¿Cuáles son las características clave del panorama de la normalización de la IA?
El panorama europeo de la normalización de la IA está siendo moldeado actualmente por varios factores clave. Las normas armonizadas en virtud de la Ley de IA de la UE están diseñadas para proporcionar una vía clara para el marcado CE y facilitar el acceso al mercado de la UE para los sistemas de IA. Sin embargo, el proceso de normalización implica dinámicas complejas de las partes interesadas, obstáculos en la implementación técnica y costos potencialmente significativos, especialmente para las empresas emergentes y las PYMES. Las normas técnicas están remodelando la competencia mundial en IA y actúan como barreras de entrada al mercado, en particular para las empresas emergentes y las PYMES debido a las limitaciones de recursos y la participación desigual en los procesos de establecimiento de normas.
Partes interesadas y comités clave
El panorama está poblado por múltiples partes interesadas clave, incluidos los organismos de normalización, los actores de la industria, los grupos de la sociedad civil y las organizaciones científicas. Los comités de normalización clave incluyen:
- ISO/IEC JTC 1/SC 42 (IA): Un comité internacional con numerosas normas publicadas y en desarrollo.
- Comité de normas de IA del IEEE: Otro actor importante con normas existentes y futuras.
- CEN-CENELEC JTC 21 (IA): Un comité europeo conjunto que trabaja en el desarrollo de normas en línea con la Ley de IA de la UE.
Además, los organismos nacionales de normalización, como DIN en Alemania, colaboran con organismos internacionales para equilibrar los esfuerzos nacionales e internacionales.
Normas horizontales frente a verticales
Los principales desafíos de normalización dependen del tipo de norma que se esté considerando:
- Normas horizontales: Las normas independientes del sector descritas en la Ley de IA se aplican generalmente. Sin embargo, la ambigüedad y la complejidad surgen en el cumplimiento debido a las diferentes interpretaciones en los distintos sectores y Estados miembros.
- Normas verticales: Es posible que se requieran normas específicas del sector además de las horizontales, dependiendo de la legislación existente. Esto es particularmente relevante para la maquinaria, los dispositivos médicos y otras industrias con regulaciones sectoriales establecidas.
La interacción entre las normas horizontales y verticales presenta importantes desafíos de cumplimiento, especialmente en lo que respecta a la transparencia, la interoperabilidad y los diferentes requisitos de secreto entre los Estados miembros de la UE.
Desafíos y preocupaciones con respecto al proceso de normalización de la Ley de IA
Varios desafíos impiden el proceso de normalización, incluidos:
- Cronogramas críticos: Los plazos ajustados establecidos por la Comisión Europea pueden ser difíciles de cumplir dada la complejidad de la creación de consenso y la necesidad de alinearse con las necesidades de normalización tanto globales como específicas del sector.
- Dinámica compleja de las partes interesadas: Las grandes empresas, particularmente las gigantes tecnológicas y de consultoría de EE. UU., a menudo dominan los comités de normalización, lo que lleva a una subrepresentación de las PYMES, las empresas emergentes y las organizaciones de la sociedad civil.
- Costos injustificables: El costo de acceder a las normas genera preocupación, especialmente a la luz del caso Malamud, que explora si las normas armonizadas deberían ser de libre acceso como parte del derecho de la UE.
- Obstáculos a la puesta en marcha: Convertir las normas en pasos accionables es difícil. Esto se puede abordar mediante normas inteligentes legibles por máquina para automatizar las capacidades de prueba.
Los cortos plazos de implementación entre las publicaciones finales de las normas y la aplicación de la Ley de IA son una preocupación importante.
¿Cuál es el estado actual del proceso de estandarización de la IA en Europa?
La Ley de IA de la UE depende en gran medida de las normas técnicas para poner en práctica sus requisitos de alto riesgo, pero el proceso de estandarización se enfrenta a algunos obstáculos. La Comisión Europea emitió una solicitud de normalización a CEN y CENELEC en mayo de 2023, con el objetivo de definir requisitos prácticos para los sistemas de IA. Sin embargo, la fecha límite original se fijó inicialmente para abril de 2025; ahora se ha extendido hasta agosto de 2025. Incluso con esta prórroga, la entrega a tiempo es incierta. Una vez finalizadas las normas, tendrán que pasar por otra revisión y podrán publicarse en el DOUE, lo que actualmente se espera para principios de 2026; entonces, los proveedores de IA sólo tendrán aproximadamente entre 6 y 8 meses para aplicarlas antes de agosto de 2026.
