El mal uso de la inteligencia artificial (IA) puede tener consecuencias muy claras y costosas. El estudio de cine Lionsgate se unió recientemente a una larga lista de organizaciones que descubrieron que las citas y citas de sistemas de IA generativa (GenAI) deben verificarse como cualquier otra fuente; Microsoft está siendo demandado por un periodista alemán después de que Bing Copilot sugiriera que había cometido crímenes sobre los que en cambio había informado; y un servicio de telecomunicaciones estadounidense está pagando una multa de 1 millón de dólares por simplemente transmitir llamadas automáticas con una voz falsa de IA que imita al presidente Biden.
El entusiasmo empresarial por adoptar GenAI sigue siendo alto, lo que significa que las organizaciones están ocupadas implementando diversas protecciones de gobernanza, riesgo y cumplimiento en torno a su uso en diferentes jurisdicciones. Si bien la razón principal de las restricciones en el uso de la IA suele ser la privacidad de los datos y las preocupaciones de seguridad, las preocupaciones sobre la regulación y los derechos de autor también ocupan un lugar destacado en la lista.
Sin embargo, parte del problema para los directores de información (CIO) es saber exactamente qué regulaciones se aplican a la IA, desde la base legal para el uso de datos personales para entrenar modelos de IA, hasta cuestiones de transparencia y discriminación al usar sistemas de IA.
Muchas organizaciones se centran en la próxima legislación diseñada específicamente para establecer reglas para quienes desarrollan e implementan sistemas de IA, junto con una combinación de regulaciones y directrices voluntarias para la IA que pueden ser útiles individualmente, pero que conforman lo que el secretario general de las Naciones Unidas, António Guterres, llamó bastante cortésmente un “mosaico” de reglas potencialmente inconsistentes.
Pero el impacto de las nuevas leyes aún no se ha sentido, y los cambios de gobierno en el Reino Unido y Estados Unidos hacen que sea más difícil predecir qué dictará la legislación futura, especialmente para las empresas británicas atrapadas entre Estados Unidos y la Unión Europea (UE).
Mientras tanto, las regulaciones existentes que no mencionan explícitamente la IA ya se aplican (y se están aplicando). Este verano, la autoridad brasileña de procesamiento de datos obligó temporalmente a Meta a dejar de utilizar información “disponible públicamente” recopilada de sus usuarios para entrenar modelos de IA, sobre la base de intereses legítimos permitidos por una legislación brasileña similar al Reglamento General de Protección de Datos (GDPR). La empresa tuvo que notificar a los usuarios con antelación y ofrecerles formas sencillas de darse de baja.
Por lo tanto, para navegar con seguridad en esta red de regulaciones y leyes (tanto futuras como existentes) que cubren diferentes etapas del desarrollo y despliegue de la IA, las empresas deben comprender urgentemente la dirección del viaje y el apetito por su aplicación en los países en los que operan.
Prioridades en evolución del Reino Unido
Aunque es probable que haya un proyecto de ley sobre IA en el Reino Unido, ninguno de los dos proyectos de ley de los miembros privados que se están abriendo camino en la Cámara de los Lores es una guía confiable sobre cómo podría ser la legislación futura.
Parece poco probable que el gobierno adopte exactamente el mismo enfoque “pro-innovación” para la regulación de la IA que el anterior, especialmente porque ha firmado el Convenio Marco del Consejo de Europa sobre la IA y los Derechos Humanos (que cubre el uso de la IA por parte de los gobiernos y otros organismos públicos).
Actualmente una organización de investigación, es posible que el Instituto de Seguridad de la IA del Reino Unido asuma un nuevo papel como regulador adicional, junto con la Oficina del Comisionado de Información (ICO), Ofcom, la Autoridad de Conducta Financiera (FCA) y la Autoridad de Mercados y Competencia (CMA).
El informe del gobierno sobre Garantizar un futuro responsable para la IA visualiza un ecosistema comercial de herramientas de “garantía de IA” para guiar a las empresas que utilizan la IA para mitigar riesgos y daños. Promete una plataforma de garantía de IA con un conjunto de herramientas basado en estándares como ISO/IEC 42001 (que cubre los sistemas de gestión de IA), la Ley de IA de la UE y el Marco de gestión de riesgos de IA del NIST. De hecho, las herramientas GRC existentes, como Microsoft Purview Compliance Manager, ya están introduciendo plantillas de informes que cubren estas regulaciones.
En cuanto a los proveedores de IA, la ministra para la futura economía digital y seguridad en línea, la baronesa Jones, dijo en la conferencia de IA de la Organización Mundial del Comercio que el gobierno pronto “presentará una regulación vinculante muy específica para el puñado de empresas que desarrollan los sistemas de IA más potentes”.
