Los encargados políticos se enfocan en la seguridad de la IA generativa

El catálogo de riesgos que preocupa a los reguladores es largo. Considerando los correos electrónicos de phishing más creíbles e identidades falsas más convincentes. La pérdida de control sobre los datos personales suministrados a los modelos. Las fuentes de datos de los modelos que son en su mayoría desconocidas pueden incluir contenidos inexactos en Internet. El uso indebido de los modelos para crear información falsa cada vez más realista. Los prejuicios incorporados a las estructuras que dan lugar a la discriminación. El desplazamiento de personal en la mano de obra. La concentración de un enorme poder privado sobre los nuevos motores del crecimiento económico.

La cuestión que se plantea es la siguiente: ¿cómo darle valor a la GenAI de forma que se ajuste a las prácticas responsables de la IA a medida que cambian las normativas y las expectativas? 

Las normativas existentes, como el Reglamento Global de Protección de Datos y las leyes de Igualdad de Oportunidades Laborales, ya se aplican a aspectos de la GenAI.  Otras leyes planteadas, como por ejemplo en Estados Unidos, serán evaluadas por distintos líderes y representantes de la industria, ya que es donde mayormente estos proveedores de GenAI tienen sus sedes.

La opinión de los reguladores

Por lo que respecta a las propuestas normativas y reglamentarias específicas de la GenAI, he aquí las novedades a las que hay que prestar atención. Las empresas que construyan sus propias estructuras o soluciones basadas en modelos, deben tener en cuenta los nuevos requisitos dirigidos específicamente a ellos. 

China: propuesta de revisión gubernamental de las herramientas de chat de IA

En China entró en vigor el pasado 15 de agosto, la ley propuesta sobre la regulación del uso de la IA generativa (GAI). Estas medidas propuestas por el principal regulador de Internet del país, la Administración del Ciberespacio de China, cubre los servicios con inversión extranjera dentro del país que son dirigidos al público; incluye los textos, imágenes, audios, videos, entre otros.

Es importante mencionar que estas medidas sujetan como responsables de cumplir estas normas a los proveedores de servicios GenAI (en adición a los operadores de las plataformas). Estos proveedores serán considerados “proveedores de contenido de internet (ICP)”, según las leyes chinas.

Europa: Actualizaciones de la Ley de IA y orientaciones para el Reino Unido

La Unión Europea propuso recientemente ampliar su Ley de Inteligencia Artificial para regular la "inteligencia artificial de propósito general", de la cual la GenAI es un subconjunto. Las nuevas obligaciones para los proveedores de los modelos, será garantizar la  protección de los derechos fundamentales, la salud, la seguridad, el medio ambiente, la democracia y el Estado de Derecho. Los proveedores tendrán que evaluar y mitigar los riesgos, cumplir los requisitos de diseño, información de medio ambiente y registrarse en la base de datos de la UE. 

Los modelos de base generativa, como GPT-n, BERT, DALL-E y LLaMA, se enfrentarían a requisitos adicionales de transparencia, como revelar que el contenido ha sido generado por IA, diseñar el modelo para evitar que genere contenidos ilegales y publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento. El 14 de junio de 2023, el Parlamento Europeo (PE) aprobó su mandato de negociación con respecto a la propuesta de la UE de reglamento por el que se establecen normas armonizadas sobre inteligencia artificial (la “Ley de IA”). La votación en el PE significa que las instituciones de la UE ahora pueden iniciar negociaciones tripartitas (el Consejo aprobó su mandato de negociación en diciembre de 2022). Se espera la versión final de la Ley de IA antes de finales de 2023.

Mientras tanto, la Oficina del Comisionado de Información del Reino Unido (ICO) ha publicado una guía en forma de ocho preguntas que los desarrolladores y usuarios deben plantearse como recordatorio para proteger sus datos cada vez que utilicen herramientas de inteligencia artificial, siguiendo el listado de verificación de datos desde el diseño y por defecto que los rigen. 

Estados Unidos: Actividades ejecutivas, legislativas y ejecutoras

La Carta de Derechos de la IA se destaca por sintetizar las distintas opiniones surgidas sobre la IA responsable. Pero a falta de una ley nacional sobre IA, Estados Unidos está trabajando para establecer una política para el uso de la GenAI, encontrando un equilibrio entre el fomento de la innovación, la identificación y la mitigación de los daños potenciales.

Agenda ejecutiva

Aprovechando la aplicación abierta y generalizada de GenAI, la Casa Blanca consiguió un compromiso independiente de los principales desarrolladores de IA, entre ellos Anthropic, Google, Hugging Face, Microsoft, NVIDIA, OpenAI y Stability AI, para participar en una evaluación pública de los sistemas de IA, coherente con los principios de divulgación responsable en la AI Village de DEFCON 31. Este planteamiento permite que estos modelos sean evaluados por miles de socios de la comunidad y especialistas en IA con arreglo a principios y prácticas de IA responsable.

Además, la Casa Blanca ha invitado a la opinión pública, para realizar aportaciones sobre GenAI, que serán consideradas por el Consejo Presidencial de Asesores sobre Ciencia y Tecnología (PCAST).

Es evidente el interés de la Casa Blanca tras una sucesión de anuncios, el último de los cuales incluye una actualización del plan estratégico Nacional de Investigación y Desarrollo en IA, una solicitud de información a la Oficina de Política de Ciencia y Tecnología (OSTP) y la publicación de un nuevo informe realizado el pasado mes de mayo, sobre la IA y el futuro de la enseñanza y el aprendizaje.

