el control del diseño y la verificación del diseño del sistema de IA de alto riesgo;
  • técnicas, procedimientos y acciones sistemáticas que se utilizarán para el desarrollo, el control y la garantía de calidad del sistema de IA de alto riesgo;
  • los procedimientos de examen, prueba y validación que deben llevarse a cabo antes, durante y después del desarrollo del sistema de IA de alto riesgo, y la frecuencia con la que deben realizarse;
  • las especificaciones técnicas, incluidas las normas, que deben aplicarse y, cuando no se apliquen íntegramente las normas armonizadas pertinentes, los medios que deben utilizarse para garantizar que el sistema de IA de alto riesgo cumple los requisitos establecidos en el apartado 4.2. anterior;
  • los sistemas y procedimientos de gestión de datos, incluida la recopilación de datos, el análisis de datos, el etiquetado de datos, el almacenamiento de datos, el filtrado de datos, la extracción de datos, la agregación de datos, la conservación de datos y cualquier otra operación relativa a los datos que se realice antes y a efectos de la comercialización o puesta en servicio de los sistemas de IA de alto riesgo;
  • el sistema de gestión de riesgos;
  • el establecimiento, la aplicación y el mantenimiento de un sistema de seguimiento posterior a la comercialización;
  • los procedimientos relacionados con la notificación de incidentes graves y de mal funcionamiento;
  • la gestión de la comunicación con las autoridades nacionales competentes, las autoridades competentes, incluidas las sectoriales, que proporcionan o apoyan el acceso a los datos, los organismos notificados, otros operadores, los clientes u otras partes interesadas;
  • sistemas y procedimientos de registro de toda la documentación e información pertinente;
  • la gestión de los recursos, incluidas las medidas relacionadas con la seguridad del suministro;
  • un marco de responsabilidad que establezca las responsabilidades de la dirección y del resto del personal en relación con todos los aspectos enumerados en este apartado.
  • Obligación de elaborar la documentación técnica:

Los proveedores de sistemas de IA de alto riesgo establecerán un sistema de gestión de la calidad que garantice el cumplimiento del Reglamento de IA.

  • Evaluación de la conformidad:

Los proveedores de sistemas de IA de alto riesgo se asegurarán de que sus sistemas se someten al procedimiento de evaluación previsto en el Reglamento de IA, antes de su comercialización o puesta en servicio. Cuando se haya demostrado que los sistemas de IA cumplen los requisitos establecidos en el apartado 4.2. del presente título tras dicha evaluación de la conformidad, los proveedores elaborarán una declaración UE y colocarán el marcado CE.

  • Registros generados automáticamente:

Los proveedores de sistemas de IA de alto riesgo conservarán los registros generados automáticamente por sus sistemas de IA de alto riesgo, en la medida en que dichos registros estén bajo su control en virtud de un acuerdo contractual con el usuario o de otro modo por ley.

Los registros se conservarán durante un período adecuado a la luz de la finalidad prevista del sistema de IA de alto riesgo y de las obligaciones legales aplicables en virtud del Derecho de la Unión Europea o nacional.

  • Acciones correctivas:

Los proveedores de sistemas de IA de alto riesgo que consideren o tengan motivos para considerar que un sistema de IA de alto riesgo que han comercializado o puesto en servicio no es conforme con el Reglamento de IA adoptarán inmediatamente las medidas correctoras necesarias para hacerlo conforme, retirarlo o recuperarlo, según proceda. Informarán de ello a los distribuidores del sistema de IA de alto riesgo en cuestión y, en su caso, al representante autorizado y a los importadores.

  • Cooperación con las autoridades competentes:

Los proveedores de sistemas de IA de alto riesgo, a petición de una autoridad nacional competente, facilitarán a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en el apartado 4.2. anterior, en una lengua oficial de la Unión Europea determinada por el Estado miembro de que se trate.

Previa solicitud motivada de una autoridad nacional competente, los proveedores también darán a dicha autoridad acceso a los registros generados automáticamente por el sistema de IA de alto riesgo, en la medida en que dichos registros estén bajo su control en virtud de un acuerdo contractual con el usuario o de otro modo por ley.

  • Obligaciones de los fabricantes de productos:

Cuando un sistema de IA de alto riesgo relacionado con productos se comercialice o se ponga en servicio junto con el producto fabricado de conformidad con dichos actos jurídicos y bajo el nombre del fabricante del producto, el fabricante del producto asumirá la responsabilidad de la conformidad del sistema de IA con el Reglamento de IA y, en lo que respecta al sistema de IA, tendrá las mismas obligaciones impuestas por el Reglamento al proveedor.

  • Representantes autorizados:

Antes de comercializar sus sistemas en el mercado de la Unión Europea, cuando no se pueda identificar a un importador, los proveedores establecidos fuera de la Unión designarán, mediante mandato escrito, a un representante autorizado que esté establecido en la Unión.

El representante autorizado realizará las tareas especificadas en el mandato recibido del proveedor.

