Inteligencia Artificial: Regulación vs Estandarización

Introducción

Toda nueva tecnología disruptiva trae consigo retos y preocupaciones para la sociedad. Si bien es cierto que la inteligencia artificial (IA) y el aprendizaje automatizado llevan con nosotros muchos años, la irrupción y gran acogida de la denominada “IA generativa” y los modelos de lenguaje de gran tamaño (LLM, de sus siglas en inglés) han acelerado el desarrollo de políticas, buenas prácticas y leyes a nivel mundial para promover y regular el uso ético, confiable y sin riesgos de la inteligencia artificial.

Para aquellos que aún se preguntan el porqué de tanta preocupación, encontrarán en este artículo una referencia introductoria. No desgranaremos en este artículo, por tanto, el concepto de inteligencia y sus diferentes sabores. Tampoco profundizaremos en la disciplina de la inteligencia artificial dentro del ámbito de las ciencias de la computación. Ahora bien, si pondremos el foco en el origen y causa de las principales inquietudes que ha generado la inteligencia artificial: el dato. 

Regulación vs Estandarización

Sin duda alguna, los principales desafíos que trae consigo la inteligencia artificial tienen que ver con la privacidad, la propiedad intelectual, la seguridad e integridad de la información y, en definitiva y en consecuencia, la de las personas.

Así pues, en los últimos dos años se han desarrollado multitud de iniciativas promovidas por diferentes actores a nivel global: asociaciones de profesionales de diversos sectores, gobiernos nacionales, organismos internacionales como la OCDE, Unión Europea, etc. Las diferentes acciones emprendidas contemplan, entre otras, las siguientes intenciones:

• Implantar buenas prácticas de ciberseguridad en la IA.
• Definir amenazas y riesgos específicos de la IA.
• Guiar en la evaluación de estos riesgos e impactos derivados de la IA.
• Describir casos de uso éticos de la IA.
• Asesorar sobre el uso de datos personales en los sistemas de IA.
• Promover marcos de gobernanza para la IA, también la generativa.
• Identificar oportunidades y riesgos en los modelos de IA generativa.
• Informar de las repercusiones sobre el empleo y en el mundo laboral de la IA.
• Ayudar a las escuelas a examinar las herramientas de IA generativa para proteger la privacidad de los estudiantes.
• Etc.

Ante esta situación, cobra especial relevancia la promulgación de leyes que regulen la inteligencia artificial. En este sentido, y por su aplicación en el Estado Español, debemos destacar la reciente aprobación (que aún no publicación en el DOUE) del Reglamento Europeo de Inteligencia Artificial que tuvo lugar el pasado 21 de mayo.

Este Reglamento persigue armonizar las normas sobre inteligencia artificial en la Unión, regulando los usos de esta para limitar los riesgos que conlleva, a la vez que pone especial foco de atención en las personas. Son muchos los contenidos disponibles en la red de redes que desgranan los artículos del citado Reglamento, pero indicaremos, como grandes rasgos a tener en cuenta de este documento, que:

• Aplica principalmente a proveedores de sistemas de IA y usuarios de los mismos.
• Establece una jerarquía de riesgos en función del uso de la IA.
• Sobre las diferentes categorías de sistemas de IA, establece una serie de obligaciones.
• Define varias entidades de gobernanza y supervisión.
• Fija importantes sanciones por incumplimiento.
• Su aplicación será progresiva en el tiempo.

Ahora bien, sin dejar de lado la relevancia de cumplir con los mínimos que la legislación vigente dicte, el enfoque de la estandarización aporta una visión ampliada: buenas prácticas, excelencia en el desempeño, mejora continua, o más llanamente, hacer las cosas bien.

En este sentido, y centrándonos en el ámbito de la seguridad de la información, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicaba en marzo de 2023 una relación de iniciativas de estandarización en el ámbito de la IA, al objeto de proporcionar una visión general de los estándares (existentes, en redacción, en consideración y planificados) relacionados con la ciberseguridad de la inteligencia artificial, evaluar su cobertura e identificar brechas en la estandarización. Teniendo en cuenta esta relación y los trabajos en la actualidad de los diversos comités implicados, podemos considerar, como de especial interés, las siguientes normas:

ISO/IEC TR 5469:2024. Inteligencia artificial — Seguridad funcional y sistemas de IA.

ISO/IEC 23894:2023. Tecnología de la información — Inteligencia artificial — Guía en la gestión de riesgos.

ISO/IEC TR 24030:2024. Casos de uso en inteligencia artificial. 

ISO/IEC 38507:2022. Tecnología de la información — Gobernanza de IT — Implicaciones de la Gobernanza en el uso de la inteligencia artificial por las organizaciones.

ISO/IEC 42001:2023. Tecnología de la información — Inteligencia artificial — Sistema de gestión.

ISO/IEC DIS 42005 (en desarrollo).  Tecnología de la información — Inteligencia artificial — Evaluación de impacto en sistemas de IA.

No quiero dejar pasar la ocasión de mencionar las publicaciones en gestión de riesgos que el NIST (por sus siglas en inglés, National Institute of Standards and Technology) está promulgando en base a acciones regulatorias promovidas por el Gobierno de los Estados Unidos. En concreto:

NIST AI 100-1. Marco de gestión de riesgos de la inteligencia artificial (NIST AI RMF).

NIST AI 600-1. Perfil para el NIST AI RMF en relación con la IA generativa.

Conclusión

En vista del largo viaje y recorrido que tenemos por delante en cuanto a normativa, regulación, buenas prácticas, desarrollo de sistemas de inteligencia artificial, posicionamiento de actores clave en esta industria, etc., podemos afirmar que la IA seguirá aprendiendo de nosotros y nosotros de la IA. Sin embargo, como todo gran poder conlleva una gran responsabilidad, la regulación y estandarización de la inteligencia artificial son gratamente esperadas y bienvenidas.