Llegan nuevos reglamentos de IA. ¿Está preparada su organización?

En las últimas semanas, los organismos gubernamentales —incluidos los reguladores financieros estadounidenses, la Comisión Federal de Comercio de los Estados Unidos y la Comisión Europea— han anunciado directrices o propuestas para regular la inteligencia artificial. Está claro que la regulación de la IA está evolucionando rápidamente. Pero en lugar de esperar a que haya más claridad sobre las leyes y reglamentos que se van a implementar, las empresas pueden tomar medidas ahora para prepararse. Esto se debe a que las recientes medidas de los gobiernos están surgiendo tres tendencias.

••• Durante las últimas semanas, los reguladores y legisladores de todo el mundo han dejado una cosa clara: las nuevas leyes pronto determinarán la forma en que las empresas utilizan la inteligencia artificial (IA). A finales de marzo, los cinco principales reguladores financieros federales de los Estados Unidos publicaron un[solicitud de información](https://www.govinfo.gov/content/pkg/FR-2021-03-31/pdf/2021-06607.pdf?utm_campaign=subscription+mailing+list&utm_source=federalregister.gov&utm_medium=email) sobre cómo los bancos utilizan la IA, lo que indica que vienen nuevas directrices para el sector financiero. Apenas unas semanas después, la Comisión Federal de Comercio (FTC) de los Estados Unidos publicó[un conjunto de directrices inusualmente atrevidas](https://www.ftc.gov/news-events/blogs/business-blog/2021/04/aiming-truth-fairness-equity-your-companys-use-ai) sobre «verdad, imparcialidad y equidad» en la IA, definiendo la injusticia y, por lo tanto, el uso ilegal de la IA, en términos generales como cualquier acto que «cause más daño que bien». La Comisión Europea hizo lo mismo el 21 de abril y publicó la suya propia[propuesta de regulación de la IA](https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence), que incluye multas de hasta el 6% de los ingresos anuales de la empresa por incumplimiento, multas superiores a las sanciones históricas de hasta el 4% de la rotación mundial que se pueden imponer en virtud del [Reglamento general de protección de datos](https://gdpr.eu/what-is-gdpr/) (GDPR). Para las empresas que adoptan la IA, el dilema está claro: por un lado, la evolución de los marcos normativos de la IA afectará significativamente a su capacidad de utilizar la tecnología; por otro, con la evolución de las nuevas leyes y propuestas, puede parecer que aún no está claro qué pueden y deben hacer las empresas. Sin embargo, la buena noticia es que tres tendencias centrales unen casi todas las leyes actuales y propuestas sobre la IA, lo que significa que hay medidas concretas que las empresas pueden tomar ahora mismo para garantizar que sus sistemas no infrinjan ninguna ley o reglamento existente o futuro. La primera es el requisito de realizar evaluaciones de[Riesgos de la IA](/2021/01/when-machine-learning-goes-off-the-rails) y para documentar cómo se han minimizado (e idealmente, se han resuelto) esos riesgos. Muchos marcos normativos denominan este tipo de evaluaciones de riesgos «evaluaciones de impacto algorítmicas» (también llamadas a veces «IA para la IA»), que se han hecho cada vez más populares en una variedad de marcos de IA y protección de datos. De hecho, algunos de estos tipos de requisitos ya están en vigor, como los de Virginia[Ley de Protección de Datos del Consumidor](https://lis.virginia.gov/cgi-bin/legp604.exe?211+ful+SB1392+pdf) — promulgada el mes pasado, exige la evaluación de ciertos tipos de algoritmos de alto riesgo. En la UE, el RGPD exige actualmente evaluaciones de impacto similares para el procesamiento de datos personales de alto riesgo. (La Oficina del Comisionado de Información del Reino Unido mantiene su propio lenguaje sencillo [guía](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/) sobre cómo realizar evaluaciones de impacto en su sitio web). No es sorprendente que las evaluaciones de impacto también formen una parte central de la nueva propuesta de la UE sobre el reglamento de la IA, que exige una[documento técnico en ocho partes](https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75789) para los sistemas de IA de alto riesgo, que describa «los resultados y las fuentes de los riesgos previsibles y no deseados» de cada sistema de IA, junto con un plan de gestión de riesgos diseñado para abordar dichos riesgos. Los legisladores estadounidenses deberían conocer la propuesta de la UE, ya que se ajusta a las evaluaciones de impacto exigidas en un proyecto de ley propuesto en 2019 en ambas cámaras del Congreso denominado[la Ley de Responsabilidad Algorítmica](https://www.congress.gov/bill/116th-congress/senate-bill/1108/text). Aunque el proyecto de ley languideció en ambos pisos, la propuesta habría exigido revisiones similares de los costes y beneficios de los sistemas de IA relacionados con los riesgos de la IA. Ese proyecto de ley que sigue disfrutando [amplio apoyo](https://ainowinstitute.org/aiareport2018.pdf) tanto en la comunidad de investigación como en la política hasta el día de hoy, y el senador Ron Wyden (demócrata de Oregón), uno de sus copatrocinadores,[según se informa, planes](https://www.meritalk.com/articles/sen-wyden-to-reintroduce-ai-bias-bill-in-coming-months/) para volver a presentar el proyecto de