IA en la empresa, cuestiones clave para Compliance Officers

¿Tu empresa se estás aventurando en el mundo de la Inteligencia Artificial (IA) y quieres asegurarte de no caer en un pozo sin fondo? Esta nota es para ti. El Foro Económico Mundial nos trae un práctico kit de herramientas para organizaciones que buscan implementar soluciones de IA, que funcionará como tu brújula en esta jungla tecnológica. En un lenguaje que no requiere un doctorado en física cuántica, se aborda cómo alinear las soluciones de IA con los objetivos empresariales, mantenerse en el lado correcto de la ética, y no meter la pata con las regulaciones. Este kit es tu guía para navegar los desafíos de adquirir e implementar IA, desde el punto de vista de Compliance.

La gestión de riesgos es un elemento crucial al implementar soluciones de inteligencia artificial (IA) y fortalecer la resiliencia empresarial, especialmente en lo que respecta a los riesgos cibernéticos relacionados con la IA.

Si bien la IA puede brindar una amplia gama de beneficios, los errores asociados a ella también pueden tener repercusiones significativas. Cada industria enfrenta riesgos específicos basados en los puntos de recopilación de datos, las regiones, la seguridad de los datos y el cumplimiento legal, entre otros aspectos.

La obtención de datos es una de las áreas clave en la gestión de riesgos al implementar una solución de IA. En la actualidad, las empresas tienen acceso a grandes volúmenes de datos para aprovechar, pero esto plantea desafíos en términos de privacidad de datos y riesgos geopolíticos y de ciberseguridad. Las brechas de datos pueden dañar la reputación empresarial, dar lugar a acciones legales y provocar grandes pérdidas de ingresos. El costo promedio de una brecha de datos en Estados Unidos casi se ha duplicado en los últimos 10 años, pasando de $5.4 millones en 2013 a $9.4 millones en 2022. Otro riesgo dañino relacionado con los datos es el sesgo en los algoritmos. El modelo de IA aprende de los datos en los que se entrena, y el sesgo en esos datos puede resultar en salidas no deseadas.

Los ciberataques son otro riesgo significativo. Estos tienen el potencial de afectar la integridad de las decisiones y predicciones del modelo de IA; los hackers pueden tomar el control de la solución o proporcionar entradas manipuladas o maliciosas que envenenen el algoritmo de IA.

Utilizada de manera incorrecta o negligente, la IA puede exponer a una organización a riesgos operativos, financieros, regulatorios y de reputación. Es fundamental establecer salvaguardias para garantizar que la solución de IA funcione como se pretende, lo que requiere un sólido sistema de gobierno diseñado teniendo en cuenta las características y capacidades únicas de la IA.

La gobernanza de la IA es el proceso de establecer políticas y establecer responsabilidades para impulsar el desarrollo e implementación de sistemas de IA en una organización. Es un marco amplio que utiliza una variedad de procesos, enfoques y herramientas para garantizar que una organización utilice la tecnología de IA de manera favorable y responsable. La gobernanza de la IA abarca la gestión de riesgos, el cumplimiento normativo, los acuerdos contractuales y la ética.

Cuando se realiza de manera adecuada, la gobernanza de la IA fomenta la agilidad y la confianza en una organización. Capturar y gestionar los metadatos de los modelos de IA crea transparencia sobre cómo se construyen e implementan los sistemas de IA, lo cual es un requisito fundamental para la mayoría de las preocupaciones regulatorias. En el mercado existen muchas herramientas y evaluaciones calibradas que pueden ayudar a evaluar el impacto de un sistema de IA, las áreas de riesgo y el rendimiento. Muchas de estas herramientas se han desarrollado en colaboración con instituciones académicas y gobiernos para fomentar la transparencia en la presentación de informes de modelos y garantizar que los sistemas de IA cumplan con las regulaciones y estándares vigentes y emergentes.

