Carlos B Fernández. La Casa Blanca ha publicado su política de gobernanza de inteligencia artificial (IA), en desarrollo de la orden ejecutiva 14110 sobre el desarrollo y uso de una IA segura y confiable, emitida el pasado mes de octubre por el presidente Biden.
El Memorandum “Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence” (Fomento de la gobernanza, la innovación y la gestión de riesgos en el uso de la inteligencia artificial por parte de las agencias), elaborado por la oficina ejecutiva de gestión y presupuestos de la Casa Blanca, establece nuevos requisitos y orientaciones para la gobernanza, la innovación y la gestión de riesgos de los sistemas de IA utilizados o adquiridos por la Administración de los EEUU.
Entre otras medida, se establece la figura del CAIOs (Chief Artificial Intelligence Officer), del que se describen sus funciones, responsabilidades, antigüedad, posición y estructuras de información.
Mejora de la gobernanza de la IA
El memorándum parte de la premisa de que gestionar el riesgo de la IA y promover su innovación requiere una gobernanza eficaz. Esta eficiencia se plantea en base a las siguientes medidas, que deberán adoptar los responsables de los organismos y agencias que utilicen IA:
i. Designación de un Chief Artificial Intelligence Officer (CAIO) o Director de AI.
Tal y como exige la Orden Ejecutiva 14110, en un plazo de 60 días a partir de la fecha de publicación de este memorando el director de cada organismo a debe designar un Director de Inteligencia Artificial (CAIO).
Para garantizar que el CAIO pueda cumplir con las responsabilidades establecidas en este memorando, las agencias que ya han designado un CAIO deben evaluar si necesitan proporcionar a esa persona autoridad adicional o nombrar un nuevo CAIO.
Las agencias deben identificar a estos funcionarios ante la OFFICE OF MANAGEMENT AND BUDGET OF THE PRESIDENT OMB a través del proceso de Recopilación Integrada de Datos de la OMB o un proceso sucesor designado por la OMB. Cuando la persona designada cambie o el puesto quede vacante, los organismos deberán notificarlo a la OMB en un plazo de 30 días.
Además, dado que la IA está profundamente interconectada con otras áreas técnicas y políticas, como los datos, la tecnología de la información (TI), la seguridad, la privacidad, los derechos civiles y las libertades civiles, la experiencia del cliente y la gestión del personal, los CAIO deben trabajar en estrecha coordinación con los funcionarios y organizaciones responsables existentes dentro de sus agencias.
Por ello el Memorandum establece que los CAIO deben tener las habilidades, conocimientos, formación y experiencia necesarios para desempeñar las responsabilidades descritas en esta sección.
Además, en los organismos sujetos a la Ley CFO, una de las principales funciones del CAIO debe ser la coordinación, innovación y gestión de riesgos para el uso específico de la IA por parte de su organismo, en contraposición a las cuestiones de datos o TI en general. Los organismos pueden optar por designar a un funcionario ya existente, como un Director de Información (CIO), Director de Datos (CDO), Director de Tecnología o funcionario similar con competencias o responsabilidades pertinentes o complementarias, siempre que no entren en conflicto con el presente memorando. 6 autoridades y responsabilidades pertinentes o complementarias, siempre que tengan una experiencia significativa en IA y cumplan los demás requisitos de esta sección.
La Orden Ejecutiva 14110 asigna a los CAIO la responsabilidad principal en sus organismos, en coordinación con otros funcionarios responsables, de coordinar el uso de la IA por parte de sus organismos, promover la innovación en IA, gestionar los riesgos derivados del uso de la IA y llevar a cabo las responsabilidades de los organismos definidas en la Sección 8(c) de la Orden Ejecutiva 1396012 y la Sección 4(b) de la Orden Ejecutiva 14091. 13 Además, los CAIO, en coordinación con otros funcionarios responsables y las partes interesadas pertinentes, son responsables de coordinar el uso de la IA por parte de los organismos; promover la innovación en IA y gestionar los riesgos derivados del uso de la IA.
ii. Convocatoria de los órganos de gobierno de IA de las agencias.
