Primera Ley sobre Inteligencia Artificial del Mundo y Riesgos Estratégicos de esta Tecnología
Primera Ley sobre Inteligencia Artificial del Mundo y Riesgos Estratégicos de esta Tecnología
El 8 de diciembre, la Unión Europea (UE) llegó al acuerdo de sacar adelante la primera Ley de Inteligencia Artificial (IA) del mundo con un alcance general del uso de la IA y a nivel de región y países miembros, que deberá servir para regular durante los próximos años tanto tecnologías como ChatGTP como el uso de sistemas de identificación biométrica en tiempo real y a distancia, como el reconocimiento facial.
Cabe mencionar que se han aprobado otras regulaciones de IA pero con alcance más específico y con un alcance geográfico local, por ejemplo, la ciudad de Nueva York en EE.UU. aprobó en Julio pasado una regulación de IA sobre su uso en el examen de curriculum vitae en los procesos de selección y contratación, exigiendo una auditoría externa de sesgo antes del uso de los sistemas de IA para este cometido.
La Ley de IA de la UE es una iniciativa legislativa emblemática con el potencial de fomentar el desarrollo y la adopción de una IA segura y fiable en toda la UE por entidades públicas y privadas. La idea principal es regular la IA en función de su capacidad de causar daño a la sociedad siguiendo un enfoque “basado en riesgo”: cuanto mayor es el riesgo, más estrictas son las reglas. Como la primera propuesta legislativa de este tipo en el mundo, puede llegar a establecer un estándar global para la regulación de la IA en otras jurisdicciones, tal como lo ha hecho el RGPD de la UE, promoviendo así el enfoque europeo de la regulación tecnológica en el escenario mundial.
Tras este acuerdo provisional, queda que en las próximas semanas se continue trabajando a nivel técnico para ultimar los detalles del nuevo reglamento, cuyo texto se presentará a los representantes de los Estados miembros para su aprobación. La Ley de IA debería aplicarse dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas. En este sentido, en agosto de este año, se aprobó en España el Estatuto de la Agencia Española de Supervisión de IA, que será la encargada en España de supervisar la aplicación y ejecución de lo dispuesto en la mencionada Ley sobre IA Inteligencia Artificial, así como de coordinar las actividades encomendadas a los Estados miembro.
Tras la explosión en el uso de plataformas de IA como ChatGPT (Compañía Open AI) “la más famosa recientemente” y otras como Siri (Apple AI), Alexa (Amazon AI), Cortana (Microsoft AI), Watson (IBM AI), BART (Google AI), etc. usadas en los últimos años por el público general y por las Compañías, está claro que se requería de forma inmediata un marco legal y de seguridad que velase por la seguridad y protección de los datos de los ciudadanos.
Por tanto, es una gran noticia que la UE se ponga de acuerdo para sacar adelante la primera Ley de IA del mundo (mucho antes de la fecha tope marcada de 2026) y se comiencen a establecer los órganos supervisores de esta Ley por parte de las Administraciones, como es el caso de España que ya ha comenzado a establecer las bases de la Agencia Española de Supervisión de IA, aprobando en agosto de este año su estatuto. Obviamente, con el tiempo veremos las virtudes y defectos de esta Ley pero seguro que establecerá esa base como estándar global de regulación de la IA.
Mientras que se recibe el texto definitivo y entra en vigor el cumplimiento de la Ley de IA de la UE, las compañías que están empleando sistemas de IA y los proveedores de tecnología de IA tendrán que ir revisando y afinando sus modelos de gobierno, gestión de riesgos y control para adaptarse al cumplimiento de los requerimientos de esta nueva Ley de IA, que se basa en los principios de transparencia, equidad y responsabilidad.
Para llevar a cabo esta revisión de los modelos de gobierno, gestión de riesgos y control de seguridad sobre sistemas de IA, desde el equipo especialista en riesgos tecnológicos y ciberseguridad de RAS de BDO se recomienda trabajar en los siguientes riesgos que se consideran prioritarios y estratégicos, aunque no sean los únicos de la IA:
- Riesgos de sesgo: un uso inadecuado de los algoritmos y entramiento de los sistemas de IA puede provocar la generación de resultados que discriminen a determinados colectivos vulnerables, y resultados no deseados y erróneos que puedan provocar pérdida de reputación a la compañía en primera instancia. Para evitar este riesgo y minimizarlo, se recomienda llevar a cabo revisiones de los modelos de gobierno del dato, y auditorías que prueben los controles de monitorización y detección de errores en los resultados generados para su mejora continua. En este punto, ya existen algunas buenas prácticas de carácter organizativo y técnico, como es el “Artificial Intelligence Risk Management Framework” del NIST (National Institute of Standards and Technology), o el “Informe de Buenas Prácticas BP/30 sobre aproximación a la IA y la ciberseguridad” del CCN (Centro Criptológico Nacional).
- Riesgos en la privacidad de los tratamientos de datos personales: muchas de las aplicaciones de la IA en los procesos de negocio, tratan datos personales, por ejemplo, en servicios de atención al cliente, formación, empleo, identificación biométrica, operaciones bancarias, etc. que necesitan ser analizados para comprobar que cumplen con los requerimientos del RGPD, sobre todo en lo referido a información y consentimiento del afectado, anonimización, etc. La Agencia Española de Protección de Datos ya emitió una guía de “adecuación al RGPD de tratamientos que incorpora IA”, que puede servir de referencia. Pero esta nueva revisión deberá contemplar además las nuevas clasificaciones de tratamientos según los niveles de riesgo de la Ley de IA (riesgo inaceptable, alto riesgo, y riesgo limitado) para comprobar si cumplen también con las normas y medidas de seguridad de esta Ley.
- Riesgos de seguridad de la plataforma de IA: una implantación débil de medidas de seguridad puede incurrir en accesos no autorizados a la plataforma y robo de datos confidenciales. Este riesgo comprende la seguridad de la infraestructura y la capa de aplicación funcional. En este último se deben tener muy en cuenta los ataques por medio de inyección de órdenes para obtener información confidencial, cambiar los datos/comandos de aprendizaje, provocar denegación de servicio, etc. Para esta capa de aplicación también existen marcos de referencia como el “OWASP Top 10 for LLM Applications” y el ya mencionado “Informe de Buenas Prácticas BP/30 sobre aproximación a la IA y la ciberseguridad del CCN que pueden ayudar al despliegue de medidas técnicas para mitigar los riesgos de seguridad en sistemas de IA.
Con la llegada de la Ley de IA, las compañías que emplean sistemas de IA y proveedores de IA tendrán que revisitar sus modelos de gobierno, gestión de riesgos y control para afinarlos y adaptarlos a los requerimientos de dicha Ley, y siempre mirando hacia los riesgos estratégicos descritos en las líneas anteriores de sesgo, privacidad y seguridad, que los Comités de Dirección, de Auditoría y la Alta Dirección deberán tener en cuenta para que sus organizaciones hagan un uso responsable y ético de la IA.