Ley de IA de la UE: Estandarización: Equilibrando Innovación, Cumplimiento y Competencia

La inteligencia artificial está cambiando rápidamente nuestro mundo, lo que exige la necesidad de directrices y regulaciones claras. La Ley de IA de la Unión Europea representa un paso audaz hacia la configuración del desarrollo y la implementación de estas potentes tecnologías. Un pilar central de esta legislación implica la creación e implementación de normas técnicas. Estas normas tienen como objetivo traducir los principios de alto nivel de la Ley de IA en medidas concretas y prácticas para las empresas. Sin embargo, el proceso de definición de estas normas y de garantizar su adopción efectiva presenta un conjunto único de desafíos y oportunidades que podrían determinar el futuro de la innovación y la competencia en materia de IA dentro de la UE y fuera de ella. Examinar los objetivos, las principales partes interesadas y las implicaciones prácticas de estas normas es crucial para comprender el impacto potencial de la Ley de IA.

¿Cuáles son los objetivos fundamentales de la Ley de IA de la UE?

La Ley de IA Europea tiene como objetivo establecer normas legales armonizadas para el desarrollo y despliegue seguros de la IA dentro de la UE. La estandarización técnica juega un papel vital, traduciendo los requisitos legales abstractos en directrices concretas y viables. Esto supuestamente reducirá las incertidumbres legales y fortalecerá la competitividad en el mercado interno.

En particular, las normas pretenden:

• Establecer condiciones competitivas coherentes.
• Agilizar los procesos para reducir los costes de implementación regulatoria.
• Facilitar un desarrollo y operaciones de productos más eficientes.

Principales Preocupaciones Regulatorias

La Ley de IA de la UE busca poner en práctica los requisitos legales de alto riesgo, haciéndolos más prescriptivos a través de normas técnicas. La alineación con estas normas proporciona una «presunción de conformidad», lo que simplifica el cumplimiento y reduce la necesidad de soluciones personalizadas que consumen muchos recursos. Sin embargo, exige una adhesión rigurosa a los requisitos que abarcan áreas como la gestión de riesgos, la gobernanza de datos, la transparencia y la ciberseguridad.

Implicaciones Prácticas

Para alcanzar los objetivos de la ley de IA, es necesario tener en cuenta el impacto en diversas industrias y participantes del mercado. La Ley de IA podría convertirse en un instrumento crucial para implementar normas técnicas como barreras de entrada al mercado, impactando particularmente a las startups y las PYMES que carecen de los recursos para participar en los procesos de estandarización. Esto podría remodelar la competencia en IA y exigir ajustes en las políticas para garantizar un acceso justo y evitar cargas indebidas a los actores más pequeños.

¿Qué partes interesadas clave participan en el proceso de estandarización de la IA?

El proceso global de estandarización de la IA involucra a múltiples partes interesadas clave. Estas se pueden clasificar principalmente como organismos de estandarización, actores de la industria, grupos de la sociedad civil y organizaciones científicas.

Organismos de Estandarización

Existen tres comités notables que se centran en la estandarización de la IA:

• ISO/IEC JTC 1/SC 42 (IA) – Organizado por la Organización Internacional de Normalización (ISO) en colaboración con la Comisión Electrotécnica Internacional (IEC). Ha publicado 34 normas, con 40 aún en desarrollo.
• Comité de Normas de IA de IEEE – Organizado dentro del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Ha producido 12 normas y está trabajando en 59 normas adicionales.
• CEN-CENELEC JTC 21 (IA) – Un comité conjunto del Comité Europeo de Normalización (CEN) y el Comité Europeo de Normalización Electrotécnica (CENELEC). Ha publicado 10 normas, con 33 aún en desarrollo.

A nivel de los Estados miembros de la UE, los organismos nacionales de estandarización han instalado comités de trabajo que reflejan principalmente el trabajo de ISO/IEC JTC 1/SC 42 (IA) y CEN-CENELEC JTC 21 (IA). Esto ayuda a equilibrar los esfuerzos nacionales con los internacionales generales (por ejemplo, europeos) y garantiza la implementación coordinada de las normas europeas en todos los Estados miembros de la UE.

Actores de la Industria y Organizaciones Científicas

Los actores de la industria y las organizaciones científicas contribuyen a la estandarización de la IA, particularmente a través de normas de la industria, catálogos de auditoría de IA y marcos de prueba. Entre los ejemplos notables se incluyen:

• AI HLEG ALTAI – La Lista de Evaluación del Grupo de Expertos de Alto Nivel sobre IA para una IA Fiable, que opera las Directrices Éticas de AI HLEG.
• NIST AI RMF – El marco del Instituto Nacional de Estándares y Tecnología de EE. UU. para gestionar los riesgos de la IA.
• Mission KI Standard – Una iniciativa alemana que desarrolla un estándar de calidad voluntario para aplicaciones de IA.
• Catálogo de Fraunhofer IAIS – El Catálogo de Evaluación de IA del Instituto Fraunhofer de Análisis Inteligente y Sistemas de Información (IAIS). Ofrece una guía estructurada que se puede utilizar para definir normas de calidad abstractas de IA en criterios de evaluación específicos de la aplicación que cubren seis dimensiones de confiabilidad.
• BSI AIC4 – El Catálogo de Cumplimiento de Servicios en la Nube de IA de la Oficina Federal Alemana para la Seguridad de la Información, que especifica los requisitos mínimos para el aprendizaje automático seguro en los servicios en la nube.

¿Cuáles son las funciones principales de las normas armonizadas en virtud de la Ley de IA?

Las normas armonizadas son cruciales para el cumplimiento eficaz de la Ley de IA de la UE. Ofrecen una vía accesible para cumplir con los requisitos reglamentarios y reducir las incertidumbres jurídicas, lo que en última instancia impulsa la competencia y el crecimiento en el mercado de la UE. Su objetivo es crear unas condiciones de igualdad para el diseño y el desarrollo de sistemas de IA.

Aquí hay un desglose de las funciones principales:

• Operacionalización de los requisitos legales: Los requisitos de alto riesgo de la Ley de IA son deliberadamente abstractos. Las normas armonizadas proporcionan las especificaciones técnicas necesarias para hacerlas prescriptivas y aplicables.
• Presunción de conformidad: El cumplimiento de estas normas armonizadas otorga a los sistemas de IA una presunción de conformidad con los requisitos pertinentes de la Ley de IA.
• Marcado CE y acceso al mercado: Estas normas allanan el camino para el marcado CE (conformité européenne), lo que simplifica el acceso al mercado de la UE.
• Reducción de los costes regulatorios: Las normas bien diseñadas agilizan los procesos, lo que podría evitar la necesidad de I+D personalizada, haciendo así que el desarrollo de productos sea más eficiente.

El artículo 40(1) de la Ley de IA sienta las bases para las normas armonizadas y la presunción de conformidad. Estas normas se aplican a los sistemas de IA de alto riesgo definidos en el artículo 6 y en los anexos I y III de la Ley.

La Comisión Europea ha encargado a CEN y CENELEC el desarrollo de estas normas (artículo 40(2) de la Ley de IA). Estas normas servirán de base para la presunción de conformidad, simplificando el cumplimiento, proporcionando seguridad jurídica e, idealmente, reduciendo la carga administrativa para los proveedores de IA.

Es importante tener en cuenta que, si bien se tienen en cuenta las normas internacionales, la Ley de IA a menudo exige nuevas normas europeas para abordar la protección de los derechos fundamentales y los impactos sociales, garantizando la armonización con los valores de la UE.

¿Cómo influyen los estándares verticales de IA en la implementación de la Ley de IA?

Si bien la Ley de IA está diseñada para ser una regulación horizontal, independiente del sector, la Comisión Europea ha considerado especificaciones verticales específicas para determinados sectores. Aquí está el quid de cómo estos estándares verticales impactan el despliegue de la Ley de IA:

La alineación de la industria es clave: La participación de las partes interesadas de sectores con requisitos técnicos existentes, como maquinaria, dispositivos médicos, aviación, automoción y finanzas, es fundamental para el desarrollo exitoso de estándares armonizados en virtud de la Ley de IA. Este enfoque colaborativo asegura que las nuevas regulaciones estén bien informadas y sean prácticamente implementables.

Los actos delegados incorporarán los requisitos de la Ley de IA: El artículo 102 y siguientes de la Ley de IA exige que sus requisitos de IA de alto riesgo se integren en las regulaciones de acceso al mercado existentes para sectores como la automoción, la aviación y el ferrocarril. ¿Cómo se hará esto? A través de actos delegados que aprovechen las especificaciones técnicas. Se espera que los organismos de normalización tengan la tarea de agregar estipulaciones de la Ley de IA a los estándares existentes específicos del sector relacionados con la homologación.

Están surgiendo estándares específicos del sector: Si bien la mayoría de los sectores actualmente carecen de estándares específicos de IA, algunos están siendo pioneros en los esfuerzos. Los ejemplos incluyen BS 30440:2023 del British Standards Institute (BSI) para la IA en la atención médica e ISO/PAS 8800 para sistemas de IA críticos para la seguridad en vehículos de carretera. Este último podría ser fundamental para incorporar los requisitos de la Ley de IA a través de la Ley de Homologación (Reglamento (UE) No. 168/2013), según el artículo 104 de la Ley de IA. De manera similar, la Society of Automotive Engineers (SAE) está desarrollando SAE ARP6983 para productos de seguridad aeronáutica impulsados por IA.

Consideraciones del sector de la defensa: Aunque está en gran medida excluido del alcance directo de la Ley de IA (Art. 2(3) Ley de IA), el sector de la defensa reconoce la necesidad de estándares de IA específicos del sector y está trabajando activamente para lograrlos.

Cumplimiento voluntario: Los sectores que no están directamente cubiertos por los estándares de la Ley de IA o los estándares de IA específicos del sector están mostrando interés. Algunos tienen la intención de cumplir voluntariamente con los estándares correspondientes, anticipando que sus clientes pueden estar sujetos a los requisitos de la Ley de IA de alto riesgo en el futuro.

Efectos indirectos

Tanto los sectores de movilidad/automoción como los de defensa, aunque están parcialmente fuera del alcance directo de la Ley de IA (tal como se define en el Art. 103 y siguientes de la Ley de IA), anticipan importantes implicaciones de la Ley de IA. Los proveedores de IA en movilidad ven los estándares como un arma de doble filo, que ofrece ganancias en transparencia y seguridad, pero que impone cargas operativas significativas, especialmente para sistemas complejos que exigen características avanzadas de explicabilidad y ciberseguridad.

Las empresas de defensa, aunque están explícitamente excluidas por razones de seguridad nacional, enfrentan una presión indirecta a través de los impactos en el ecosistema y las consideraciones de doble uso. Estas empresas supervisan de cerca el impacto de la Ley de IA en la disponibilidad de modelos de IA de código abierto y los estándares generales de IA, a menudo adhiriéndose a estándares de seguridad estrictos comparables a las aplicaciones civiles.

