Llegan nuevas normas de IA. ¿Está preparada su organización?

Durante las últimas semanas, los reguladores y legisladores de todo el mundo han dejado una cosa clara: las nuevas leyes pronto determinarán la forma en que las empresas utilizan la inteligencia artificial (IA). A finales de marzo, los cinco principales reguladores financieros federales de los Estados Unidos publicaron un solicitud de información sobre la forma en que los bancos utilizan la IA, lo que indica que se avecinan nuevas directrices para el sector financiero. Unas semanas después, la Comisión Federal de Comercio (FTC) de los Estados Unidos publicó un conjunto de directrices inusualmente audaces sobre «la verdad, la equidad y la equidad» en la IA: definir la injusticia y, por lo tanto, el uso ilegal de la IA, en términos generales como cualquier acto que «cause más daño que bien».

La Comisión Europea hizo lo mismo el 21 de abril y publicó su propio propuesta de regulación de la IA, que incluye multas de hasta el 6% de los ingresos anuales de una empresa por incumplimiento, multas superiores a las sanciones históricas de hasta el 4% de la rotación mundial que se pueden imponer en virtud del Reglamento general de protección de datos (RGPD).

Para las empresas que adoptan la IA, el dilema está claro: por un lado, la evolución de los marcos reguladores de la IA afectará significativamente a su capacidad de utilizar la tecnología; por otro, dado que las nuevas leyes y propuestas siguen evolucionando, puede parecer que aún no está claro lo que las empresas pueden y deben hacer. Sin embargo, la buena noticia es que hay tres tendencias centrales que unen casi todas las leyes actuales y propuestas sobre la IA, lo que significa que hay medidas concretas que las empresas pueden emprender ahora mismo para garantizar que sus sistemas no infringen ninguna ley o reglamento actual o futuro.

La primera es el requisito de realizar evaluaciones de Los riesgos de la IA y para documentar cómo se han minimizado (e idealmente, resuelto) esos riesgos. Muchos marcos regulatorios denominan este tipo de evaluaciones de riesgos «evaluaciones de impacto algorítmicas» (también llamadas a veces «IA para la IA»), que se han hecho cada vez más populares en una serie de marcos de IA y protección de datos.

De hecho, algunos de estos tipos de requisitos ya están en vigor, como el de Virginia Ley de Protección de Datos del Consumidor — promulgada el mes pasado, exige la evaluación de ciertos tipos de algoritmos de alto riesgo. En la UE, el RGPD exige actualmente evaluaciones de impacto similares para el procesamiento de datos personales de alto riesgo. (La Oficina del Comisionado de Información del Reino Unido mantiene su propio lenguaje sencillo orientación sobre cómo realizar las evaluaciones de impacto en su sitio web).

Como era de esperar, las evaluaciones de impacto también forman una parte central de la nueva propuesta de la UE sobre la regulación de la IA, que exige un documento técnico en ocho partes para los sistemas de IA de alto riesgo, que describe «los resultados y las fuentes de riesgo previsibles y no deseados» de cada sistema de IA, junto con un plan de gestión de riesgos diseñado para abordar esos riesgos. La propuesta de la UE debería ser familiar para los legisladores estadounidenses, ya que se alinea con las evaluaciones de impacto exigidas en un proyecto de ley propuesto en 2019 en ambas cámaras del Congreso llamado la Ley de Responsabilidad Algorítmica. Aunque el proyecto de ley languideció en ambos pisos, la propuesta habría exigido revisiones similares de los costes y beneficios de los sistemas de IA en relación con los riesgos de la IA. Ese proyecto de ley que sigue disfrutando amplio apoyo tanto en la comunidad investigadora como política hasta el día de hoy, y el senador Ron Wyden (demócrata de Oregón), uno de sus copatrocinadores, según se informa, planea volver a presentar el proyecto de ley en los próximos meses.

Si bien los requisitos específicos para las evaluaciones de impacto varían según estos marcos, todas esas evaluaciones tienen una estructura de dos partes en común: exigen una descripción clara de los riesgos que genera cada sistema de IA y descripciones claras de cómo se ha abordado cada riesgo individual. Garantizar que la documentación sobre la IA existe y recoge cada uno de los requisitos de los sistemas de IA es una forma clara de garantizar el cumplimiento de las leyes nuevas y en evolución.

