La inteligencia artificial (IA) está en todas partes. Y no estoy hablando del contexto reciente, aunque gracias a cierto chatbot, la IA se haya convertido en un tema muy candente en el momento actual. De hecho, la IA lleva bastante tiempo impulsando la tecnología que nos rodea; p. ej., potencia la navegación para ayudar a proporcionar sugerencias de rutas en tiempo real. Entre otros aspectos, la IA se utiliza para informar sobre la hora de llegada en aplicaciones de taxi, impulsar la tecnología para generar transcripciones y filtrar tus emails para evitar que recibas miles de correos no deseados. Además, también está impulsando otras tecnologías con un riesgo más elevado, incluidos los vehículos autónomos y la detección de fraude.
Cuando cualquier tipo de tecnología se generaliza de esta forma, existen riesgos. Con la llegada del automóvil, se formó la DGT en España. Cualquier fármaco nuevo pasa por amplios estudios antes de que la Agencia Europea de Medicamentos (EMA) lo considere adecuado para las masas. Y ahora esto lo estamos viendo en el ámbito de la IA, donde tanto los líderes de las empresas tecnológicas como los legisladores están pidiendo que se regule la IA con cada vez más énfasis. La Oficina del Comisionado de la Información del Reino Unido ha comentado recientemente sobre la adopción generalizada de la IA y ha instado a las empresas a que no se apresuren en sacar productos al mercado sin evaluar primero los riesgos asociados para la privacidad de manera adecuada. Además, los propios líderes del sector han reconocido el rápido ritmo al que está evolucionando esta tecnología tal y como se puede ver en el pacto voluntario que están desarrollando Alphabet y la UE, que ayudará a regular el uso de la IA a falta de legislación formal.
Aun así, para la mayoría de las empresas es poco probable que establecer un pacto voluntario con la Unión Europea sea una opción, lo que significa que tendrás que recurrir a medidas alternativas. Entonces, ¿cómo se puede abordar el desarrollo de nuevas tecnologías con un enfoque definido que se base en el riesgo? Hay varios marcos que están disponibles en la actualidad de los que te puedes aprovechar a la hora de crear productos y soluciones de IA. Estos marcos pueden proporcionarte las directrices y consejos prácticos para ayudarte a abordar el desarrollo de estas nuevas tecnologías de manera ética y siendo consciente de los riesgos. Organismos como el Instituto Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización (ISO) son solo algunas de las organizaciones que han proporcionado marcos para la IA y tecnologías similares. En este artículo, observaremos más de cerca el marco de la OCDE para la clasificación de sistemas de IA y su lista de verificación complementaria, cómo se compara con los marcos del NIST y la ISO, y cómo puedes abordar la adopción de este marco.
¿Cuál es el marco de la OCDE para la clasificación de los sistemas de IA?
El marco de la OCDE para clasificar sistemas de IA es una guía que se dirige a los legisladores y que establece varias dimensiones para caracterizar a los sistemas de IA al mismo tiempo que vincula estas características con los principios de IA de la OCDE. El marco define un conjunto claro de objetivos y busca establecer un entendimiento común de los sistemas de IA, informar sobre inventarios de datos, apoyar marcos específicos del sector, y ayudar con la gestión y la evaluación de riesgos, además de ayudar a comprender mejor los riesgos típicos de la IA, como los sesgos, la explicabilidad y la robustez.
Los principios de IA de la OCDE establecen un conjunto de normas para la IA que pretenden ser prácticos y flexibles, entre los que se incluyen:
Crecimiento inclusivo, desarrollo sostenible y bienestar: este principio reconoce la IA como una tecnología con un impacto potencial de gran calado. Por lo tanto, puede y debe utilizarse para ayudar a avanzar con algunos de los objetivos más críticos para la humanidad, la sociedad y la sostenibilidad. Sin embargo, es fundamental mitigar el potencial de la IA a la hora de perpetuar o incluso agravar los prejuicios sociales existentes, o el desequilibrio de riesgos o impactos negativos que se basen en la riqueza o el territorio. La IA debe crearse para empoderar a todas las personas.
