A medida que la inteligencia artificial (IA) sigue avanzando rápidamente, organizaciones de todo tipo tratan de desplegar esta potente herramienta para aumentar la eficacia y eficiencia de sus operaciones, mejorar el servicio a sus clientes y mejorar sus resultados. Algunas empresas están apostando fuerte por las herramientas de IA, mientras que otras sólo están "tanteando el terreno" con implantaciones limitadas. Incluso las empresas que apenas se están sumergiendo en el estanque de la IA deben dar prioridad a la gobernanza de la IA para garantizar un uso responsable y conforme de estas potentes tecnologías.
¿Qué significa "uso conforme"?
Los gobiernos de todo el mundo están tomando medidas para regular la IA. En Estados Unidos, la iniciativa se está llevando a cabo a nivel estatal. En mayo de 2024, 13 estados[1 ] han aprobado leyes que regulan el uso de la IA en la publicidad política, con el objetivo de combatir la propagación de la desinformación y proteger la integridad de las elecciones. Durante los últimos 12 meses, se han propuesto más de 200 nuevas leyes en la mayoría de los estados de EE.UU. para regular la tecnología de IA[2] La recientemente aprobada Ley de IA de Colorado adopta un enfoque integral basado en el riesgo (como la Ley de IA de la UE), pero no entrará en vigor hasta el 1 de febrero de 2026.
Este periodo de rápidos cambios tecnológicos y legislativos puede resultar confuso. Algunas organizaciones están adoptando un enfoque de "esperar y ver" y evitan abordar las consideraciones de gobernanza de la IA hasta que las cosas estén más asentadas. Esto es un error. Abordar la gobernanza de la IA ahora reducirá significativamente el riesgo de enredos normativos y otras posibles responsabilidades en el futuro. Dada la actual ausencia de requisitos regulatorios federales específicos para la IA, hay medidas que deben tomarse para demostrar su intención de utilizar las mejores prácticas y fomentar una cultura de cumplimiento en su organización. Además, la adopción de estas medidas ahora garantizará el cumplimiento de la normativa en el futuro. Al establecer un programa sólido, podrá incorporar sin problemas cualquier nuevo requisito normativo a medida que surja, en lugar de tener que revisar todo desde cero. Este enfoque proactivo le ahorrará tiempo, esfuerzo y recursos en el futuro.
No reinvente la rueda: mejore la que tiene
Aunque la mayor parte de la legislación sobre IA se centra actualmente en la protección de los consumidores, las empresas, en particular las de sectores regulados como los servicios financieros, las telecomunicaciones, la sanidad y las sujetas a la normativa de la SEC, también deben asegurarse de que sus sistemas de IA funcionan de conformidad con la normativa vigente, aunque esta no mencione específicamente la IA. En lugar de crear estructuras de gobierno totalmente nuevas, las empresas deben integrar las consideraciones relativas a la IA en sus programas existentes de gobierno, gestión de riesgos y cumplimiento, añadiendo controles específicos de la IA cuando tenga sentido hacerlo[3]. Este enfoque razonable garantiza un marco coherente y completo para gestionar los riesgos de la IA y se alinea con las expectativas normativas, tanto ahora como en el futuro. Esto puede lograrse utilizando el siguiente enfoque:
I. Incorporar Consideraciones sobre IA en los programas existentes de gobernanza y gestión de riesgos - Añadir según sea necesario
Para garantizar el cumplimiento de la normativa actual y futura sobre IA, las empresas deben adoptar un enfoque proactivo de la gobernanza de la IA. La estrategia óptima consiste en integrar perfectamente las consideraciones relativas a la IA en los marcos existentes de gobernanza y gestión de riesgos. Esto implica
A. Realización de evaluaciones exhaustivas de los riesgos de la IA
Incorpore las herramientas de IA a su actual proceso de evaluación de riesgos, evaluando meticulosamente los activos, las vulnerabilidades, los impactos potenciales (tanto internos como externos) y la probabilidad de ocurrencia. Esta evaluación holística le permitirá identificar y mitigar los riesgos relacionados con la IA de forma proactiva.
B. Actualización de las políticas y procedimientos existentes
Revise y actualice las políticas y procedimientos de TI existentes para abarcar todo el ciclo de vida de la IA, incluido el desarrollo, la implantación y la supervisión continua. Unas directrices claramente definidas garantizarán una implantación coherente y conforme de la IA en toda la organización.
C. Garantizar que los casos de uso de la IA cumplen la normativa vigente sobre privacidad y seguridad de los datos
Al utilizar datos personales o sensibles para la IA, las empresas deben cumplir con las normas pertinentes de protección de datos (por ejemplo, GDPR, CCPA, etc.). Esto incluye:
- Garantizar la aplicación de medidas sólidas de seguridad de los datos a los sistemas de IA coherentes con un marco reconocido de seguridad de los datos (por ejemplo, NIST CSF, CIS, ISO, etc.);
- Exigir que se obtenga el consentimiento adecuado antes de procesar los datos en conjuntos de entrenamiento de modelos de IA.
