La Ley de IA de la UE y cómo las empresas pueden lograr su cumplimiento

A principios de este mes, los estados miembros de la Unión Europea votó por unanimidad a favor de la Ley de IA, allanando el camino para su aprobación oficial en marzo o abril de este año. En pocas palabras, la ley es similar al Reglamento General de Protección de Datos (RGPD) de Europa, aprobado en 2016, pero para la inteligencia artificial. El reglamento impone requisitos sobre las empresas que diseñan o utilizan la IA en la Unión Europea, y lo respalda con severas sanciones. La mayoría de las violaciones de la ley costará a las empresas 15 millones de euros o el 3% de la facturación mundial anual, pero puede llegar hasta 35 millones de euros o el 7% de la facturación mundial anual por infracciones relacionadas con los sistemas de IA que la ley prohíbe (por ejemplo, el uso de técnicas de manipulación basadas en la IA o el uso de datos biométricos para deducir información privada).

Cualquier empresa que haga negocios en la UE haría todo lo posible para asegurarse de que cumple con las normas.

La mayoría de las organizaciones que buscan el cumplimiento deberían realizar un análisis de brechas para determinar qué estructuras de gobierno, políticas, procesos, categorías de riesgo, métricas, etc. existentes deberán aumentarse para que puedan lograr el cumplimiento y responder a las preguntas de los reguladores de manera eficiente, precisa y con su aprobación. Esa es la parte fácil. La parte difícil está en poner en práctica o implementar las medidas necesarias para cerrar las brechas de manera que reflejen la alineación interna. En este artículo explicamos cómo hacer exactamente eso.

Dos notas antes de continuar.

En primer lugar, los consejos que ofrecemos aquí son necesariamente genéricos. No importa lo que digan los demás, incluidas las consultorías que buscan implementar sus propios marcos, es necesario un alto grado de personalización. Las diferentes organizaciones tienen diferentes infraestructuras, culturas y formas de hacer las cosas sobre el terreno. Por ejemplo, nuestros clientes tienen diferentes prioridades estratégicas, persiguen la innovación a diferentes ritmos y tienen diferentes apetitos de riesgo reputacional y regulatorio.

En segundo lugar, del mismo modo que el RGPD o la Ley de Privacidad del Consumidor (CCPA) de California no abordan de manera exhaustiva los riesgos éticos y reputacionales relacionados con la privacidad de los datos, tener un programa de cumplimiento de la Ley de IA de la UE tampoco aborda de manera exhaustiva los riesgos éticos y reputacionales de la IA. Organizaciones que han desarrollado programas de IA, riesgo ético y IA responsable — un paso que muchos han dado en los últimos años — tiene una ventaja en este sentido. Es probable que ya estén trabajando para abordar una gama más amplia de riesgos que los que introduce la ley y puede que solo necesiten hacer cambios relativamente pequeños para tener en cuenta la letra de la ley. Sin embargo, aquellos que aún no hayan creado, implementado y escalado un programa de IA responsable y de riesgo ético tendrán que decidir si solo quieren cumplir con la Ley o si, por el contrario, están interesados en proteger la marca de su organización de la pérdida de confianza resultante de prácticas de IA legales pero poco éticas.

Esto es lo que las juntas directivas, los altos directivos y los directivos deben saber (y hacer) para asegurarse de que van por buen camino a cumplir con la próxima ley.

¿Quién tiene que hacer qué?

Crear un programa de cumplimiento de la Ley de Inteligencia Artificial o un programa de IA responsable y de riesgo ético (en adelante, simplemente «el programa») es un esfuerzo de toda la empresa. Como tal, el consejo de administración, la alta dirección y los gerentes tienen diferentes responsabilidades en relación con el diseño, la implementación, la ampliación y el mantenimiento del programa. Cada grupo también se enfrenta a errores comunes que deben tener cuidado de evitar. Por supuesto, habrá diferentes formas en las que las organizaciones distribuyan esas responsabilidades entre estas tres entidades, y las organizaciones tienen que ser sensibles a sus prácticas y culturas actuales.

Qué tiene que hacer la junta

El consejo es el responsable final de proteger a la organización de los riesgos éticos, reputacionales y reglamentarios a corto y largo plazo. Dicho esto, también son responsables de identificar la importancia relativa de otros tipos de prioridades estratégicas, incluidos el tipo y el ritmo de la innovación, el ritmo y la adecuación de las fusiones y adquisiciones y otras prioridades presupuestarias. Como tal, la principal pregunta que se plantea la junta es si debe seguir un programa de cumplimiento específico de la Ley de IA o un programa más general de IA, riesgo ético y IA responsable.

En un mundo ideal, los administradores de una marca elegirían esta última, ya que se trata de una estrategia más integral para proteger la confiabilidad de la marca y a las personas a las que afecta. Pero en algunos casos, las prioridades contrapuestas y los recursos limitados pueden significar que el mero cumplimiento de la normativa (lo que se podría considerar una apuesta de mesa) puede ser lo más apropiado.

Al enfrentarnos a esta pregunta, solemos ver que las juntas cometen dos tipos de errores.

