Se avecinan nuevas regulaciones de IA. ¿Está lista su organización?
Están surgiendo tres tendencias importantes en los EE. UU. Y la UE.
Por Andrew Burt
Regulación
Harvard Business Review
Resumen. En las últimas semanas, los organismos gubernamentales, incluidos los reguladores financieros de EE. UU., La Comisión Federal de Comercio de EE. UU. Y la Comisión Europea, han anunciado pautas o propuestas para regular la inteligencia artificial. Claramente, la regulación de la IA está evolucionando rápidamente. Pero en lugar de esperar más claridad sobre qué leyes y regulaciones se implementarán, las empresas pueden tomar medidas ahora para prepararse. Eso se debe a que hay tres tendencias que surgen de los movimientos recientes de los gobiernos.
Durante las últimas semanas, los reguladores y legisladores de todo el mundo han dejado una cosa clara: las nuevas leyes pronto darán forma a la forma en que las empresas utilizan la inteligencia artificial (IA). A fines de marzo, los cinco reguladores financieros federales más grandes de los Estados Unidos publicaron una solicitud de información sobre cómo los bancos usan la inteligencia artificial, lo que indica que se avecinan nuevas orientaciones para el sector financiero. Apenas unas semanas después de eso, la Comisión Federal de Comercio de EE. UU. (FTC) publicó un conjunto de pautas inusualmente audaces sobre "verdad, justicia y equidad" en la IA, que definen la injusticia y, por lo tanto, el uso ilegal de la IA, en términos generales como cualquier acto que "Causa más daño que bien".
La Comisión Europea hizo lo mismo el 21 de abril, publicó su propia propuesta para la regulación de la IA, que incluye multas de hasta el 6% de los ingresos anuales de una empresa por incumplimiento, multas que son más altas que las sanciones históricas de hasta el 4% de la facturación global. que se pueden imponer en virtud del Reglamento general de protección de datos (GDPR).
Para las empresas que adoptan la IA, el dilema es claro: por un lado, la evolución de los marcos regulatorios de la IA afectará significativamente su capacidad para utilizar la tecnología; por otro lado, con nuevas leyes y propuestas aún en evolución, puede parecer que aún no está claro qué pueden y deben hacer las empresas. Sin embargo, la buena noticia es que tres tendencias centrales unen casi todas las leyes actuales y propuestas sobre IA, lo que significa que hay acciones concretas que las empresas pueden emprender ahora mismo para asegurarse de que sus sistemas no contravengan ninguna ley y normativa existente y futura..
El primero es el requisito de realizar evaluaciones de los riesgos de la IA y de documentar cómo se han minimizado (e idealmente, se han resuelto) dichos riesgos. Una gran cantidad de marcos regulatorios se refieren a estos tipos de evaluaciones de riesgos como "evaluaciones de impacto algorítmicas", también llamadas a veces "IA para IA", que se han vuelto cada vez más populares en una variedad de marcos de protección de datos e IA.
De hecho, algunos de estos tipos de requisitos ya existen, como la Ley de Protección de Datos del Consumidor de Virginia, que se promulgó el mes pasado y requiere evaluaciones para ciertos tipos de algoritmos de alto riesgo. En la UE, el RGPD actualmente requiere evaluaciones de impacto similares para el procesamiento de datos personales de alto riesgo. (La Oficina del Comisionado de Información del Reino Unido, que hace cumplir el GDPR, mantiene su propia guía en un lenguaje sencillo sobre cómo realizar evaluaciones de impacto en su sitio web).
Como era de esperar, las evaluaciones de impacto también forman una parte central de la nueva propuesta de la UE sobre la regulación de la IA, que requiere un documento técnico de ocho partes para los sistemas de IA de alto riesgo que describe "los resultados y las fuentes de riesgo no deseados previsibles" de cada sistema de IA, junto con con un plan de gestión de riesgos diseñado para abordar dichos riesgos. La propuesta de la UE debería ser familiar para los legisladores estadounidenses: se alinea con las evaluaciones de impacto requeridas en un proyecto de ley propuesto en 2019 en ambas cámaras del Congreso llamado Ley de Responsabilidad Algorítmica. Aunque el proyecto de ley languideció en ambos pisos, la propuesta habría exigido revisiones similares de los costos y beneficios de los sistemas de IA relacionados con los riesgos de la IA. Ese proyecto de ley que sigue gozando de un amplio respaldotanto en las comunidades de investigación como de políticas hasta el día de hoy, y el senador Ron Wyden (D-Oregon), uno de sus copatrocinadores, según se informa, planea reintroducir el proyecto de ley en los próximos meses.
