El proyecto europeo de reglamento de Inteligencia Artificial, en contexto
La llamada Cuarta Revolución Industrial (K. Schwab) trae consigo nuevos retos para la gobernanza de las organizaciones. Como dijo hace muchos años Marc Andreessen (Netscape, Mosaic), el software se está comiendo o dominando el mundo. En efecto, vivimos la “softwarización” de todo. La economía digital supone un cambio de paradigma: el valor de la información y de los activos intangibles aumenta exponencialmente y las organizaciones deben protegerlos. Los datos alimentan la mayor parte de los productos y servicios y los mundos físico y virtual se fusionan (un caso claro lo tenemos en el metaverso). Tecnologías exponenciales contribuyen a este cambio y muy principalmente, la inteligencia artificial (IA).
La IA es la piedra angular en todo el proceso de digitalización en combinación con los datos. Se espera que contribuya con grandes beneficios a servicios y sectores clave como salud, financiero y movilidad, entre otros. Pero la IA podría no ser una herramienta neutral y existe una gran preocupación sobre los riesgos que puede acarrear sobre la seguridad de las personas físicas y sus derechos fundamentales.
Por este motivo, existe a nivel mundial un debate sobre cómo minimizar esos riesgos. En la Unión Europea, la presidenta Úrsula von der Leyen se ha propuesto que en su mandato se complete el proceso de regulación de la IA para que, de forma pionera y como ocurrió en la protección de datos personales y el Reglamento General de Protección de Datos[1], la UE se convierta en un entorno seguro y de IA confiable e incluso un referente en el mundo en esta materia.
Así, la Comisión ha propuesto un Reglamento europeo de IA (denominada Ley de Inteligencia Artificial o por sus siglas en inglés, AI Act)[2], de forma horizontal (cross sector), que se complementará con un Reglamento de responsabilidad en IA y probablemente unas guías o normas éticas, más allá de las elaboradas en 2019 por el Grupo Independiente de Expertos de Alto Nivel sobre IA de la UE[3].
El incumplimiento de las obligaciones que este Reglamento establece para cualquier organización que desarrolle o utilice IA expone a sanciones económicas de hasta un máximo de 30 millones de euros o hasta el 6% del volumen de negocio total anual mundial del ejercicio financiero anterior, si este importe fuera superior. Adicionalmente, existe un riesgo añadido de reclamaciones (en masa o no) por daños y perjuicios derivados del uso de la AI ante los órganos judiciales.
Estas iniciativas regulatorias van en línea con lo que ya anticipó hace unos años Margaret Vestager (EU Commission, 2017[4]): “Businesses also need to know that when they decide to use an automated system, they will be held responsible for what it does. So, they better know how that system works.”
¿Qué impacto tiene todo esto en las corporaciones? ¿Cómo impacta en los criterios ESG?
El uso de IA puede ser analizado desde tres perspectivas en el contexto de la gobernanza de las organizaciones: (i) como herramienta que facilite la recogida de información y el reporte y monitorización de indicadores ESG, (ii) como posible instrumento o incluso sustituto de personas físicas en el proceso de decisión dentro de los órganos de administración y (iii) desde el punto de vista de cómo los órganos de gobierno analizan, controlan y gestionan dentro de las organizaciones aquellas actividades que utilizan IA y los riesgos derivados de dicha utilización.
En relación con este último punto se plantean nuevos retos para los órganos de gobierno de las organizaciones: estructuras de gobernanza preparadas para esta nueva realidad de forma que puedan rendir cuentas y responsabilizarse de los sistemas de IA que utilizan o desarrollan.