Algunas empresas de movilidad están considerando mercados con menores cargas regulatorias debido a desafíos financieros y operativos. Las empresas de defensa, por el contrario, ven posibles ventajas competitivas en la adopción de estándares de alto riesgo, fomentando la colaboración civil-militar y la confianza en los sistemas de colaboración IA-humano.

¿Cuáles son los principales desafíos en el cronograma para la estandarización de la Ley de IA?

Las normas técnicas son cruciales para el cumplimiento de la Ley de IA, pero el proceso de estandarización enfrenta presiones críticas en los plazos, dinámicas complejas de las partes interesadas y preocupaciones sobre el costo y la puesta en marcha.

Compresión Crítica del Cronograma

La fecha límite inicial para el desarrollo de las normas era abril de 2025, pero es probable que se extienda hasta agosto de 2025. Incluso con esta extensión, el cronograma sigue siendo ajustado, lo que podría dejar solo de 6 a 8 meses para que las empresas cumplan después de que las normas se publiquen en el Diario Oficial de la Unión Europea, previsto para principios de 2026. Esto es significativamente menos que los 12 meses mínimos que la mayoría de las empresas, especialmente las startups y las PYMES, dicen que necesitan para una implementación eficaz.

Desequilibrio en la Representación de las Partes Interesadas

La composición de los comités de estandarización, como el CEN-CENELEC JTC 21, está fuertemente sesgada hacia las grandes empresas, y las principales empresas de tecnología y consultoría de EE. UU. a menudo tienen una presencia mayoritaria. Esto crea un desequilibrio, limitando la participación e influencia de las PYMES, las empresas emergentes, las organizaciones de la sociedad civil y la academia. Esta disparidad puede conducir a normas que no aborden adecuadamente las necesidades e inquietudes de los participantes más pequeños del mercado, creando potencialmente barreras de entrada desproporcionadas.

Preocupaciones por los Costos

Las empresas también enfrentan desafíos relacionados con el costo de comprender e implementar las normas técnicas aplicables. El caso «Malamud» del Tribunal de Justicia Europeo ha puesto de manifiesto si las normas armonizadas deben ser de libre acceso, lo que plantea interrogantes sobre los derechos de autor y la monetización. Dependiendo de futuros casos judiciales, la estandarización europea podría perder contribuciones críticas de los organismos internacionales de estandarización. Si las empresas no pueden permitirse comprar las normas técnicas pertinentes, corren el riesgo de una «presunción negativa de conformidad», lo que significa que sus esfuerzos alternativos de cumplimiento podrían ser vistos con prejuicios por las autoridades supervisoras. El incumplimiento puede resultar en fuertes multas (hasta 35 millones de euros), restricción del acceso al mercado y daño a la reputación.

Obstáculos a la Puesta en Marcha

Un desafío importante es la necesidad de una mayor puesta en marcha de las normas técnicas. Actualmente, estas normas están disponibles principalmente como archivos PDF, lo que requiere interpretación y aplicación manual. Para abordar esto, los organismos de normalización alemanes como DIN y DKE están trabajando hacia «Normas INTELIGENTES» legibles, interpretables, ejecutables y controlables por máquina. El éxito de este objetivo puede determinar la posibilidad de reducción de costos asociados con la aplicación de las normas.

¿Cómo afectan las dinámicas de las partes interesadas al proceso de estandarización de la Ley de IA?

Los esfuerzos de estandarización para la Ley de IA involucran a más de 1000 expertos a través de comités espejo nacionales, lo que revela un desafío estructural en la representación de las partes interesadas. Predominantemente, las grandes empresas, incluidas las principales empresas de tecnología y consultoría de EE. UU., Dominan estos comités. Esto crea una disparidad que afecta a las PYME, las empresas emergentes, la sociedad civil, las instituciones independientes y el mundo académico.

La participación en el establecimiento de normas ofrece a las empresas ventajas estratégicas a través de la transferencia de conocimientos y la creación de relaciones. Sin embargo, la subrepresentación de las partes interesadas más pequeñas surge de los recursos necesarios para la participación en el comité. Las asociaciones industriales han surgido como intermediarios, agregando y representando los intereses de estas partes interesadas dentro de los organismos de normalización.

Este desequilibrio estructural genera ventajas competitivas para las grandes empresas en el mercado de la UE, permitiéndoles influir en el desarrollo de normas técnicas. La influencia sustancial de las empresas estadounidenses también plantea preocupaciones sobre la representación de los valores y las perspectivas de la UE. La participación limitada de entidades más pequeñas excluye potencialmente conocimientos cruciales, comprometiendo el desarrollo integral de la seguridad.

Desafíos en las dinámicas de las partes interesadas:

• Participación asimétrica: Los actores más pequeños a menudo se ven eclipsados por las corporaciones más grandes.
• Restricciones de recursos: Las PYME y las empresas emergentes luchan por asignar los recursos necesarios para la participación.
• Representación de valores: Existen preocupaciones sobre la representación adecuada de los valores de la UE dada la influencia de las empresas estadounidenses.

La falta de inclusión subraya la necesidad de procesos de estandarización más equilibrados que incorporen de manera efectiva diversas perspectivas y conocimientos especializados para evitar estándares que afecten de manera desproporcionada a los participantes más pequeños del mercado.

¿Cuáles son las posibles implicaciones financieras relacionadas con el acceso a los estándares de IA?

El panorama de los estándares de la IA no se trata solo de especificaciones técnicas; está profundamente entrelazado con consideraciones financieras que podrían afectar significativamente a los proveedores de IA, en particular a las empresas emergentes y las PYME. Aquí tienes un desglose de las implicaciones financieras clave:

Costos Directos del Cumplimiento

Aunque se espera que los documentos de los estándares sean gratuitos, gracias a una decisión del tribunal más alto de Europa, el costo de implementar esos estándares está lejos de ser insignificante. Las empresas anticipan cargas financieras significativas:

• Personal Dedicado: Las empresas podrían necesitar asignar alrededor de 100.000 € anuales para personal dedicado al cumplimiento.
• Tiempo de Gestión: Los fundadores y la gerencia podrían dedicar entre el 10 y el 20 % de su tiempo a asuntos relacionados con los estándares.
• Costos de Certificación: Algunas estimaciones sitúan los gastos de certificación del sistema de IA por encima de los 200.000 €.

Costos Indirectos y Acceso al Mercado

Las ramificaciones financieras se extienden más allá de lo obvio:

• Impacto potencial en el tiempo de comercialización y la cuota de mercado competitiva

Las empresas que no cumplan con los plazos de cumplimiento corren el riesgo de recibir multas de hasta el 7 % de la facturación global o 35 millones de euros, lo que podría ser paralizante, especialmente para las empresas más pequeñas. El incumplimiento también puede restringir el acceso al mercado de la UE, lo que sitúa a las empresas conformes en una posición más sólida.

Riesgo Reputacional

Más allá de las sanciones financieras directas, existe el riesgo de sufrir daños a la reputación. La cobertura negativa de los medios y la pérdida de la confianza del cliente pueden poner en peligro las relaciones comerciales a largo plazo, especialmente en los sectores reacios al riesgo.

Participación Asimétrica en la Estandarización

Las empresas más pequeñas a menudo carecen de los recursos para participar eficazmente en los comités de normalización. Las empresas más grandes pueden influir en el desarrollo de estándares para su beneficio, lo que podría generar mayores costos de cumplimiento para las PYME:

• Influencia: Los jugadores más grandes pueden «incorporar» estándares técnicos que favorezcan sus objetivos comerciales.
• Conocimiento: La influencia asimétrica puede significar que perspectivas cruciales queden fuera de los estándares que definen el mercado.

El Caso Malamud y la Accesibilidad a los Estándares

El caso «Malamud» exige que los estándares armonizados sean de libre acceso. Sin embargo, la ISO y la IEC están impugnando esto en los tribunales, lo que genera preocupaciones sobre la posible monetización de los estándares técnicos. Esto ha suscitado importantes preocupaciones sobre la sostenibilidad financiera de las Organizaciones Europeas de Normalización, que dependen de los ingresos procedentes de la venta de las normas para apoyar sus operaciones.

¿Cuál es la importancia de operacionalizar las normas técnicas en el contexto de la Ley de IA?

La Ley de IA de la UE, como el primer conjunto integral de normas que rigen el desarrollo y la implementación de la IA, se basa en la normalización técnica como una herramienta clave de implementación. Los requisitos de IA de alto riesgo en la Ley de IA son deliberadamente abstractos, lo que dificulta su implementación directa por parte de las organizaciones. Las normas técnicas son vitales para operacionalizar estos requisitos legales, convirtiéndolos en directrices más prescriptivas y prácticas.

Normas armonizadas y presunción de conformidad

Las normas armonizadas, desarrolladas por organizaciones europeas de normalización como CEN, CENELEC y ETSI a partir de las solicitudes de la Comisión Europea, representan un marco crítico para el cumplimiento de la Ley de IA. Estas normas, tras su publicación en el Diario Oficial de la Unión Europea (DOUE), proporcionan una «presunción de conformidad» para los sistemas de IA de alto riesgo que las cumplen. Esto simplifica el cumplimiento, ofrece seguridad jurídica e idealmente reduce la carga administrativa de los proveedores de IA.

Impacto en el acceso al mercado y la competencia

Las normas técnicas debidamente diseñadas e implementadas pueden ayudar a:

• Establecer unas condiciones equitativas para el diseño y el desarrollo de sistemas de IA.
• Reducir los costes de implementación normativa.
• Agilizar los procesos y eliminar potencialmente la necesidad de soluciones personalizadas de I+D.
• Hacer que el desarrollo de productos y las operaciones sean más eficientes.

Sin embargo, el auge de las normas de IA también remodela la competencia mundial en materia de IA y podría elevar las barreras de entrada al mercado, especialmente para las empresas de nueva creación y las pequeñas y medianas empresas (PYME).

Desafíos e inquietudes

Si bien las normas técnicas están diseñadas para facilitar el cumplimiento de la Ley de IA, es necesario abordar varios desafíos:

• Presión de plazos: El calendario actual para el desarrollo y la implementación de las normas puede ser demasiado ambicioso, lo que deja a los proveedores un tiempo insuficiente para adaptarse.
• Representación de las partes interesadas: Las grandes empresas, incluidas las empresas tecnológicas y de consultoría estadounidenses, suelen dominar los comités de normalización, lo que da lugar a una infrarrepresentación de las PYME, las empresas de nueva creación y la sociedad civil.
• Accesibilidad y coste: El coste de identificar las normas técnicas aplicables y acceder a ellas podría poner en desventaja a las empresas más pequeñas. Un caso pendiente ante el Tribunal de Justicia Europeo podría cambiar si las normas armonizadas deben ser de libre acceso.
• Operacionalización: Las normas técnicas deben operacionalizarse aún más para agilizar el cumplimiento y garantizar que las organizaciones puedan aplicar eficientemente las normas a sus casos de uso específicos.

¿Cuál es el estado actual del proceso de estandarización de la Ley de IA?

La solicitud de estandarización de la Comisión Europea para la Ley de IA ha esbozado diez entregables esenciales que abordan los requisitos regulatorios clave. Estos entregables son la base del trabajo de estandarización en CEN-CENELEC JTC 21, y la mayoría de los elementos de trabajo en curso se centran en el cumplimiento de este mandato. Siempre que sea posible, los elementos de trabajo se basan en o se co-desarrollan con las normas ISO/IEC (aproximadamente 2/3 de los elementos de trabajo).

