Alfabetización de la IA: cómo prepararse para la inminente entrada en vigor de este requisito de la Ley de IA de la UE

Para quienes trabajan en la gobernanza de la IA, el torbellino de 2024 ha dejado poco tiempo para recuperar el aliento, y 2025 ya ha comenzado a buen ritmo. El 2 de febrero de 2025, entrarán en vigor los primeros requisitos importantes de la Ley de Inteligencia Artificial de la UE, y la alfabetización en materia de IA está acaparando toda la atención. Este requisito implica que todos los proveedores e implementadores de sistemas de IA deben asegurarse de que sus equipos están adecuadamente capacitados e informados sobre los sistemas con los que trabajan, aunque la ley no establece con precisión cómo las organizaciones deben cumplir este principio.  La alfabetización en IA es una de las obligaciones clave de la Ley de IA de la UE que se aplica a todos los sistemas de IA, independientemente del nivel de riesgo.   

La ley define la «alfabetización en IA» como la habilidades, conocimientos y comprensión para permitir a los informados uso y operación de sistemas de IA y aumentar la conciencia sobre las oportunidades, los riesgos y los posibles daños que pueden presentar los sistemas de IA, con el objetivo final de garantizar que el personal pueda tomar decisiones informadas en relación con la IA, por ejemplo, cómo interpretar los resultados y los procesos de toma de decisiones de la IA y su impacto en las personas físicas.

A medida que se acerca la fecha límite, las bandejas de entrada están repletas de seminarios web sobre cumplimiento de la IA, documentos técnicos, ofertas de consultoría y materiales de alfabetización. ¿Te suena familiar? Para los profesionales de la privacidad, esta prisa puede traer recuerdos de la implementación del RGPD. Una vez más, todo el mundo parece tener consejos, pero la verdadera pregunta es: ¿qué medidas hay que tomar realmente?

Dejemos de lado el ruido y centrémonos en las tres preguntas que importan:

1. ¿A quién aplican estos requisitos?
2. En caso afirmativo, ¿cómo deberías empezar y qué tipo de formación necesitas?
3. ¿Cómo se puede implementar de manera efectiva?

1. ¿Quién debe cumplir?

El alcance puede ser más amplio de lo previsto. Estás afectado si abarcas alguno de estos escenarios:

• Desarrollo de soluciones de IA que interactúen con los datos de los clientes de la UE
• Utilización la IA para tomar decisiones importantes (por ejemplo, la contratación o la aprobación de créditos)
• Creación de aplicaciones personalizadas sobre modelos básicos

Al igual que el RGPD, el alcance territorial se extiende más allá de la UE y afecta a cualquiera que tome decisiones impulsadas por la IA o influya en ellas.

Comprensión de su nivel de riesgo

Las solicitudes rutinarias pueden clasificarse como de «alto riesgo» en virtud de la Ley. Los ejemplos comunes incluyen:

• Herramientas de contratación para seleccionar candidatos
• Sistemas que supervisan el desempeño de los empleados
• La automatización del servicio de atención al cliente afecta al acceso al servicio
• Reconocimiento de voz para autenticación

La Ley de IA exige una atención adicional para los sistemas de alto riesgo, de forma similar al tratamiento de los datos personales confidenciales que establece el RGPD. Afortunadamente, los marcos de evaluación del impacto en la privacidad se pueden adaptar para la evaluación de riesgos de la IA.

2. Construyendo un programa de formación

Para crear un programa de alfabetización en IA eficaz, aprovecha la experiencia en programas de privacidad y sigue el ejemplo de los proveedores de alfabetización en IA. Adapta el contenido a las diferentes funciones de los empleados, incorpora ejercicios prácticos y estudios de casos, y actualiza periódicamente los materiales de formación para reflejar los avances en materia de IA y los cambios normativos.

La capacitación en alfabetización en IA se puede clasificar en cuatro grupos:

1. Los responsables de cumplir con la Ley de IA: los líderes de privacidad, los expertos legales o los funcionarios de IA, entre otras funciones similares, deben comprender los requisitos de cumplimiento específicos, como las evaluaciones de conformidad.
   
   • Ejemplo: La IAPP ofrece la certificación como profesional de gobernanza de la IA, lo que demuestra que una persona puede garantizar la seguridad y la confianza en el desarrollo y el despliegue de una IA ética y en la gestión continua de los sistemas de IA.
2. Funciones de liderazgo: Los líderes necesitan una combinación de inspiración práctica, ejemplos de casos prácticos, formación práctica, información sobre los riesgos y los daños y estrategia de mercado.
   
