Recital 65
El sistema de gestión de riesgos debe consistir en un proceso continuo e iterativo que se planifique y ejecute a lo largo de todo el ciclo de vida de un sistema de IA de alto riesgo. Dicho proceso debe tener por objeto identificar y mitigar los riesgos pertinentes de los sistemas de IA para la salud, la seguridad y los derechos fundamentales. El sistema de gestión de riesgos debe revisarse y actualizarse periódicamente para garantizar su eficacia permanente, así como la justificación y documentación de todas las decisiones y medidas significativas adoptadas con arreglo al presente Reglamento. Este proceso debe garantizar que el proveedor identifique los riesgos o impactos adversos y aplique medidas de mitigación de los riesgos conocidos y razonablemente previsibles de los sistemas de IA para la salud, la seguridad y los derechos fundamentales a la luz de su finalidad prevista y del mal uso razonablemente previsible, incluidos los posibles riesgos derivados de la interacción entre el sistema de IA y el entorno en el que opera. El sistema de gestión de riesgos debe adoptar las medidas de gestión de riesgos más adecuadas a la luz del estado de la técnica en materia de IA. A la hora de identificar las medidas de gestión de riesgos más adecuadas, el proveedor debe documentar y explicar las decisiones tomadas y, cuando proceda, implicar a expertos y partes interesadas externas. Al determinar el uso indebido razonablemente previsible de los sistemas de IA de alto riesgo, el proveedor deberá abarcar los usos de los sistemas de IA que, aunque no estén directamente cubiertos por la finalidad prevista y contemplados en las instrucciones de uso, pueda esperarse razonablemente que resulten de un comportamiento humano fácilmente previsible en el contexto de las características específicas y el uso de un sistema de IA concreto. Cualquier circunstancia conocida o previsible relacionada con el uso del sistema de IA de alto riesgo de conformidad con su finalidad prevista o en condiciones de uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales, deberá incluirse en las instrucciones de uso que facilite el proveedor. Con ello se pretende garantizar que el usuario las conozca y las tenga en cuenta al utilizar el sistema de IA de alto riesgo. La identificación y aplicación de medidas de mitigación del riesgo de uso indebido previsible con arreglo al presente Reglamento no debe requerir una formación adicional específica para el sistema de IA de alto riesgo por parte del proveedor para abordar el uso indebido previsible. No obstante, se anima a los proveedores a considerar tales medidas de formación adicionales para mitigar los usos indebidos razonablemente previsibles, según resulte necesario y adecuado.