En un plazo de 60 días a partir de la publicación de este memorándum, cada agencia de la Ley CFO debe convocar a sus altos funcionarios pertinentes para coordinar y gobernar las cuestiones relacionadas con el uso de la IA en el Gobierno Federal, de conformidad con la Sección 10.1(b) de la Orden Ejecutiva 14110 y las orientaciones detalladas de la Sección 3(c) de este memorándum.
iii. Planes de cumplimiento.
De conformidad con la Sección 104(c) y (d) de la Ley de AI in Government Act of 2020 (Ley sobre la IA en el Gobierno de 2020), en un plazo de 180 días a partir de la publicación de este memorando o de cualquier actualización del mismo, y posteriormente cada dos años hasta 2036, cada organismo deberá presentar a la OMB y publicar en el sitio web del organismo un plan para lograr la coherencia con este memorando, o bien una determinación por escrito de que el organismo no utiliza ni prevé utilizar IA cubierta. Los organismos también deben incluir planes para actualizar los principios y directrices internos existentes en materia de IA a fin de garantizar la coherencia con este memorándum. La OMB proporcionará plantillas para estos planes de cumplimiento.
iv. Inventarios de casos de uso de IA.
Cada organismo (excepto el Departamento de Defensa y la Comunidad de Inteligencia) debe inventariar individualmente cada uno de sus casos de uso de IA al menos una vez al año, presentar el inventario a la OMB y publicar una versión pública en el sitio web del organismo. La OMB publicará instrucciones detalladas sobre el inventario y su alcance a través de su proceso de Recogida Integrada de Datos o de un proceso sucesor designado por la OMB. A partir del inventario de casos de uso para 2024, se exigirá a los organismos, según proceda, que identifiquen los casos de uso que afectan a la seguridad y los que afectan a los derechos en materia de IA y que informen con más detalle sobre los riesgos -incluidos los riesgos de resultados no equitativos- que plantean dichos usos y sobre cómo los organismos gestionan esos riesgos.
v. Informes sobre casos de uso de IA no sujetos a inventario.
Algunos casos de uso de la IA no están obligados a ser inventariados individualmente, como los del Departamento de Defensa o aquellos cuya divulgación sería incompatible con la legislación aplicable y la política gubernamental. No obstante, los organismos deberán comunicar y publicar anualmente los datos agregados sobre los casos de uso que entren en el ámbito de aplicación del presente memorando, el número de casos de este tipo que afecten a los derechos y la seguridad, y el cumplimiento de las prácticas del artículo 5(c) del presente memorando. La OMB publicará instrucciones detalladas para la presentación de estos informes a través de su proceso integrado de recopilación de datos o de un proceso sucesor designado por la OMB.
Gestión de los riesgos derivados del uso de la IA
Las agencias y organismos norteamericanos, deben gestionar una serie de riesgos derivados del uso de la IA.
Este memorándum establece nuevos requisitos y recomendaciones que, tanto de forma independiente como colectiva, abordan los riesgos específicos de confiar en la IA para informar o llevar a cabo decisiones y acciones de los organismos, en particular cuando dicha confianza afecta a los derechos y la seguridad del público. Para hacer frente a estos riesgos, este memorando exige a las agencias que sigan unas prácticas mínimas cuando utilicen IA que afecte a la seguridad e IA que afecte a los derechos, y enumera categorías específicas de IA que se presume que afectan a los derechos y a la seguridad. Por último, este memorando también establece una serie de recomendaciones para gestionar los riesgos de la IA en el contexto de la contratación pública federal.
Esto incluye acciones como:
i. Aplicación de prácticas de gestión de riesgos y cese de IA no conforme.
Antes del 1 de diciembre de 2024, las agencias deberán aplicar las prácticas mínimas de la sección 5(c) del presente memorando para la IA que afecte a la seguridad y a los derechos, o bien dejar de utilizar en sus operaciones cualquier IA que no cumpla las prácticas mínimas, de acuerdo con los detalles y advertencias de dicha sección.
ii. Certificación y publicación de determinaciones y exenciones.
