Amb l’entrada en vigor del Reglament europeu d’intel·ligència artificial, també conegut com AI Act, publicat el 12 de juliol al Diari Oficial de la Unió Europea, totes les entitats que desenvolupin o implantin solucions d’intel·ligència artificial a la Unió Europea hauran de garantir el seu ple compliment en un termini màxim de tres anys, en funció del risc que presentin. L’objectiu de la nova llei és vetllar per la fiabilitat i seguretat dels sistemes d’intel·ligència artificial i el respecte dels drets fonamentals de les persones.
En aquest article, expliquem les principals consideracions i obligacions que qualsevol entitat pública o privada amb un sistema d’intel·ligència artificial en salut utilitzat a la Unió Europea haurà de contemplar segons el tipus de risc que presenti la seva solució. No obstant, cal tenir en compte els diferents casos i excepcions estipulats a la normativa i veure en els propers anys com s’acaba interpretant, ja que encara queden punts per esclarir, tal com apunten diferents actors[i] [ii] [iii].
Què entén la nova llei per sistema d’intel·ligència artificial?
La definició de sistema d’intel·ligència artificial ha estat un dels punts que més debat[iv] ha generat en el procés d’aprovació de la normativa, ja que inicialment podia incloure qualsevol software format per algorismes fixes basats en regles, com els que s’utilitzen a molts dispositius mèdics. Finalment però, l’opció consensuada inclou la capacitat d’adaptació:
“Un sistema basat en màquina dissenyat per funcionar amb diferents nivells d’autonomia, que pot mostrar capacitat d’adaptació després del desplegament, i que, per a objectius explícits o implícits, infereix de la informació d’entrada que rep la manera de generar resultats de sortida, com ara prediccions, continguts, recomanacions o decisions, entre d’altres, que poden influir en entorns físics o virtuals.”
Classificació segons el risc i obligacions en l’àmbit de la salut
L’AI Act classifica els sistemes d’intel·ligència artificial en quatre categories segons el risc potencial que presenten, i fixa una sèrie de requisits i obligacions per a cadascuna d’elles. A continuació, resumim les diferents categories i obligacions, centrant-nos en exemples aplicats a l’àmbit de la salut.
1. Sistemes de risc inacceptable
Són tots aquells que suposen una amenaça per a la seguretat, els mitjans de vida o els drets de les persones. En aquesta categoria entraria, per exemple, qualsevol solució de l’àmbit de la salut que utilitzi tècniques manipuladores o enganyoses per fomentar comportaments perillosos, alterar la conducta, interferir les emocions o aprofitar-se d’alguna vulnerabilitat.
Obligacions: el seu ús està prohibit a tota la Unió Europea.
2. Sistemes d’alt risc
Engloben totes aquelles solucions que poden tenir un impacte potencial en els drets i la presa de decisions sobre les persones, com és el cas d’un diagnòstic o tractament en l’àmbit de la salut. En aquesta classificació entrarien els dispositius mèdics (amb certificació MDR) de classe IIa o superior amb intel·ligència artificial i productes de diagnòstic in vitro (tots aquells amb certificació IVDR) que també utilitzin aquesta tecnologia. Així doncs, per exemple, trobaríem sistemes que incorporen la intel·ligència artificial en l’àmbit del programari d’interpretació d’imatges radiològiques, d’electrocardiogrames, sistemes de monitorització a distància de pacients, de gestió del ritme cardíac, o d’anàlisi d’embrions en fecundació in vitro per avaluar i seleccionar embrions per a la transferència, entre d’altres.
A la categoria d’alt risc, també entrarien els sistemes que utilitzin la intel·ligència artificial com a component de seguretat, com pot ser el cas de la cirurgia assistida per robot, els que incorporin la identificació biomètrica, i determinades solucions d’intel·ligència artificial d’assistència sanitària, siguin o no dispositius mèdics. En aquest cas s’inclourien, per exemple, sistemes que podrien ser utilitzats per autoritats públiques per avaluar l’elegibilitat de les persones per als serveis públics essencials, solucions per a l’avaluació i classificació de trucades d’emergència, sistemes per a l’enviament de serveis de primera intervenció en emergències mèdiques, o solucions per al triatge de pacients a urgències amb intel·ligència artificial.
Obligacions: tots els sistemes considerats d’alt risc estan sotmesos a estrictes obligacions abans de ser comercialitzats. Les principals obligacions exigeixen implementar sistemes adequats d’avaluació i mitigació de riscos; vetllar per l’alta qualitat dels conjunts de dades que alimenten el sistema per minimitzar els riscos i els resultats discriminatoris; crear un registre de l’activitat per garantir la traçabilitat dels resultats; elaborar documentació detallada que proporcioni tota la informació necessària sobre el sistema i la seva finalitat perquè les autoritats puguin fer una avaluació d’impacte abans del primer ús; oferir informació clara i adequada per a l’entitat implantadora; garantir mesures adequades de supervisió humana per minimitzar el risc; i presentar un alt nivell de robustesa, seguretat i precisió. Els promotors de productes sanitaris que ja disposin de certificat MDR o IVDR també hauran de seguir aquestes obligacions, preparant documentació addicional sobre tots aquells punts que no hagin estat coberts en el procés d’obtenció del marcatge europeu.