Hasta ahora, más de 300 expertos de más de 20 Estados miembros de la UE están trabajando para especificar los requisitos de alto riesgo de la Ley de IA y, actualmente, el JTC 21 de CEN-CENELEC está trabajando en unas 35 actividades de normalización para cumplir con la solicitud. La mayoría de los elementos de trabajo se basan en normas ISO/IEC o se han desarrollado conjuntamente con ellas, pero muchos aspectos de la Ley de IA requieren nuevas normas europeas para la alineación con los valores de la UE y la protección de los derechos fundamentales.
La solicitud de normalización de la Comisión Europea esbozó diez resultados esenciales que abordan los principales requisitos reglamentarios, desde la gestión de riesgos hasta la evaluación de la conformidad. Los resultados incluyen:
- Gestión de riesgos para sistemas de IA
- Gobernanza y calidad de los datos de los conjuntos de datos
- Mantenimiento de registros mediante capacidades de registro integradas
- Transparencia e información a los usuarios
- Supervisión humana de los sistemas de IA
- Especificaciones de precisión para sistemas de IA
- Especificaciones de robustez para sistemas de IA
- Especificaciones de ciberseguridad para sistemas de IA
- Gestión de la calidad para proveedores de sistemas de IA, incluido el proceso de seguimiento posterior a la comercialización
- Evaluación de la conformidad para sistemas de IA
Se está trabajando en ello, pero las fechas de votación previstas para una buena parte de los elementos de trabajo se esperan para mediados de 2026, superando el plazo de la solicitud de normalización en más de un año. Si bien se han realizado algunos avances hacia el establecimiento de normas de IA, los retrasos podrían afectar a la capacidad de los proveedores de IA para desplegar sistemas seguros y conformes.
¿Qué conclusiones pueden extraerse de las implicaciones intersectoriales y específicas de la industria de las normas de IA?
Basándose en entrevistas con organizaciones de la UE que desarrollan e implementan sistemas de IA, surgen varias implicaciones intersectoriales y específicas de la industria de las normas de IA, derivadas principalmente de las próximas regulaciones de la Ley de IA de la UE.
Hallazgos intersectoriales
Varios desafíos y oportunidades generales afectan a diferentes industrias:
- Ambigüedad y complejidad en el cumplimiento: Definir los límites del cumplimiento es difícil, especialmente cuando los sistemas integran múltiples componentes o modelos de terceros. Los requisitos divergentes de secreto entre los estados miembros de la UE exacerban estos problemas, creando conflictos operativos. La ambigüedad de la clasificación (p. ej., sistemas que evolucionan desde el soporte de diseño hasta el control operativo) también es una preocupación crítica. Incluso las organizaciones familiarizadas con los marcos regulatorios existentes luchan por alinear los requisitos de la Ley de IA.
- Demandas de recursos: La Ley de IA exige recursos significativos. Los proveedores de IA anticipan costos anuales de cumplimiento de alrededor de 100 000 € para el personal y del 10 al 20 % del tiempo de gestión. Los costos de certificación pueden superar los 200 000 € en sectores como la tecnología médica y la tecnología legal. Estos costos pesan sobre las empresas emergentes que buscan voluntariamente la certificación para minimizar la incertidumbre regulatoria.
- Impacto en la reputación del mercado: Los actores establecidos en la atención médica y la tecnología legal ven la regulación como potencialmente beneficiosa para la confianza del mercado, otros temen las barreras a la innovación basadas en la estandarización. Las PYME temen que los requisitos de cumplimiento afecten desproporcionadamente su capacidad de escalar, lo que podría hacer que pierdan terreno frente a jurisdicciones con cargas regulatorias más bajas.