Valores y equidad con el foco en el ser humano: este principio tiene como objetivo poner los derechos humanos, la igualdad, la equidad, el Estado de derecho, la justicia social y la privacidad en el centro del desarrollo y funcionamiento de los sistemas de IA. Al igual que el concepto de privacidad desde el diseño, este principio garantiza que estos elementos se tienen en cuenta en cada fase del ciclo de vida de la IA, pero en particular en las fases de diseño. No mantener este principio podría desembocar en la infracción de derechos humanos básicos, discriminación y podría socavar la confianza del público sobre la IA en general.
Transparencia y explicabilidad: este principio se basa en revelar cuándo se utiliza la IA y en permitir que los individuos puedan comprender cómo se crea el sistema de IA, cómo funciona y de qué información se nutre. La transparencia se ajusta a la idea de que los individuos están al tanto de los detalles de la actividad de tratamiento, lo que les permite tomar decisiones informadas. La explicabilidad se centra en permitir que los afectados puedan comprender la forma en que el sistema alcanzó el resultado. Cuando se proporciona información transparente y accesible, los individuos pueden cuestionar el resultado con más facilidad.
Robustez, seguridad y protección: este principio garantiza que el sistema de IA se desarrolla con la capacidad de soportar los riesgos de seguridad digital y que los sistemas no presentan riesgos poco razonables para la seguridad del consumidor cuando se utilizan. Las consideraciones clave para mantener este principio incluyen la trazabilidad, que se centra en mantener registros de características de datos, fuentes de datos y limpieza de datos, así como en aplicar un enfoque de gestión de riesgos junto con la documentación adecuada de las decisiones que se basen en riesgos.
Responsabilidad proactiva: este principio suele ser familiar para la mayoría de los profesionales de la privacidad. La responsabilidad proactiva respalda el ciclo de vida del sistema de IA con la responsabilidad de garantizar que el sistema de IA funcione correctamente y se ajuste, de manera demostrable, con el resto de principios.
¿Cómo es el marco de la OCDE en comparación con otros marcos?
El marco de la OCDE para la clasificación de sistemas de IA no es el único marco que se centra en establecer procesos de gobernanza para el uso fiable y responsable de la IA y tecnologías similares. En los últimos años, varios organismos del sector han desarrollado y publicado marcos destinados a ayudar a las empresas a la hora de crear un programa para controlar los sistemas de IA. Al evaluar cuál es el enfoque adecuado para ti, hay algunos marcos que deben tenerse en cuenta, y aunque el marco de la OCDE puede utilizarse como apoyo para tu enfoque, su extensión significa que también se puede complementar fácilmente otros marcos disponibles. Esto significa que no tienes que decidirte por el marco de la OCDE, el NIST o la ISO, sino que puedes encajar todos estos marcos de manera equilibrada. Abajo, compararemos los marcos del NIST y de la ISO.
Marco de gestión de riesgos de IA del NIST
El 26 de enero de 2023, el NIST publicó el marco de gestión de riesgos de IA, un documento orientativo de uso voluntario para las organizaciones que diseñan, desarrollan o utilizan sistemas de IA. El marco de gestión de riesgos de IA tiene por objeto proporcionar un marco práctico para medir y protegerse frente al daño potencial que suponen los sistemas de IA al mitigar los riesgos, desbloquear oportunidades y aumentar la fiabilidad de los sistemas de IA. El NIST destaca las siguientes características para que las organizaciones puedan medir la fiabilidad de sus sistemas:
Validez y fiabilidad
Seguridad, protección y resiliencia
Responsabilidad y transparencia
Explicabilidad y interpretabilidad
Mejora de la privacidad
Prudencia a la hora de gestionar sesgos perjudiciales
Además, el marco de gestión de riesgos de IA del NIST ofrecerá orientación práctica en cuatro pasos: gobernar, asignar, medir y gestionar. Estos pasos tienen como objetivo proporcionar a las organizaciones un marco para comprender y evaluar los riesgos, así como para mantenerse al tanto de estos riesgos con procesos definidos.
