Para controlar la IA de forma eficaz y mitigar el riesgo para diferentes individuos, las organizaciones deben establecer diversos comités de gobernanza de la IA con el fin de establecer políticas, definir niveles de riesgo y postura de riesgo a nivel de la organización, evaluar casos prácticos y garantizar la participación humana en procesos de alto riesgo.

Aunque la mayoría de las organizaciones pueden estar de acuerdo en que contar con un comité de gobernanza de la IA es crucial para el uso responsable de la IA, también puede ser extremadamente abrumador saber por dónde empezar. Como ejemplo, utilizaremos esta publicación para describir cómo OneTrust estableció su comité de gobernanza de la IA, junto con algunos apuntes sobre cómo establecer un comité dentro de tu negocio.

Preguntas clave para establecer un comité de gobernanza de la IA

Estamos en el punto de inflexión en lo que respecta a la evolución de la IA, donde el futuro de la IA depende en gran medida de si el público confiará en los sistemas de IA y las empresas que los utilicen. OneTrust se compromete plenamente con la adopción y el uso responsable de sistemas de IA que cumplan con los valores fundamentales de nuestra empresa, los principios éticos y, ante todo, pongan a las personas en primer lugar.

La integración gradual de los sistemas de IA en todos nuestros ecosistemas empresariales y la adopción generalizada de los sistemas de IA cambiarán de forma significativa la forma en que operamos como empresa. Desde el principio, OneTrust decidió establecer un comité interno de gobernanza de la IA con objeto de supervisar nuestros esfuerzos por crear un programa de gobernanza de la IA sólido. El objetivo de este comité es garantizar que nuestro uso actual y futuro de los sistemas de IA cumpla con los principios de IA responsable de OneTrust, los estándares que establece la normativa y las prácticas recomendadas del sector.

Implicación

El primer paso para formar tu comité es determinar quién se involucrará dentro de tu organización. 

Estas son las preguntas clave a tener en cuenta de cara a la fase de quién involucrar:  

• ¿Quién está involucrado?
  
  
• ¿Cómo puedo determinar a los participantes?

El comité de gobernanza de la IA de OneTrust incluye representantes de las áreas funcionales clave de la organización, incluidos el departamento jurídico, de ética y cumplimiento normativo, privacidad, arquitectura y seguridad de la información, I+D, y gestión e ingeniería de productos. Los miembros del comité tienen diversas habilidades, experiencias y antecedentes porque creemos que el intercambio de conocimientos interfuncional es esencial para establecer un programa de gobernanza de la IA que sea verdaderamente efectivo.

Abordar los desafíos de gobernanza de la IA requiere el compromiso de personas que tengan unos orígenes diversos y especializados. Responder a los nuevos desafíos que plantea la innovación moderna a menudo requiere soluciones creativas que se puedan ofrecer cuando los expertos en diferentes campos se reúnan y aporten sus perspectivas únicas.

Si te aseguras de tener un comité diverso, esto te ayudará a encontrar las soluciones creativas y las reflexiones adecuadas que todo programa de gobernanza de la IA requiere. 

Gobernanza

Cuando formes tu comité, será hora de que controles tu programa. Dentro de esta categoría se pueden hacer muchas preguntas, pero las más relevantes para la fase de gobernanza son las siguientes:

• ¿Cómo define tu organización los sistemas de IA?
  
  
• ¿Cómo se definen los niveles de riesgo?
  
  
• ¿Cómo garantizas la supervisión humana de los sistemas de alto riesgo?
  
  
• ¿Cuál es la postura de tu organización en cuanto a los sistemas de IA generativos como, p. ej., ChatGPT? 

Definir la IA es un factor clave de los programas de gobernanza de la IA. Vemos que las comunidades tecnológicas y empresariales, los académicos y los expertos jurídicos presentan diferentes definiciones para los cerebros digitales. Incluso la IA puede utilizarse para definirse a sí misma; cuando se le pide la definición de IA, ChatGPT dice lo siguiente: «la IA es la simulación de la inteligencia humana en máquinas programadas para realizar tareas que normalmente requieren inteligencia humana, como la percepción visual, el reconocimiento del habla, la toma de decisiones y el tratamiento del lenguaje natural». Este mensaje está bien articulado y destaca la esencia de lo que representa la IA.

