El ACTO DE LA IA: La importancia del cumplimiento de la normativa - y lo que está en juego para las empresas de todo tipo y tamaño

Vea el vídeo del líder Data 

Escuchar el podcast 

Nathalie Beslay es consejera delegada y cofundadora de Naaia, proveedor de soluciones de cumplimiento y gestión de riesgos para la industria artificial intelligence. Abogada desde 2004, Nathalie se dedica a la industria de la salud y la belleza. Está eminentemente cualificada para debatir cuestiones normativas, ya que ha dirigido un proyecto para el Instituto de Prospectiva Tecnológica de Sevilla sobre los retos y riesgos de la introducción de nuevas tecnologías en el sector sanitario. También ha sido asesora técnica del Secretario de Estado de Sanidad francés en cuestiones de bioética y consejera general de un operador de soluciones de sanidad electrónica.

Ya sea en la sanidad o en la IA, la gente lucha contra las restricciones normativas. La clave está en convertir las limitaciones en oportunidades. Comprender el marco reglamentario de los productos sanitarios me ayudó a entender lo que está en juego y los riesgos del nuevo marco reglamentario de la IA, porque está construido exactamente de la misma manera que se construyen los de los productos sanitarios: los objetivos subyacentes son básicamente la seguridad de los usuarios y los beneficiarios de los productos.

La Ley AI está concebida como un regulación horizontal de los productos. Eso significa que se aplica a cualquier tipo de empresa, sea cual sea su tamaño, privada o pública. Hay excepciones para determinados sectores, como el militar, pero se trata de una normativa sobre productos, similar en concepto y tipo de obligación a otras normativas sobre productos. 

Detrás de sus 400 páginas de complejidad, la Ley de IA es esencialmente un sistema de gestión de riesgos, un sistema de garantía de calidad, documentación, documentación técnica e instrucciones de uso. Se ha hablado mucho del umbral normativo: cuando una normativa es tan restrictiva que impone una carga en lugar de conducir a objetivos favorables. Pero los estudios han demostrado que si las empresas son muy digitales, la regulación les ayudará a desarrollar.

Para ello, las empresas deben adoptar la Ley de IA, asumirla e integrar sus obligaciones en su proceso por diseño. La mejor manera es decir, “Voy a hacer un cumplimiento basado en el valor, voy a fijarme en lo que el cumplimiento puede aportar a mi producto y, por tanto, a mis clientes”.”

Dado que la Ley de IA es una normativa de producto, impondrá diferentes obligaciones a la cadena de suministro de artificial intelligence, dependiendo de si usted es proveedor, distribuidor o implantador. Se yuxtapondrán diferentes etapas, dependiendo de si fabrica usted mismo o compra en el mercado, o de si utiliza un modelo y luego lo convierte en un sistema de IA. Los proveedores tendrán que demostrar su conformidad y proporcionar documentación técnica, los jugadores que personalicen tendrán que demostrar respeto por lo que les han dado los proveedores, pero también que cualquier capa añadida es conforme, imparcial, respeta los derechos de autor, es cualitativo y utiliza data representativos.

El texto original de la Ley de IA ha evolucionado, en parte debido a las voces de quienes se oponían a la regulación. Hoy en día, el periodo de I+D es un respiro para los controles, y los modelos de código abierto están exentos excepto cuando presentan un llamado riesgo sistémico, es decir, cuando el nivel de riesgo es demasiado alto para beneficiarse de la exención. Me gustaría decir a los escépticos que la IA europea implica tener en cuenta estas cuestiones e integrar estas normas en sus procesos de comercialización. Sobre todo, quiero decirles que Cuando se tiene tanta capacidad, poder, inteligencia y visión como la que tienen nuestros actores franceses y europeos, construir e integrar la conformidad no es nada complicado.

Es importante recordar que la legislación estadounidense y china sobre IA también está en desarrollo y que todos tienen el mismo objetivo: preservar y reenfocar el elemento humano en el uso de estas nuevas tecnologías - o al menos intentarlo, lo mejor posible.

La mejor respuesta es revisar el calendario. La Ley AI se votará oficialmente el 22 de abril en el Parlamento Europeo. En mayo, la ley se publicará en el Diario Oficial, y entonces comenzará el calendario. En un plazo de seis meses, la IA prohibida deberá retirarse de las plataformas o ajustarse a la normativa. En un año, los editores de modelos artificial intelligence de uso general tendrán que cumplir la normativa. En dos años, todos los demás sistemas de IA tendrán que cumplir todas las obligaciones, con plazos ligeramente más largos para las IA cuyo cumplimiento sea más complejo. En otras palabras, cada vez que una IA implique un producto o equipo que esté a su vez sujeto a reglamentación - dispositivos médicos, transporte de gas, determinadas máquinas herramienta, por ejemplo - el legislador concederá 36 meses para cumplirla, ya que esta reglamentación debe acumularse y ordenarse.

Entonces, la primera prioridad es mapear, identificar y cribar las IA prohibidas, para sacarlas o hacer que cumplan la normativa. El objetivo es lograr el cumplimiento a través del valor preguntándonos para qué sirve el cumplimiento, fabricando productos de calidad que sean seguros, comprensibles y explicables, que sirvan para algo y que intenten consumir la menor energía posible.