La segunda tendencia es la responsabilidad y la independencia, que, a un nivel alto, exigen que cada sistema de IA se someta a pruebas para determinar los riesgos y que los científicos de datos, los abogados y otras personas que evalúan la IA tengan incentivos diferentes a los de los científicos de datos de primera línea. En algunos casos, esto simplemente significa que la IA debe ser probada y validada por personal técnico diferente al que la desarrolló originalmente; en otros casos (especialmente en los sistemas de mayor riesgo), las organizaciones pueden intentar contratar a expertos externos para que participen en estas evaluaciones y demostrar su total responsabilidad e independencia. (Divulgación completa: bnh.ai, el bufete de abogados que dirijo, recibe con frecuencia solicitudes para este puesto.) De cualquier manera, garantizar que los procesos claros creen independencia entre los desarrolladores y quienes evalúan los sistemas para determinar el riesgo es un componente central de casi todos los nuevos marcos regulatorios de la IA.

La FTC ha defendido abiertamente este punto durante años. En sus directrices del 19 de abril, recomendaba que las empresas «adoptaran» la responsabilidad y la independencia y elogió el uso de marcos de transparencia, normas independientes, auditorías independientes y la apertura de los datos o el código fuente a inspecciones externas. (Esta recomendación se hizo eco de puntos similares sobre la responsabilidad que la agencia hizo públicamente en Abril del año pasado.)

La última tendencia es la necesidad de revisar continuamente los sistemas de IA, incluso después de que se hayan realizado evaluaciones de impacto y revisiones independientes. Esto tiene sentido. Porque los sistemas de IA son frágiles y están sujetos a altas tasas de fracaso, los riesgos de la IA aumentan y cambian inevitablemente con el tiempo, lo que significa que los riesgos de la IA nunca se mitigan del todo en la práctica en un solo momento.

Por esta razón, tanto los legisladores como los reguladores envían el mensaje de que la gestión de riesgos es un proceso continuo. En la plantilla de documentación de ocho partes para los sistemas de IA de la nueva propuesta de la UE, se dedica una sección entera a describir «el sistema establecido para evaluar el rendimiento del sistema de IA en la fase posterior a la comercialización», es decir, cómo se supervisará continuamente la IA una vez que se despliegue.

Para las empresas que adoptan la IA, esto significa que la auditoría y la revisión de la IA deben realizarse con regularidad, idealmente en el contexto de un proceso estructurado que garantice que los despliegues de mayor riesgo se supervisen de la manera más exhaustiva. Incluir detalles sobre este proceso en la documentación (quién lleva a cabo la revisión, en qué plazo y las partes responsables) es un aspecto fundamental del cumplimiento de este nuevo reglamento.

¿Convergerán los reguladores en otros enfoques para gestionar los riesgos de la IA fuera de estas tres tendencias? Sin duda.

Hay muchas maneras de regular los sistemas de IA, desde requisitos de explicabilidad para algoritmos complejos hasta limitaciones estrictas en cuanto a la forma en que se pueden implementar ciertos sistemas de IA (por ejemplo, prohibir rotundamente ciertos casos de uso, como las prohibiciones del reconocimiento facial que se han propuesto en varias jurisdicciones de todo el mundo).

De hecho, los legisladores y los reguladores aún no han llegado a un consenso amplio sobre qué es la «IA» en sí misma, un requisito previo claro para desarrollar una norma común que rija la IA. Algunas definiciones, por ejemplo, están diseñadas de manera tan limitada que solo se aplican a los usos sofisticados del aprendizaje automático, que son relativamente nuevos en el mundo comercial; otras definiciones (como la de la reciente propuesta de la UE) parecen cubrir casi cualquiera sistema de software implicado en la toma de decisiones, que se aplicaría a los sistemas que han estado en vigor durante décadas. Las definiciones divergentes de inteligencia artificial son solo una de las muchas señales de que aún estamos en las primeras etapas de los esfuerzos mundiales para regular la IA.

Pero incluso en estos primeros días, las formas en que los gobiernos abordan el tema del riesgo de la IA tienen puntos en común claros, lo que significa que las normas para regular la IA ya están quedando claras. Así que las organizaciones que están adoptando la IA ahora mismo —y las que buscan asegurarse de que su IA actual sigue siendo compatible— no tienen que esperar a empezar a prepararse.