3. Sistemes de risc limitat:
Són els sistemes destinats a la interacció que no influeixen en la presa de decisions, i que els seus riscos estan associats principalment amb la manca de transparència. En aquesta categoria entrarien, per exemple, determinats assistents virtuals (chatbots) emprats en l’àmbit de la salut que per la seva tipologia no siguin considerats d’alt risc, aplicacions de gestió de cites o apps de benestar que utilitzin intel·ligència artificial, portals de continguts relacionats amb l’àmbit de promoció de la salut elaborats amb intel·ligència artificial generativa, etc.
Obligacions: cal identificar sempre quan una solució utilitzi intel·ligència artificial, per tal de garantir que les persones estan informades. Per exemple, és obligatori que els éssers humans siguin conscients que estan interactuant amb una màquina o assistent virtual, i etiquetar qualsevol contingut generat per intel·ligència artificial en el format que sigui (text, vídeo o àudio, entre d’altres).
4. Sistemes de risc mínim:
En aquesta categoria entrarien les solucions que aportin un risc mínim o nul.
Obligacions: no tenen cap tipus de restricció ni obligacions, però la normativa suggereix que se segueixin principis generals com la supervisió humana, la no discriminació i l’equitat.
La llei també fa referència als sistemes d’intel·ligència artificial d’ús general, que poden adaptar-se a multitud d’usos, més enllà dels quals van ser creats. I en funció de si presenten riscos sistèmics o no, enumera una sèrie d’obligacions que també hauran de complir.
Espai controlat de proves
La nova llei exigeix a les autoritats nacionals que desenvolupin almenys un espai controlat de proves (sandbox) amb condicions similars al món real perquè els desenvolupadors de solucions d’intel·ligència artificial, especialment els provinents de la petita i mitjana empresa, puguin tenir l’oportunitat de desenvolupar, entrenar i validar els models, durant un període limitat abans del seu llançament al públic general. Tot i això, ara caldrà veure com s’articularà aquest entorn de proves i com es desplegarà la nova responsabilitat de les autoritats d’avaluar els sistemes d’alt risc a l’estat espanyol. Sobre l’entorn de proves, la legislació espanyola ja va preveure al Real Decreto 817/2023, de 8 de novembre, l’establiment d’un entorn controlat de proves per a l’assaig del compliment de la proposta del Reglament Europeu pel qual s’estableixen normes harmonitzades en matèria d’intel·ligència artificial.
Amb la llei també s’ha anunciat la creació de l’Oficina Europea d’Intel·ligència Artificial[v], que treballarà per la implementació de la nova normativa i l’elaboració de codis de conducta, i promourà el desenvolupament i l’ús de la intel·ligència artificial fiable i la cooperació internacional.
Quan entrarà plenament en vigor?
El nou reglament entrarà en vigor l’1 d’agost, 20 dies després de publicar-se al Diari Oficial de la Unió Europea, però es preveuen diferents terminis màxims per a la seva aplicació, segons el risc que presenti el sistema. Així, les normes s’hauran d’aplicar en 6 mesos per a sistemes inacceptables, 12 mesos per a sistemes d’IA d’ús general, 24 mesos per a sistemes de risc alt sota l’annex III i 36 mesos per a sistemes d’IA sota l’annex I.
L’incompliment de les obligacions fixades al reglament pot donar lloc a sancions elevades, que poden superar els 35 milions d’euros o el 7% del volum de negocis anual d’una empresa, en el cas d’utilitzar un sistema de risc inacceptable. En qualsevol cas, la gravetat de la multa dependrà de diferents factors, com la naturalesa de la infracció, la mida de l’empresa i qualsevol infracció anterior. Resta pendent que es determini, mitjançant la normativa nacional, si les administracions públiques podran ser sancionades amb multa o, com estableix la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals, resten excloses d’aquest tipus de sanció econòmica.
Més informació: Reglament europeu d’intel·ligència artificial
Referències
1 Gilbert S. (2024). The EU passes the AI Act and its implications for digital medicine are unclear. NPJ digital medicine, 7(1), 135. https://doi.org/10.1038/s41746-024-01116-6
2 MedTech Europe (2024) Medical Technology Industry Perspective on the final AI act, MedTech Europe. Available at: https://www.medtecheurope.org/resource-library/medical-technology-industry-perspective-on-the-final-ai-act/ (Accessed: 28 June 2024).
3 Lamb S, Tschammler D, Maisnier-Boché L. The impact of the new EU AI act on the medtech and Life Sciences Sector. McDermott Will & Emery. (2024, April 15). https://www.mwe.com/insights/the-impact-of-the-new-eu-ai-act-on-the-medtech-and-life-sciences-sector/#
4 Madiega, T. (2024) Artificial intelligence act, Briefing: Artificial intelligence act. Available at: https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf (Accessed: 28 June 2024).
5 European Commission (2024) European AI Office. Available at: https://digital-strategy.ec.europa.eu/en/policies/ai-office (Accessed: 28 June 2024).
El Programa Salut/IA ha iniciat el curs en línia ‘Intel·ligència artificial en salut’, desenvolupat ...
30 DESEMBRE 2024L’Agència de Qualitat i Avaluació Sanitàries de Catalunya (AQuAS) ha publicat la Guia d’avaluació ...
20 DESEMBRE 2024El Barcelona Supercomputing Center liderarà una AI Factory o fàbrica d’intel·ligència artificial a Barcelona. Les AI Factories ...
10 DESEMBRE 2024