- Utilizar técnicas como la anonimización de datos y otras tecnologías de mejora de la privacidad para proteger los datos utilizados en los modelos de IA.
D. Seguimiento de la evolución normativa
Todas las empresas deben vigilar la evolución de la normativa que afecta a sus negocios. Añadir la supervisión de la regulación de la IA a ese proceso es una buena práctica. Dado que se trata de una disciplina en rápida evolución, con nuevas leyes y directrices que surgen a nivel mundial, federal y estatal[4], las empresas deben:
- Manténgase informado sobre los cambios normativos que afectan a sus casos de uso de la IA.
- Participe en iniciativas del sector y colabore con las partes interesadas para alinearse con las normas emergentes.
- Consultar con el asesor jurídico para garantizar que el programa de cumplimiento de la IA se adhiere a las leyes y reglamentos aplicables.
II. Los complementos...
Además de actualizar las estructuras y herramientas de gobernanza existentes para incluir consideraciones relativas a la IA, las empresas deben empezar a añadir a su programa de gobernanza ciertos controles centrados en la IA. Esto debería incluir el establecimiento de un Comité Directivo de IA ("AISC") diverso para supervisar los esfuerzos de gobernanza de la IA. Lo ideal sería que el AISC contara con una representación interfuncional que incluyera a expertos de los departamentos jurídico, de cumplimiento normativo, de gestión de riesgos, de ciencia de datos y de las unidades de negocio pertinentes, para garantizar un enfoque holístico de la gobernanza de la IA.
El AISC debe encargarse de utilizar el Marco de Gestión de Riesgos de IA del NIST[5] y la documentación de apoyo[6 ] para abordar y remediar los riesgos de IA de especial relevancia para la organización y sus casos de uso de IA. Además, la función de supervisión del AISC debe incluir, entre otras cosas:
- Garantizar la transparencia y la explicabilidad: la normativa exige cada vez más que los sistemas de IA sean transparentes y explicables, es decir, que sus procesos de toma de decisiones puedan entenderse y auditarse. Esto requerirá el uso de modelos de IA interpretables o técnicas de explicación para que las decisiones de IA sean explicables.
- Abordar las consideraciones éticas - Las AISC deben garantizar que los sistemas de IA desplegados se ajustan a los principios éticos y a los valores de la organización. Para ello, la AISC debe implantar marcos y directrices éticos para el desarrollo y el uso de tecnologías de IA por parte de la organización, evaluar los sistemas de IA para detectar posibles sesgos, violaciones de la privacidad u otros riesgos éticos, e implicar a expertos humanos para validar las decisiones de IA y garantizar la solidez ética.
III. Y, por supuesto, documéntelo todo
Documentar todos los esfuerzos de gobernanza y procedimientos de IA es crucial, ya que las empresas pueden necesitar demostrar su diligencia debida y sus prácticas responsables de IA a reguladores, auditores u otras partes interesadas. Esta documentación también incluiría todas las fuentes de datos, algoritmos y procesos de decisión de los sistemas de IA. Mantener la documentación en un repositorio centralizado agiliza las actualizaciones y los procesos de mantenimiento. Además, salvaguarda la continuidad operativa durante las transiciones de personal. Cuando los empleados clave se marchan, sus sustitutos pueden acceder sin problemas a la base de conocimientos centralizada y aprovecharla, minimizando las interrupciones y garantizando la continuidad del negocio.
Aunque la experiencia interna es esencial, las empresas pueden considerar la posibilidad de recurrir a expertos externos en gobernanza de la IA para complementar sus esfuerzos. Estos expertos pueden proporcionar valiosos conocimientos, mejores prácticas y orientación para navegar por el complejo panorama de las nuevas normativas sobre IA y las consideraciones éticas.
Al integrar la gobernanza de la IA en los marcos de cumplimiento existentes, garantizar la transparencia y el uso ético, proteger la privacidad de los datos y supervisar continuamente los avances normativos, las empresas pueden mitigar los riesgos, generar confianza con las partes interesadas y los reguladores, y aprovechar de forma responsable el poder de las tecnologías de IA. Al tomar estas medidas proactivas para adelantarse a los acontecimientos, las empresas pueden establecer un marco sólido de gobernanza de la IA que no solo garantice el cumplimiento continuo de la normativa, sino que también posicione a la organización como líder responsable y con visión de futuro en el panorama de la IA.
[1] Estos estados incluyen California, Nueva York, Texas, Florida, Illinois, Massachusetts, Nueva Jersey, Ohio, Pensilvania, Virginia, Washington, Colorado y Oregón.
[2] https://www.dglaw.com/utah-colorado-and-other-states-lead-groundbreaking-ai-legislation-in-u-s/#:~:text=Desde%20el%20comienzo%20de%2023,con%20muchos%20otros%20cerca%20detrás.
[3] https://www.morganlewis.com/pubs/2024/04/existing-and-proposed-federal-ai-regulation-in-the-united-states
[4] https://iapp.org/resources/article/global-ai-legislation-tracker/
[5] https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
[6] Como https://airc.nist.gov/docs/NIST.AI.600-1.GenAI-Profile.ipd.pdf