La inteligencia artificial se perfila como el eje vertebrador de la transformación digital de las empresas, especialmente en sectores críticos como el financiero, la salud, la movilidad, la energía, entre otros. Sin embargo, su adopción conlleva ciertos riesgos (discriminación algorítmica, opacidad, ciberseguridad, vulneración de derechos fundamentales, etc.) que exigen una gestión rigurosa.
Modelo de Gobernanza de IA
Resulta indispensable que cualquier organización que desarrolle o implemente sistemas de IA establezca, desde las fases iniciales, un sólido modelo de gobernanza de la IA con los siguientes objetivos estratégicos:
- Gestión integral: controlar y gestionar de forma efectiva el ciclo de vida completo de los sistemas de IA.
- Cumplimiento normativo: monitorizar y garantizar la observancia de la normativa aplicable (Reglamento IA, RGPD, NIS2, DORA, eIDAS, y leyes sectoriales específicas).
- Mitigación de riesgos: mitigar proactivamente los riesgos éticos, jurídicos y operativos.
- Optimización del valor: maximizar las ventajas competitivas, la eficiencia operativa y el impacto social positivo de la IA.
Las autoridades de protección de datos están elaborando guías específicas, esquemas de certificación, sancionando despliegues ilegítimos y exigiendo medidas correctivas en sistemas de reconocimiento facial, scoring crediticio, chatbots, reclutamiento automatizado o monitorización laboral; sin embargo, aún no abundan modelos efectivos de gobernanza de la IA.
Uno de los modelos de gobernanza de la IA más completos es el que nos propone el ISM Forum, que dejo enlazado aquí.
Plan de Gobernanza de IA
De forma esquemática, un plan de gobernanza de IA se puede completar en un periodo de 18 meses, de acuerdo a los siguientes pasos:
Paso 1: Preparación y compromiso directivo
- Designación de un responsable de alto nivel (Chief AI Officer o Responsable de IA).
- Dotación de un presupuesto específico.
- Formación del equipo de trabajo.
- Comunicación interna del «Compromiso de IA Responsable» firmado por la alta dirección.
Paso 2: Inventario exhaustivo de usos de IA
- Envío de un cuestionario estandarizado a todos los departamentos para identificar sistemas, herramientas y desarrollos que incorporan IA.
- Elaboración del Registro Único de Sistemas de IA: centralizado, exhaustivo y accesible.
- Clasificación según un sistema de semáforo basado en niveles de riesgo:
-
- Rojo → Prohibido (prácticas prohibidas por el art. 5 del RIA) → desactivación inmediata.
- Naranja → Alto riesgo (Anexo III del RIA) → requiere evaluación de impacto y medidas reforzadas.
- Amarillo → Riesgo limitado → obligaciones de transparencia.
- Verde → Riesgo mínimo/bajo → uso permitido.
Paso 3: Evaluación detallada de sistemas de alto riesgo
Para todos los sistemas clasificados como naranja y amarillo cuando sea obligatorio:
- Evaluación de Impacto en Derechos Fundamentales (FIA, Fundamental Rights Impact Assessment) y/o Evaluación de Impacto Algorítmico.
- Evaluación específica de sesgos y discriminación.
- Análisis de riesgos en protección de datos (EIPD, cuando proceda).
- Elaboración de un plan de acción con responsables, plazos, costes estimados, etc.
Paso 4: Implementación de salvaguardas técnicas y organizativas
- Adopción de medidas técnicas (monitoreo continuo en producción, pruebas automáticas periódicas, Human-in-the-loop según riesgo, etc.)
- Adopción de medidas organizativas (política corporativa de IA Responsable, asignación de roles, formación continua, etc.)
Paso 5: Certificación externa y reconocimiento oficial
- Selección y contratación de una entidad certificadora acreditada.
- Auditoría completa de todo el sistema de gestión de IA.
- Corrección de no conformidades detectadas.
- Obtención del sello oficial «Organización con Gobernanza de IA Responsable» o equivalente.
Conclusión
La gobernanza de la IA es un tema complejo que requería un análisis exhaustivo, pero la intención es que tengan claro, al menos, el punto de partida.
No se pierda nuestro podcast sobre el artículo