- Participación asimétrica en el establecimiento de normas: La participación limitada en la estandarización entre las PYME y las empresas emergentes significa que las empresas más pequeñas podrían estar en desventaja. Los esfuerzos de estandarización dentro de los comités de la JTC 21 a menudo están dominados por corporaciones más grandes.
- Jurisdicciones fragmentadas: Las discrepancias entre los marcos regulatorios retrasan la entrada al mercado de la UE, lo que hace que otros mercados (p. ej., los EE. UU.) sean más atractivos. Las variadas interpretaciones entre los estados miembros de la UE crean desafíos de implementación. Las empresas expresan preocupación por los retrasos y las inconsistencias en los procesos de certificación basados en experiencias pasadas.
- Plazos de implementación cortos: Las empresas ven la fecha límite de agosto de 2026 como poco práctica y estiman que necesitan 12 meses por norma. Los plazos podrían desviar significativamente los recursos de las actividades de desarrollo.
Hallazgos específicos de la industria
Ciertos sectores enfrentan desafíos particulares y obtienen beneficios específicos:
- Atención médica y tecnología médica: Estos sectores están aprovechando la experiencia de cumplimiento existente del MDR. Existe valor en el potencial de la estandarización para mejorar la interoperabilidad.
- Fabricación: La estandarización anticipa una estrecha alineación entre las normas técnicas, ISO 9001, ISO 31000 y los protocolos de la Industria 4.0. Se necesita documentación exhaustiva para las decisiones impulsadas por la IA.
- Tecnología legal: Mantener registros de auditoría detallados para las salidas de la IA requiere muchos recursos, especialmente cuando se manejan datos confidenciales de los clientes. Prevén que el cumplimiento de las normas de alto riesgo puede establecerlos como líderes en IA ética y mejorar la confianza del cliente.
- FinTech: Existen preocupaciones sobre requisitos demasiado prescriptivos que potencialmente favorecen a las instituciones establecidas, y están específicamente preocupados por ser similares a las experiencias con la implementación de PSD2. La estandarización se considera un factor de fomento de la confianza, pero a las empresas más pequeñas les preocupa que los requisitos de cumplimiento complejos puedan sobrecargarlas.
Además, las normas técnicas afectarán a los sectores de movilidad/automoción y defensa, aunque partes de estos sectores quedan fuera del ámbito directo de la Ley de IA. Los proveedores de IA en movilidad ven las normas como un arma de doble filo.
El sector de la defensa, excluido por razones de seguridad nacional, enfrenta presión indirecta a través de los impactos del ecosistema. Si bien no están directamente reguladas, las empresas de defensa monitorean de cerca los impactos de las normas en la disponibilidad de modelos de IA de código abierto y las normas generales de IA.
En conclusión, si bien las normas de IA ofrecen oportunidades para mejorar la transparencia, la seguridad y la interoperabilidad, su implementación efectiva requiere una consideración cuidadosa de los desafíos que enfrentan las organizaciones más pequeñas, la necesidad de una guía más clara y el potencial de fragmentación regulatoria para obstaculizar la innovación en el ecosistema de IA de la UE.
¿Qué recomendaciones de políticas se presentan para abordar los desafíos planteados por la Ley de IA Europea?
La Ley de IA Europea, aunque innovadora, presenta obstáculos importantes para los desarrolladores de IA, particularmente las nuevas empresas y las PYME. Una conclusión clave del análisis reciente es la necesidad de políticas prácticas y procesables para allanar el camino hacia el cumplimiento. Aquí hay un desglose de las recomendaciones:
Ajustes de plazos: Más margen de maniobra
Los plazos actuales no son realistas. La brecha entre la publicación esperada de normas armonizadas (principios de 2026) y la fecha límite de cumplimiento (agosto de 2026) deja apenas entre 6 y 8 meses para la implementación. Muchas empresas estiman que necesitan al menos 12 meses por norma. La recomendación es clara: el legislador de la UE debería posponer los plazos de implementación para proporcionar plazos más realistas. Esto es crucial para permitir que las empresas elijan su enfoque óptimo de cumplimiento, ya sea confiando en normas armonizadas, especificaciones comunes u opiniones de expertos. También se recomienda reducir la complejidad y el número de normas técnicas a las que se hace referencia.