  • Importadores:

Antes de comercializar un sistema de IA de alto riesgo, los importadores de dicho sistema se asegurarán de que

  • el proveedor de dicho sistema de IA ha llevado a cabo el correspondiente procedimiento de evaluación de la conformidad;
  • que el proveedor haya elaborado la documentación técnica correspondiente;
  • el sistema lleva el marcado de conformidad requerido y va acompañado de la documentación y las instrucciones de uso necesarias.

Cuando un importador considere o tenga motivos para considerar que un sistema de IA de alto riesgo no es conforme con el Reglamento de IA, no lo comercializará hasta que dicho sistema de IA sea conforme.

Los importadores indicarán su nombre, su nombre comercial registrado o su marca comercial registrada y la dirección en la que se les puede contactar en el sistema de IA de alto riesgo o, cuando esto no sea posible, en su embalaje o en la documentación que lo acompañe, según proceda.

Los importadores se asegurarán de que, mientras un sistema de IA de alto riesgo esté bajo su responsabilidad, cuando proceda, las condiciones de almacenamiento o transporte no comprometan su cumplimiento de los requisitos establecidos en apartado 4.2. anterior.

Los importadores facilitarán a las autoridades nacionales competentes, previa solicitud motivada, toda la información y documentación necesarias para demostrar la conformidad de un sistema de IA de alto riesgo, en una lengua fácilmente comprensible para dicha autoridad nacional competente, incluido el acceso a los registros generados automáticamente por el sistema de IA de alto riesgo, en la medida en que dichos registros estén bajo el control del proveedor en virtud de un acuerdo contractual con el usuario o de otro modo por ley. También cooperarán con dichas autoridades en cualquier acción que la autoridad nacional competente emprenda en relación con dicho sistema.

  • Distribuidores:

Antes de comercializar un sistema de IA de alto riesgo, los distribuidores verificarán que el sistema de IA de alto riesgo lleva el marcado CE de conformidad requerido, que va acompañado de la documentación y las instrucciones de uso requeridas, y que el proveedor y el importador del sistema, según proceda, han cumplido las obligaciones establecidas en el Reglamento de IA.

Cuando un distribuidor considere o tenga motivos para considerar que un sistema de IA de alto riesgo no es conforme, no comercializará el sistema de IA de alto riesgo hasta que dicho sistema sea conforme con dichos requisitos.

Los distribuidores se asegurarán de que, mientras un sistema de IA de alto riesgo esté bajo su responsabilidad, cuando proceda, las condiciones de almacenamiento o transporte no comprometan la conformidad del sistema con los requisitos establecidos apartado 4.2. anterior.

El distribuidor que considere o tenga motivos para considerar que un sistema de IA de alto riesgo que ha comercializado no es conforme adoptará las medidas correctoras necesarias para que dicho sistema sea conforme con dichos requisitos, retirarlo o recuperarlo, o se asegurará de que el proveedor, el importador o cualquier operador pertinente, según proceda, adopte dichas medidas correctoras.

Previa solicitud motivada de una autoridad nacional competente, los distribuidores de sistemas de IA de alto riesgo facilitarán a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad de un sistema de alto riesgo con los requisitos establecidos en el apartado 4.2. anterior. Los distribuidores también cooperarán con dicha autoridad nacional competente en cualquier acción que ésta emprenda.

  • Otras obligaciones de los distribuidores, importadores, usuarios o de cualquier tercero:

Todo distribuidor, importador, usuario u otro tercero será considerado proveedor a efectos del Reglamento IA y estará sujeto a las obligaciones del proveedor, en cualquiera de las siguientes circunstancias:

  • comercializan o ponen en servicio un sistema de IA de alto riesgo bajo su nombre o marca;
  • modifican la finalidad prevista de un sistema de IA de alto riesgo ya comercializado o puesto en servicio;
  • hacen una modificación sustancial del sistema de IA de alto riesgo.
  • Usuarios:

Los usuarios de los sistemas de IA de alto riesgo utilizarán dichos sistemas de acuerdo con las instrucciones de uso que acompañan a los sistemas.

Los usuarios supervisarán el funcionamiento del sistema de IA de alto riesgo sobre la base de las instrucciones de uso. Cuando tengan motivos para considerar que el uso conforme a las instrucciones de uso puede dar lugar a que el sistema de IA presente un riesgo, informarán al proveedor o distribuidor y suspenderán el uso del sistema. Asimismo, informarán al proveedor o distribuidor cuando hayan detectado cualquier incidente grave o cualquier mal funcionamiento e interrumpirán el uso del sistema de IA.

Los usuarios de sistemas de IA de alto riesgo conservarán los registros generados automáticamente por dicho sistema de IA de alto riesgo, en la medida en que dichos registros estén bajo su control. Los registros se conservarán durante un período adecuado a la luz de la finalidad prevista del sistema de IA de alto riesgo y de las obligaciones legales aplicables en virtud del Derecho de la Unión o nacional.

Primera Parte

Seguna Parte

Tercera Parte

Compartir esta publicación