Áreas Clave de Estandarización

El trabajo de estandarización se basa en unas 35 normas, la mayoría de las cuales abordan los entregables individuales de la solicitud de estandarización. Otros entregables, como el Marco de Confianza de la Inteligencia Artificial y las normas de apoyo sobre terminología, tocan múltiples entregables de la SR. Estas normas formarán un marco integrado a través de diversas interrelaciones, como la integración jerárquica o las dependencias operativas.

Aquí hay un desglose del estado del borrador del trabajo de estandarización a finales de 2024:

• Gestión de Riesgos: ISO/IEC 23894 ya publicada, pero una norma europea de Gestión de Riesgos de la IA «de cosecha propia» está en desarrollo (WI: JT021024), con una fecha de votación prevista para el 30 de septiembre de 2026. Esta norma europea abordará las deficiencias de la otra, especialmente en lo que respecta al cumplimiento de la Ley de IA.
• Gobernanza y Calidad de los Conjuntos de Datos: Seis elementos de trabajo están en curso, incluyendo tanto las normas ISO/IEC como las normas europeas. Las normas aún en fase de redacción/aprobación se centrarán en medidas cuantificables de la calidad de los datos y las propiedades estadísticas a lo largo del ciclo de vida del sistema de IA.
• Mantenimiento de Registros: Dos elementos de trabajo están en curso: ISO/IEC 24970 sobre Registro de Sistemas de IA y el Marco Europeo de Confianza de la Inteligencia Artificial (WI: JT021008).
• Transparencia e Información a los Usuarios: Se prevén dos elementos de trabajo CEN-CENELEC JTC 21. ISO/IEC 12792 ya está en proceso de consulta.
• Supervisión Humana: Abordada únicamente por el Marco de Confianza de la Inteligencia Artificial (WI: JT021008).
• Especificaciones de Precisión para Sistemas de IA: Siete elementos de trabajo están en curso, incluyendo tanto las normas ISO/IEC como las normas «de cosecha propia», que establecerán requisitos más allá de las métricas de rendimiento básicas.
• Especificaciones de Robustez para Sistemas de IA: CEN-CENELEC JTC 21 asignó cuatro elementos de trabajo a las normas de IA y europeas.
• Especificaciones de Ciberseguridad para Sistemas de IA: Con (al menos) dos normas «de cosecha propia» previstas.
• Sistema de Gestión de la Calidad: Se refiere a los requisitos del Art. 17 de la Ley de IA (Sistema de Gestión de la Calidad) y se espera que se complete con 2 normas.
• Evaluación de la Conformidad para Sistemas de IA: Con una publicación prevista de 5 normas o documentos, este entregable completa el trabajo existente con los detalles solicitados en la Ley de IA de la UE.

Sin embargo, vale la pena señalar que algunos elementos de trabajo tenían fechas de votación previstas a mediados de 2026, superando el plazo original de la solicitud de estandarización en más de un año.

Desafíos y Críticas

La Comisión Europea ya ha expresado críticas con respecto al trabajo de estandarización de CEN-CENELEC, particularmente en lo que respecta al alcance y al número de normas referenciadas. El estado del trabajo subraya la naturaleza ambiciosa del proceso de estandarización de la Ley de IA y los desafíos para cumplir con los plazos establecidos. Se esperan evaluaciones más recientes en el verano y el otoño de 2025.

¿Cuál es la intención principal de las normas que abordan la gestión de riesgos?

A medida que la Ley de IA de la UE se prepara para su aplicación, los proveedores de IA están lidiando con sus requisitos de gestión de riesgos. Las normas armonizadas son el núcleo de esta regulación, ofreciendo una vía para establecer la conformidad y reducir las incertidumbres legales. Pero, ¿cuál es la intención principal detrás de estas normas, particularmente cuando se gestionan los riesgos?

Cumplimiento de la Ley de IA

La intención es traducir los requisitos amplios y legalmente vinculantes de la Ley de IA en procedimientos prácticos y técnicamente definidos. Estas normas pretenden:

• Garantizar la protección de los derechos individuales: Enfatizar la protección de los derechos individuales a través de un enfoque centrado en el producto, en consonancia con el enfoque de la Ley de IA en la protección de la salud, la seguridad y los derechos fundamentales.
• Proporcionar un marco claro: Ofrecer especificaciones para un sistema de gestión de riesgos adaptado a los sistemas de IA.
• Obligar a realizar pruebas: Hacer obligatoria la prueba de los sistemas de IA, tal como se indica en el Artículo 9(6) y 9(8) de la Ley de IA.

El esfuerzo involucra dos normas clave:

• ISO/IEC 23894: Esta norma ofrece orientación general sobre la gestión de riesgos en relación con la IA, pero está limitada por su visión centrada en la organización y por una definición de riesgo que no está alineada con el Artículo 3 de la Ley de IA.
• Gestión de Riesgos de IA (WI: JT021024): Esta es una norma «de cosecha propia» actualmente en desarrollo para abordar específicamente las deficiencias de las normas existentes, proporcionando un enfoque centrado en el producto y alineado con la Ley de IA. Se espera que esté terminada para septiembre de 2026.

Las organizaciones que buscan cumplir con la Ley de IA deben comprender los matices de estas normas, asegurando que sus prácticas de gestión de riesgos reflejen el énfasis de la Ley en los derechos individuales y la seguridad.

¿Cuál es el propósito de la estandarización con respecto a la gobernanza y la calidad de los datos?

La estandarización juega un papel crucial para garantizar una gobernanza sólida y datos de alta calidad dentro de los sistemas de IA. Los estándares técnicos ofrecen una ruta clara y accesible para cumplir con las demandas regulatorias y mitigar las ambigüedades legales, fortaleciendo la competitividad y fomentando el crecimiento dentro del mercado interno.

La Ley de IA de la UE enfatiza la validación estadística y la prevención de sesgos cuando se trata de gobernar los datos y garantizar su calidad. Los requisitos se detallan en el Art. 10 de la Ley de IA (Datos y Gobernanza de Datos), y abordan el manejo de sesgos no deseados y garantizan la calidad de los datos.

El CEN-CENELEC JTC 21, en colaboración con ISO/IEC, establece el camino para abordar la gobernanza de datos con IA:

• ISO/IEC/TS 12791 proporciona soporte tecnológico para tratar sesgos no deseados para tareas de clasificación y regresión de aprendizaje automático.
• ISO/IEC 8183 sienta las bases para el Marco del Ciclo de Vida de los Datos de IA.
• ISO/IEC 5259-1 – 5259-4 proporciona orientación sobre la Calidad de los Datos para Analítica y Aprendizaje Automático (ML).

El camino continúa con estándares «de cosecha propia»:

• IA – Conceptos, Medidas y Requisitos para la Gestión del Sesgo en Sistemas de IA (WI: JT021036)
• IA – Calidad y Gobernanza de Conjuntos de Datos en IA (WI: JT021037)
• CEN/CLC/TR 18115 Gobernanza y Calidad de Datos para la IA en el Contexto Europeo.

Además, los estándares aún en redacción / aprobación se centrarán en medidas cuantificables de calidad de los datos y propiedades estadísticas a lo largo del ciclo de vida del sistema de IA. Particularmente significativo es el Art. 10 Requisito de la Ley de IA para la validación empírica de las técnicas de mitigación de sesgos y la capacidad de demostrar la eficacia de las medidas de garantía de calidad.

Este énfasis en los resultados medibles representa un cambio metodológico de la estandarización descriptiva a la prescriptiva, que requiere que las organizaciones implementen controles verificables para la representatividad, la corrección y la integridad de los datos.

spanish

¿Cómo abordan los estándares los requisitos para el mantenimiento de registros?

La Ley Europea de IA exige el mantenimiento de registros para los sistemas de IA de alto riesgo, centrándose específicamente en la trazabilidad y la captura de eventos que podrían afectar el rendimiento del sistema o plantear riesgos.

El panorama de los estándares está abordando este requisito a través de dos elementos de trabajo principales:

• ISO/IEC 24970 – Registro del sistema de IA: Este estándar, actualmente en desarrollo en colaboración con ISO/IEC, se centra en la definición de los requisitos para los planes de registro. Estos planes deben encontrar un equilibrio entre la captura integral de eventos y la eficiencia operativa, y adaptarse a las diferentes arquitecturas del sistema y a las exigencias de rendimiento. Por ejemplo, los sistemas de negociación de alta frecuencia, en los que el registro de transacciones a nivel de milisegundos es fundamental, tendrán requisitos diferentes a los de las aplicaciones menos sensibles al tiempo.
• Marco de confiabilidad de la Inteligencia Artificial (WI: JT021008): Este marco proporciona una estructura general que complementa el estándar ISO/IEC.

El estándar ISO/IEC proporcionará especificaciones más detalladas, haciendo hincapié en la necesidad de definir requisitos que permitan las necesidades específicas del sistema. Esto es fundamental para lograr capacidades de verificación coherentes en las diferentes aplicaciones de IA.

Estos son los puntos de datos críticos para las normas de mantenimiento de registros:

• Objetivo: Trazabilidad de las operaciones/rendimiento del sistema de IA.
• Estado: Norma ISO/IEC en fase de redacción.
• Equilibrio: Entre la captura de eventos y la eficiencia operativa.
• Flexibilidad: adaptarse a las necesidades específicas del sector para garantizar capacidades de verificación fiables.

¿Cuáles son las principales características de los estándares relacionados con la transparencia para los usuarios de sistemas de IA?

Se están desarrollando estándares técnicos para respaldar los requisitos del Artículo 13 de la Ley de IA de la UE, que se centran en la transparencia y la provisión de información a los usuarios. Los esfuerzos de estandarización están destinados a abordar el problema de la «caja negra», donde los procesos internos de toma de decisiones de los sistemas de IA son opacos.

Estándares clave en desarrollo

• ISO/IEC 12792 (Taxonomía de Transparencia de los Sistemas de IA): Este estándar establece los requisitos para los artefactos de transparencia para garantizar que la información relacionada sea completa, significativa, accesible y comprensible para el público objetivo.
• Marco de Confiabilidad de la Inteligencia Artificial (WI: JT021008): Este marco proporciona un marco general para los requisitos de confiabilidad y transparencia.

Para ISO/IEC 12792, se presta especial atención a los requisitos reglamentarios europeos. Estos estándares tienen como objetivo hacer que los resultados de los sistemas de IA sean comprensibles para los usuarios especificando qué información debe revelarse y qué tan accesible debe ser.

¿Cuál es el papel de las normas para garantizar la supervisión humana de los sistemas de IA?

Las normas juegan un papel fundamental en la especificación de los requisitos del Artículo 14 de la Ley de IA de la UE, que se centra en la supervisión humana de los sistemas de IA. Estas normas están siendo tratadas principalmente por el Marco de Confianza de la Inteligencia Artificial (Elemento de Trabajo: JT021008) desarrollado por CEN-CENELEC JTC 21.