De manera similar, Ofcom emitió recientemente una carta abierta a los proveedores de servicios en línea recordándoles que la Ley de Seguridad en Línea (que impone deberes adicionales a los motores de búsqueda y servicios de mensajería a partir de diciembre de 2024 y más a partir del próximo año) también se aplica a los modelos GenAI y chatbots. Esto está dirigido a las grandes plataformas de inteligencia artificial, pero las empresas que utilizan servicios para crear chatbots, por ejemplo, para servicio al cliente, querrán probarlos exhaustivamente y asegurarse de que las barreras de seguridad de contenido estén activadas.
Solicitudes de divulgación
La ICO ya ha solicitado divulgaciones bastante detalladas a grandes plataformas como LinkedIn, Google, Meta, Microsoft y OpenAI sobre los datos utilizados para entrenar sus sistemas GenAI. Nuevamente, esto está cubierto por la Ley de Protección de Datos de 2018, la implementación del RGPD en el Reino Unido. “Básicamente, en este momento, el GDPR está regulando la IA”, dijo a Computer Weekly Lilian Edwards, directora de Pangloss Consulting y profesora de derecho tecnológico en la Universidad de Newcastle.
Si bien el próximo proyecto de ley de datos (uso y acceso) no incluye las reformas radicales a los derechos de protección de datos propuestas por el gobierno anterior, tampoco proporciona ninguna claridad adicional sobre el impacto del RGPD del Reino Unido en la IA, más allá de las orientaciones existentes de la ICO, lo que deja claro que la alta dirección debe comprender y abordar las complejas implicaciones de la tecnología en materia de protección de datos.
“La definición de datos personales es ahora muy, muy amplia: datos que se relacionan con una persona que puede ser identificada”, advirtió Edwards. “Es casi seguro que cualquier empresa de inteligencia artificial, si no intencionalmente, procesa datos personales”.
En términos más generales, advirtió a los directores de información que no desestimen la legislación que no nombra específicamente a la IA, señalando que todos los procesos de cumplimiento y gestión de riesgos que ya existen se aplican a la IA. “Hay muchas leyes que afectan a empresas que existen desde hace años y que a la gente no le entusiasman tanto: todas las leyes normales que se aplican a las empresas. Discriminación e igualdad: ¿estás infringiendo de alguna manera las leyes que hace cumplir la Comisión de Igualdad y Derechos Humanos? ¿Está violando los derechos de los consumidores al poner términos y condiciones en sus contratos?
Edwards advirtió además que los sistemas de inteligencia artificial que generan alucinaciones pueden violar las leyes de salud y seguridad (como Amazon que vende libros generados por inteligencia artificial que identifican erróneamente hongos venenosos).
Diya Wynn, líder responsable de IA en Amazon Web Services, dijo: “Todos estamos muy familiarizados y acostumbrados a comprender la sensibilidad de los datos, ya sean confidenciales, PII o PHI. Esa conciencia de los datos y su protección sigue siendo fundamental, ya sea que se utilice IA o no, y eso debería sustentar las políticas internas. Si normalmente no compartirías PII o información confidencial o sensible, entonces tampoco querrás hacerlo en los sistemas de IA que estás construyendo o aprovechando”.
Implicaciones internacionales
A pesar de (o quizás debido a) ser el hogar de los principales proveedores de IA, Estados Unidos no tiene leyes federales integrales y específicas de IA. Tanto el resultado de las elecciones como el marco legal y regulatorio altamente fragmentado (con múltiples autoridades tanto a nivel estatal como federal) no dejan claro qué legislación surgirá, si es que surge alguna.
La orden ejecutiva sobre IA emitida por el presidente Biden exigía marcos, mejores prácticas y legislación futura para garantizar que las herramientas de IA no violen las leyes existentes sobre discriminación, derechos de los trabajadores o cómo las infraestructuras críticas y las instituciones financieras manejan el riesgo.
Aunque aparentemente amplio, en realidad se aplicó de manera más específica a los servicios y organizaciones gubernamentales que abastecen al gobierno de EE. UU., incluida la asignación de responsabilidades para el desarrollo de barreras de seguridad al NIST, que administra el Instituto de Seguridad de IA de EE. UU.
Como señaló Paula Goldman, directora de uso ético y humano de Salesforce y miembro del comité asesor nacional de IA que asesora al presidente de los EE. UU.: “En un contexto político, existen conversaciones reales y legítimas sobre algunas de estas cuestiones más importantes, como la seguridad nacional. riesgo o malos actores. En un entorno empresarial, la conversación es diferente”.