En primer lugar, y lo que es más importante, vemos que los consejos de administración, especialmente de las organizaciones que no empezaron como empresas de tecnología, evitan asumir la responsabilidad de decidir el curso de acción en relación con los riesgos éticos, reputacionales y reglamentarios relacionados con la IA, suponiendo que son demasiado complicados o «demasiado expertos en tecnología» como para entenderlos, y mucho menos sus manos. Nada podría estar más lejos de la verdad. Dada la gravedad y la magnitud de los riesgos que implican (incluidas las elevadas multas por incumplimiento de la Ley), es absolutamente responsabilidad de la junta gestionar estas cuestiones.

Eso no significa convertirse en experto, por supuesto. Pero a menudo eso significa saber las preguntas correctas. Esas preguntas deberían incluir:

• ¿Quién de la alta dirección es el propietario de la implementación, el cumplimiento y la supervisión del programa?
• ¿Existen programas de aprendizaje y desarrollo que capaciten a nuestros empleados para oler el humo ético y reglamentario de la IA? ¿Los programas están personalizados para incorporar instrucciones sobre nuestras políticas y procedimientos de escalamiento? ¿Hay también formación específica para funciones o departamentos?
• Al evaluar si un modelo de IA entra en las categorías de IA prohibida o de alto riesgo según la Ley de IA, ¿estamos haciendo un seguimiento de la coherencia de estas evaluaciones en todos los equipos y mercados?

Las juntas directivas también deben saber qué métricas deben utilizar para hacer un seguimiento del despliegue, el cumplimiento y el impacto del programa que encargan a la alta dirección diseñar e implementar (más información sobre esto en la siguiente sección).

El segundo error que vemos es que las juntas tienden a suponer que la ausencia de una infracción ética es prueba suficiente para pensar que están a salvo. Por desgracia, este no es el caso. Las nuevas regulaciones no solo conllevan nuevos riesgos, sino que las actividades de fusiones y adquisiciones, los nuevos tipos de IA, los nuevos flujos de trabajo aumentados por la IA, los nuevos proveedores y más introducen nuevas y amplias oportunidades de incumplir la ética.

Qué tiene que hacer la alta dirección

La alta dirección se encargará de la mayor parte del diseño y la supervisión del programa. Esto debe empezar con un análisis de brechas. Hemos descubierto que a diferentes clientes les gusta llamar a esto de diferentes maneras: análisis de brechas, evaluación de riesgos y evaluación de madurez son las más populares, pero realmente no importa. Lo principal que hay que hacer en este caso es determinar los recursos existentes disponibles para permitir un diseño e implementación eficientes y eficaces del programa.

Esta evaluación también desempeña un papel crucial político función. Muchos de nuestros clientes acuden a nosotros cuando se encuentran en un punto muerto cuando una parte de la organización empieza a diseñar un programa y otra parte de la organización se enfada porque no se les consultó o piensan ellos debería ser el propietario de la iniciativa. Esta fricción interna es más común en TI, datos/IA, legal y riesgo y cumplimiento. (Esto se complica más en los servicios financieros, donde el riesgo modelo es una unidad/función bien establecida.) Si la evaluación se hace bien, reúne a las diferentes partes interesadas para abordar cualquier problema de alineación.

Otra razón por la que es necesario analizar las brechas es porque es el inicio de un proceso de personalización del marco. Existen muchos marcos de IA éticos, de riesgo ético y de IA responsable, algunos de ellos genéricos o independientes del sector (por ejemplo, el Marco de gestión de riesgos de IA del NIST y de la UNESCO» Recomendaciones sobre la ética de la inteligencia artificial») y algunos de ellos específicos de la industria (por ejemplo, el Guía de la Organización Mundial de la Salud (OMS) sobre la ética y la gobernanza de los grandes modelos multimodales ). Pero sea cual sea el marco, lo importante es traduciendo el marco que se adapta al enfoque de su organización. Esto debería cubrir la cadencia con la que se debe implementar el programa, las categorías de riesgo, las matrices RACI, las políticas, los procedimientos, los flujos de trabajo, el aseguramiento y la mejora de la calidad (QA/QI) y la mejora del rendimiento.

Entre las decisiones clave que tendrá que tomar la alta dirección está quién recibe la notificación cuando se detecten problemas (por ejemplo, que un modelo entra en la categoría de alto riesgo de la Ley de IA), que se está poniendo a prueba un nuevo tipo de IA o cuando varias estrategias de mitigación de riesgos han fracasado. Esta decisión se refiere a un error común: relegar esas decisiones a una sola función o unidad de negocio, por ejemplo, solo legal o de datos/IA. Se recomienda encarecidamente un equipo multifuncional. Dicho esto, la propiedad del programa debe recaer en un solo ejecutivo de alta dirección.