Si bien los requisitos específicos para las evaluaciones de impacto difieren entre estos marcos, todas estas evaluaciones tienen la estructura de dos partes en común: exigir una descripción clara de los riesgos generados por cada sistema de IA y descripciones claras de cómo se ha abordado cada riesgo individual. Asegurarse de que la documentación de IA exista y capture cada requisito para los sistemas de IA es una forma clara de garantizar el cumplimiento de las leyes nuevas y en evolución.
La segunda tendencia es la responsabilidad y la independencia, que, a un alto nivel, requiere que cada sistema de IA sea probado para detectar riesgos y que los científicos de datos, abogados y otros que evalúan la IA tengan incentivos diferentes a los de los científicos de datos de primera línea. En algunos casos, esto simplemente significa que la IA sea probada y validada por personal técnico diferente al que la desarrolló originalmente; en otros casos (especialmente los sistemas de mayor riesgo), las organizaciones pueden buscar contratar expertos externos para que participen en estas evaluaciones para demostrar plena responsabilidad e independencia. (Divulgación completa: bnh.ai, el bufete de abogados que dirijo, se le pide con frecuencia que desempeñe este papel). De cualquier manera, garantizar que los procesos claros creen independencia entre los desarrolladores y los que evalúan los sistemas de riesgo es un componente central de casi todos los nuevos marcos regulatorios sobre IA.
La FTC ha hablado exactamente sobre este punto durante años. En sus directrices del 19 de abril, recomendó que las empresas "adopten" la responsabilidad y la independencia y elogió el uso de marcos de transparencia, estándares independientes, auditorías independientes y apertura de datos o código fuente a inspecciones externas. (Esta recomendación se hizo eco de puntos similares sobre la rendición de cuentas que la agencia hizo públicamente en abril del año pasado).
La última tendencia es la necesidad de una revisión continua de los sistemas de IA, incluso después de que se hayan realizado evaluaciones de impacto y revisiones independientes. Esto tiene sentido. Debido a que los sistemas de inteligencia artificial son frágiles y están sujetos a altas tasas de fallas, los riesgos de la inteligencia artificial crecen y cambian inevitablemente con el tiempo, lo que significa que los riesgos de la inteligencia artificial nunca se mitigan por completo en la práctica en un solo momento.
Por esta razón, tanto los legisladores como los reguladores están enviando el mensaje de que la gestión de riesgos es un proceso continuo. En la plantilla de documentación de ocho partes para los sistemas de IA en la nueva propuesta de la UE, se dedica una sección completa a describir "el sistema implementado para evaluar el rendimiento del sistema de IA en la fase posterior a la comercialización", en otras palabras, cómo la IA ser monitoreado continuamente una vez que se implemente.
Para las empresas que adoptan la IA, esto significa que la auditoría y la revisión de la IA deben realizarse con regularidad, idealmente en el contexto de un proceso estructurado que garantice que las implementaciones de mayor riesgo se monitoreen de manera más exhaustiva. Incluir detalles sobre este proceso en la documentación (quién realiza la revisión, en qué plazo y las partes responsables) es un aspecto central del cumplimiento de estas nuevas regulaciones.
¿Los reguladores convergerán en otros enfoques para gestionar los riesgos de la IA fuera de estas tres tendencias? Seguramente.
Hay una gran cantidad de formas de regular los sistemas de inteligencia artificial, desde requisitos de explicabilidad para algoritmos complejos hasta limitaciones estrictas sobre cómo se pueden implementar ciertos sistemas de inteligencia artificial (por ejemplo, prohibir por completo ciertos casos de uso, como las prohibiciones del reconocimiento facial que se han propuesto en varias jurisdicciones alrededor del mundo).
De hecho, los legisladores y reguladores ni siquiera han llegado a un amplio consenso sobre qué es la “IA” en sí misma, un requisito previo claro para desarrollar un estándar común para gobernar la IA. Algunas definiciones, por ejemplo, están diseñadas de forma tan restringida que solo se aplican a usos sofisticados del aprendizaje automático, que son relativamente nuevos en el mundo comercial; otras definiciones (como la de la reciente propuesta de la UE) parecen cubrir casi cualquier sistema de software involucrado en la toma de decisiones, lo que se aplicaría a sistemas que han estado en funcionamiento durante décadas. Las definiciones divergentes de inteligencia artificial son simplemente una de las muchas señales de que todavía estamos en las primeras etapas de los esfuerzos globales para regular la IA.
Pero incluso en estos primeros días, las formas en que los gobiernos abordan el tema del riesgo de la IA tienen claros puntos en común, lo que significa que los estándares para regular la IA ya se están volviendo claros. Por lo tanto, las organizaciones que adoptan la IA en este momento, y aquellas que buscan asegurarse de que su IA existente siga cumpliendo, no necesitan esperar para comenzar a prepararse.
Andrew Burt es el socio gerente de bnh.ai, un bufete de abogados especializado en inteligencia artificial y análisis, y director legal de Immuta.
No hay comentarios:
Publicar un comentario