^{Alejandro Negro Sala.
Consejero de Cuatrecasas
grupo.alimentacion@cuatrecasas.com}

La tecnología es el motor de cambio por excelencia en el siglo XXI en numerosos sectores. El sector alimentario no se queda atrás. Con la tecnología como alma mater y los desafíos derivados del Food 2030, han surgido empresas y proyectos que aprovechan las tecnologías, como la Inteligencia Artificial o el Big Data para transformar la industria agroalimentaria, desde la producción de los alimentos hasta su distribución y consumo.

Estas soluciones digitales buscan aumentar la eficiencia y sostenibilidad del sector, combatiendo el crecimiento demográfico, la escasez de recursos naturales, el desperdicio alimentario o el impacto medioambiental de la producción de alimentos.

Esta transformación digital de la industria alimentaria lleva aparejada la aparición de nuevas normativas que tratan de cubrir los nuevos desafíos provocados por la expansión de las ciberamenazas.

Entre otras medidas implementadas por la Unión Europea para afrontar estos desafíos, está la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, (conocida como la “Directiva NIS 2”) cuya trasposición debería haberse realiza el pasado octubre del 2024.

La Directiva NIS 2 incluye al sector de producción, transformación y distribución de alimentos como sector crítico y establece que la Alta Dirección de las empresas tienen la última responsabilidad de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, debiendo adquirir la formación suficiente para conocer esta materia.

Además, las empresas el sector alimentario deberán:

(I) Implantar políticas de seguridad y análisis de riesgos, procedimientos de gestión de incidentes, así como procedimientos para evaluar la eficacia de las medidas de gestión de riesgos.

(II) Crear protocolos de notificación de cualquier incidente que tenga un impacto significativo en la prestación de sus servicios.

(II) Establecer programas de formación periódica para los empleados.

(IV) Seleccionar a proveedores que cumplan también con NIS 2.

Otra norma de aplicable al sector es el Reglamento Europeo de Inteligencia Artificial (“Reglamento IA”) aplicable a todos los actores de la cadena de valor (fabricantes y proveedores de sistemas de IA, importadores, usuarios, etc.) y que establece cuatro niveles de riesgos (riesgo inaceptable, alto riesgo, riesgo medio y mínimo) con diferentes obligaciones y garantías dependiendo de donde se ubique el sistema de inteligencia artificial que se esté o vaya a implementar.

El sector agroalimentario no es ajeno a estos avances tecnológicos. Es más, desde hace varios años, las actividades agroalimentarias destinadas a suministrar alimentos u otros productos de alta calidad en condiciones de producción sostenibles implican procesos complejos en los que se utilizan sistemas de Inteligencia Artificial para obtener más información y, en última instancia, controlar mejor las variables que afectan al sector.

Uno de los aspectos clave en los sistemas de IA es la ciberseguridad. El sector agroalimentario está sujeto a la Directiva NIS 2, además de las obligaciones concretas del Reglamento IA.

El Reglamento IA incluye obligaciones para todos los actores dentro de la cadena de valor, sobre todo para los sistemas de alto riesgo, que deben tenerse en cuenta previo a la implementación del sistema de Inteligencia Artificial:

(I) Analizar el tipo de sistema de IA y sus riesgos para implementar medidas técnicas y organizativas para mitigar estos riesgos.

(II) Sistemas de alto riesgo: ente otras, las obligaciones incluyen:

• Gobernanza de datos: es decir, que los datos empleados revistan ciertos estándares de calidad, supervisión, examinación de sesgos, etc.

• Deberes de transparencia: es decir, que se describan las características del funcionamiento del sistema y la identidad y datos del proveedor.

• Seguridad y supervisión humana: en última instancia siempre tendrá que haber una persona con capacidad de control para mitigar eventuales riesgos.

• Superación del test de conformidad y obtención de la certificación correspondiente: serán aprobadas especificaciones técnicas con las que habrá que cumplir.

Uno de los aspectos más novedosos es la obligación de realizar una evaluación de impacto sobre los derechos fundamentales.

Sistemas de IA de riesgo medio/bajo: Estos sistemas únicamente estarían sometidos a un conjunto de normas de transparencia dirigidas a garantizar que su funcionamiento y características son conocidos por los usuarios, así como las implicaciones inherentes al empleo de estos sistemas.

En definitiva, nos encontramos con un sector en constante evolución y muy regulado, por lo que deberemos tener especial cuidado en analizar dicha regulación antes de implantar estos sistemas en nuestro proceso productivo.