Exactamente quién en la alta dirección (un nuevo empleado o un ejecutivo actual) dependerá de varios factores. En nuestro trabajo con los clientes, es común asignar las responsabilidades a un ejecutivo existente e incluir un nuevo puesto ejecutivo en una fase específica para un hito que se articula en la hoja de ruta del programa. Los motivos para contratar a un nuevo ejecutivo para este puesto incluyen motivos conocidos, como la experiencia, la autoridad y el ancho de banda limitado de otros ejecutivos. La razón por la que normalmente no se menciona, pero es igual de importante, es que tener un director de ética de la IA aborda dos problemas a los que pueden enfrentarse otros ejecutivos: los conflictos de intereses (por ejemplo, entre sus responsabilidades de actuar rápido y sus responsabilidades de no romper las cosas) y, en relación con lo que podríamos llamar un problema de priorización, en el que la ética recibe constantemente poca atención en comparación con otras prioridades contrapuestas.

En cuanto a los escollos que la alta dirección debe evitar, hay tres, uno de los cuales es particularmente profundo y ancho.

En primer lugar, puede caer la tentación de simplemente comprar una «solución» o «una plataforma de automatización» para ayudar a automatizar partes de los procesos de identificación y mitigación de riesgos. Si bien este no es un objetivo descabellado, no debería centrarse desde el principio. Las empresas tienen que trabajar inicialmente para establecer la trinidad de personas, procesos y tecnología que componen cualquier buen programa. Obsesionarse con la tecnología no lo preparará para el éxito a largo plazo, a pesar de que estas herramientas pueden ser pilares importantes de su programa.

En segundo lugar, el programa no es algo que la alta dirección pueda configurar y olvidar. La supervisión continua de los directivos y otras personas en primera línea para garantizar que el control y la mejora de la calidad funcionan bien es una parte crucial de las responsabilidades de la alta dirección.

Por último, en cuanto a ese amplio y profundo escollo, la alta dirección no debería pensar que las métricas (KPI y OKR) no se aplican en el mundo del riesgo ético, reputacional y regulatorio. Es muy común ver a los altos líderes con la impresión de que no se pueden tener métricas de ética. Sin embargo, las métricas que miden el despliegue, el cumplimiento y el impacto del programa son esenciales para la garantía de calidad y la calidad y las auditorías internas y externas. También en este caso, la personalización es importante: las métricas deben adaptarse a los métodos, herramientas y unidades de medida existentes. Entre las métricas más importantes están métricas de armonización, que hace un seguimiento del impacto que el programa tiene en los demás parámetros de la organización, como la eficiencia operativa.

Qué tienen que hacer los gerentes

La Ley de IA de la UE no la diseñaron personas en operaciones. Como tal, esto significa que gran parte de la «operacionalización» tiene que ser realizada por las propias organizaciones. Los requisitos de la Ley, así como otros requisitos éticos y de reputación de la política interna de IA, deben integrarse en los flujos de trabajo existentes de una manera que no sea disruptivo para los propósitos principales de seguir como de costumbre. Los gerentes deben prestar especial atención a la personalización de los flujos de trabajo en función de diversos factores, incluidos los tipos de IA que se diseñan, crean, prueban, adquieren e implementan, así como el nivel de riesgo que conlleva un flujo de trabajo determinado.

Un escollo que vemos con frecuencia es que los gerentes no se dan cuenta de los niveles de riesgo cambiantes de los flujos de trabajo a lo largo del ciclo de vida de la IA. Esto puede tener graves consecuencias. Por ejemplo, una IA destinada a un tipo de uso cuando se está ideando la solución por primera vez puede utilizarse más adelante en contextos no imaginados anteriormente, y mucho menos pretendidos. Si se da luz verde a la IA en la fase conceptual y nunca se vuelve a revisar la evaluación, la IA funcionará en un contexto de alto riesgo sin que nadie lo sepa y, por lo tanto, sin que el riesgo se documente y gestione adecuadamente. Por ejemplo, no evaluar continuamente los datos de los que la IA aprende y con los que se optimiza puede provocar una variedad de problemas éticos y reglamentarios, como resultados sesgados.

Gran parte de las responsabilidades relacionadas con el cumplimiento recaerán en los ingenieros y científicos de datos. El aprendizaje y el desarrollo específicos de cada puesto serán cruciales en este sentido. Y al igual que con la alta dirección, si bien los gerentes deben confiar en sus cargos, también deben verificar.

La supervisión de todo esto requerirá una gran cantidad de aprendizaje y desarrollo para los propios directivos, que pueden o no tener experiencia en IA y, con toda probabilidad, no tienen experiencia en ética o reglamento de la IA.

Preparado o no, aquí viene

La Ley de IA de la UE es un hito importante en la campaña de años por la ética de la IA y la IA responsable. No es perfecto, por supuesto, y todas las empresas se quejarán de lo que exige el cumplimiento. Sin embargo, es un reglamento con fuerza y forma parte de un movimiento creciente para proteger a la sociedad de lo peor que ofrecen las tecnologías emergentes, como la IA. También es una forma de que las empresas protejan sus propias marcas y resultados, aunque no deseen esa ayuda. Las empresas deben seguir priorizando la innovación en lo que es realmente un momento emocionante gracias a las tecnologías innovadoras. Al mismo tiempo, garantizar el cumplimiento de la normativa y proteger a sus organizaciones de la pérdida de confianza que conlleva las infracciones éticas debe ser una prioridad para todos los altos directivos involucrados en la IA, ya estén en la UE o en otro lugar.