Qué impacto tendrá la inteligencia artificial en la gestión de los riesgos dentro del marco regulatorio

La evolución de la inteligencia artificial (IA) ha transformado múltiples sectores, prometiendo avances tecnológicos sin precedentes, y con ella, se han planteado serios interrogantes sobre la privacidad y seguridad de los datos personales. La capacidad de la IA para procesar y analizar grandes volúmenes de información permite una explotación masiva de datos, algo que preocupa tanto a usuarios como a reguladores. Ante este panorama, la legislación busca establecer un marco regulatorio que proteja los derechos fundamentales de los individuos, entre ellos el derecho a la privacidad sin obstaculizar el potencial de la IA. En este sentido, la Unión Europea (UE), con el Reglamento General de Protección de Datos (RGPD), ha sido pionera en este ámbito, estableciendo estrictas directrices sobre el tratamiento de datos personales y otorgando a los ciudadanos control sobre su información personal.

Por otro lado, la explotación de datos personales por parte de los gobiernos ha suscitado un importante debate ético y legal. En nombre de la seguridad nacional y el interés público, algunos gobiernos han justificado el uso extensivo de tecnologías de vigilancia y análisis de datos. Esta práctica, sin embargo, ha generado preocupaciones sobre el equilibrio entre seguridad y privacidad, así como sobre el potencial de abuso de poder. La introducción de una nueva legislación tiene como objetivo establecer un marco regulatorio específico en la aplicación de la IA.

El nuevo Reglamento sobre IA de la Unión Europea es el primer marco jurídico integral del mundo destinado a regular esta tecnología. Aprobado en Bruselas por el Parlamento Europeo el pasado 14 de marzo con más de 500 votos a favor y con entrada en vigor a fecha de 1 de agosto —con distintos plazos de entrada en aplicación efectiva en función de cada obligación—, esta legislación permite garantizar que los sistemas de IA desplegados en el mercado europeo sean seguros y respeten los derechos fundamentales de los ciudadanos. Para ello, introduce una clasificación de los sistemas de IA basada en niveles de riesgo:

• Riesgo inaceptable: ciertas aplicaciones de la IA serán completamente prohibidas debido a su potencial capacidad de transgredir los derechos fundamentales, como el rastreo indiscriminado de imágenes faciales obtenidas de internet.
• Alto riesgo: sistemas con un impacto significativo en la seguridad y los derechos de los ciudadanos, que requerirán una evaluación exhaustiva de su impacto en los derechos fundamentales y transparencia antes de su introducción en el mercado.
• Riesgo limitado: aplicaciones que deben cumplir con obligaciones de transparencia, por ejemplo, los sistemas conversacionales (tipo ChatGPT) que deben informar a los usuarios de que están interactuando con una máquina.
• Riesgo mínimo o nulo: la mayoría de los sistemas de IA entran en esta categoría, en la que el Reglamento de IA propone una regulación mínima para promover la innovación y el desarrollo tecnológico.

La legislación tendrá un impacto relevante en el uso de tecnologías basadas en la biometría, especialmente aquellas consideradas de alto riesgo o inaceptables. Estas aplicaciones enfrentarán controles estrictos o prohibiciones para proteger la privacidad y resto de derechos fundamentales, y la creación de una Oficina de IA en la Comisión Europea, adicional a las autoridades de control nacionales que también se deberán crear, garantizará el cumplimiento de dichas normativas, supervisándose la aplicación de la norma por parte de los Estados miembros y por la Unión Europea.

En España ya se ha creado una autoridad de control específica en materia de inteligencia artificial: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña.​

La industria aseguradora, particularmente en los ámbitos de vida y salud, se clasifica como de alto riesgo en el Anexo 3 del reglamento, excepto en casos excepcionales en los que el desarrollo o despliegue de un sistema de IA no represente un riesgo importante para la salud, seguridad o  los derechos y libertades fundamentales. Las aseguradoras tenemos que trabajar por actuar en base a la normativa para entender esas excepciones y operar en consecuencia.

El nuevo Reglamento de IA de la Unión Europea tendrá, previsiblemente, una influencia considerable en las empresas al exigir una rigurosa clasificación de sistemas de IA basada en el nivel de riesgo que presentan, así como la aplicación obligatoria, para el caso de sistemas de IA de alto riesgo, de sistemas de gestión de riesgos. Este marco normativo persigue asegurar la protección de la privacidad y resto de derechos y libertades fundamentales de las personas, forzando a las organizaciones a adoptar medidas que garanticen la protección de los datos, la transparencia en la gestión de los datos, la gestión de los riesgos que se derivan del desarrollo y despliegue de la IA y la adopción de modelos de responsabilidad proactiva en el cumplimiento de la normativa.

Su aplicación supondrá un reto importante —especialmente en startups y pymes, debido a los costes derivados de la adaptación— y, bajo la nueva regulación de IA, las empresas que desarrollen o utilicen sistemas de IA en la UE necesitarán:

• Evaluar el nivel de riesgo de sus sistemas de IA de acuerdo con los criterios establecidos en el reglamento.
• Implementar medidas de mitigación adecuadas para aquellos sistemas identificados como de alto riesgo, como técnicas para asegurar la calidad de los datos, mecanismos para corregir sesgos y formas de garantizar la transparencia y la justificación de las decisiones tomadas por sistemas de IA.
• Garantizar el cumplimiento continuo del RGPD, especialmente en lo que respecta al procesamiento de datos personales mediante sistemas basados en IA.

En MAPFRE hemos adoptado una estrategia previsora frente a las futuras regulaciones de inteligencia artificial, aprovechando el modelo corporativo de privacidad y protección de datos y las sinergias existentes entre la regulación de protección de datos y la de IA.  adaptándonos de forma anticipada a la normativa, analizando los borradores asociados al Reglamento según iban estando disponibles. Esta proactividad se evidencia en la identificación temprana de controles específicos para mitigar los riesgos asociados con los sistemas de IA. Además, contamos con un equipo multidisciplinar con un enfoque particular en la clasificación y gestión de los sistemas de IA, así como en la modificación de los procedimientos existentes para incorporar los requisitos específicos asociados a esta tecnología.

Simultáneamente, en MAPFRE hemos progresado en la evaluación de riesgos y en la adopción de una IA responsable, testando incluso herramientas externas para una gestión eficiente y ética. Estamos explorando la adaptación y la posible fusión de metodologías de gestión de riesgos específicas para los sistemas de IA con otras estrategias de riesgo corporativas, con la voluntad de integrar de manera completa la IA en el esquema de gestión de riesgos existente.

La iniciativa está liderada por el departamento de Privacidad y Protección del Dato, desde donde hemos llevado a cabo la creación del grupo de trabajo en el que estamos tratando los diversos requisitos que son de aplicación y donde vamos definiendo las distintas guías de uso de este tipo de sistemas.

Desde la Dirección Corporativa de Seguridad estamos convencidos de que intentar adelantarnos a las normativas es lo que nos permite trabajar por una mejor gestión de los riesgos, en especial debido a lo ajustado de los plazos de aplicación regulatorios. Con ello podemos disponer de los mimbres con los que agilizar y hacer más eficiente la implantación de determinados requisitos.

ARTICULOS RELACIONADOS: