Tribuna
Por
Claves para realizar un inventario de sistemas de IA de acuerdo con el Reglamento Europeo
Resulta necesario afrontar una tarea que será nuclear para el desarrollo de un programa de cumplimiento del RIA: la realización del Inventario de Sistemas de IA
Capítulo 3: Inventario y clasificación de sistemas de IA
Tras lo visto en el capítulo 2 sobre la definición de un Modelo de Gobierno de IA y las primeras acciones de concienciación, resulta necesario afrontar una tarea que será nuclear para el desarrollo de un programa de cumplimiento del RIA: la realización del Inventario de Sistemas de IA.
Sin duda, ya existirán dentro de la organización una variedad de usos de diferentes IA´s por diversos departamentos, y en muchas ocasiones no existirá un inventario corporativo y oficial que refleje la realidad de tales sistemas de IA.
* Si no ves correctamente el módulo de suscripción, haz clic aquí
Lograr unificar dicho inventario con información completa de sus características, así como un procedimiento para mantenerlo actualizado, será vital para poder desplegar el resto de las acciones de cumplimiento posteriores.
¿Cómo realizar ese inventario? ¿Cómo mantenerlo actualizado?
Al menos será necesario trabajar en 4 ámbitos en nuestra corporación:
1. Definición de un catálogo o taxonomía de IA´s, así como los criterios para su detección en la corporación, donde se incluyan conceptos como:
- Modelos de uso y tipología de sistemas de IA.
- IA´s propias y de terceros, IA´s de proveedores implantadas en la empresa, IA´s utilizadas por proveedores para prestar servicios sin conexión a sistemas de nuestra entidad, etc.
- Rol de la entidad ante cada IA detectada conforme a los criterios del RIA: responsable de despliegue, desarrollador, distribuidor, etc.
- Conceptos excluyentes para identificar sistemas y soluciones que realmente NO son IA.
- Ejemplos y casos de uso concretos de IA´s con nivel de riesgo limitado, alto o inaceptable.
- Otras
2. Definición de una metodología de levantamiento inicial de IA´s, empleando diferentes acciones para su descubrimiento y registro, tales como:
- Revisión de contratos en el área de compras.
- Revisión del mapa de activos software de la compañía.
- Interlocución y comunicación con proveedores seleccionados.
- Revisión del registro de actividades de tratamiento en protección de datos y de los sistemas asociados.
- Entrevistas y formularios de obtención de información dirigidos a áreas de negocio.
- Herramientas automatizadas de screening sobre el mapa de activos IT.
- Criterios de localización e identificación de casos de shadow IT en aplicaciones IA.
- Inclusión de preguntas, en el marco de homologación de terceros, para la detección temprana de IA´s de nueva adquisición.
- Otras
3. Identificación y explicación de las instrucciones para rellenar el modelo de ficha registro que se haya elaborado y su traslado al inventario de IA´s donde se especifiquen:
- Elementos mínimos para registrar, por ejemplo, responsable del proceso, áreas afectadas, etc.
- Dependencias entre sistemas de IA registrados soportando más de un caso de uso.
- Dependencias entre distintos casos de uso soportados por el mismo sistema de IA.
- Incorporación de criterios de registro conforme a la regulación aplicable o guías y directrices de Autoridades de Control con competencia en la materia
4. Procedimiento de actualización del inventario de IA´s, que incluya criterios y pautas tales como:
- Actuación ante nuevas compras y licenciamiento de IA´s a proveedores.
- Actuación ante nuevos desarrollos propios de IA en la empresa (entrenamientos, sandbox, etc.)
- Actuación ante el desuso, no continuidad o no renovación de sistemas de IA.
- Actuación ante la resolución anticipada de relaciones con proveedores con aplicación de IA (o bien porque se ha licenciado, o bien porque el proveedor la emplea en el contexto de la prestación de servicios a nuestra empresa).
- Actuación ante situaciones de bloqueo o supresión de datos personales implicados en sistemas de IA.
- Criterios de gestión histórica de las IA´s empleadas.
- Indicadores de seguimiento y generación de métricas.
"Será fundamental para desarrollar un plan de acción" para adecuarse a los sistemas de IA
Todas estas actuaciones van dirigidas a contar con una herramienta que aglutine toda la información de cada IA y nos permitirá dar un siguiente paso fundamental que será conocer el detalle de las obligaciones y requerimientos del RIA que aplican a cada IA en nuestra compañía, por lo que será fundamental para desarrollar un plan de acción. Los 3 criterios que nos ayudarán a definir el resto de las obligaciones del RIA sobre cada IA serán:
- Confirmar que se trata de un sistema de IA (no de un modelo de IA).
- Conocer el rol de nuestra organización ante tal sistema (en la mayoría de los supuestos nuestra empresa tendrá la figura de responsable del despliegue). En caso de resultar “proveedores de sistema de IA” las obligaciones serán más importantes.
- Clasificar cada sistema de IA por los niveles de riesgo que establece el RIA en base a los casos de uso, donde deberemos prestar especial atención a los casos de riesgo alto, que suponen un conjunto importante de obligaciones y, sobre todo, identificar que no incurrimos en ningún caso de riesgo inaceptable (obligatorio en febrero de 2025).
En el próximo capítulo veremos qué próximas tareas desarrollar teniendo clasificadas cada una de las IA´s en nuestra entidad.
* Carlos Alberto Saiz Peña, socio de Ecix Tech y vicepresidente de CUMPLEN.
Capítulo 3: Inventario y clasificación de sistemas de IA
Tras lo visto en el capítulo 2 sobre la definición de un Modelo de Gobierno de IA y las primeras acciones de concienciación, resulta necesario afrontar una tarea que será nuclear para el desarrollo de un programa de cumplimiento del RIA: la realización del Inventario de Sistemas de IA.