Aquí se presenta un desglose de los aspectos clave:

El objetivo general es garantizar un control humano efectivo sobre los sistemas de IA en diversos contextos operativos:

• En la fabricación, las normas deben permitir la intervención humana sin sacrificar la eficiencia de la producción.
• En las finanzas, los mecanismos de supervisión son cruciales para los sistemas algorítmicos que operan a velocidades que superan los tiempos de reacción humanos. Esto implica la creación de interfaces de monitoreo y mecanismos de control, así como medidas organizativas como protocolos de capacitación.

Más específicamente, estas normas deben establecer criterios claros para seleccionar las medidas de supervisión apropiadas que estén alineadas con el uso previsto de un sistema de IA y los riesgos identificados.

Las consideraciones clave incluyen:

• Medidas técnicas: interfaces de monitoreo y mecanismos de control.
• Medidas organizativas: protocolos de capacitación.
• Procedimientos de verificación: garantizar que los mecanismos de supervisión humana sean efectivos.

Las normas también deben definir resultados verificables con respecto a la supervisión del sistema. Las personas físicas deben poder mantener efectivamente el control operativo e intervenir cuando sea necesario, incluso con sistemas de IA cada vez más complejos y rápidos.

En resumen, las normas tienen como objetivo proporcionar un marco para garantizar que los humanos conserven un control significativo y capacidades de intervención sobre los sistemas de IA, independientemente de su aplicación o complejidad.

¿Cuál es el enfoque de las especificaciones de precisión en los sistemas de IA?

Las especificaciones de precisión dentro de los sistemas de IA, según lo exige el Artículo 15(1) y (3) de la Ley de IA de la UE, no se tratan solo de alcanzar los puntos de referencia de rendimiento. El enfoque está en garantizar que esas mediciones sean demostrablemente apropiadas y efectivas para abordar los objetivos regulatorios de la Ley.

Esto es lo que significa en términos prácticos:

Definición de Métricas y Umbrales Apropiados

Las empresas pueden esperar que los estándares ofrezcan instrucciones precisas sobre la selección de métricas de precisión y el establecimiento de umbrales claros. Se esperan protocolos de prueba rigurosos y prácticas de documentación detalladas.

Evaluación Comparativa para Uso General

Los estándares emergentes especifican procesos y marcos de evaluación para evaluar modelos de IA con tareas estandarizadas, particularmente en áreas como la evaluación comparativa general, lo que puede impactar significativamente la aplicabilidad práctica y reducir las incertidumbres regulatorias.

Métricas y Mitigación de Riesgos

La clave, a medida que estos estándares toman forma, será vincular de manera demostrable las métricas de precisión con las estrategias de mitigación de riesgos. Esto implica seleccionar, medir y validar métricas basadas en el uso previsto del sistema de IA y los riesgos identificados.

Actualmente, CEN-CENELEC JTC 21, el comité conjunto que trabaja en los estándares de IA, ha asignado siete elementos de trabajo a este entregable. Estos incluyen varios estándares que se están desarrollando conjuntamente con ISO/IEC, así como varios estándares «de cosecha propia». Se espera que estos estándares se finalicen a finales de 2025 o principios de 2026.

¿Cuáles son los enfoques clave de las especificaciones de robustez para sistemas de IA?

Las especificaciones de robustez para sistemas de IA son un enfoque clave del Reglamento de la UE sobre IA, cuyo objetivo es garantizar que estos sistemas sean resistentes a diversos tipos de riesgos y vulnerabilidades. Los artículos 15(1) y (4) del Reglamento de IA dictaminan los requisitos que deben abordar los esfuerzos de normalización para mejorar la resiliencia de la IA.

CEN-CENELEC JTC 21, encargado de desarrollar normas armonizadas, ha asignado cuatro elementos de trabajo para abordar estas especificaciones de robustez:

• Normas Internacionales:
  • ISO/IEC 24029-2, -3, -5 – IA – Evaluación de la Robustez de las Redes Neuronales (parcialmente preliminar sin fecha de votación prevista)
  • ISO/IEC/TR 24029-1 – IA – Evaluación de la Robustez de las Redes Neuronales (Publicada)
• Normas «de cosecha propia»:
  • IA – Conceptos, Medidas y Requisitos para la Gestión de Sesgos en Sistemas de IA (WI: JT021036) (en redacción; votación prevista: 3 de junio de 2024)
  • Marco de Confianza en la Inteligencia Artificial (WI: JT021008)

Para alinearse completamente con las exigencias regulatorias, se necesita orientación para complementar la serie ISO/IEC 24029. El objetivo es establecer métricas prácticas, umbrales y métodos adaptados a casos de uso específicos. Por lo tanto, las normas adicionales están extendiendo las consideraciones de robustez más allá de las pruebas y la medición para incluir principios de diseño, particularmente para sistemas que evolucionan después de la implementación.

Aquí están las ideas centrales detrás de esas especificaciones:

• Más allá de las Pruebas: Las normas deben evolucionar más allá de la mera prueba y medición para integrar las consideraciones de robustez directamente en los principios de diseño.
• Principios de Diseño y Sistemas Evolutivos: Las normas deben tener en cuenta los sistemas que continúan evolucionando después de la implementación.
• Métricas y Umbrales Prácticos: Es importante establecer métricas prácticas, umbrales y métodos adaptados a casos de uso específicos.

¿Cuál es el propósito de las especificaciones de ciberseguridad para sistemas de IA?

Los sistemas de IA, especialmente aquellos clasificados como de alto riesgo por la Ley de IA de la UE, son cada vez más vulnerables a ataques cibernéticos sofisticados que pueden comprometer su integridad, fiabilidad y seguridad. Reconociendo esta creciente amenaza, la Ley de IA de la UE exige especificaciones de ciberseguridad para salvaguardar estos sistemas de interferencias maliciosas.

El propósito de estas especificaciones, según los esfuerzos de estandarización en curso, es multifacético:

Objetivos Clave

• Definición de requisitos de seguridad: Establecer estándares claros y objetivos para implementar una evaluación de riesgos de seguridad robusta y un plan de mitigación específicamente adaptado para sistemas de IA de alto riesgo.
• Abordar vulnerabilidades específicas de la IA: Los estándares tienen como objetivo capturar de forma proactiva aspectos relacionados con amenazas específicas de la IA como el envenenamiento de datos, el envenenamiento de modelos, la evasión de modelos y los ataques de confidencialidad – áreas que a menudo pasan por alto los marcos de ciberseguridad tradicionales.
• Definición de enfoques técnicos y organizativos: Las especificaciones abarcarán tanto las medidas técnicas como los procedimientos organizativos necesarios para establecer una postura de seguridad resiliente para los sistemas de IA.
• Establecimiento de métodos de verificación: Definir objetivos de seguridad específicos para lograr y verificar a través de pruebas es crucial, especialmente a nivel de sistema, cuando las medidas de mitigación para las vulnerabilidades a nivel de componentes pueden no ser totalmente efectivas.

A medida que evoluciona el panorama de la estandarización, el trabajo en curso está comenzando a abordar las amenazas específicas de la IA, principalmente en forma de orientación. Sin embargo, a medida que surgen constantemente nuevas amenazas y contramedidas, un objetivo clave de la nueva estandarización en ciberseguridad de la IA será definir los requisitos esenciales para implementar una evaluación de riesgos de seguridad y un plan de mitigación para los sistemas de IA de alto riesgo.

Cumplir con estas especificaciones de ciberseguridad no se trata simplemente de marcar una casilla; se trata de generar confianza y garantizar el despliegue responsable de sistemas de IA que pueden tener un profundo impacto en las personas y la sociedad. Las empresas que no cumplan con estos requisitos corren el riesgo de multas significativas (hasta 35 millones de euros o el 7% de la facturación global) y de un acceso restringido al mercado de la UE.

¿Cuál es la intención principal de las normas de los sistemas de gestión de la calidad?

Las normas de los sistemas de gestión de la calidad, particularmente en el contexto de la Ley de IA de la UE, tienen como objetivo garantizar que los proveedores de sistemas de IA cumplan con puntos de referencia de calidad específicos. Estas normas no se refieren solo a la calidad general; están específicamente diseñadas para abordar los riesgos asociados con la IA, garantizando que los sistemas de alto riesgo sean fiables, robustos y seguros para los usuarios.

Esto es a lo que se reduce la intención:

• Cumplimiento normativo: Las normas están diseñadas para operacionalizar los requisitos legales de alto riesgo de la Ley de IA. Cumplir con estas normas ofrece una presunción de conformidad, simplificando el cumplimiento e idealmente reduciendo la carga administrativa para los proveedores de IA.

• Mitigación de riesgos: Las normas enfatizan un enfoque centrado en el producto para la gestión de riesgos con el objetivo de promover la protección de los derechos individuales.

• Acceso al mercado: El cumplimiento agiliza el proceso de marcado CE (conformité européenne), facilitando el acceso al mercado europeo.

• Establecimiento de igualdad de condiciones: Las normas apoyan el establecimiento de condiciones de competencia equitativas y una igualdad de condiciones para el diseño y desarrollo técnico de los sistemas de IA.

La norma más relevante en esta área es ISO/IEC 42001, complementada por una norma «de cosecha propia», AI – Sistema de Gestión de Calidad para Fines Regulatorios. Esta última norma se basa en múltiples normas ISO/IEC y se centra en el cumplimiento normativo y los riesgos específicos abordados por la Ley de IA desde un punto de vista centrado en el producto.

¿Cómo los estándares de evaluación de la conformidad respaldan la Ley de IA?

Los estándares de evaluación de la conformidad son cruciales para navegar por los complejos requisitos de la Ley de IA. Estos estándares, principalmente en desarrollo por CEN-CENELEC JTC 21, tienen como objetivo especificar cómo se pueden evaluar los sistemas de IA para garantizar que cumplen con las obligaciones de la Ley. Esto incluye la definición de los requisitos para los organismos que realizan auditorías y certificaciones de los sistemas de gestión de la IA.

El papel de ISO/IEC 42006 y 29119-11

Los estándares existentes ISO/IEC 42006 (Requisitos para los organismos que realizan auditorías y certificaciones de los sistemas de gestión de la IA) e ISO/IEC 29119-11 (Pruebas de sistemas de IA) sirven como puntos de partida. Sin embargo, se necesitan nuevos estándares para abordar las vulnerabilidades específicas de la IA y la evaluación de la conformidad.

Áreas con estándares en desarrollo

Los esfuerzos clave en curso incluyen:

• Requisitos de competencia: Desarrollo de estándares para los requisitos de competencia de los auditores y profesionales de sistemas de IA.
• Marco de evaluación de la conformidad de la IA: Creación de un marco específicamente para evaluar la conformidad de la IA. (Elemento de trabajo: JT021038)
• Abordar las vulnerabilidades específicas de la IA: Evaluación de las soluciones técnicas para abordar las vulnerabilidades específicas de la IA.

La importancia de los estándares armonizados

Una vez que estos estándares se armonizan (se publican en el Diario Oficial de la Unión Europea), crean una «presunción de conformidad». Esto significa que se asume automáticamente que los sistemas de IA que se adhieren a estos estándares cumplen con los requisitos relevantes de la Ley de IA, lo que simplifica el cumplimiento y reduce la carga administrativa para los proveedores de IA.