Reducción de las barreras de participación: Un asiento en la mesa para todos
La participación de las partes interesadas, especialmente de las PYME y las nuevas empresas, es vital. Sin embargo, el proceso de estandarización tiende a estar dominado por las grandes empresas. Esto es lo que debe suceder: Las subvenciones para que las organizaciones más pequeñas participen en los comités son esenciales. Se necesita una mayor transparencia y accesibilidad para los programas de subvenciones existentes. Los esfuerzos de estandarización colaborativos entre grandes y pequeños actores, fomentados a través de grupos de trabajo inclusivos, pueden ayudar a crear un proceso más equilibrado y representativo. Además, los organismos de normalización deberían reestructurarse para ser más transparentes y fáciles de usar, simplificando los procesos de entrada para los recién llegados.
Ayuda práctica para la implementación: Una mano amiga para navegar por la complejidad
La Oficina de IA de la UE y las autoridades supervisoras nacionales deberían proporcionar herramientas de orientación pragmáticas para el cumplimiento de la Ley de IA, dirigidas específicamente a las PYME. Las recomendaciones incluyen: Emitir conjuntos de herramientas de implementación y marcos de evaluación claros y específicos para cada sector. Construir redes de expertos basadas en canales de comunicación bidireccionales con industrias de IA de alto riesgo. Ofrecer apoyo en entornos institucionalizados, como los entornos de pruebas regulatorias. El objetivo es hacer que el proceso de cumplimiento sea más manejable y comprensible, especialmente para aquellos con recursos limitados.
Apoyo financiero: Financiando el futuro del cumplimiento de la IA
El apoyo financiero directo es fundamental para las nuevas empresas que aún no generan ingresos y que buscan el cumplimiento de la Ley de IA. Los programas propuestos deberían proporcionar financiación para cubrir los costes de cumplimiento antes de que las empresas empiecen a generar ingresos. Este apoyo puede facilitarse mediante la participación en entornos de pruebas regulatorias, lo que permite a las nuevas empresas y a los reguladores aprender de las experiencias prácticas.
Directrices para la implementación técnica: Claridad donde se necesita
Una orientación rápida, práctica y específica del sector para la implementación es esencial, especialmente para las pequeñas empresas emergentes que luchan por determinar si entran en las categorías de la Ley de IA de alto riesgo. Las acciones recomendadas incluyen: Desarrollar documentos de orientación detallados y específicos para cada sector con ejemplos concretos y escenarios del mundo real. Los organismos de normalización también deberían tratar de diseñar normas que no requieran una mayor operacionalización, centrándose en los requisitos basados en umbrales y un acceso digital más fácil.
Integración estructurada de las PYME: Canales de consulta directa
Establecer foros asesores y paneles científicos como se indica en el Art. 67 de la Ley de IA, asegurando que estos organismos incluyan representación de nuevas empresas, PYME y expertos de la industria sectorial. Desarrollar canales de consulta directa entre las nuevas empresas/PYME de IA y los organismos reguladores, con el apoyo de puntos de contacto claros a nivel de la UE. Estas medidas están destinadas a garantizar que las perspectivas y los desafíos de los actores más pequeños se tengan en cuenta en la orientación para la implementación y los debates en curso. Los organismos de la UE deberían acercarse más activamente a las nuevas empresas y a las PYME.
Alineación de las normas: La coherencia es clave
Por último, se recomienda que los organismos de normalización alineen las normas verticales específicas del sector con el Art. 40 de la Ley de IA para los sistemas de IA de alto riesgo. Las normas europeas e internacionales de IA deben estar lo más alineadas posible para agilizar los esfuerzos de cumplimiento de las empresas. Los organismos de normalización internacionales, europeos y nacionales deben cooperar más estrechamente. Además, deben evitarse las presunciones de conformidad negativas, permitiendo las desviaciones necesarias de los catálogos de normas, garantizando al mismo tiempo la seguridad del producto. Aprovechar las normas existentes para facilitar la entrada en los mercados internacionales manteniendo la coherencia y la interoperabilidad.