ley en los próximos meses. Si bien los requisitos específicos de las evaluaciones de impacto difieren según estos marcos, todas esas evaluaciones tienen una estructura de dos partes en común: exigen una descripción clara de los riesgos generados por cada sistema de IA y descripciones claras de la forma en que se ha abordado cada riesgo individual. Garantizar que la documentación sobre IA exista y refleje todos los requisitos de los sistemas de IA es una forma clara de garantizar el cumplimiento de las leyes nuevas y en evolución. La segunda tendencia es la responsabilidad y la independencia, que, a un nivel alto, exigen que cada sistema de IA se someta a pruebas para determinar los riesgos y que los científicos de datos, los abogados y otras personas que evalúan la IA tengan incentivos diferentes a los de los científicos de datos de primera línea. En algunos casos, esto simplemente significa que la IA sea probada y validada por personal técnico diferente al que la desarrolló originalmente; en otros casos (especialmente los sistemas de mayor riesgo), las organizaciones pueden tratar de contratar a expertos externos para que participen en estas evaluaciones y demuestren su total responsabilidad e independencia. (Divulgación completa:[bnh.ai](https://www.bnh.ai/), el bufete de abogados que dirijo, recibe frecuentes peticiones para que desempeñe esta función.) De cualquier manera, garantizar que los procesos claros generen independencia entre los desarrolladores y quienes evalúan los riesgos de los sistemas es un componente central de casi todos los nuevos marcos regulatorios de la IA. La FTC ha hablado exactamente de este punto durante años. En sus directrices del 19 de abril, recomendaba que las empresas «adoptaran» la responsabilidad y la independencia y elogiaba el uso de marcos de transparencia, normas independientes, auditorías independientes y la apertura de los datos o el código fuente a la inspección externa. (Esta recomendación se hizo eco de puntos similares sobre la responsabilidad que la agencia hizo públicos en[Abril del año pasado](https://www.ftc.gov/news-events/blogs/business-blog/2020/04/using-artificial-intelligence-algorithms).) La última tendencia es la necesidad de una revisión continua de los sistemas de IA, incluso después de que se hayan realizado evaluaciones de impacto y revisiones independientes. Esto tiene sentido. Porque los sistemas de IA son frágiles y están sujetos a[altas tasas de fracaso](https://research.google/pubs/pub43146/), los riesgos de la IA crecen y cambian inevitablemente con el tiempo, lo que significa que los riesgos de la IA nunca se mitigan por completo en la práctica en un solo momento. Por esta razón, tanto los legisladores como los reguladores envían el mensaje de que la gestión de riesgos es un proceso continuo. En la plantilla de documentación de ocho partes para los sistemas de IA en la nueva propuesta de la UE, se dedica una sección completa a describir «el sistema establecido para evaluar el rendimiento del sistema de IA en la fase posterior a la comercialización», es decir, cómo se supervisará continuamente la IA una vez que se despliegue. Para las empresas que adoptan la IA, esto significa que la auditoría y la revisión de la IA deben realizarse con regularidad, idealmente en el contexto de un proceso estructurado que garantice que las implementaciones de mayor riesgo se supervisen de la manera más exhaustiva. Incluir detalles sobre este proceso en la documentación (quién realiza la revisión, en qué plazo y las partes responsables) es un aspecto fundamental del cumplimiento de esta nueva normativa. ¿Convergerán los reguladores en otros enfoques para gestionar los riesgos de la IA fuera de estas tres tendencias? Sin duda. Hay muchas formas de regular los sistemas de IA, desde requisitos de explicabilidad para algoritmos complejos hasta limitaciones estrictas de la forma en que se pueden implementar ciertos sistemas de IA (por ejemplo, prohibir rotundamente ciertos casos de uso, como la prohibición del reconocimiento facial que se ha propuesto en varias jurisdicciones del mundo). De hecho, los legisladores y los reguladores aún no han llegado a un amplio consenso sobre qué es la «IA» en sí misma, un requisito previo claro para desarrollar una norma común que rija la IA. Algunas definiciones, por ejemplo, están diseñadas de forma tan limitada que solo se aplican a los usos sofisticados del aprendizaje automático, que son relativamente nuevos en el mundo comercial; otras definiciones (como la de la reciente propuesta de la UE) parecen cubrir casi _cualquier_ sistema de software implicado en la toma de decisiones, que se aplicaría a los sistemas que han estado en funcionamiento durante décadas. Las definiciones divergentes de inteligencia artificial son simplemente una de las muchas señales de que aún estamos en las primeras etapas de los esfuerzos mundiales para regular la IA. Pero incluso en estos primeros días, las formas en que los gobiernos abordan el tema del riesgo de la IA tienen puntos en común claros, lo que significa que las normas para regular la IA ya están quedando claras. Así que las organizaciones que están adoptando la IA ahora mismo (y las que buscan asegurarse de que su IA actual siga cumpliendo con las normas) no tienen que esperar para empezar a prepararse.