Estas herramientas de evaluación pueden ayudar a las empresas a establecer prácticas consistentes y bien definidas que prioricen atributos como la precisión, el sesgo, la consistencia, la transparencia, la interpretabilidad y la equidad en el modelo de IA que se está desarrollando.

Comprender la Recopilación de Datos en Inteligencia Artificial y su Impacto en los Grupos Demográficos

En el fascinante mundo de la Inteligencia Artificial (IA), los datos son el elemento vital que alimenta y da forma a los sistemas inteligentes. No obstante, cómo y de quién se recopilan estos datos son aspectos que necesitan una reflexión seria. En este artículo, profundizaremos en la importancia de considerar los grupos demográficos objetivo durante la recopilación de datos y las implicaciones éticas y legales asociadas.

Al desarrollar modelos de IA, resulta imperativo identificar la fuente de los datos que se van a utilizar. Los datos recogidos suelen estar vinculados a interacciones y comportamientos humanos, por lo que el grupo demográfico objetivo se convierte en un factor de gran importancia.

En primer lugar, es esencial tener en cuenta la sensibilidad de la información recopilada, especialmente cuando proviene de grupos demográficos vulnerables en los países objetivo. Es primordial ser conscientes de la naturaleza delicada de estos datos y actuar con precaución, implementando medidas de seguridad adicionales para evitar cualquier forma de explotación o daño.

Además, cuando se trata de información personal, garantizar el cumplimiento de las leyes de protección de datos y privacidad del país en cuestión es fundamental. Esto incluye familiarizarse y adherirse a regulaciones como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) en los Estados Unidos.

Otro aspecto crucial es asegurar que el proveedor de IA haya obtenido el consentimiento informado de las personas cuyos datos han sido recopilados. Esto significa que estas personas estén plenamente conscientes de cómo se utilizará su información. Cumplir con este principio no solo es ético, sino que a menudo también es un requisito legal.

Mitigantes:

  • Establecer avisos de privacidad y obtener los consentimientos necesarios para el uso y compartición de información personal.
  • Considerar técnicas como la pseudonimización, anonimización o tokenización de los datos para reducir los riesgos de privacidad.
  • Evitar el uso de biometría cuando existan métodos más simples y efectivos para lograr el mismo objetivo.

¿Cómo ha tenido en cuenta el proveedor la gestión de los riesgos de ciberseguridad?

En el ámbito de la implementación de soluciones de inteligencia artificial (IA), es fundamental abordar la gestión de riesgos de ciberseguridad. La elección de un proveedor que haya tomado medidas efectivas en este aspecto es un paso crítico en el proceso.

Es importante indagar sobre las medidas proactivas que el proveedor ha implementado para detectar y enfrentar ciberataques. Estas medidas deben incluir sistemas de seguridad sólidos, y protocolos claros que permitan identificar y neutralizar amenazas en tiempo real. Asimismo, es esencial conocer cómo el proveedor minimiza los efectos de un ataque en caso de que ocurra. Esto implica la existencia de planes de respuesta y contingencia bien estructurados, que se activen de manera eficiente para reducir los daños y recuperarse con agilidad.

Otro aspecto fundamental en la gestión de riesgos de ciberseguridad es el manejo de vulnerabilidades. El proveedor debe llevar a cabo un monitoreo constante y realizar evaluaciones periódicas de las vulnerabilidades del sistema para poder mitigar riesgos. Esto involucra mantenerse actualizado respecto a las amenazas más comunes y emergentes, y aplicar parches de seguridad y mejoras de manera oportuna.

Mitigantes:

  • Involucrar al personal de seguridad de la información en la planificación e implementación de proyectos de IA para asegurar que los lugares de almacenamiento de datos estén protegidos adecuadamente.
  • Realizar pruebas de penetración internas o externas para evaluar la seguridad de los repositorios de datos utilizados en los proyectos de IA y ajustarlos según el nivel de riesgo.
  • Limitar la capacidad de los empleados para descargar o instalar aplicaciones o complementos de navegadores no verificados por el equipo de seguridad de la información de la empresa.

