Auditoría y ética de la IA

Los sistemas de auditoría que deben establecerse es uno de los principales retos a los que se enfrenta la regulación de la IA.

Es importante tener en cuenta que una auditoría puede ser interna o externa.

El objetivo de una auditoría interna es medir el impacto, tanto positivo como negativo, que la IA puede tener en la empresa, tanto a corto como medio y largo plazo, mientras que con una auditoría externa se persigue comprobar si la empresa está cumpliendo o no con los estándares y normas en la materia.

Conforme al Instituto de Auditores Internos, un marco de auditoría interna de IA debería tener tres componentes: – Estrategia de la IA, Gobierno del dato y Factor Humano — y siete elementos: Ciber Resiliencia, Componentes de la IA, Calidad del dato, infraestructuras y arquitecturas de la IA, medición del desempeño, ética y “Caja Negra” que son todos los procesos por los que pasa el algoritmo hasta emitir una respuesta.

En relación a las auditorías externas, aún no existe unanimidad entre las Autoridades de Control para alcanzar un marco común.

La ICO, en Reino Unido, por su parte está intentando construir un sistema de auditoria de referencia que desemboque en una metodología sólida para asegurar que las auditorías tienen lugar en un cuadro de transparencia y que cuentan con todas las medidas necesarias para solventar cualquier riesgo que pueda surgir. La estructura propuesta incluye:

1.- Gobierno y responsabilidad.

  • Aceptación del riesgo.
  • Compromiso del equipo y supervisión.
  • Estructuras de gestión.
  • Cumplimiento y capacidad de asegurar posibles daños.
  • Protección de datos por diseño y por defecto.
  • Políticas y procedimientos.
  • Documentación y registros.
  • Formación y concienciación.

2.- Áreas específicas de riesgo de la IA.

  • Justicia y transparencia  – incluye todo lo relacionado con sesgos, discriminación y explicabilidad.
  • Precisión – Tanto en los datos que funcionan como input como aquellos que son output.
  • Modelos de toma de decisiones completamente automatizada frente a modelos que cuentan con cierto grado de intervención humana.
  • Seguridad – Incluyendo cualquier tipo de pruebas de vulnerabilidad y tests de verificación.
  • Trade-offs – entre las diferentes variables que rodean a la IA, como por ejemplo privacidad y transparencia o privacidad y precisión.
  • Minimización de los datos y limitación a la finalidad.
  • Ejercicio de derechos.
  • Impacto en los intereses públicos.

El CNIL, en Francia, considera que los países deberían proporcionar una plataforma nacional de auditoría de la IA. Para ello, considera que en primer lugar es necesario evaluar los recursos con los que se cuenta y enfrentarlo también con las necesidades y demanda que se da en el mercado. Asimismo, y en relación a la autoridad que debería encargarse de dichas auditorías, el CNIL afirma que de manera ideal habría de ser un cuerpo público, si bien, debido a la complejidad y tamaño del sector, sería conveniente valorar otras alternativas como la habilitación de entidades privadas dentro de un marco de referencia para que puedan emitir certificaciones.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

La ICO publica una nueva guía de cookies

La intención es alinear la posición de la ICO con el RGPD.

¿Qué debería hacer?

Las empresas deben llevar a cabo algunos pasos para cumplir con las nuevas indicaciones:

  1. Mencionar las cookies que se van a utilizar y explicar qué hacen.

La información que se proporcione a los interesados debe contener: las cookies que se pretenden usar y los propósitos de ello, todo en línea con los requisitos de transparencia del RGPD (de forma inteligible, transparente, concisa y de fácil acceso y utilizando un lenguaje claro y sencillo).

Estas condiciones se aplican también a las cookies de terceros, y abarca tanto cookies como pixels, beacons, JavaScript y cualquier otra tecnología similar como redes de publicidad online y plataformas sociales.