Desafíos en la implementación y evaluación de estándares

Sin embargo, quedan varios desafíos:

• Alineación: Estos estándares aprovechan el trabajo existente, como la caja de herramientas ISO CASCO, que proporciona una base para principios y orientación genéricos sobre la evaluación de la conformidad. Sin embargo, también deberán definir cómo estos marcos de evaluación de la conformidad deben adaptarse y aplicarse específicamente a las características únicas de los sistemas de IA de alto riesgo.
• Retraso en la implementación: Una gran preocupación es el corto período de tiempo que tendrán las empresas para implementar estos estándares después de que se finalicen y publiquen (probablemente a principios de 2026). Esto podría dejar tan solo 6-8 meses antes de que los requisitos de alto riesgo de la Ley de IA se vuelvan aplicables.
• Coordinación: Es necesaria una estrecha coordinación entre los elementos de trabajo de normalización paralelos para garantizar que los estándares resultantes sean complementarios y adecuados para apoyar la implementación del marco regulatorio.

En última instancia, el éxito de la Ley de IA depende del desarrollo y la implementación efectiva de estos estándares de evaluación de la conformidad. Las partes interesadas deben participar activamente para garantizar que los estándares sean prácticos, integrales y estén alineados con los objetivos regulatorios.

¿Cuáles son los desafíos comunes de la implementación intersectorial de los estándares de IA?

En varias industrias, el cumplimiento de los estándares de IA emergentes presenta varias dificultades compartidas. Las startups de IA en fase de crecimiento en sectores de alto riesgo ya han comenzado a alinearse con los estándares esperados, mientras que las empresas más jóvenes tienen dificultades debido a plazos poco claros y a la falta de orientación específica.

Un obstáculo principal es la ambigüedad interpretativa en estos estándares. Definir el cumplimiento puede ser turbio, especialmente cuando los sistemas integran varios componentes o dependen de modelos de terceros. Las leyes de secreto divergentes entre los estados miembros de la UE añaden otra capa de complejidad, creando conflictos operacionales para sectores como el legal tech. Además, incluso los veteranos de sectores altamente regulados como la atención médica tienen dificultades para reconciliar los requisitos de la Ley de IA con las regulaciones existentes, particularmente al combinar técnicas de IA como el procesamiento de imágenes y el análisis del lenguaje.

A pesar de la expectativa de que los estándares técnicos en sí mismos serán gratuitos, los proveedores de IA desconfían de los costes indirectos sustanciales. El cumplimiento puede exigir inversiones anuales de, aproximadamente, entre 100.000 y 300.000 euros anuales, más el tiempo dedicado de las figuras clave de la dirección. Incluso los proveedores que no se consideran de «alto riesgo» podrían sentirse presionados a cumplir voluntariamente para limitar su responsabilidad, lo que podría generar gastos excesivos.

El análisis de los proveedores de IA entrevistados pinta una imagen matizada de cómo la Ley de IA impacta en la innovación, distinguiendo entre empresas bien establecidas y emergentes. La tendencia muestra que para las empresas en sectores donde ya existe regulación, como la atención médica, la adaptación se facilita a través de su experiencia previa con acuerdos similares. Mientras que, para aquellos sin experiencia previa en regulación, la implementación del cumplimiento es mucho más difícil.

En cuanto a la integración de marcos legales. Muchos informan que las discrepancias entre los marcos en la UE ya retrasan la entrada al mercado de la UE, lo que hace que EE. UU. sea una opción más razonable para comenzar. También crea problemas para marcos ya establecidos como el RGPD, y se problematiza aún más por las leyes nacionales y locales conflictivas que varían en los diferentes estados miembros.

La mayoría de las empresas piensa que agosto de 2026 es poco práctico. Esto se enfatiza estimando que tomará un año cumplir con un solo estándar técnico (por ejemplo, ISO/IEC 27001). Incluso con el apoyo de expertos. Una mejor opción sería una introducción gradual, especialmente para las PYMES, para permitir períodos de adaptación más prácticos.

Participación Asimétrica en el Proceso de Establecimiento de Estándares

La participación en las reuniones de JTC 21, los grupos de trabajo y los comités espejo de los estados miembros pareció muy poca en comparación con la cantidad de proveedores. La mayoría de los proveedores pequeños y medianos admitieron que están «raramente» o «irregularmente» involucrados en actividades destinadas a la estandarización debido a la mínima cantidad de conocimientos y recursos. La estandarización favoreció a las grandes corporaciones y el desequilibrio está creando un entorno desproporcionado para las empresas más pequeñas, dicen múltiples proveedores.

¿Cómo afecta la complejidad del cumplimiento de la IA al mercado?

La complejidad del cumplimiento de la IA, particularmente bajo la Ley de IA de la UE, está destinada a remodelar significativamente el panorama del mercado. Los desafíos emergentes, derivados de las ambigüedades en los límites del cumplimiento, los requisitos de secreto divergentes y las reglas de clasificación complejas, requieren una comprensión más granular de cómo estos factores impactan a los diferentes actores.

Desafíos principales de cumplimiento

Aquí hay un desglose de los principales desafíos de cumplimiento identificados por los proveedores de IA:

• Ambigüedades interpretativas: Definir los límites del cumplimiento es complejo, especialmente cuando los sistemas de IA integran múltiples componentes o modelos de terceros.
• Divergencias sectoriales: Los requisitos de secreto divergentes entre los estados miembros de la UE crean conflictos operativos. Reconciliar las leyes de secreto profesional con los requisitos de registro reglamentarios está resultando difícil.
• Incertidumbre de clasificación: Incertidumbre sobre cómo se aplica la clasificación de riesgo en diferentes casos, destacando las preocupaciones con respecto a las tecnologías de doble uso.
• Complejidades de integración: Alinear los requisitos de la Ley de IA con las regulaciones existentes puede ser difícil cuando los sistemas combinan múltiples modalidades de IA, como el procesamiento de imágenes y los modelos de lenguaje.
• Incertidumbre en la aplicación: La ambigüedad con respecto a la evidencia específica requerida para demostrar el cumplimiento, particularmente con respecto a las pruebas de sesgo y la robustez del modelo, está causando inquietud.

Impacto en las empresas

Los datos de las entrevistas sugieren una perspectiva preocupante sobre cómo la Ley de IA está afectando la innovación, destacando particularmente una división entre las empresas establecidas y las emergentes.

• Cargas de costos: Se anticipan costos sustanciales relacionados con los requisitos de la Ley de IA, lo que lleva a las empresas a preocuparse por los costos indirectos.
• Requisitos de personal: Los flujos de trabajo de cumplimiento de la Ley de IA pueden exigir la dedicación de recursos de personal dedicado muy significativos. Esto se traduce en costos operativos continuos más allá de las inversiones iniciales en cumplimiento.
• Barreras a la innovación: Las PYMES temen que los requisitos de cumplimiento afecten desproporcionadamente sus capacidades de escalamiento.
• Presiones competitivas: Las cargas regulatorias de la UE pueden perder terreno frente a jurisdicciones como los EE. UU., donde las cargas regulatorias más bajas permiten ciclos de innovación más rápidos y más flexibilidad.

Por otro lado, los proveedores de tecnología legal y de atención médica parecen estar en una mejor posición para adaptarse debido a su experiencia con los marcos existentes, por lo que ven la regulación como potencialmente beneficiosa para la confianza del mercado.

También vale la pena señalar que la fragmentación entre jurisdicciones conduce a retrasos en las entradas al mercado de la UE.

Impacto en la estandarización

Existe un patrón de participación asimétrica en el proceso de desarrollo de estándares. El proceso de estandarización puede estar favoreciendo a las corporaciones más grandes.

En general, estos factores tienen el potencial de hacer que la estandarización sea muy difícil para el jugador promedio.

¿Qué recursos se requieren para lograr el cumplimiento de la IA?

Lograr el cumplimiento de la IA, particularmente bajo la Ley de IA de la UE, exige un enfoque multifacético que implica importantes recursos y planificación estratégica. El desafío no se trata simplemente de comprender la regulación; se trata de operacionalizar los requisitos abstractos en prácticas tangibles.

Personal y experiencia

Un área clave es la asignación de personal calificado. Los responsables de cumplimiento son fundamentales, pero cada vez más, las organizaciones requieren experiencia legal-tecnológica específica en IA y una comprensión profunda del comportamiento del modelo de IA. El personal técnico necesita adaptar las herramientas de gestión de riesgos de IA, los sistemas de calidad y la supervisión sólida posterior a la comercialización. Las organizaciones entrevistadas informan que asignan personal específicamente para el cumplimiento de la Ley de IA. El nivel de experiencia interna o los recursos utilizados para adquirir soporte externo deben tenerse en cuenta en el costo de los recursos.

El costo de la experiencia se ve aún más agravado por el estado actual de la estandarización de la IA. Esto es evidente cuando las organizaciones se enfrentan a la definición de los límites de cumplimiento si integran múltiples componentes o confían en modelos de terceros.

Consideraciones financieras

La implementación y el mantenimiento de sistemas de IA que cumplan con la Ley de IA crearán una carga financiera para las organizaciones. Los costos incluyen personal de cumplimiento dedicado, tiempo de los ejecutivos dedicado a asuntos de cumplimiento y costos de certificación. Las empresas emergentes y las PYMES con menos de 20 empleados se verán drásticamente afectadas por las asignaciones de costos, con estimaciones de dedicar 100.000 € anuales para mantener el cumplimiento. Con estos gastos generales, los proveedores de IA informan costos anuales de cumplimiento anticipados de aproximadamente 100.000 € para personal de cumplimiento dedicado y entre el 10 y el 20 % del tiempo del fundador/administración dedicado a asuntos estándar.

Incluso las empresas preparadas para implementar y mantener los costos, como las empresas de tecnología médica, estiman que los costos de certificación pueden superar los 200.000 €, y las empresas de tecnología legal informan un costo anual estimado entre 200.000 y 300.000 €.

Navegando por la ambigüedad y la incertidumbre

Un recurso clave final es la capacidad de invertir en apoyo regulatorio y legal para navegar de manera proactiva la ambigüedad. Con interpretaciones divergentes del secreto profesional frente a los requisitos de registro entre las leyes nacionales y de la UE, estas son todas las áreas a tener en cuenta en la planificación.

Las empresas también deben esperar costos en el desarrollo e implementación de protocolos de verificación claros para demostrar el cumplimiento. Para demostrar el cumplimiento, la evidencia debe mostrar el trabajo realizado con respecto a las pruebas de sesgo y la robustez del modelo.

¿Cuál es el impacto de la Ley de IA en la reputación del mercado y la innovación?

El impacto de la Ley de IA en la reputación del mercado y la innovación es una cuestión compleja, especialmente para las pequeñas y medianas empresas (PYME). Mientras que las empresas establecidas en sectores como la atención médica y la tecnología legal ven la regulación como un potencial impulso a la confianza del mercado, las empresas de IA emergentes expresan preocupación por las barreras a la innovación vinculadas a estos nuevos estándares.