Antes del 1 de diciembre de 2024, y posteriormente cada año, cada agencia deberá certificar la validez de las determinaciones realizadas en virtud del apartado (b) y las exenciones concedidas en virtud del apartado (c) de esta sección. En la medida en que sea coherente con la legislación y la política gubernamental, la agencia deberá publicar un resumen detallando cada determinación y exención individual, así como su justificación. Alternativamente, si una agencia no tiene determinaciones o exenciones activas, debe indicar públicamente ese hecho e informar de ello a la OMB. La OMB publicará instrucciones detalladas para estos resúmenes a través de su proceso integrado de recopilación de datos o de un proceso sucesor designado por la OMB.
Sistemas de IA que se presume que afectan a la seguridad o a los derechos
Toda IA que se ajuste a las definiciones de "IA que afecta a la seguridad" (Safety-Impacting AI, o IA cuyo resultado produce una acción o sirve de base principal para una decisión que tiene el potencial de afectar significativamente a la seguridad de la vida o el bienestar humanos; el clima o el medio ambiente; las infraestructuras críticas y los activos o recursos estratégicos) o de "IA que afecta a los derechos" (Rights-Impacting AI, o IA cuyos resultados sirven de base principal para una decisión o acción relativa a una persona o entidad específica que tiene un efecto jurídico, material, vinculante o de importancia similar sobre los derechos civiles; 2. la igualdad de oportunidades o el acceso o capacidad para solicitar recursos o servicios públicos esenciales, como asistencia sanitaria, servicios financieros, vivienda pública, servicios sociales, transporte y bienes y servicios esenciales, de dicha persona o entidad) que se definen en el Memorandum, deberá seguir determinadas prácticas mínimas.
En particular, y salvo que lo impidan la legislación aplicable y las directrices para todo el gobierno, los organismos deben aplicar las prácticas mínimas de gestión de riesgos de esta sección a la IA que afecte a la seguridad y a los derechos antes del 1 de diciembre de 2024, o bien dejar de utilizar la IA hasta que logren la conformidad.
Esto incluye que, a más tardar el 1 de diciembre de 2024, las agencias deben completar una evaluación de impacto de la IA, en la que se considere: 1. La finalidad prevista de la IA y su beneficio esperado; 2. Los riesgos potenciales del uso de la IA y, 3. La calidad e idoneidad de los datos pertinentes.
Además, las agencias deben realizar las pruebas adecuadas para garantizar que la IA, así como los componentes que dependen de ella, funcionarán en el contexto real previsto, así como una evaluación independiente de los sistemas de IA que utilicen.
Antes del 1 de diciembre de 2024, los CAIO de los organismos deberán trabajar con los funcionarios competentes de sus organismos para que la IA potencialmente no conforme sea conforme, lo que puede incluir solicitar que los proveedores externos tomen voluntariamente las medidas adecuadas (por ejemplo, mediante documentación actualizada o medidas de prueba). Para garantizar el cumplimiento de este requisito, los funcionarios competentes del organismo deben utilizar los mecanismos existentes siempre que sea posible (por ejemplo, el proceso de autorización para operar).
Además, se establecen unas prácticas mínimas adicionales para la IA que afecte a los derechos. Así, a más tardar el 1 de diciembre de 2024, las agencias deberán seguir las prácticas mínimas anteriores para la IA que afecte a la seguridad o a los derechos. Además, no más tarde del 1 de diciembre de 2024, las agencias deberán seguir también estas prácticas mínimas antes de iniciar el uso de IA nueva o existente que afecte a los derechos:
A. Identificar y evaluar el impacto de la IA en la equidad y la justicia, y mitigar la discriminación algorítmica cuando esté presente.
B. Consultar e incorporar los comentarios de las comunidades afectadas y del público.
C. Llevar a cabo una supervisión y mitigación continuas de la discriminación posibilitada por la IA.
D. Notificar a las personas afectadas negativamente.
E. Mantener la consideración humana y los procesos de reparación.
F. Mantener opciones de exclusión voluntaria para las decisiones basadas en IA.