¿Ha examinado el proveedor los posibles riesgos geopolíticos derivados de operar en distintos lugares físicos?

Integrar la tecnología de Inteligencia Artificial (IA) en las operaciones de cualquier empresa es un paso emocionante hacia la innovación. Sin embargo, los responsables de la toma de decisiones deben tener una visión panorámica que incluya el análisis de los posibles riesgos geopolíticos. Así, es vital entender cómo estos riesgos, que surgen al operar en diferentes ubicaciones físicas, son manejados por el proveedor de IA.

Primero, pensemos en la recopilación de datos. Algunos territorios están en disputa, lo que puede generar riesgos geopolíticos que deben ser contemplados. El proveedor de IA debe considerar estos riesgos y demostrar cómo pretende manejarlos para garantizar la seguridad de los datos y su conformidad con las leyes locales e internacionales.

Segundo, es importante considerar el lugar donde los datos se almacenan o se procesan. Las regiones inestables pueden representar un riesgo considerable, y es imprescindible que los proveedores de IA muestren cómo manejan estas situaciones para mantener la integridad de los datos.

En tercer lugar, es crucial considerar el impacto potencial del uso de la IA en estos territorios. ¿Podría su uso exacerbar la inestabilidad política regional? ¿Podría afectar la paz y la seguridad? Son preguntas pertinentes a considerar en la implementación de la IA.

Por último, no podemos olvidar el elemento humano. Los recolectores de datos podrían enfrentar riesgos físicos en el proceso de recopilación de datos. Es esencial que los proveedores de IA tengan en cuenta estos riesgos y cuenten con medidas para asegurar la seguridad de su personal.

Para mitigar los riesgos relacionados con el almacenamiento y procesamiento de datos en regiones inestables, el proveedor de IA debe implementar medidas de seguridad sólidas, como encriptación de datos, autenticación de usuarios y sistemas de respaldo, además de realizar auditorías periódicas para detectar y abordar posibles vulnerabilidades.

¿Se han definido claramente los riesgos relacionados con el proyecto?

Uno de los aspectos clave a considerar es si el proyecto de IA tiene una definición clara en términos de los resultados y entregables esperados. Es importante establecer metas y objetivos concretos para evitar confusiones o desviaciones en el camino. Además, se deben identificar los tipos de contenido que el proveedor puede manejar y qué hacer en caso de encontrarse con contenido no compatible o no admitido.

Otro punto importante es cómo el proveedor define y mide el rendimiento de la IA. Es fundamental tener métricas claras y objetivas para evaluar el éxito del proyecto y asegurarse de que cumple con los estándares establecidos. Además, la reproducibilidad del modelo de IA es un aspecto a considerar. ¿El proveedor puede garantizar que el modelo se pueda replicar de manera consistente y confiable en diferentes situaciones y entornos?

En términos de propiedad intelectual, es necesario establecer quién tiene los derechos legales sobre los datos de origen, los modelos de IA y los derechos de reventa. Estos aspectos deben quedar claramente definidos y acordados contractualmente para evitar problemas futuros.

Muchas aplicaciones de IA son vitales para las funciones comerciales esenciales, lo que plantea riesgos de continuidad del negocio si estas aplicaciones deben desconectarse para mantenimiento, investigaciones o por otras preocupaciones operativas o legales.

Mitigantes:

  • Ejecutar ciertas aplicaciones de IA de alto riesgo en un entorno controlado o junto con métodos más tradicionales para garantizar resultados confiables antes de una implementación completa.
  • Mantener versiones anteriores del modelo o implementar otros modelos alternativos para asegurar la continuidad del negocio si el modelo principal debe desconectarse.

¿Cumple el proveedor las normas y regulaciones asociados a la creación de un modelo de IA?

El cumplimiento de las normativas y regulaciones en el ámbito de la inteligencia artificial (IA) es fundamental para asegurar el uso responsable y confiable de esta tecnología en el desarrollo de modelos de IA. Tanto los gobiernos como las instituciones están adoptando medidas para prevenir el mal uso de la IA y establecer estándares éticos y legales que fomenten la confianza en estas herramientas.

Al evaluar a un proveedor de IA, es importante considerar si han tomado medidas proactivas para garantizar el cumplimiento de las regulaciones vigentes. ¿El proveedor proporciona una declaración de explicabilidad de su solución de IA? Esta declaración debe detallar cómo funcionan los algoritmos, el uso previsto de la IA, la precisión del modelo, las medidas para detectar y mitigar sesgos, el mantenimiento del sistema, la gestión de riesgos, los principios éticos y las fuentes de datos utilizadas.

Además, es esencial verificar si el proveedor cumple con las regulaciones de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) de los Estados Unidos. Esto garantizará que el proveedor maneje adecuadamente los datos personales y cumpla con los requisitos legales de privacidad.

Por último, es relevante evaluar si el modelo de IA es compatible con las regulaciones emergentes de cumplimiento algorítmico, como el Reglamento de IA de la Unión Europea y las leyes específicas o recomendaciones de cada jurisdicción. Estas regulaciones buscan evaluar y mitigar el impacto de la IA en la toma de decisiones automatizadas, especialmente en áreas sensibles como la contratación laboral.

Argentina ha aprobado una guía para promover el desarrollo y el uso de una IA ética y centrada en las personas, que respete los derechos humanos, la diversidad, la inclusión y la equidad.La guía fue elaborada por la Secretaría de Innovación Pública, a través de la Subsecretaría de Gobierno Digital e Innovación Pública, con el apoyo de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) y la participación de más de 200 expertos y expertas de diferentes sectores. Se basa en cinco principios orientadores: beneficio social, no discriminación, transparencia, responsabilidad y participación. Estos principios buscan garantizar que la IA se aplique de manera que contribuya al bienestar común, que no reproduzca ni genere sesgos o prejuicios, que sea comprensible y explicable para las personas, que tenga mecanismos de control y rendición de cuentas, y que incorpore la voz y las necesidades de los distintos actores sociales.

La guía también propone una serie de recomendaciones prácticas para implementar estos principios en las distintas etapas del ciclo de vida de la IA, desde el diseño hasta la evaluación. Algunas de estas recomendaciones son: realizar análisis de impacto social y ambiental, incorporar criterios de accesibilidad e inclusión, garantizar la calidad y la seguridad de los datos, proteger la privacidad y los datos personales, fomentar la alfabetización digital y la capacitación en IA, y establecer mecanismos de monitoreo y auditoría.

Al considerar proveedores de IA, es importante asegurarse de que cumplan con las regulaciones y normativas aplicables, lo cual garantizará un uso responsable, ético y confiable de la IA en el ámbito del cumplimiento normativo.

¿Cómo se prepara el proveedor para las auditorías y los requisitos de conformidad?

En el ámbito de la inteligencia artificial, es fundamental que los proveedores estén preparados para enfrentar auditorías y cumplir con los requisitos establecidos. Es por ello que implementan un proceso de gestión de riesgos que abarca todas las políticas, procesos, procedimientos y prácticas relacionadas con el desarrollo, prueba, implementación, uso y auditoría de sistemas de IA. Este proceso, llevado a cabo de manera efectiva y transparente, asegura que se cumplan las normativas vigentes.

Una de las acciones que realiza el proveedor es llevar a cabo evaluaciones de conformidad obligatorias, con una frecuencia determinada, para garantizar el cumplimiento de los requisitos establecidos. Además, cuentan con sistemas claros para realizar auditorías internas, lo que les permite evaluar su propio desempeño y obtener evidencia documentada de estas auditorías.

Para asegurarse de que tanto ellos como el comprador cumplan con las regulaciones después de la implementación del modelo de IA, el proveedor toma medidas concretas. Esto implica seguir los protocolos establecidos y, en caso de incumplimiento, tomar acciones correctivas de manera oportuna.

En el caso de compradores más pequeños que puedan tener acceso limitado a soporte legal, el proveedor ofrece asistencia para garantizar el cumplimiento. Esto puede incluir brindar orientación, recursos y soluciones alternativas para cumplir con las regulaciones correspondientes.

Además, el proveedor realiza evaluaciones del rendimiento del modelo de IA utilizando herramientas especializadas de evaluación de algoritmos y tarjetas de modelos, entre otros métodos. Esto se realiza con el objetivo de prevenir sesgos y resultados indeseables, asegurando así la calidad y ética en el funcionamiento del sistema.

¿Implanta el proveedor normas y certificaciones internacionales en el modelo?

Es fundamental que los proveedores de servicios estén a la vanguardia de los estándares y certificaciones internacionales. Estas normas y certificaciones juegan un papel crucial en la construcción de modelos de IA responsables y éticos.Al elegir un proveedor de IA, es importante preguntar si siguen los estándares de gobernanza de IA establecidos por organismos internacionales reconocidos, como la Organización Internacional de Normalización (ISO) y la Asociación de Estándares de Ingeniería Eléctrica y Electrónica (IEEE). Estos estándares garantizan que se apliquen las mejores prácticas en el desarrollo y uso de la inteligencia artificial.

Además, es relevante indagar si el sistema de IA será acreditado por alguna institución reconocida que proporcione una evaluación de conformidad calibrada del modelo. Esto brinda una validación adicional de que el modelo cumple con los requisitos establecidos y se adhiere a los estándares éticos y de calidad.Al seleccionar un proveedor de IA que implemente estándares y certificaciones internacionales, puedes tener la tranquilidad de que estás colaborando con un socio comprometido con la excelencia y la responsabilidad en el ámbito de la inteligencia artificial.

Las organizaciones deben establecer prácticas que permitan caracterizar las especificaciones del modelo de IA prestando especial atención a atributos como la precisión, el sesgo, la coherencia, la transparencia, la interpretabilidad y la imparcialidad.

¿Incluyen los acuerdos contractuales todos los factores relacionados con el cumplimiento?

Al establecer acuerdos contractuales en el ámbito de la inteligencia artificial (IA), es esencial considerar todos los factores relacionados con el cumplimiento normativo. Un contrato sólido no solo debe abarcar los aspectos básicos y los detalles de gestión del proyecto, sino que también debe incluir medidas de protección contra el incumplimiento.Al evaluar a un proveedor de IA, es importante verificar si su enfoque está basado en riesgos y si se adapta al modelo de IA y a la industria en la que se implementará. Esto garantiza que se tengan en cuenta los riesgos específicos y que se tomen las medidas adecuadas para mitigarlos.

Además, es recomendable averiguar si el proveedor ha realizado una evaluación del impacto de la IA en la organización del comprador en una etapa temprana del proceso de adquisición. Esta evaluación demuestra un enfoque proactivo y ayuda a comprender mejor cómo la implementación de la IA afectará al negocio.Es importante considerar la capacidad del proveedor para desarrollar nuevos requisitos contractuales según sea necesario. La tecnología de IA está en constante evolución, por lo que es fundamental contar con la flexibilidad necesaria para adaptarse a los cambios y avances.

Asimismo, es recomendable verificar si el proveedor cuenta con una declaración de cumplimiento normativo, como la certificación del Instituto de Inteligencia Artificial Responsable (RAII, por sus siglas en inglés), que las organizaciones pueden incluir en sus acuerdos de servicios principales. Esto brinda una validación adicional de que el proveedor cumple con las leyes, regulaciones y principios éticos relacionados con la IA.

Finalmente, es importante asegurarse de que los acuerdos contractuales incluyan cláusulas sobre el uso restringido o prohibido de la IA, así como establecer indicadores clave de desempeño (KPIs) y métricas de cumplimiento bien definidas para monitorear el rendimiento durante el ciclo de vida de la IA. Al evaluar un proveedor de IA y establecer acuerdos contractuales, es fundamental considerar el cumplimiento normativo, la adaptabilidad, la transparencia y la capacidad de cumplir con las regulaciones y estándares éticos en el uso de la IA. Esto garantizará una implementación responsable y confiable de la tecnología de IA en las organizaciones.