Barreras a la innovación para las PYME

• Capacidad de Escalamiento: La mayoría de las PYME clasificadas como de alto riesgo según la Ley de IA temen que el cumplimiento afecte desproporcionadamente su capacidad de escalamiento.
• Incertidumbre en la Clasificación de Riesgo: Las empresas enfrentan incertidumbre sobre la clasificación de riesgo al pasar de un soporte de diseño a sistemas operativos.
• Desventaja Competitiva: Existe preocupación por perder terreno frente a jurisdicciones más flexibles como EE. UU., donde las menores cargas regulatorias permiten ciclos de innovación más rápidos.

Confianza del Mercado y Preparación del Sector

Las empresas en sectores ya regulados, como la atención médica, parecen estar mejor preparadas para adaptarse debido a su experiencia con marcos existentes como el Reglamento de Dispositivos Médicos (MDR). Por el contrario, las empresas en sectores previamente no regulados enfrentan desafíos de adaptación más pronunciados, luchando por interpretar e implementar los estándares de IA sin experiencia regulatoria previa.

Limitaciones de la Experimentación

Las empresas en etapas iniciales están particularmente frustradas por las condiciones intransparentes y burocráticas que limitan la experimentación.

Participación Asimétrica en el Establecimiento de Estándares

Los datos de las entrevistas revelan un patrón de participación limitada en el proceso de desarrollo de normas de JTC 21, sus grupos de trabajo y comités espejo en los estados miembros. Entre los proveedores entrevistados, solo una pequeña fracción informa de una participación activa en los esfuerzos de estandarización de la IA o en las consultas formales, con niveles de participación notablemente bajos entre las empresas más pequeñas.

• Restricciones de Recursos: La mayoría de los proveedores pequeños y medianos reconocen estar ‘raramente’ o ‘irregularmente’ involucrados en actividades de estandarización, citando las restricciones de recursos y las lagunas de conocimiento como barreras primarias.
• Favoritismo hacia los Grandes Jugadores: Varios entrevistados caracterizan el proceso de estandarización como favorecedor de las corporaciones más grandes, describiendo las discusiones como «unilaterales». Múltiples proveedores expresan preocupación de que este desequilibrio pueda conducir a estándares que creen barreras desproporcionadas para los participantes más pequeños del mercado.
• Falta de Mecanismos de Apoyo: Si bien algunas empresas indican interés en participar en el futuro, enfatizan la necesidad de mecanismos de apoyo estructurados.

¿Cómo influye la participación en la elaboración de normas en la competencia?

La participación en la elaboración de normas puede ser un arma de doble filo para las empresas de IA, ya que influye profundamente en el panorama competitivo, según un informe reciente. Si bien aparentemente son técnicas, estas normas tienen implicaciones de gran alcance, especialmente para las empresas emergentes y las PYMES que navegan por la Ley de IA de la UE.

Ventajas estratégicas de la participación

La participación activa en la normalización ofrece distintas ventajas estratégicas:

• Transferencia de conocimientos: Formar parte del proceso de desarrollo de normas permite a las empresas comprender íntimamente los matices técnicos del cumplimiento.
• Creación de relaciones: La participación fomenta relaciones cruciales, que se extienden más allá del simple lobbying, y facilita un cumplimiento técnico más fluido en el futuro.

Sin embargo, el terreno de juego no es uniforme.

La asimetría de la influencia

Los comités de normalización suelen estar dominados por grandes empresas, incluidas las principales empresas tecnológicas y de consultoría estadounidenses. Esto crea una disparidad significativa, dejando a las PYMES, las empresas emergentes, la sociedad civil y el mundo académico subrepresentados. El informe destaca que este desequilibrio conduce a:

• Ventajas competitivas para las grandes empresas: Las empresas más grandes tienen los recursos para dar forma a las normas en su beneficio, obteniendo tanto conocimientos como ventajas de implementación.
• Preocupaciones sobre los valores de la UE: La influencia sustancial de las empresas estadounidenses plantea preocupaciones sobre la representación adecuada de los valores de la UE, especialmente en lo que respecta a la protección de los derechos fundamentales. Las normas exigen un equilibrio de estos derechos orientado a los valores, que podría ser revisado por el Tribunal de Justicia Europeo.
• Exclusión de conocimientos cruciales: La participación limitada de entidades más pequeñas significa que se excluyen conocimientos esenciales de las normas que definirán el acceso al mercado, lo que podría comprometer la seguridad integral.

La cuestión se reduce a los recursos. La participación eficaz requiere una inversión sustancial, lo que dificulta que las organizaciones más pequeñas la prioricen junto con las actividades operativas básicas. Las asociaciones de la industria suelen intervenir, pero su capacidad para representar plenamente los diversos intereses de todas las partes interesadas es limitada.

El camino a seguir

Para una competencia justa, es fundamental un proceso de normalización más inclusivo. Esto significa incorporar diversas perspectivas y conocimientos especializados para garantizar que las normas resultantes sean sólidas y equitativas. Se necesitan intervenciones políticas para nivelar el terreno de juego y evitar que las normas se conviertan en una barrera de entrada para los pequeños innovadores en IA.

¿De qué manera la fragmentación regulatoria crea desafíos de cumplimiento?

La fragmentación regulatoria plantea importantes desafíos de cumplimiento para los proveedores de IA, particularmente aquellos que operan en múltiples jurisdicciones. Esto se deriva de varios problemas clave:

Divergencia en los Requisitos de Secreto: Diferentes estados miembros de la UE tienen leyes de secreto variables, lo que crea conflictos operativos para sectores como la tecnología legal. Esto dificulta el establecimiento de prácticas de cumplimiento consistentes a través de las fronteras.

Ambigüedad en la Clasificación: El alcance de la Ley de IA puede ser confuso, especialmente para las empresas que operan en múltiples sectores. Las tecnologías de doble uso, que sirven para fines regulados y no regulados, crean incertidumbre sobre la clasificación de riesgo. Lo mismo se aplica a los modelos de IA de Propósito General (GPAI).

Superposición de Marcos Regulatorios: Las empresas enfrentan conflictos operativos debido a la superposición de leyes de la UE y a nivel nacional. Las interpretaciones variables de requisitos similares entre los estados miembros complican la implementación, de manera similar a las experiencias previas con PSD2.

Preparación de los Organismos Reguladores de la UE: Existen preocupaciones sobre la preparación de los organismos reguladores de la UE para gestionar las certificaciones de manera consistente. Los retrasos e inconsistencias en el proceso de certificación podrían interrumpir el acceso al mercado, incluso para los sistemas de IA que cumplen con las normas. Las interpretaciones fragmentadas y los procesos de certificación plantean problemas notables para las startups que carecen de los recursos para navegarlos.

¿Cómo impactan los plazos de implementación a las empresas?

La próxima Ley de IA de la UE introduce estándares armonizados de IA, pero están surgiendo preocupaciones sobre la viabilidad de cumplir con los plazos de cumplimiento, particularmente para las startups y las PYMES. A medida que el desarrollo de los estándares se retrasa, con entregables clave esperados para principios de 2026, quedan apenas 6-8 meses antes de que el cumplimiento sea obligatorio en agosto de 2026. Este plazo comprimido, especialmente considerando el volumen potencial de alrededor de 35 estándares técnicos, plantea serias preguntas sobre la capacidad de las empresas para adaptarse.

La investigación de la industria sugiere que las empresas suelen requerir al menos 12 meses para el cumplimiento de un solo estándar, lo que apunta a retrasos significativos en el acceso al mercado para los recién llegados que se aventuran en el espacio de la IA. Además, las organizaciones más grandes con experiencia previa en sectores regulados están mejor posicionadas, lo que aumenta la brecha entre las grandes corporaciones y las startups innovadoras. Las startups y las PYMES enfrentan desventajas desproporcionadas y pueden perder terreno competitivo si no pueden responder de manera proactiva.

Los plazos de implementación cortos conllevan serios riesgos:

• Sanciones económicas: El incumplimiento podría resultar en multas de hasta 35 millones de euros o el 7% de la facturación global, lo que representa una grave amenaza para las empresas más pequeñas.
• Restricciones de acceso al mercado: Los retrasos en el cumplimiento podrían limitar el acceso al mercado de la UE, dando una ventaja a las empresas que cumplan.
• Daño reputacional: La cobertura mediática negativa puede provocar la pérdida de la confianza del cliente y dañar las relaciones comerciales.

Para abordar estas limitaciones de tiempo, se recomiendan varias medidas:

• Aplazamiento legislativo: El legislador de la UE necesita posponer los plazos de implementación de la Ley de IA para permitir a las organizaciones tiempo suficiente para el cumplimiento basado en estándares.
• Publicación de estándares: La publicación rápida de estándares casi finales podría permitir a las empresas comenzar a adaptarse mucho antes de los plazos obligatorios.
• Acceso transparente: La creación de un portal online centralizado donde las empresas puedan controlar el desarrollo de los estándares y los requisitos crearía transparencia y fomentaría la retroalimentación.
• Enfoque orientado al servicio: La Oficina de IA y las autoridades nacionales deben participar en un diálogo continuo, orientado al servicio, con las empresas afectadas.

¿Cuáles son las implicaciones sectoriales de la implementación de estándares horizontales?

La implementación de los estándares horizontales de la Ley de IA de la UE tendrá diversas implicaciones según la madurez regulatoria existente de un sector y la naturaleza de sus aplicaciones de IA.

Sanidad y tecnología médica (MedTech)

Si bien a menudo se debate el equilibrio entre la privacidad, la precisión y la calidad de la atención, las organizaciones con experiencia regulatoria existente en el sector de la salud están encontrando soluciones prácticas aprovechando su cumplimiento del Reglamento de dispositivos médicos (MDR). Este sector se beneficia de los estándares de la Ley de IA, lo que podría mejorar la interoperabilidad e integrar sin problemas las herramientas de IA en los sistemas existentes, al tiempo que se centra en la precisión clínica y la confianza pública.

Fabricación

El sector manufacturero anticipa una estrecha alineación entre los estándares técnicos y los marcos establecidos (ISO 9001, ISO 31000 y protocolos de la Industria 4.0). Esta integración ofrece oportunidades para mejorar el control de calidad y estandarizar el procesamiento de datos. Sin embargo, surgen desafíos para mantener una documentación exhaustiva de las decisiones impulsadas por la IA, especialmente en contextos de producción de alta velocidad. Además, las extensas pruebas previas a la implementación podrían ralentizar la adopción de soluciones de automatización en tiempo real, lo que afectaría a los fabricantes más pequeños que podrían tener dificultades con los costos de cumplimiento.

Tecnología Legal (Legal Tech)

Las empresas de tecnología legal están preocupadas por la gran cantidad de recursos necesarios para mantener los registros de auditoría de los resultados de la IA, específicamente cuando se manejan datos confidenciales de los clientes. La integración de regulaciones, incluido el RGPD, requiere actualizaciones técnicas y una cuidadosa consideración de la gobernanza de los datos. Sin embargo, estas empresas ven el cumplimiento como una oportunidad para establecerse como líderes en prácticas éticas de IA y aumentar la confianza del cliente en los mercados regulados.