  1. Recabar consentimiento para instalar las cookies en los dispositivos.
  • El usuario debe llevar a cabo una acción clara y positiva para dar su consentimiento a las cookies no esenciales.
  • El consentimiento debe ser granular, de manera que el usuario debe tener la opción de consentir las cookies para algunas finalidades pero no para otras.
  • En lo que se refiere a las cookies de terceros, se debe mencionar de manera clara y específica de dónde provienen y explicar qué hacen con la información recogida.
  • Las casillas pre-marcadas o equivalentes no son válidas para las cookies no esenciales.
  • Los sujetos deben tener control sobre todas las cookies no esenciales, y se les debe permitir el acceso al sitio web aun cuando no las hayan aceptado. Las denominadas “cookie walls” están prohibidas si bloquean el acceso al sitio web en general, aunque la ICO está llevando a cabo una serie de consultas en este sentido.
  • Las cookies no esenciales no deberían situarse en la página de inicio (y de for a similar, no se deberían activar hasta que el usuario haya dado su consentimiento).

El consentimiento será inválido si:

  • Los cuadros de aviso son difíciles de leer cuando se interacciona desde el teléfono móvil.
  • Los usuarios no hacen click en ninguna de las opciones disponibles y van directos a otra parte de la web sin haber dado o no su consentimiento.

¿Hay alguna excepción a estos requerimientos?

Sí. No es necesario cumplir con ellos en el caso de cookies no esenciales, pero este concepto es, sin embargo, muy limitado. El acceso a o almacenamiento de información es esencial únicamente cuando es completamente necesario para proporcionar el servicio solicitado por el usuario, o cuando responde a una obligación legal. Algunos ejemplos son:

Cookies estrictamente necesarias Cookies no estrictamente necesarias
Una cookie que se utiliza para recordar los productos que el usuario desea comprar cuando va al carrito de la compra. Cookies de finalidad analítica, como aquellas empleadas para contar el número de visitas a la web.
Cookies necesarias para cumplir con el requisito de seguridad del RGPD de una actividad que el usuario ha solicitado, por ejemplo en relación con servicios  bancarios. Cookies de publicidad, incluidas aquellas operacionales relacionadas con publicidad de terceros, detección de fraude, investigación, desarrollo de producto.
Cookies para asegurar un funcionamiento fluido mediante la distribución de la carga de trabajo entre diferentes ordenadores. Cookies que reconocen a un usuario cuando vuelve a la página web, de modo que se les ofrece un saludo personalizado.

Como segunda excepción, los requisitos de información y consentimiento tampoco se aplican para las cookies que habilitan la transmisión de comunicaciones sobre una red de comunicaciones electrónicas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

 

¿Es posible regular la IA?

Esta semana hablamos en nuestro canal de Youtube sobre la situación actual de la regulación de la IA y los retos futuros con los que podemos encontrarnos.

Uno de los principales desafíos de la IA es evitar los resultados discriminatorios, lo cual requiere que se apliquen importantes controles sobre los conjuntos de datos de entrenamiento, así como que se tengan en cuenta los principios éticos en el diseño, y también que se realicen comprobaciones y auditorías regulares.

Una problemática adicional que debería tratarse es la dimensión de la responsabilidad, es decir, quién debe responder cuando el sistema de IA no cumple con la ley. Esto está relacionado también con derecho internacional, pues no se deberá discernir solo quién es el responsable, sino también la jurisdicción y ley aplicable. A estos efectos, se podría debatir, por ejemplo: ¿sería el país donde la IA fue diseñada o programada? ¿O aquél donde se fabricó y distribuyó? Este tipo de decisiones son realmente determinantes en ciertos contextos donde la infracción de ley conduce a resultados graves, como aquellos en los que se pone en jaque la integridad física de las personas.

Esta dicotomía se pone más de relieve aun cuando nos encontramos con sistemas de ‘deep learning’, respecto de los cuales el control toma una dimensión más, al plantearse un escenario donde es necesario poner límites a algo de lo que no se conoce su alcance.

