4 Preguntas de Cumplimiento para CIOs que Consideran Proyectos de IA
Las empresas tienen mucho que considerar antes de lanzar proyectos de inteligencia artificial, desde qué caso de uso perseguir hasta qué medidas de protección implementar. Detrás de cada buena idea se encuentran una batería de implicaciones legales que requieren que los CIOs avancen con cautela.
El cumplimiento de las diversas leyes y regulaciones sobre IA en diferentes países, estados y jurisdicciones no es una tarea sencilla. Intentar prever el futuro de los proyectos solo añade a la complejidad.
“De repente, has llegado a un punto donde todas estas diferentes matices deben ser capturados dentro de los programas de gobernanza, lo cual es realmente difícil”, señaló un experto durante un panel en un evento sobre privacidad.
Las empresas deben crear procesos y gobernanza que controlen los riesgos de la IA mientras permiten la innovación.
1. ¿Es el caso de uso de IA de alto riesgo?
Los casos de uso de IA se consideran típicamente de alto riesgo si involucran infraestructura crítica, oportunidades laborales o biometría. Las empresas pueden ya tener estos tipos de casos de uso sin darse cuenta, como en las funciones de recursos humanos.
“Las empresas están luchando por poder utilizar sus procesos tradicionales de reclutamiento”, comentó un panelista, refiriéndose a un aumento en las solicitudes para roles abiertos.
Las empresas podrían estar infringiendo leyes si los líderes utilizan IA para filtrar aplicaciones. Los resultados producidos por la IA pueden contener sesgos, lo que podría hacer que las empresas no cumplan con las leyes anti-discriminación existentes.
Las empresas necesitarán tomar precauciones adicionales si los líderes planean avanzar con casos de uso de alto riesgo. Los responsables de la toma de decisiones también deben familiarizarse con las leyes que requieren medidas de protección en la toma de decisiones automatizadas para evitar multas y otras repercusiones.
2. ¿En qué jurisdicción se utilizará esta herramienta?
Asegurar el cumplimiento de las reglas y regulaciones existentes requiere que las empresas sepan exactamente dónde se está utilizando una herramienta de IA. Las leyes varían entre jurisdicciones.
“Ya hay 140 leyes de privacidad”, destacó un panelista. “Tenemos la Ley de IA de la UE. Prácticamente cada jurisdicción está regulando la IA en este momento.”
Algunas organizaciones están navegando por los divergiendo enfoques regulatorios al apuntar al cumplimiento de los estándares más altos.
“Un enfoque silo no es suficiente”, comentó otro experto. “Ahora es el momento de pensar en cómo alinearse con un enfoque global y encontrar el estándar más alto.”
3. ¿Cómo se utilizan los datos y de dónde provienen?
Datos de calidad hacen que la IA sea mejor. Pero las organizaciones tienen diferentes niveles de comodidad respecto a lo que quieren que sus sistemas de IA se entrenen y lo que se permite ingresar a los empleados.
Un responsable de privacidad mencionó que cada proyecto pasa por un proceso de revisión de riesgos antes de comenzar. Como parte de la evaluación inicial, los equipos consideran usar datos reales en comparación con datos sintéticos.
Los datos sintéticos no contienen información personal identificable, acercando a las organizaciones al cumplimiento de leyes de privacidad como el Reglamento General de Protección de Datos de la Unión Europea. Si se hace correctamente, el uso de datos sintéticos también podría reducir los sesgos históricos encontrados en conjuntos de datos del mundo real.
Las empresas también pueden beneficiarse de ejercicios de mapeo de datos.
4. ¿Construir o comprar?
La necesidad de gestionar el riesgo de terceros no puede subestimarse, según varios expertos. Los líderes tecnológicos deben entender cómo las organizaciones de terceros planean utilizar la información ingresada en sus sistemas y qué medidas de protección están en su lugar para limitar sesgos, reducir riesgos y promover prácticas responsables.
A menudo, las organizaciones quieren llevar la gestión del riesgo un paso más allá de lo que ya está en los contratos estándar, como la indemnización por derechos de autor, que es ofrecida en cierta medida por proveedores líderes.
Los panelistas discutieron sobre la necesidad de requerir información adicional de los proveedores y protección contra posibles contratiempos de IA. Los CIOs pueden apoyarse en sus contrapartes de privacidad durante las negociaciones para identificar riesgos evitables.