Tecnología Financiera (FinTech)

El sector FinTech teme que los requisitos demasiado prescriptivos puedan favorecer a las instituciones establecidas sobre las empresas emergentes. Estos entrevistados establecen paralelismos con sus experiencias con PSD2. Si bien la estandarización puede catalizar la confianza y la claridad en áreas como la autenticación de clientes, a las empresas les preocupa que los requisitos de cumplimiento complejos puedan sobrecargar de manera desproporcionada a las empresas más pequeñas, como en las regulaciones anteriores del sector financiero.

Movilidad (Automoción) y Defensa

Si bien estos sectores pueden quedar parcialmente fuera del alcance de la Ley de IA, aún enfrentarán las implicaciones de los requisitos de IA de alto riesgo derivados de los estándares armonizados. Los proveedores de IA en el sector de la movilidad consideran que estos estándares mejoran la transparencia y la seguridad, al tiempo que imponen cargas operativas, particularmente para los sistemas complejos que necesitan explicabilidad y medidas de ciberseguridad. El sector de la defensa, aunque está explícitamente excluido por razones de seguridad nacional, experimentará una presión indirecta a través de los impactos del ecosistema y las consideraciones de doble uso, especialmente con respecto a los sistemas autónomos que operan en entornos de alto riesgo.

¿Cómo influyen los estándares de IA en diferentes sectores?

La implementación de estándares de IA, impulsada en gran medida por la Ley de IA de la UE, está causando ondas en diversos sectores, incluso aquellos que no están directamente dentro del alcance de la regulación. Mientras que sectores como la atención médica y las finanzas luchan con el cumplimiento directo, otros están sintiendo la presión indirecta y anticipando efectos a largo plazo. Analicemos cómo se está desarrollando esto.

Movilidad y Automoción

El sector de la movilidad presenta un caso fascinante. Los datos de las entrevistas sugieren que las empresas ven los estándares de IA como un arma de doble filo. Por un lado, la mejora de la transparencia y la seguridad son atractivas. Por otro, se anticipan cargas operativas sustanciales, especialmente en lo que respecta a los sistemas complejos que requieren una explicabilidad avanzada y una ciberseguridad robusta. Un hallazgo clave es la amplitud con la que se aplica la etiqueta de IA de «alto riesgo». Los proveedores de movilidad se están dando cuenta de que los procesos aparentemente rutinarios, como la planificación de rutas, pueden entrar en esta clasificación debido a su naturaleza dinámica y a su dependencia de múltiples puntos de datos. Esto crea importantes obstáculos operativos y de cumplimiento.

Defensa

El sector de la defensa, en gran medida excluido de la Ley de IA debido a preocupaciones de seguridad nacional, está experimentando presión indirecta a través de efectos de ecosistema y consideraciones de «doble uso» — tecnologías con aplicaciones tanto civiles como militares. Aunque no están directamente reguladas, las empresas de defensa están supervisando de cerca la Ley de IA porque afecta a la disponibilidad de modelos de IA de código abierto y a los estándares generales de IA. ¿Una visión sorprendente? El sector a menudo se adhiere a estrictos estándares de seguridad comparables a las aplicaciones civiles, un factor que puede impulsar la alineación voluntaria con los requisitos de la Ley de IA.

La integración de estándares de IA de alto riesgo, como la explicabilidad, la gestión de riesgos y los marcos de transparencia, podría mejorar la seguridad y la interoperabilidad de los sistemas de IA de defensa, en particular los sistemas autónomos que funcionan en entornos de alto riesgo como zonas de combate urbanas o respuesta a desastres. Los datos de las entrevistas sugieren que algunas empresas están considerando adoptar voluntariamente algunos de los sistemas de IA de alto riesgo porque creen que permitirá una mayor colaboración civil-militar y fomentará la confianza en los sistemas de colaboración IA-humano.

Desafíos Financieros y del Mundo Real

Estas implicaciones intersectoriales están conduciendo a respuestas variables. Algunas empresas de movilidad están considerando mercados alternativos con menores cargas regulatorias, citando desafíos financieros y operativos. Por el contrario, las empresas de defensa ven posibles ventajas competitivas en la adopción de estándares de alto riesgo. ¿El hilo conductor? Ambos sectores reconocen que la alineación con estas directrices de transparencia e interoperabilidad es, en última instancia, beneficiosa, a pesar de los obstáculos iniciales de la implementación.

Esencialmente, incluso los sectores que están fuera del alcance directo de la Ley de IA de la UE se enfrentan al reto de navegar por los estrictos estándares de IA. A medida que la IA se vuelve más omnipresente, es probable que estos efectos indirectos se expandan, remodelando las operaciones y potencialmente influyendo en la competencia del mercado. Esto hace que la comprensión y la adaptación a los estándares de IA sean cruciales para las empresas, independientemente de dónde operen.

¿Cómo se puede optimizar el cronograma de implementación de la Ley de IA?

El ambicioso objetivo de la Unión Europea de regular la IA a través de la Ley de IA de la UE enfrenta desafíos debido a los ajustados plazos de implementación, la compleja dinámica de las partes interesadas y los costos de implementación. A continuación, se indica cómo se puede optimizar el cronograma, según la información de la industria:

Ajuste de los plazos de implementación

El ritmo actual del desarrollo de normas de IA genera preocupación. La brecha entre la publicación esperada de las normas (principios de 2026) y la fecha límite de cumplimiento (agosto de 2026) proporciona solo entre 6 y 8 meses para la implementación. Las organizaciones informan que necesitan al menos 12 meses por norma. Las opciones incluyen:

• Acción legislativa: El legislador de la UE debería considerar posponer los plazos de implementación para alinearlos con los cronogramas de adopción realistas.
• Reducir el alcance de la norma: Disminuir la cantidad y la complejidad de las 35 normas técnicas que se están desarrollando.
• Publicación anticipada: Publicar normas casi definitivas de forma temprana, pero reconocer que estas pueden cambiar.
• Portal de transparencia: Crear una plataforma en línea para el acceso gratuito a los borradores de las normas y proporcionar un sistema de retroalimentación, especialmente para las pymes.
• Diálogo continuo: La Oficina de IA y las autoridades nacionales deben participar en un diálogo continuo con las empresas durante la implementación, similar a las autoridades de supervisión financiera.

Disminución de las barreras de participación

La representación de las partes interesadas en los comités de normalización es desigual, y las grandes empresas a menudo dominan. Según la sentencia Malamud del Tribunal de Justicia de la Unión Europea (TJUE), las normas armonizadas deben ser accesibles para los ciudadanos de la UE de forma gratuita. Las estrategias adicionales para mejorar la participación son:

• Redes de expertos: La Comisión Europea o CEN-CENELEC deberían crear redes de expertos específicos de la industria para guiar el cumplimiento específico del sector.
• Apoyo financiero: Establecer mecanismos de financiación sustanciales a nivel de la UE y federal para subvencionar la participación de las pymes, excluyendo a las grandes corporaciones que tienen recursos suficientes. Centrar la financiación en función de los gastos reales de personal derivados de la participación en el comité.
• Programas de tutoría: Implementar programas de tutoría que vinculen a expertos con representantes de empresas emergentes y pymes.
• Accesibilidad del comité: Transformar los comités de normalización de la IA en órganos transparentes que proporcionen información y simplifiquen los procesos de entrada. Los miembros experimentados pueden guiar a los recién llegados.

Ayuda práctica para la implementación

Proporcionar herramientas de orientación pragmáticas para el cumplimiento de la Ley de IA, con la Oficina de IA de la UE y las autoridades posteriores centrándose en las pymes:

• Orientación pragmática: Establecer una orientación interpretativa periódica, consejos de implementación concretos y apoyo directo a través de personas de contacto dedicadas, diseñados específicamente para las pymes.
• Documentación de orientación específica: Suministrar documentos de orientación específicos del sector, ejemplos del mundo real y guías de implementación paso a paso, así como proporcionar actualizaciones coherentes de la industria dados los desarrollos de la IA.
• Comunicación operativa: Para permitir la comprensión de los desafíos y las necesidades y garantizar que el apoyo aborde las necesidades reales del mercado, se debe implementar un sistema de comunicación práctico entre los reguladores y las industrias clave.
• Marcos de evaluación: Crear dicho marco para medir el progreso, garantizar la rendición de cuentas y realizar un seguimiento de las mejoras a través de métricas cuantificables.

Consideraciones adicionales

Más allá de lo anterior, los entornos de pruebas regulatorios estipulados en el Art. 57 de la Ley de IA podrían facilitar la comunicación y la colaboración entre la comunidad de desarrollo de IA de alto riesgo y los reguladores de la UE.

Al abordar las limitaciones de tiempo mencionadas, el desequilibrio de la normalización y los altos costos de cumplimiento de la IA, se optimizan los ajustes de política para la implementación de la Ley de IA de la UE.

¿Cómo se puede mejorar la participación en el desarrollo de estándares de IA?

La ambiciosa Ley de IA de la UE depende de estándares técnicos, lo que hace que su desarrollo efectivo sea crucial. Sin embargo, la participación en los comités de normalización está sesgada hacia las empresas más grandes, a menudo con una representación significativa de los gigantes tecnológicos estadounidenses. Este desequilibrio deja a las PYMES, las empresas emergentes, la sociedad civil y la academia subrepresentadas, lo que podría conducir a estándares que no aborden sus necesidades y desafíos específicos.

Para igualar las condiciones y fomentar una participación más amplia, se pueden tomar varias medidas prácticas:

Apoyo financiero

Establecer mecanismos sólidos de financiación a nivel de la UE y nacional para subvencionar la participación de las PYMES y las empresas emergentes en estos comités. Este apoyo debe cubrir los costes reales de dedicar personal al trabajo de normalización, garantizando que puedan permitirse el lujo de contribuir de manera significativa.

Programas de tutoría

Implementar programas de tutoría que conecten a expertos en normalización experimentados con representantes de PYMES y empresas emergentes. Esto proporcionaría una orientación y un apoyo inestimables, ayudándoles a navegar por el complejo proceso.

Agilizar el acceso al comité

Revisar la accesibilidad de los comités de normalización creando una plataforma centralizada y fácil de usar con información transparente y procesos de entrada simplificados. Un sistema de «guía de normalización», en el que miembros experimentados ayuden a los recién llegados, facilitaría aún más el proceso de incorporación y promovería una colaboración más activa entre los diferentes interesados.

Es crucial que la industria y, especialmente, las empresas ajenas a la comunidad Safe AI participen activamente en el desarrollo de normas. Los organismos de normalización deben fomentar la colaboración activa entre empresas grandes y pequeñas para promover una normalización colaborativa multifacética.

Al abordar estas barreras prácticas, podemos garantizar que el desarrollo de normas de IA sea más inclusivo, equilibrado y, en última instancia, más eficaz para fomentar una innovación responsable en materia de IA en todo el panorama europeo.

¿Cómo puede mejorarse el apoyo práctico para la implementación de la IA?