Esa conversación trata sobre controles de datos y “un mayor nivel de atención a la buena gobernanza, la higiene y la documentación que se puede discutir a nivel de junta directiva”.
La orden ejecutiva mencionó específicamente los modelos GenAI entrenados en sistemas muy grandes, pero no existen sistemas con el nivel de recursos especificado.
Muchos estados individuales han aprobado leyes que cubren la IA, algunas implementando los principios de la orden ejecutiva, otras regulando las decisiones en áreas críticas o sensibles tomadas utilizando GenAI sin una participación humana significativa (nuevamente, el GDPR ya incluye principios similares). California introdujo una amplia gama de leyes que cubren áreas como los deepfakes y las “réplicas digitales” generadas por IA, de particular interés para Hollywood.
La campaña republicana habló de reemplazar la orden ejecutiva con IA basada en principios de libertad de expresión y el algo misterioso “florecimiento humano”. No está claro cómo sería eso en la práctica –especialmente dados los intereses conflictivos de varios donantes y asesores– y las organizaciones que hacen negocios en los EE.UU. tendrán que lidiar con este mosaico de regulaciones durante algún tiempo.
La UE puede marcar la pauta
Por otro lado, la UE es la primera jurisdicción en aprobar legislación específica sobre IA, siendo la Ley de IA de la UE la regulación más completa sobre IA y aquella para la que los proveedores se están preparando activamente. “Estamos incorporando específicamente en nuestros productos, en la medida de lo posible, el cumplimiento de la Ley de IA de la UE”, dijo a Computer Weekly Marco Casalaina, vicepresidente de producto de Azure AI Platform.
Esto es algo que Goldman espera que las empresas agradezcan. “Definitivamente hemos escuchado el deseo de las empresas de asegurarnos de que estos regímenes sean interoperables, de modo que exista un conjunto general de estándares que puedan aplicarse a nivel mundial”, dijo. “Honestamente, hay mucho que seguir”.
El Convenio sobre IA del Consejo de Europa sigue principios similares, y si esto conduce a que la legislación global se alinee con él de la misma manera que el RGPD influyó en la legislación mundial, eso simplificará el cumplimiento para muchas organizaciones.
Esto no es seguro (ya existen leyes de IA en Australia, Brasil y China), pero cualquier empresa que opere en la UE, o con clientes de la UE, ciertamente deberá cumplirlas. Y a diferencia del enfoque de cumplimiento mayoritariamente voluntario de la orden ejecutiva, la ley viene con las sanciones habituales, en este caso, de hasta el 3% de la facturación global.
Lo primero que hay que recordar es que la nueva legislación se aplica además de una amplia gama de leyes existentes que cubren propiedad intelectual, protección de datos y privacidad, servicios financieros, seguridad, protección del consumidor y antimonopolio.
“Encaja en este paquete gigante de leyes de la UE, por lo que en realidad sólo cubre una cantidad bastante pequeña”, dijo Edwards.
La ley no regula las búsquedas, las redes sociales o incluso los sistemas de recomendación, que deben ser tratados por la legislación que hace cumplir la Ley de Servicios Digitales.
En lugar de centrarse en tecnologías específicas, la Ley de IA de la UE pretende demostrar que los productos y servicios de IA disponibles en la UE cumplen con los requisitos de seguridad del producto, que incluyen la seguridad de los datos y la privacidad del usuario, de forma muy similar a como la marca CE actúa como un pasaporte. para vender productos físicos en el mercado de la UE.
La ley cubre tanto la IA tradicional como la generativa; Estas últimas disposiciones son claramente un trabajo en progreso destinado principalmente a aplicarse a los proveedores de IA, que deben registrarse en una base de datos de la UE. Al igual que en la orden ejecutiva de EE. UU., los modelos de propósito general con “riesgos sistémicos” (como desinformación o discriminación) se clasifican según la capacidad del sistema en el que fueron capacitados, pero al nivel de los sistemas de capacitación que ya utilizan proveedores como Microsoft. y OpenAI, en lugar de sistemas futuros aún por construir.
La mayor supervisión (o prohibiciones absolutas) se aplica a usos específicos de mayor riesgo, que se encuentran predominantemente en el sector público, pero que también incluyen infraestructura crítica y empleo.
“Si estás creando un chatbot para examinar a los candidatos para su contratación”, advirtió Edwards, eso entraría en la categoría de alto riesgo. Los sistemas de inteligencia artificial con riesgo limitado (que incluyen chatbots) requieren transparencia (incluida la información a los usuarios sobre el sistema de inteligencia artificial): aquellos con riesgo mínimo o nulo, como los filtros de spam, no están regulados por la ley.
Estos…