Conclusión

La historia de la inteligencia artificial (IA) en las empresas se remonta a los primeros días de la informática, cuando se utilizaban sistemas basados en reglas y sistemas expertos para realizar tareas específicas, como el análisis de datos y la realización de predicciones. Sin embargo, estos sistemas tenían limitaciones en sus capacidades y requerían una gran cantidad de aportes humanos para funcionar de manera efectiva.

En los últimos años, hemos sido testigos de un crecimiento exponencial de la IA, lo que ha llevado a que la tecnología alcance metas que parecían muy lejanas en el pasado. Hoy en día, las organizaciones de todo el mundo están adoptando cada vez más la IA y el aprendizaje automático (Machine Learning) para impulsar el crecimiento empresarial, mejorar la eficiencia y obtener una ventaja competitiva. Las empresas están invirtiendo en sistemas impulsados por IA para automatizar tareas repetitivas y que consumen mucho tiempo, optimizar precios, identificar nuevas oportunidades y tomar decisiones de inversión. En muchos casos, estas soluciones de IA están profundamente integradas en las aplicaciones empresariales de las organizaciones, brindando recomendaciones, predicciones e influenciando la toma de decisiones críticas.

No obstante, es crucial abordar el proceso de adquisición de IA de manera integral y colaborativa. El equipo de adquisiciones debe mantener un alto grado de control para asegurarse de que la herramienta de IA brinde soluciones éticas, responsables y confiables, generando confianza en su implementación.

La guía sobre prácticas estándar de la industria y las formas de minimizar los riesgos organizacionales al adoptar tecnologías de IA es muy limitada, y existe una necesidad apremiante de contar con un conjunto de herramientas de adquisición de IA responsables.

Esta herramienta de adquisición de IA ofrece un proceso integral de adquisición que va más allá de la evaluación técnica de las capacidades de los proveedores de soluciones y puede adaptarse a las necesidades específicas de la organización y la industria en la que opera. Proporciona una comprensión clara de las estrategias comerciales que impulsan la necesidad de adquirir una solución de IA, las implicaciones comerciales de la decisión, la cantidad, calidad y seguridad de los datos involucrados, la gobernanza necesaria para la responsabilidad y la gestión de riesgos, y el impacto en las políticas éticas y de sostenibilidad de la organización.

Además, se explora el papel de diversos actores internos, desde el área de adquisiciones hasta el producto, el área legal y de tecnología, entre otros, para abordar las cinco consideraciones clave en esta herramienta, lo que orientará al equipo de adquisiciones de una organización en la dirección correcta.

En resumen, esta herramienta de adquisición de IA proporciona directrices integrales, no prescriptivas y agnósticas de la industria que establecerán un proceso de adquisición para facilitar la selección de una solución de IA adecuada y ética.

Fuentes:

Disclaimer:
Los puntos de vista, las opiniones y las posiciones expresadas en todas las publicaciones pertenecen únicamente a los autores y no representan las de la Universidad Austral, el IAE Business School o las empresas o instituciones que las apoyan. No se garantiza la exactitud, integridad y validez de las expresiones hechas en este artículo. No aceptamos ninguna responsabilidad por errores, omisiones o representaciones. Los derechos de autor de este contenido pertenecen a los autores y cualquier responsabilidad con respecto a la infracción de los derechos de propiedad intelectual recae en ellos. En ningún caso podrá ni deberá considerarse la información, análisis y opiniones brindadas en todo o en parte de este artículo como asesoramiento, recomendaciones u opiniones profesionales o legales. El lector que necesite tomar decisiones sobre los temas aquí tratados deberá asesorarse específicamente con profesionales capacitados que evalúen las características, normas legales y conceptos aplicables a su caso específico.