Capítulo I: Prerrequisitos, prepararse antes
El Reglamento Europeo de Inteligencia Artificial (RIA) representa un marco normativo crucial para asegurar el desarrollo y uso seguro, ético y responsable de la IA en las organizaciones. Para las entidades sujetas a estas obligaciones, llevar a cabo un proyecto de adecuación es fundamental para cumplir con la normativa y mitigar los riesgos asociados. En el capítulo de hoy se explica qué cuestiones es necesario abordar de manera previa al inicio del propio proceso de adecuación de nuestra organización al RIA. Este proceso de adecuación tendrá varias características que es importante resaltar:
Trascendente: los estudios más recientes demuestran el buen nivel de uso de la IA actualmente y las previsiones de los próximos años y, evidentemente, esa madurez será diferente por países, sectores de actividad y volumen de organización, pero, en todo caso, la implantación de la IA se demuestra transformadora en muchos de los procesos de las empresas. Por ello, el modelo de cumplimiento de RIA que establezcamos tendrá mucho impacto en muchos de esos procesos que integren sistemas de IA.
Prolongado: en organizaciones de tamaño medio y grande, un proyecto de adecuación al RIA llevará meses o años, no semanas. Es importante tenerlo en cuenta porque existen obligaciones, especialmente en los sistemas de IA de alto riesgo, que implican la realización de tareas de mucho calado y que comprenderán cambios en procesos actuales, gestión de nuevos riesgos, nuevos procedimientos y protocolos internos, etc. especialmente en las áreas de IT, ciberseguridad, CDO, legal, riesgos, cumplimiento, etc.
Provisionalidad: me refiero a que debemos asumir desde el principio que el framework de cumplimiento que vayamos creando al inicio del proyecto podrá verse modificado o reorientado dentro de unos meses. Evidentemente, hablamos de una norma nueva, desconocida, interpretable… por lo que resulta esperable que cada próximo mes conozcamos nuevos estándares, recomendaciones, metodologías y criterios desde la industria, las asociaciones profesionales, las instituciones europeas con competencias y las propias Autoridades de Supervisión de la IA que aportarán claridad y certidumbre en la aplicación de la norma, pero que quizá no concuerden del todo con el esquema que ya hayamos generado. Asumamos que será así, y tengamos la flexibilidad y agilidad de poder recuperar el trabajo avanzado y adaptarlo a estos nuevos criterios.
Urgencia: Dicho lo anterior, ¿significa que deberíamos esperar a tener todo eso claro antes de comenzar? No. De hecho, no tenemos mucho tiempo, los plazos no son tan amplios y las tareas para la creación del modelo de cumplimiento del RIA son muchas y de mucho calado. Deberíamos empezar ya.
"No tenemos mucho tiempo (...) Deberíamos empezar ya" Vistas las características que tienen los proyectos de adecuación al RIA, ahora será crítico crear las bases para lanzar el proyecto de manera formal. En la práctica, estamos viendo que las áreas que intentan liderar estos proyectos de adecuación al RIA suelen ser DPO, Compliance, Legal, Ciberseguridad o Riesgos, dependiendo en cada entidad de su madurez, sensibilidad, modelo de gobierno o conocimiento previo en la materia. Como apunte inicial, es fundamental conocer los principales plazos del RIA para alinear las necesidades de nuestra organización con el cumplimiento de tales plazos. Los principales son:
1 de agosto de 2024: entrada en vigor
2 de febrero de 2025: casos de uso de riesgo inaceptable
2 de agosto de 2026: obligaciones para los sistemas de IA de alto riesgo
Como prerrequisito previo es necesario crear las bases del Proyecto de Adecuación al RIA que se va a desarrollar. Para ello será crucial:
Tener el apoyo de la alta dirección. Durante el proyecto nos encontraremos obstáculos y dificultades, tendremos que dialogar con varias áreas de negocio y de soporte, así como proveedores y terceras partes. Para ello, es fundamental poder trasladar un discurso de impulso y apoyo real desde la dirección.
Definir claramente los objetivos, las fases, los plazos, los responsables de cada tarea, los entregables esperados, así como un comité de seguimiento del proyecto para confirmar avances o tratar desviaciones y problemas.
Asignar presupuesto y dedicación de recursos, es decir, contar con un presupuesto adecuado para contratar firmas externas y proveedores expertos en IA Compliance, así como estimar la dedicación profesional de los equipos internos en el desarrollo de cada fase del proyecto.
Identificar las palancas existentes en la entidad. El objetivo es establecer una política de adecuación eficaz al RIA sin partir de cero. Se podrán aprovechar los mecanismos y procesos que ya existen en sus sistemas de cumplimiento, de privacidad y de ciberseguridad (Políticas, Privacy by design, Gestión de incidentes de seguridad, diligencia debida con terceros y proveedores, programas de formación anuales, etc.).
Todos ellos deberán ser revisados para alinearlos a los nuevos requisitos del RIA, pero su función primigenia será una buena base sobre la que construir el modelo de cumplimiento del RIA.
Escrito por: Carlos Alberto Saiz Peña
Fuente: El Confidencial