La Ley de IA adopta un enfoque basado en los riesgos. Se consideró que ciertos sistemas de IA presentaban un riesgo “inaceptable”, por lo que el legislador los enumeró como prohibidos. Son ocho, uno de los cuales son los sistemas artificial intelligence que podrían permitir la manipulación subliminal. La lista también incluye los sistemas generalizados de calificación social, es decir, calificar y categorizar a los individuos según su nivel económico o posición social, pero a escala masiva. Los sistemas de reconocimiento emocional basados en la biometría también están prohibidos en el lugar de trabajo y en entornos educativos, salvo por motivos de seguridad. Por ejemplo, en las instalaciones de producción, puede ser necesario tratar de medir los estados emocionales de las personas para mantener su seguridad en una línea de producción o para garantizar la seguridad frente a posibles intrusos. Otro AIS prohibido son los sistemas de reconocimiento facial utilizados para combatir la delincuencia. Este tipo de videovigilancia está reservado a ciertas autoridades y para determinados delitos. Cuando se permite para organizaciones privadas, es para ciertos delitos que se han considerado muy graves, como el terrorismo, el crimen, el asalto y la violación, y es tan específico como eso en la Ley AI.

En ese caso, sí, la gente tendría que dejar de utilizarlo y OpenAI se expondría a una sanción considerable. Pero no creo en este escenario. Creo que los jugadores cumplirán la normativa. No será fácil, será costoso y requerirá mucha planificación. Cumplir las normas significa establecer un presupuesto para cumplir los requisitos, ponerse al día, movilizar a los expertos, formar a los equipos e incluir el cumplimiento en la hoja de ruta de la empresa. No es fácil, pero es factible y, dado lo que está en juego, hay que hacerlo.

Cuando aplicamos las normas, nos fijamos en la medida en que la norma puede servir al producto. Por ejemplo, cuando se tiene una obligación de trazabilidad, de explicabilidad a lo largo de la cadena, y se recurre a subcontratistas, acudir a estos subcontratistas para la calidad puede significar mejorar el coste o instalar normas, y eso es obviamente en beneficio del producto. Entonces, ¿cómo transformamos esta limitación en una oportunidad? Nos fijamos en la medida en que la norma va a tener la respuesta necesaria de calidad y seguridad.

Ciertas industrias lo han entendido, como la alimentaria. La Nutri-Score es una regla que ayuda a los productos que juegan el juego. Genera confianza en el consumidor. Por supuesto, la Nutri-Score ha sido una limitación en la cadena de valor, pero ¿quién puede quejarse de ella hoy en día? Todo el mundo está de acuerdo con este tipo de reglas. La aeronáutica es otra industria que sabe que el cumplimiento y las normas son buenos para sus productos. En las industrias para las que la seguridad es fundamental, han convertido las limitaciones en un activo de confianza, una oportunidad para crear lealtad, comprensión y un vínculo con sus clientes. Lo mismo ocurre con el artificial intelligence: es bueno contar con estas normas... y quizá incluso una oportunidad para cuestionarnos si realmente necesitamos una IA determinada, si el esfuerzo es demasiado elevado en relación con el beneficio.

El general MacArthur dijo célebremente: “Las batallas perdidas pueden resumirse en dos palabras: demasiado tarde”. Puede ser demasiado tarde porque el legislador europeo ha establecido un sistema coercitivo con autoridades y sanciones. Más allá del miedo a las repercusiones legales, puede ser demasiado tarde en la cadena de acceso al mercado. En términos de IA, hoy en día hay pocos actores que no digan “confianza” o “IA responsable” o “IA alineada”, como si fuera algo intrínseco. No se puede hacer IA sin confianza, por lo que está destinada a marcar la diferencia en el mercado. Si no tiene un proceso de cumplimiento incorporado desde el principio, seguramente saldrá perdiendo en toda la cadena de valor. 

Naaia ayuda a las empresas a centrarse en su actividad principal, en la innovación y en sus equipos. Nuestra herramienta proporciona las claves para lograr la conformidad de la forma más rápida y eficaz posible. Incluye un algoritmo de calificación que crea un repositorio dentro de la empresa para identificar y calificar todos los sistemas artificial intelligence y, a continuación, genera un plan de acción. Este plan de acción se elaborará dentro del perímetro de cada AIS, pero también aunará esfuerzos en todas las normativas para ayudar a las empresas a lograr la conformidad de forma rápida y eficaz, ofreciéndoles listas de acciones concretas con plantillas para la documentación y herramientas de formación para que los equipos se pongan en marcha. Lo hacemos limitando las restricciones y los costes, limitando el recurso a cualquier experto que no esté lo suficientemente cerca de los equipos y de los productos, e intentando interiorizar esta función para digerirla y metabolizarla. La palabra adecuada para el cumplimiento es “metabolizar”, de modo que cuando pongamos el producto en el mercado, estemos lo menos preocupados y lo menos entorpecidos posible.

Hoy en día, son principalmente los primeros en adoptar la IA y los que la adoptan masivamente, los grupos C40 que tienen una gran tubería y mucha IA ya desplegada. Y actores más especializados cuyo negocio principal es la IA, que están absolutamente obligados a adoptar prácticas de cumplimiento de inmediato, porque es una cuestión de vida o muerte: no podrán salir al mercado si no cumplen las normas. Más adelante, iremos incluyendo gradualmente a las empresas más pequeñas. Tienen menos recursos para ocuparse de las cuestiones de cumplimiento, pero tendrán menos opciones en el futuro. Al igual que existe un CRM para gestionar las relaciones con los clientes, un ERP para gestionar la producción y un HRIS para gestionar los RRHH, creemos que necesitamos una herramienta para gestionar la IA de forma centralizada, y para ayudar a todo el mundo a hacer un uso adecuado de la IA y a gestionar las responsabilidades. En este sentido, Naaia es un AIMS, un Sistema de Gestión de Inteligencia Artificial que se convertirá en un producto básico - esa es nuestra visión para el mañana.