Los organismos encargados de velar por el cumplimiento de la ley, entre ellos la Comisión Federal de Comercio (FTC) y el Departamento de Justicia, recalcaron recientemente su compromiso de proteger a los estadounidenses contra la discriminación y los prejuicios generados por los sistemas automatizados, incluida la IA. La declaración dice que las agencias "supervisarán el desarrollo, el uso de sistemas automatizados y promoverán la innovación responsable", de igual manera "utilizarán nuestras autoridades colectivas para proteger los derechos de las personas". 

A la vez, la FTC continúa supervisando la forma en que las empresas utilizan la IA para interactuar con sus consumidores, manteniendo su doble responsabilidad de promover la competencia justa y proteger a los estadounidenses de prácticas desleales o engañosas. 

Tal vez lo más significativo de todo sea que el Departamento de Comercio compartió una solicitud pública de comentarios sobre una propuesta de Política de Responsabilidad para el Desarrollo de la IA. Su objetivo es obtener opiniones sobre las políticas que pueden apoyar el desarrollo de auditorías, evaluaciones, certificaciones y otros mecanismos para generar confianza en los sistemas de IA. 

Agenda legislativa

Los congresistas de ambos partidos están trabajando en una serie de proyectos de ley y políticas para abordar los nuevos problemas de la GenAI. El líder de la mayoría en el Senado, Chuck Schumer (demócrata de Nueva York), está distribuyendo entre los especialistas en IA un esquema en el que se propone los pasos hacia una IA responsable y ha anunciado la creación de un grupo de trabajo legislativo compuesto por senadores. El senador Mark Warner (D-VA) ha enviado cartas a empresas de IA preguntando por la seguridad de sus tecnologías. Otros congresistas han solicitado la creación de grupos de trabajo y otros han presentado leyes para impedir que la IA lance armas nucleares.

En vista de los diversos puntos de vista en el Congreso, es probable que varios Estados adopten sus propias leyes, como ha ocurrido en el ámbito de la privacidad de datos, o que opten por aplicar a la GenAI las leyes de privacidad de datos ya existentes. Por ejemplo, el Senado de Connecticut acaba de aprobar un proyecto de ley que crea una Oficina de Inteligencia Artificial para supervisar el uso gubernamental y el desarrollo de la IA. 

Tu próximo paso

Los riesgos específicos de la GenAI, es un territorio desconocido para la mayoría de las organizaciones, pero el acuerdo sobre los principios generales de la IA responsable ha avanzado en los últimos años.

El concepto de IA responsable ha sido adoptado por muchas empresas para impulsar una gobernanza más sólida de la IA y competir de forma más eficaz en el mercado. Las instituciones financieras llevan décadas aplicando estructuras de gestión del riesgo de la IA y el uso de esos modelos. Existen estructuras establecidas, como el marco ISO, el marco de gestión de riesgos de IA y el manual de instrucciones del NIST. Adicionalmente, existen más de 800 políticas nacionales de IA de más de 69 países, territorios y la UE.

1. Aprovecha los programas existentes. Las organizaciones con sólidos programas de cumplimiento y privacidad y de gobernanza de la IA, deberán estar bien posicionadas para cumplir cualquier normativa que surja. Ya podemos ver en las leyes y estatutos de privacidad existentes, así como en el anteproyecto federal de IA, lo que los reguladores probablemente consideran fundamental: gobernanza basada en el riesgo, transparencia y explicabilidad. Actualización de sus programas de gestión de riesgos de IA para tener en cuenta la GenAI.

2. Reúne a tus ejecutivos de riesgo para crear planes de gestión de los riesgos. Un enfoque de la GenAI basado en el riesgo puede ayudarle a empezar con buen pie digital ante los reguladores, los consumidores y otras partes interesadas. Este momento requiere un "manual de estrategias" para todas las empresas sobre GenAI responsable debido al alcance, la novedad y la amplitud de los riesgos.

Bajo esta misma línea, es importante plantearse las siguientes pregunta; ¿puede el director de datos mejorar el "enriquecimiento de los datos", asegurándose de alimentar los algoritmos de GenAI únicamente con datos verificados y coherentes?, ¿puede el director de Seguridad de la Información reforzar la ciberdefensa para protegerse contra el phishing a gran escala y más creíble?, ¿está preparado el director jurídico para los riesgos legales que probablemente creará la GenAI?, ¿puede el jefe de Auditoría Interna diseñar y adoptar nuevas metodologías de auditoría, nuevas formas de supervisión y nuevos conjuntos de habilidades para crear un plan de auditoría basado en el riesgo específico para la GenAI? 

3. Incorpora la GenAI a tu gobernanza de la IA. Contar con una estrategia eficaz de gobernanza de la IA será vital porque, más allá de los profesionales del riesgo, muchas personas dentro y fuera de su organización pueden influir en su capacidad para utilizar la GenAI de forma responsable. Entre ellas se incluyen científicos e ingenieros de datos, proveedores de datos, especialistas en el campo de la diversidad, la equidad, la inclusión y la accesibilidad, diseñadores de experiencia de usuario, líderes funcionales y jefes de producto.

La base para una IA responsable es un marco de gobernanza empresarial integral, centrado en los riesgos y controles a lo largo del viaje de la IA de la organización. PwC ha desarrollado sólidos modelos de gobernanza que pueden adaptarse a su organización. El modelo permite la supervisión con funciones y responsabilidades claras, requisitos articulados en tres líneas de defensa y mecanismos de trazabilidad y evaluación continua.