Directrices de la ISO sobre gestión de riesgos de IA
El 6 de febrero de 2023, la ISO publicó ISO/IEC 23894:2023, un documento con directrices para la gestión de riesgos de IA. Al igual que el marco de gestión de riesgos de IA del NIST, la guía ISO tiene como objetivo ayudar a las organizaciones que desarrollan, implementan o utilizan sistemas de IA para introducir prácticas recomendadas sobre gestión de riesgos. La guía describe una serie de principios rectores que destacan que la gestión de riesgos debe (ser):
Integrada
Estructurada y completa
Personalizada
Inclusiva
Dinámica
Informada a partir de información de calidad
Considerar factores humanos y culturales
Mejorar de manera continua
De nuevo, como el marco de gestión de riesgos de IA del NIST, las directrices ISO definen procesos y políticas para la aplicación de la gestión de riesgos de IA. Esto incluye la comunicación y la consultoría, el establecimiento del contexto, la evaluación, el tratamiento, la supervisión, la revisión, el registro y la generación de informes sobre los riesgos asociados al desarrollo y al uso de los sistemas de IA, y tiene en cuenta el ciclo de vida del sistema de IA.
¿Cómo se comparan estos marcos con el marco de la OCDE?
La aplicación del marco de la OCDE pretende cubrir más terreno que otros marcos de gestión de riesgos de IA y tiene como objetivo ayudar a las organizaciones a la hora de comprender y evaluar los sistemas de IA en múltiples contextos, o dimensiones, como se hace referencia a ellos en el marco de la OCDE, incluidos:
Las personas y el planeta
El contexto económico
Los datos y las entradas
Los modelos de IA
Las tareas y los resultados
A diferencia del marco del NIST y de la ISO, el marco de la OCDE promueve una comprensión esencial de la IA y del lenguaje relacionado para ayudar a informar sobre las políticas dentro de cada contexto definido. El marco de la OCDE también admite marcos específicos del sector y se puede utilizar junto con normativas o directrices financieras o específicas de la atención sanitaria que están relacionadas con el uso de la IA. También tiene como objetivo apoyar el desarrollo de evaluaciones de riesgo, así como políticas de gobernanza para la gestión continua del riesgo de IA.
Tanto los marcos de gestión de riesgos de IA del NIST como de la ISO presentan un enfoque más profundo en cuanto a los controles y requisitos específicos para auditar los riesgos. Como tal, pueden complementar las partes que se «centran más en las políticas» del marco de la OCDE y pueden ayudar a las organizaciones a madurar aún más y a poner en práctica su visión del desarrollo y uso de los sistemas de IA.
¿Cómo pueden las organizaciones implementar el marco de la OCDE para la clasificación de los sistemas de IA?
OneTrust ha agregado la plantilla de una lista de verificación que se basa en el marco de la OCDE para la clasificación de sistemas de IA a la solución AI Governance. La plantilla de la lista de verificación de IA de la OCDE tiene como objetivo ayudarte a evaluar los sistemas de IA desde la perspectiva de una política y se puede aplicar a una gama de sistemas de IA dentro de las siguientes dimensiones que se describen en el marco de la OCDE.
La lista de verificación también garantizará que se implementan políticas y clasificaciones eficientes dentro de tu organización a la hora de abordar la amplia gama de dominios y posibles preocupaciones que se vinculan al uso de sistemas de IA. En resumen: puedes utilizar la lista de verificación para validar si tu negocio dispone del conjunto adecuado de políticas para abordar las lagunas en los sistemas de IA de acuerdo con cada uno de los principios, hay organización y existe el conjunto adecuado de responsables para ayudar a gestionar los riesgos identificados a través de esta lista de verificación y supervisar su mitigación, o si todos estos dominios están representados correctamente dentro del ciclo de vida de desarrollo o uso del sistema de IA.
Para garantizar que las organizaciones desarrollan e implementan sistemas de IA de forma responsable, OneTrust ha creado una plantilla de evaluación integral dentro de la herramienta AI Governance que incluye el marco de la OCDE para la clasificación de la lista de verificación de sistemas de IA. La solución OneTrust AI Governance se trata de una herramienta integral que está diseñada para ayudar a las organizaciones a inventariar, evaluar y monitorizar la amplia gama de riesgos que se asocian con la IA.
Habla con un experto hoy mismo para saber más sobre cómo OneTrust puede ayudar a tus organizaciones a la hora de gestionar los sistemas de IA y sus riesgos asociados.