En OneTrust, hemos consultado los marcos normativos de IA existentes y hemos decidido utilizar la definición de IA que se describe en la Ley de IA de la UE. Consideramos que los nuevos estándares de IA que se han implementado en la UE representan el conjunto más avanzado de estándares de gobernanza de la IA a la hora de influir y dirigir las políticas de IA a escala global.

La definición de sistemas de IA según lo dispuesto en la Ley de IA de la UE hace referencia a una aplicación que se basa en software y que se desarrolla con una o más de las técnicas o enfoques integrados en la IA, como el aprendizaje automático, los enfoques estadísticos, lógicos o basados en el conocimiento, y los métodos bayesianos de estimación y búsqueda y optimización. 

Esta definición también especifica que un sistema de IA puede generar resultados como contenido, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúan los humanos.

¿Cómo define OneTrust los niveles de riesgo de la IA?

De forma similar, nuestro programa interno de gobernanza de la IA también ha adoptado el sistema de clasificación de riesgos de IA que se describe en la Ley de IA de la UE. De acuerdo con las directrices que establece la Ley de IA de la UE, clasificamos los sistemas de IA en cuatro categorías de riesgo:

1. Sistemas de IA inaceptable: estos se clasifican como demasiado arriesgados para el uso de los consumidores. P. ej., la puntuación social de personas basándose en su supervisión a lo largo del tiempo y que puede conducir a un trato perjudicial o desfavorable de ciertas personas. Estos sistemas están prohibidos por la Ley de IA.
   
   
2. Sistemas de IA de alto riesgo: estos representan una alta probabilidad de riesgo para la salud y la seguridad, o un riesgo de impacto adverso en los derechos fundamentales de los individuos. P. ej., la contratación o selección de candidatos para su contratación como empleados (incluyendo publicidad, selección o filtrado de solicitudes, evaluación de candidatos durante entrevistas o pruebas); toma de decisiones sobre el ascenso y el cese de empleos; solicitudes de asignación de tareas; y la supervisión y evaluación del rendimiento y el comportamiento de los empleados.
   
   
3. Sistemas de IA de riesgo bajo o mínimo: estos sistemas no suponen un riesgo conocido para la salud y la seguridad, o para los derechos fundamentales de las personas. Algunos ejemplos de estos sistemas son los filtros de spam y los sistemas de gestión de inventarios.
   
   
4. Sistema de IA de uso genérico: estos utilizan tecnología de IA generativa (GenAI) para crear contenido original. Algunos ejemplos de estos sistemas son tecnologías que resumen contenido largo, crean de forma autónoma código de software y generan imágenes digitales a partir del lenguaje natural.

¿Cómo garantiza OneTrust que hay una revisión humana para con los procesos de alto riesgo?

La política de uso de IA de OneTrust, que se implementará muy pronto, no permite sistemas de IA prohibidos. Esta misma política establece los procesos para evaluar el uso de todas las demás categorías de riesgo. Sacamos partido de las herramientas de Gestión de riesgos de terceros de OneTrust y desarrollamos extensiones de riesgo de IA para nuestras plantillas de evaluación de riesgos existentes. Mediante este proceso, podemos evaluar los riesgos vinculados a la IA, que en algunos casos están conectados a otros estándares, como los dominios de privacidad, seguridad de la información y riesgos éticos.

Aunque el proceso de gestión de riesgos de terceros está bastante automatizado, siempre hay un humano involucrado en la revisión de las evaluaciones y su seguimiento en caso de que se produzca alguna incidencia. Hemos desarrollado y ahora estamos probando de forma interna versiones modificadas de las evaluaciones del impacto sobre la privacidad (EIP) que incluyen preguntas sobre los riesgos conocidos de la IA al evaluar los sistemas de IA y nuestros proveedores de servicios de IA.

Estas plantillas prediseñadas son una herramienta efectiva para identificar algunos de los nuevos desafíos de cumplimiento normativo vinculados a la IA, como la explicabilidad del algoritmo de tratamiento de un sistema de IA o la adecuación en la divulgación de información personal que traten los sistemas de IA. 

Los sistemas de IA que utilizan datos de mayor riesgo, como los sistemas de RR. HH., que normalmente incluyen más información personal, deben examinarse a través del proceso de evaluación. Esto garantiza que obtenemos el nivel adecuado de visibilidad sobre cómo operan estos sistemas, qué datos se utilizan y si el proveedor del sistema siguió los requisitos normativos y las prácticas recomendadas del sector a la hora de desarrollar el sistema.

