La proliferación de herramientas de inteligencia artificial (IA) está dando a directivos y empleados la oportunidad de revisar su eficiencia. Si usted dirige una empresa, es posible que haya pensado en incorporar herramientas de IA, y disponga del asesoramiento técnico necesario para juzgar la idoneidad de la herramienta en cuestiones como los sesgos, el margen de error, la precisión, ciberseguridad y la eficiencia energética.
También es posible que ya tenga implementado en su organización un conjunto de políticas, procesos y controles para dar cuenta del cumplimiento de una serie de obligaciones y estándares aplicables a su actividad. Precisamente por implementar estas políticas usted sabrá que, directa o indirectamente, los riesgos nacen siempre de las conductas de las personas.
Por ello, pronto llegará a la conclusión de que, para juzgar el riesgo de uso de una herramienta de IA, un análisis de tipo técnico no basta. Cuando se trata de implementar herramientas de IA en su organización, una gestión de riesgos corporativos actualizada debe incluir la gestión del riesgo derivado de las herramientas de IA, y debe hacerlo desde un punto de vista humano, no únicamente técnico. Un buen análisis de riesgos debe contemplar la posibilidad de que los empleados de una empresa, motu proprio y sin avisar a nadie, estén haciendo uso de este tipo de herramientas para mejorar su productividad, y qué consecuencias puede suponer para la empresa en caso de imprevisto.
¿De qué tipo de riesgos jurídicos estamos hablando? Imaginar estos riesgos no es sencillo, porque de un mismo acto pueden incumplirse varias normas: no hay una respuesta universal. Por ejemplo, puede infringirse el ordenamiento cuando se usa una herramienta de IA al introducir sin autorización datos personales, o cuando se usan ilícitamente bases de datos que pertenecen a otra persona o empresa, pero también por desconocimiento, cuando se utiliza un sistema de IA para identificar las emociones de sus empleados en el lugar de trabajo, que está prohibido desde febrero de 2025, según el Reglamento 2024/1689 (UE), de Inteligencia Artificial (“RIA”), o al descuidar el cumplimiento de las obligaciones de alto riesgo que pudieran aplicarle, pongamos, si usted pretende incorporar IA como componente de seguridad en equipos radioeléctricos.
En suma, un buen análisis de riesgo debe cuantificar riesgos de diversos tipos, incluyendo el impacto que pueden producir los daños reputacionales derivados, no sólo las sanciones; y proporcionar a la persona al mando los elementos de juicio necesarios para tomar decisiones informadas, de acuerdo con su apetito de riesgo y los recursos a su disposición. Lo cual nos lleva a la pregunta del millón: ¿cómo determinar los riesgos?
Existen varios métodos: por nombrar algunos, el método COSO, UNE-ISO 31000:2018, o ISO/UNE 31010: 2011. En materia de IA, van surgiendo algunas tentativas, como la ISO 42001. Sin embargo, por sí solo, ninguno de estos métodos es lo suficientemente exhaustivo para solucionar los problemas que señalamos.
¿Cómo podría funcionar a nivel básico una evaluación de riesgo de este tipo? La metodología debe valorar tanto la probabilidad de que se materialice, como la gravedad en caso de que ocurra. Considerando que el riesgo está en las conductas, una vez delimitadas, se evaluaría la relación entre la probabilidad del suceso y la gravedad para trazar el mapa de riesgos, que, de forma gráfica, se representa del siguiente modo:
Al multiplicar la probabilidad de ocurrencia por la gravedad total se obtendría el Riesgo Inherente, al cual, aplicaremos los controles existentes a cada riesgo minimizando estos el riesgo en virtud su eficacia. Del resultado de esas operaciones nace el riesgo residual. Una vez obtenido, puede valorarse si, pese a los controles implementados, es superior al umbral del apetito del riesgo de la empresa; de ser así, deberán implementar nuevos controles con objeto que su riesgo vaya siendo minimizado hasta encontrarse dentro del umbral de riesgo aceptable por la organización.
En conclusión: para abordar el riesgo corporativo que supone la introducción de nuevas herramientas de IA a los flujos productivos, no es suficiente con un punto de vista técnico, que sólo se centre en las características de la herramienta de IA, sino que conviene adoptar también un enfoque humanístico, que comprenda los riesgos jurídicos que pueden producirse a partir de conductas determinadas de los miembros de la organización, y, con ello, las consecuencias económicas que pudieran derivarse. Esto implica identificar, cuantificar y gestionar adecuadamente los riesgos, aplicando metodologías o técnicas de apreciación del riesgo actualizadas a los presentes usos y circunstancias. Sólo con una gestión de riesgos corporativos actualizada y centrada en el ser humano, las empresas podrán tomar decisiones informadas sobre la implementación de herramientas de IA, alineadas con su apetito de riesgo y los recursos disponibles.
[1] Elaboración propia
Por César José Fernández Pérez e Inés Cano Gozalo, act legal Spain
Publicado en Cinco Días.