   • Ejemplo: La Alianza Europea de Inteligencia Artificial ofrece cursos en línea gratuitos sobre ética y gobernanza de la IA
3. Usuarios: La capacitación de los usuarios debe equilibrar el contenido instructivo con el énfasis en el riesgo y el daño.
   
   • Ejemplo: Coursera ofrece un curso de «IA para todos», adecuado para profesionales sin conocimientos técnicos.
4. Tecnólogos, gerentes de proyectos, constructores, analistas de datos y equipos de compras: Estas funciones exigen una comprensión más técnica.
   
   • Ejemplo: La Fundación Linux ofrece un certificado profesional en «Ética y gobernanza de la IA».

2.1 Planificación del programa de formación

Comienza con las funciones críticas AHORA (primer trimestre de 2025):

• Los responsables de la toma de decisiones aprueban los sistemas de IA.
• Equipos técnicos que crean soluciones.
• Los equipos de compras evalúan a los proveedores.

Utiliza los enfoques de formación sobre el RGPD como plantilla, adaptando el contenido a los riesgos específicos de la IA.

Añade funciones de supervisión (segundo trimestre de 2025):

• Equipos de riesgo y cumplimiento.
• Funcionarios de privacidad y DPO.
• Comités de auditoría.
• Gerentes de proyectos.

Muchos de estos equipos ya comprenden los requisitos de cumplimiento y se basan en dichos fundamentos.

Ampliar a los usuarios (tercer trimestre de 2025):

• Equipos que utilizan herramientas de IA a diario.
• Funciones de soporte.

Aplica las lecciones aprendidas en la capacitación sobre concientización sobre la privacidad.

3. Hacer que funcione

La responsabilidad clara es crucial

• El oficial de protección de datos (DPO) está bien posicionado para defender la gobernanza de la IA, al menos inicialmente, en todas las organizaciones. Gracias a su experiencia en protección de datos, evaluación de riesgos y cumplimiento, son ideales para este puesto y para cumplir con la Ley de Inteligencia Artificial de la UE. (A más largo plazo, los líderes en materia de gobernanza de la IA necesitarán más experiencia técnica en materia de IA y, más allá del enfoque de los DPO, los desafíos éticos, estratégicos y multidisciplinarios que planteen los sistemas de IA.
• Designa también a un líder sénior (normalmente CRO, CCO o CPO) como la principal parte interesada.
• Asegúrate de que tengan una autoridad real y un apoyo interdepartamental.

Aprovecha la experiencia en privacidad existente

Los profesionales de la privacidad aportan valiosas habilidades a la gobernanza de la IA:

• Creación y documentación de programas de cumplimiento
• Metodologías de evaluación de riesgos
• Mejores prácticas de formación y sensibilización
• Estrategias de participación regulatoria
• Marcos de evaluación de impacto

Estas competencias existentes se pueden adaptar para abordar los desafíos específicos de la IA, lo que agiliza la implementación de los procesos de gobernanza de la IA.

Soporte externo

Cuando busques asesores externos, prioriza los equipos con:

• Experiencia en privacidad/protección de datos
• Experiencia de gobierno de IA
• Conocimientos específicos de la industria
• Marcos de formación comprobados
• Experiencia reguladora de la UE

Esta combinación de habilidades garantiza que los asesores puedan brindar un apoyo integral adaptado a las necesidades de tu organización y a los requisitos específicos de la Ley de IA de la UE.

No nos compliquemos demasiado

He aquí una pregunta incómoda: con la prisa por cumplir todos los requisitos de alfabetización en IA y lanzar programas de formación, ¿estamos complicando demasiado la gobernanza de la IA? ¿Qué pasa si necesitamos menos consultores, menos marcos y centrarnos más en los aspectos fundamentales que siempre importan: una identificación clara de los sistemas, una evaluación práctica de los riesgos y una formación específica para las personas que realmente la necesitan?

Al basarnos en lo que hemos aprendido del RGPD, podemos abordar los requisitos de alfabetización en IA con confianza y eficacia, sin tener que reinventar la rueda.

Próximos pasos en la gobernanza de la IA

1. Mapea tus sistemas de IA como mapeabas los flujos de datos para el RGPD. Identifica las aplicaciones de alto riesgo mediante marcos de evaluación de impacto.
2. Asigna controles basados en la clasificación de riesgos esablecida.
3. Gestiona las evaluaciones de conformidad oportunas.
4. Conoce los requisitos de presentación de informes documentando y supervisando el estado de cumplimiento.

‍

Obtén más información sobre cómo TrustWorks agiliza el descubrimiento de casos de uso de IA y garantiza el cumplimiento de la Ley de IA, mientras reduces el esfuerzo manual y los riesgos de cumplimiento.