Cinco claves para gobernar la inteligencia artificial

El pasado 8 de diciembre aconteció un nuevo hito en el ámbito de la inteligencia artificial. Los organismos europeos alcanzaron un acuerdo provisional que sienta las bases para el futuro 'Reglamento de IA', siendo el primer territorio a nivel mundial en adoptar una normativa exhaustiva y específica en la materia.

Otros territorios también han avanzado en la regulación de la IA, aunque con estrategias distintas basadas en buenas prácticas o normativas sectoriales. En el marco de este contexto global para gobernar la IA, se están asentando un conjunto de principios comunes, que se podrían clasificar principalmente en las siguientes 5 claves:

1) Inventariar los sistemas de IA: se debe identificar todos los sistemas de IA desarrollados o implementados por la organización. Una tarea que puede resultar complicada, atendiendo la definición amplia de IA que se está consolidando, así como la complejidad que ciertas organizaciones pueden presentar, en atención a su dimensión y modelo de toma de decisiones. Para ello, resulta imprescindible contar con procedimientos adecuados que permitan la detección y el correcto reporte de cualquier iniciativa vinculada con la IA.

2) Evaluar y categorizar los sistemas de IA: una vez inventariados los sistemas, se debe analizar cada uno de ellos teniendo en cuenta un enfoque basado en el riesgo que puede suponer para la seguridad o los derechos fundamentales de las personas y clasificarlos para identificar las medidas apropiadas que se deben adoptar.

El desafío, en este caso, reside en analizar los riesgos desde todas sus posibles vertientes (afectación reputacional, vulneración de derechos, responsabilidad frente a terceros, etc.). Para lograr este objetivo resulta clave involucrar distintos perfiles que aporten sus distintas perspectivas del riesgo.

3) Proteger los sistemas de IA ante ciberataques: en un entorno de IA un ciberataque no 'solo' podría provocar una pérdida de confidencialidad de grandes volúmenes de datos sensibles, sino que también podría actuar de manera silenciosa modificando los algoritmos y los modelos que rigen el funcionamiento y el aprendizaje de las plataformas de IA. Estos ciberataques, que pueden pasar inadvertidos, pueden introducir sesgos interesados en los resultados poniendo en peligro los derechos fundamentales de los ciudadanos.

El reto de las organizaciones es proteger sin fisuras los sistemas de IA y, a la vez, establecer mecanismos de detección y respuesta a ataques de manera particular. Del mismo modo, se deberá monitorizar y auditar la seguridad para garantizar la fiabilidad del sistema en todo su ciclo de vida. Conceptos como seguridad en el diseño y servicios SOC (Security Operations Center) cobran más importancia que nunca.

4) Garantizar la transparencia y la explicabilidad: adicionalmente, es crucial que los sistemas de IA sean transparentes para que los usuarios puedan entender su funcionamiento. No obstante, el uso de algoritmos complejos y de técnicas de aprendizaje automático pueden generar opacidad y falta de explicabilidad. Así pues, este fenómeno de 'caja negra' puede poner en entredicho si el sistema está funcionando de manera justa y sin sesgos.

Para sobrevenir este reto, es esencial optar por un diseño transparente desde un inicio y elaborar instrucciones oportunas, claras y concisas, que permitan a los usuarios ser conscientes del uso de estos sistemas, entender la lógica aplicada en ellos e interpretar sus resultados y efectos.

5) Respetar la protección de datos: la privacidad y la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida de los sistemas de IA ya que, a menudo, se alimentan de datos personales. Por ello, es esencial implementar medidas técnicas y organizativas que velen por los principios previstos en la normativa aplicable en esta materia. Dada la naturaleza de estos sistemas, es probable que sea necesario elaborar evaluaciones de impacto para identificar riesgos y aplicar medidas que garanticen el respeto de tales derechos.

En conclusión, es vital que las organizaciones públicas y privadas adopten un enfoque proactivo en relación con los riesgos asociados a la IA. Esto significa que -necesariamente- deben integrar en el marco de sus planes de transformación digital -como elemento esencial- la gobernanza de la IA, centrándose en los cinco dominios previamente mencionados y disponer de evidencias de ello.