¿Cuál es la política y la postura de OneTrust con respecto a herramientas de IA generativas como, p. ej., ChatGPT?

En líneas generales, nuestra política es apoyar el uso de sistemas de IA, incluidas las herramientas de IA generativas, siempre que se examinen minuciosamente y se establezcan medidas de seguridad de carácter razonable a la hora de gestionar los riesgos conocidos. 

Mediante nuestro proceso de evaluación de riesgo de terceros, podemos analizar cualquier riesgo y aprobar el uso de herramientas de IA que se ajusten a nuestra política interna de uso de IA, incluidos nuestros principios de IA responsable. En lugar de prohibir el uso de IA generativa, implementamos los mismos protocolos de investigación que para cualquier otra categoría de aplicaciones de IA.

Las evaluaciones de riesgos para los sistemas de IA cubrirán toda la gama de riesgos asociados, incluida la privacidad y la arquitectura de seguridad de la información. En función de los resultados de estas evaluaciones, podemos tomar la decisión de permitir o no el uso de dicha aplicación de IA.

Somos conscientes de que es posible que no podamos eliminar al completo los riesgos de IA que se hayan identificado en cada caso. En su lugar, centraremos nuestra atención en cómo podemos mitigar el riesgo conocido y compartir enfoques de prácticas recomendadas para los usuarios de dichos sistemas. 

Por ejemplo, en la próxima política de uso de IA de OneTrust, advertimos a los usuarios de que sean conscientes de que el contenido que produce la GenAI no es totalmente fiable y podría ser impreciso, además de que los sistemas de IA de propósito genérico pueden producir resultados de carácter inapropiado por error. Asimismo, alertamos a los usuarios de que deben actuar con precaución y discreción antes de compartir, publicar o utilizar de otro modo los resultados que produzcan los sistemas de GenAI.

Por último, aconsejamos a los usuarios que los datos que produzcan los sistemas de IA bajo ninguna circunstancia se deben utilizarse para reemplazar asesoramiento jurídico, financiero o de cualquier otro tipo. Estamos estudiando cómo formar a los usuarios de los sistemas de IA a través de la concienciación sobre riesgos de IA como parte de los controles generales de mitigación de riesgos de IA que implementaremos a lo largo de nuestra plantilla para finales de este año.

Estructura y cadencia

El trabajo de tu comité de gobernanza de la IA estará en marcha; sin embargo, es útil disponer de una cadencia preestablecida para que las reuniones sean regulares. Al configurar tus procesos, considera estas preguntas clave:

• ¿Con qué frecuencia se reunirá el comité de gobernanza de la IA?
  
  
• ¿Cómo se estructurarán las reuniones? 

¿Con qué frecuencia se reunirá el comité de gobernanza de la IA?

Actualmente, el comité de gobernanza de la IA de OneTrust se reune una vez por trimestre. Esta cadencia puede ajustarse si se decidiera que existe una necesidad empresarial para que las reuniones sean más frecuentes. Dicho esto, las reuniones del comité no son la única forma que tiene de trabajar el comité de gobernanza de la IA en OneTrust.

Si el comité debe tomar una decisión sobre alguna iniciativa o política, dicha votación se facilitará por medios electrónicos para que cada miembro del comité pueda votar. En la fase actual, la mayor parte del trabajo de gobernanza de la IA se realiza en grupos más pequeños como, p. ej., por equipos de seguridad de la información, cumplimiento normativo o privacidad. Las reuniones espontáneas en grupos más pequeños desempeñan un papel esencial a la hora de garantizar que avanzamos en la gestión de nuestro programa de IA.

¿Cómo se estructuran las reuniones?

Las reuniones del comité tienen como objetivo centrarse en los debates y la toma de decisiones en torno a las áreas clave de responsabilidad, que incluyen la revisión y aprobación de proyectos e iniciativas vinculados a la IA, el desarrollo de políticas y procedimientos de gobernanza de la IA y la supervisión de que el uso de la IA se ajusta a los principios y valores de IA responsable de OneTrust.

Puesta en marcha de la gobernanza de la IA

Aunque los primeros pasos de todo programa de gobernanza de IA pueden tornarse abrumadores al principio, ir paso a paso y asegurarse de que se cuenta con el equipo adecuado es muy importante. Para saber cómo OneTrust puede ayudarte en tu viaje hacia la gobernanza de la IA, puedes solicitar una demostración hoy mismo.