Para los proveedores de IA que buscan navegar por las exigencias de estandarización de la Ley de IA de la UE, una estrategia multifacética centrada en una orientación accesible, asistencia financiera y enfoques colaborativos es esencial. Las siguientes recomendaciones abordan los desafíos clave identificados a través de entrevistas con organizaciones de diversos sectores.

Ajuste de los plazos y el alcance de la implementación

El plazo actual para la implementación de la Ley de IA plantea un desafío concreto. Se necesita experiencia técnica para integrarse en los comités de normas. Es necesario retrasar el plazo de la Ley en, al menos, 12 meses, para que más empresas puedan lograr el cumplimiento.

• Reducir el gran volumen de normas técnicas previstas como entregables.
• Proporcionar acceso temprano a versiones casi finales de las normas, reconociendo el riesgo de cambios posteriores.
• Establecer un portal en línea centralizado que ofrezca acceso gratuito a los proyectos de normas y un sistema de retroalimentación de bajo umbral.
• Fomentar un diálogo continuo entre la Oficina de IA, las autoridades nacionales y las empresas afectadas, emulando prácticas regulatorias orientadas al servicio.

Reducción de las barreras a la participación en la normalización

Es necesario que la Comisión Europea apoye financieramente la participación de las PYME en la normalización, debido a la falta de recursos de las PYME y las empresas emergentes. Promover lo que las empresas emergentes pueden ganar al participar en dichos comités: influencia directa en la configuración de las regulaciones que rigen sus tecnologías.

• Establecer mecanismos de financiación a nivel de la UE y nacional para subvencionar la participación de las PYME en los comités de normalización.
• Implementar programas de tutoría que emparejen a expertos en normalización con representantes de empresas emergentes y PYME para brindar orientación y apoyo.
• Revisar la accesibilidad de los comités de normalización a través de una plataforma centralizada y fácil de usar, procesos transparentes y prioridades claras.

Proporcionar ayuda práctica para la implementación

Los siguientes son algunas herramientas de orientación pragmática y puntos de acción que ayudarán al cumplimiento de la Ley de IA, con foco en las PYME. Esto incluye orientación interpretativa periódica, consejos concretos de implementación y apoyo directo a través de personas de contacto dedicadas que mantienen relaciones continuas con la comunidad de proveedores de IA.

• La Comisión Europea y los Estados miembros de la UE deberían crear programas para las empresas emergentes pre-ingresos, con el fin de buscar el cumplimiento de la Ley de IA.
• La Comisión Europea y la Oficina de IA podrían proporcionar directrices prácticas y específicas de la industria para ayudar a las partes a determinar si se encuentran dentro de las categorías de alto riesgo de la Ley de IA.
• Para mayor eficiencia, se deberían considerar con más fuerza los requisitos basados en umbrales para la normalización. Además, el acceso digital más fácil es crucial.

Integración estructurada de las PYME en la implementación

El foro asesor y el panel científico, como se menciona en el Art. 67 de la Ley de IA, deben incluir la representación de empresas emergentes y PYME para garantizar que sus desafíos se consideren en la guía de implementación. Además, debería haber canales de consulta directa entre las pequeñas empresas y los organismos reguladores, más allá de las estructuras consultivas formales.

Alineación de las normas

Los organismos de normalización deben alinear todas las normas existentes de la industria con la Ley de IA para agilizar el cumplimiento. Las normas europeas e internacionales de IA también deben alinearse para agilizar los esfuerzos de cumplimiento de las organizaciones.

• Debería haber una acción temprana para que las industrias se aseguren de que están siguiendo los requisitos futuros.
• Los organismos de normalización internacionales, europeos y nacionales deben aumentar sus niveles de cooperación mutua.

¿Cómo se puede mejorar la integración estructurada de las pymes en la implementación de la IA?

Las pequeñas y medianas empresas (pymes) que desarrollan e implementan sistemas de IA se enfrentan a obstáculos únicos para cumplir con la Ley de IA de la UE. Los desafíos provienen de los ajustados plazos de implementación, la compleja dinámica de las partes interesadas y los importantes costes de cumplimiento. Por lo tanto, un enfoque estructurado para integrar a las pymes es crucial para fomentar la innovación y garantizar la igualdad de condiciones.

Desafíos clave para las pymes:

• Temporal: La brecha entre la publicación esperada de las normas armonizadas (principios de 2026) y la fecha límite de cumplimiento (agosto de 2026) deja solo una estrecha ventana para la implementación, insuficiente para la mayoría de las pymes.
• Estructural: La escasa participación en el proceso de desarrollo de normas (CEN-CENELEC JTC 21) impide que las pymes definan normas que incidan directamente en sus operaciones.
• Operacional: Los importantes costes de cumplimiento (estimados entre 100.000 y 300.000 euros anuales) y las complejidades normativas suponen una carga desproporcionada, especialmente para las entidades más pequeñas.

Recomendaciones políticas para una mejor integración de las pymes:

Para abordar estos desafíos, se pueden implementar varias recomendaciones políticas:

Ajustar los plazos de implementación

El legislador de la UE debería considerar la posibilidad de ampliar el plazo de implementación de la Ley de IA para mitigar el cuello de botella causado por los retrasos en el desarrollo de normas armonizadas. Esto restablecería el equilibrio y permitiría a las empresas elegir su enfoque de cumplimiento óptimo, ya sea a través de normas armonizadas, especificaciones comunes o dictámenes de expertos.

Reducir las barreras a la participación

El acceso a los comités de normalización debe estar mejor apoyado financieramente para las pymes y las empresas emergentes más pequeñas, lo que permite un apoyo especializado para los requisitos de la industria y aborda eficazmente los desafíos de cumplimiento específicos del sector.

La Comisión Europea o el CEN-CENELEC deberían crear redes de expertos específicas del sector a escala de la UE que puedan proporcionar orientación específica para los desafíos de cumplimiento específicos del sector.

Revisar la accesibilidad de los comités de normalización a través de una plataforma, procesos y prioridades centralizados y fáciles de usar.

Ayuda práctica para la implementación

Establecer herramientas de orientación pragmáticas para el cumplimiento de la Ley de IA, con especial atención a las pymes. Esto se alinearía con la obligación de la Oficina de IA del art. 62 de la Ley de IA, que cubre específicamente plantillas estandarizadas, una plataforma de información única y campañas de comunicación.

Crear programas de apoyo financiero diseñados para empresas emergentes sin ingresos que buscan el cumplimiento de la Ley de IA. Estos programas proporcionarían financiación directa para cubrir los costes relacionados con el cumplimiento antes de que las empresas emergentes hayan establecido flujos de ingresos.

Los reguladores, incluida la Oficina de IA y las autoridades nacionales, deben actuar como proveedores de servicios, supervisando y analizando sistemáticamente cómo las organizaciones implementan las normas técnicas.

Integración estructurada de las pymes

Establecer y dotar de personal rápidamente al foro asesor y al panel científico tal como se describe en el art. 67 de la Ley de IA. Estos órganos deben incluir representación de empresas emergentes y pymes y conocimiento del sector industrial.

Establecer canales de consulta directa entre las empresas emergentes/pymes de IA y los organismos reguladores, con el apoyo de puntos de contacto claros a nivel de la UE y que se extiendan más allá de las estructuras consultivas formales.

Alineación de normas

Los organismos de normalización (especialmente ISO/IEC y CEN-CENELEC) deben alinear las normas verticales específicas de la industria con el artículo 40 de la Ley de IA para los sistemas de IA de alto riesgo. Este enfoque se alinea con las conclusiones de que algunos sectores, como la atención sanitaria y la fabricación, ya están aprovechando la experiencia reguladora existente para abordar los desafíos de la IA.

Las cargas de cumplimiento se pueden reducir aprovechando sistemáticamente las normas existentes para la coherencia y la interoperabilidad y facilitando la entrada en los mercados internacionales.

Al desarrollar e implementar normas armonizadas, es crucial evitar la creación de una presunción de conformidad negativa, que puede aumentar significativamente la carga de cumplimiento para los proveedores.

Al implementar estas recomendaciones, los responsables políticos pueden garantizar una integración estructurada de las pymes en la implementación de la IA, fomentando la innovación y promoviendo el desarrollo ético de la IA dentro de la UE.

¿Cómo deberían alinearse los estándares para facilitar el cumplimiento?

Para agilizar el cumplimiento y reducir la carga para los proveedores de IA, especialmente las PYMES y las empresas emergentes, es crucial que los organismos de normalización alineen los estándares verticales específicos de la industria con los requisitos horizontales de la Ley de IA de la UE (Art. 40). Dado que el artículo 103 y siguientes probablemente obligarán a esta alineación, la acción temprana puede preparar a las industrias para futuras obligaciones.

Este enfoque está respaldado por la observación de que sectores como la atención médica y la manufactura ya están aprovechando su experiencia regulatoria existente para afrontar los desafíos relacionados con la IA. Alinear los estándares europeos e internacionales de IA lo más estrechamente posible agilizará aún más los esfuerzos de cumplimiento.

Aspectos Clave de la Alineación de Estándares:

Los organismos de normalización europeos e internacionales deben cooperar más estrechamente, garantizando al mismo tiempo que dicha cooperación respete los valores europeos. Al desarrollar e implementar estándares armonizados, es crucial evitar una presunción negativa de conformidad. Una presunción negativa de conformidad (donde el incumplimiento total de las normas técnicas implica automáticamente el incumplimiento de la Ley de IA) debe evitarse cuidadosamente. Si bien la adhesión a las normas puede simplificar la demostración del cumplimiento de los requisitos de la Ley de IA, debe mantenerse un grado de flexibilidad para tener en cuenta las realidades tecnológicas y evitar las barreras de entrada basadas en las normas.

Aquí hay algunas mejores prácticas:

• Aprovechar los Estándares Existentes: Utilizar sistemáticamente los estándares existentes para promover la coherencia y la interoperabilidad, facilitando el acceso a mercados internacionales más amplios.
• La Armonización es Clave: Esto se aplica a las industrias que operan en la periferia del alcance directo de la Ley de IA, como la defensa y la automoción.
• Adaptar los Marcos Existentes: En lugar de crear regulaciones o estándares completamente nuevos, modificar los marcos existentes tanto a nivel federal como de la UE para incorporar los requisitos de cumplimiento de la IA.

Al promover una estandarización estratégica y específica, los responsables de la formulación de políticas pueden evitar esfuerzos redundantes, mantener la coherencia entre los sectores y promover un panorama de cumplimiento más ágil y accesible para todos los interesados.

En última instancia, el éxito depende de la navegación de una compleja interacción de especificaciones técnicas, dinámicas de las partes interesadas y realidades financieras. El cronograma de implementación exige una recalibración cuidadosa, garantizando el tiempo suficiente para que todos los actores se adapten. Una participación más amplia es esencial, particularmente para las PYME y las empresas emergentes, lo que garantiza un desarrollo de normas más inclusivo y equilibrado. A través de una orientación específica, un apoyo práctico y un esfuerzo de estandarización más armonizado, la Ley de IA de la UE puede alcanzar sus objetivos de fomentar la innovación al tiempo que salvaguarda los derechos fundamentales y fomenta un ecosistema de IA responsable.