Con el objetivo de hacer frente a esos nuevos retos, en los últimos años, la OCDE, el World Economic Forum, la Comisión Europea y el Parlamento Europeo han publicado opiniones y guías describiendo principios para una apropiada gobernanza en el desarrollo y uso de sistemas de IA, robótica y tecnologías relacionadas, para así incrementar la seguridad y la confianza de los ciudadanos en dichas tecnologías. Todas las instituciones coinciden en la necesidad de que existan guías que faciliten la “autoevaluación de riesgos” y los medios para implementar una estructura de gobernanza a medida de los retos derivados de las nuevas tecnologías. Las Directrices éticas para una IA fiable (preparadas por el Grupo Independiente de Expertos de Alto Nivel sobre IA creado por la Comisión Europea en junio de 2018) señalan que los órganos de gestión y los consejos de administración deberían valorar y discutir sobre los sistemas de IA cuando se detecten cuestiones críticas. Más concretamente se recomienda que: “Las organizaciones y partes interesadas pueden adoptar estas directrices y adaptar sus cartas de responsabilidad empresarial, sus indicadores clave de rendimiento («KPI»), sus códigos de conducta o sus documentos internos de política para contribuir a los esfuerzos conducentes a la creación de una IA fiable. Desde un punto de vista más general, una organización que trabaje en un sistema de IA puede documentar sus intenciones y sustentarlas en determinados valores considerados deseables, como los derechos fundamentales, la transparencia o el principio de no causar daño”[5].
¿Qué papel jugará la futura normativa europea de IA en los modelos de gobernanza?
La gobernanza de la IA debe integrar componentes de legalidad (no únicamente ha de cumplirse con el Reglamento de IA sino que el uso de la IA debe no infringir el marco legal aplicable), ética y robustez técnica. Estos tres componentes han de implementarse siempre desde el origen, desde el diseño. El cumplimiento con la normativa de IA es una capa añadida a las ya existentes de seguridad de la información, protección de datos personales, de ciberseguridad, etc. Las organizaciones están acostumbradas a cumplir con este tipo de normativas que incorporan requerimientos técnicos y están habituadas a medir el nivel de cumplimiento.
Pero aparece ahora un tercer ingrediente añadido a los de legalidad y robustez técnica, el ético que ahora se añade al cumplimiento en el uso y desarrollo de la IA. Se plantean una dificultad añadida respecto a cómo medirlo, teniendo en cuenta que la ética es algo subjetivo y cambiante según el momento y el lugar. En este sentido, el Grupo de expertos de la Comisión Europea ha extraído una serie de principios de la Carta de Derechos Fundamentales de la UE, destacando cuatro principios: respeto por la autonomía humana, prevención de daños, justicia y explicabilidad. Por su parte, el Parlamento Europeo propone la creación de una certificación sobre cumplimiento ético de la IA, que sea obligatoria para los sistemas que se desarrollen o utilicen en el territorio de la UE. En la misma dirección, el World Economic Forum publicó en enero de 2020 la guía “Empowering AI Leadership: An Oversight Toolkit for Boards of Directors”, para orientar a los órganos de administración en la monitorización del cumplimiento de estándares éticos en el uso de la IA. El elemento ético incluye una nueva dimensión en los marcos de gobernanza, pues las organizaciones tendrán que rendir cuentas por el espectro ético de las decisiones asociadas al desarrollo, implementación y uso de sistemas de IA. Así, muchas organizaciones están creando códigos éticos para la IA, nombrando responsables de ética en IA e incluso designando panels, comités o consejos éticos, importando así obligaciones hasta ahora sólo existentes en determinados sectores como el farmacéutico.
En definitiva, adicionalmente a la valoración que cada organización debe realizar para cumplir con el futuro reglamento europeo de inteligencia artificial, teniendo en cuenta los importantes beneficios que el uso de la IA entraña para los modelos de negocio de las compañías, resulta esencial que los consejos de administración dediquen tiempo a identificar las oportunidades que el uso de la IA puede conllevar, así como a supervisar la gestión de los riesgos inherentes al uso de esta compleja tecnología. De manera principal, el consejo debe asegurar que las cuestiones éticas están integradas en la estrategia de IA general y plantearse si la estructura de gobernanza de la organización es la adecuada para monitorizar el uso adecuado de la IA.