Y por otro lado, ¿qué ocurre cuando nos encontramos con IA que son usadas como arma? Hay algunas orientaciones en el sector que recomiendan restringir el uso de estos sistemas a sólo algunos contextos, pero ¿es esto realmente posible? Sin duda merece un examen y análisis detallado antes de elaborar un plan de acción, que deberá tener en cuenta todos los campos de juego, como aquél de las armas autónomas que deciden por sí mismas cuando actuar, con qué fuerza, hacia qué objetivo y con qué resultados.

En Aphaia, si nos preguntasen para ofrecer una opinión en este campo, consideramos que la regulación inicial va a venir por parte de las empresas, de las grandes y no tan grandes, que ya estén aplicando estos sistemas y se encuentren con una demanda de seguridad en el mercado por parte de sus consumidores.

Nos encantaría saber qué opináis vosotros, así que ¡compartid vuestras ideas!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

Inteligencia artificial en H2020

El Centro para el Desarrollo Tecnológico Industrial (CDTI) celebró el pasado jueves 11 de julio un infoday sobre el papel de la inteligencia artificial en H2020.

Horizonte 2020 es el Programa Marco de la Unión Europea para el período 2014-2020, destinado a la investigación e innovación, y tiene tres objetivos estratégicos principales:

  • Creación de una ciencia de excelencia para reforzar la posición de la UE en el panorama científico global.
  • Desarrollo de tecnologías y sus aplicaciones para mejorar la competitividad europea.
  • Desafíos sociales que afectan a los ciudadanos europeos.

Se espera que Horizonte 2020 facilite el desarrollo de la IA y enlace así con el Programa Digital Europe, el cual se prevé que impulse su despliegue e implementación.

Fernando Rico, representante ICT de H2020, realizó un repaso del papel que la IA ha tenido en el programa, y recordó que no fue hasta el año pasado cuando ésta tomó un rol importante, a partir de la comunicación sobre IA de la Comisión. Desde entonces se han dado una serie de notorios pasos en este campo, como la creación del AI HLEG, el lanzamiento de un plan de acción y la adopción de la agenda estratégica de innovación, investigación y despliegue de la IA, entre otros hitos.

En cuanto a las cifras, la Comisión determinó que durante el período 2018-2020 se han destinado unos 500 millones de euros a proyectos de IA y el objetivo es que a partir de 2020 esta cuantía alcance los 20.000 millones de euros al año, en colaboración con los Estados Miembro.

Por su parte, Enrique Pelayo, punto nacional de contacto ICT H2020, destacó alguno de los topics de H2020 donde la IA aparece mencionada de manera expresa en el título, entre los que se encuentran:

  • ICT48- Labores de investigación mediante trabajo en red (centros de excelencia).
  • ICT49- Plataforma IA.

Estos dos topics representan la base general para la parte de ICT. También hay algunos específicos como ICT38, centrado en IA para producción y fabricación.

Se mencionó asimismo el proyecto InnovFin, que es un fondo capital riesgo cofinanciado por los Estados Miembro y destinado a facilitar a los inversores la entrada en startups, sin necesidad de que tengan que ser adquiridas por USA o China.

David González, del gabinete técnico SGCPC (MICINN) habló sobre la estrategia I+D+i y se centró en el plano nacional, a cuyo nivel se está desarrollando una fase de conversaciones y reuniones con grandes empresas que apliquen IA a sus productos y servicios, con el objetivo de tener un borrador preparado para otoño de este mismo año.

A continuación se celebraron dos mesas redondas para debatir los retos en IA, tanto a nivel general como específico por sectores. Los ponentes comentaron las oportunidades presentes y futuras y los obstáculos más acuciantes con los que se encuentra la industria, como lo es la falta de personal de gestión y la demanda de medidas prácticas que aplicar, y coincidieron en la importancia de la regulación para el desarrollo técnico, con especial mención a los principios éticos que deben gobernar el diseño y uso de la IA.

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.