El papel de los órganos de administración en la gobernanza de la inteligencia artificial
El papel de los órganos de administración en la gobernanza de la inteligencia artificial
El pasado 12 de julio se publicó por fin el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo. Pese a que la norma distingue niveles de riesgo de los modelos y sistemas de IA y hace referencia a diversos actores (proveedor, distribuidor, responsable del despliegue, etc.), lo cierto es que no establece roles o figuras con responsabilidades concretas dentro de la organización.
Hace poco más de año y medio, el lanzamiento de ChatGPT supuso una auténtica revolución a nivel global. Desde entonces, la inteligencia artificial se ha convertido en un componente esencial de la estrategia empresarial en nuestro país, incluso en aquellos sectores inicialmente más reticentes a incorporar las bondades de las nuevas tecnologías a su actividad, gracias a su capacidad para procesar grandes volúmenes de datos y para automatizar la toma de decisiones complejas.
En este contexto, y tras no pocos debates éticos y legales, se evidencia todavía más la necesidad de regular estas tecnologías. Como respuesta a esta necesidad, y tras años de negociaciones, el pasado 12 de julio se publicó por fin el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (Reglamento de Inteligencia Artificial de la Unión Europea o EU AI Act).
Pese a que la norma distingue niveles de riesgo de los modelos y sistemas de IA y hace referencia a diversos actores (proveedor, distribuidor, responsable del despliegue, etc.), lo cierto es que no establece roles o figuras con responsabilidades concretas dentro de la organización. Aunque todavía tendremos que esperar unos meses para comenzar a ver las primeras guías de las autoridades y la aplicación práctica del Reglamento en las distintas organizaciones, considero fundamental dedicar un momento a reflexionar sobre cómo aterrizará esta norma y sus obligaciones en la realidad de las empresas españolas y, más concretamente, qué implicaciones tendrá para la administración de la sociedad.
Los deberes y facultades de los administradores
Pese a que la regulación de la inteligencia artificial es un ámbito novedoso, no lo son tanto las obligaciones de los administradores de la sociedad, contemplados desde hace años en la Ley de Sociedades de Capital.
La norma establece que los administradores deben ejercer su cargo con la diligencia de un ordenado empresario y un representante leal. Estos deberes se materializan en una serie de obligaciones, tales como anteponer el interés de la empresa al interés particular, obrar de buena fe, no ejercitar sus facultades con fines distintos a los propios del cargo, guardar confidencialidad, etc.
Adicionalmente, la precitada ley establece una serie de facultades indelegables de los administradores:
- Según el art. 249 bis, los administradores de cualquier sociedad no podrán delegar “La determinación de las políticas y estrategias generales de la sociedad”.
- En el caso de las sociedades cotizadas, todavía es más claro el art. 529 ter, cuando establece como facultad indelegable “la supervisión de los sistemas internos de información”.
De conformidad con los preceptos anteriores, parece claro que las decisiones en materia de IA deben ser, necesariamente, responsabilidad última de los administradores de la sociedad.
La primera decisión en materia IA que debería tomar una organización versa sobre la necesidad de implementar o no un sistema con IA. Ésta puede considerarse, sin duda, una decisión estratégica, relacionada con la adopción de nuevas tecnologías, que puede tener un impacto significativo en los procesos productivos, la eficiencia y la competitividad de la empresa pero que, en función del tipo de sistema, puede suponer también una inversión importante para la organización. En el caso de que se decida que efectivamente es necesario y proporcional implementar un sistema de IA, igualmente deberán tomarse una gran variedad de decisiones en las distintas etapas de su ciclo de vida: diseño, desarrollo, despliegue, seguimiento o control y retirada.
Muchas de estas decisiones deberán ser tomadas por la administración o la alta dirección de la sociedad y, como toda decisión de este tipo, debe tomarse velando por el interés de la sociedad y cumpliendo la normativa aplicable, incluyendo en este punto no solamente el Reglamento de Inteligencia Artificial, sino también todo el marco normativo relacionado con la protección de datos, la seguridad de la información y la propiedad intelectual, entre otras, y ello con independencia del nivel de riesgo del sistema.
Ello es coherente, además, con la tendencia actual del legislador europeo, que recalca en otras normas, de forma mucho más expresa, la relevancia y responsabilidad de los órganos de administración. Una buena muestra de ello es la Directiva NIS2, que establece en su art. 20 que los órganos de dirección deben aprobar las medidas para la gestión de riesgos de ciberseguridad, supervisar su puesta en práctica y responder por el incumplimiento por parte de las entidades.
Por todo ello, no cabe duda de que el papel de la administración de la sociedad será decisivo en la adopción de estrategias de IA y, en general, en todo el proceso de digitalización de las organizaciones en los próximos años.
La gobernanza de la IA: liderazgo y apoyo desde los órganos de administración
En este contexto, parece fundamental que las empresas que quieran adoptar sistemas de IA configuren un modelo de gobernanza de la IA, entendido en el contexto empresarial como el conjunto de estructuras, reglas y procedimientos pretenden controlar y gestionar el uso de IA en la organización, minimizando sus impactos negativos y generando a la vez impactos positivos para todas sus partes interesadas.
En el Reglamento de Inteligencia Artificial, únicamente se hace referencia expresa a la gobernanza de la IA en su art. 10, cuando habla de la gobernanza de datos. La norma concreta las prácticas de gobernanza en las siguientes actividades: las decisiones relativas al diseño; los procesos de recogida de datos, la preparación de los datos, la adecuación de los conjuntos de datos, el examen de posibles sesgos y las medidas para reducirlos, la detección de lagunas o deficiencias del sistema, etc. Adicionalmente, varios preceptos del Reglamento hacen igualmente referencia a otras obligaciones vinculadas a la gobernanza, tales como la necesidad de contar con un sistema de gestión de riesgos (art. 9) y un sistema de gestión de la calidad (art. 17) o la obligación de realizar una evaluación de impactos relativa a los derechos fundamentales (art. 27), entre otros.
Sin embargo, en términos del Reglamento, todas estas obligaciones, resultarían, en principio, aplicables únicamente a los proveedores de sistemas de alto riesgo, dejando fuera de su ámbito a otros actores y tipos de sistemas. De nuevo, sin perjuicio de que deban cumplirse otras normativas sectoriales que resulten aplicables. Baste señalar, a modo de ejemplo, que la evaluación de impactos de protección de datos probablemente resultará necesaria ante la implantación de cualquier sistema de IA que implique uso de datos personales, independientemente de que no se considere de riesgo alto a efectos del Reglamento de IA.
No obstante, en nuestra opinión, y con independencia de las obligaciones impuestas por el Reglamento de Inteligencia Artificial y otra normativa aplicable, es fundamental en cualquier organización identificar, analizar, valorar y gestionar los riesgos de cualquier sistema de IA, como parte de su sistema de gestión de riesgos global, lo que garantizará, adicionalmente, una mayor confianza en el sistema por parte de sus usuarios.
En este punto, resulta fundamental hacer una breve referencia a los sistemas de gestión y, especialmente, a la ISO/IEC 42001, que especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de inteligencia artificial (SGIA). Siguiendo la ya clásica estructura de alto nivel, la norma destaca la importancia del análisis de riesgos y el papel del liderazgo, entre otros puntos.
Sin duda, el punto de partida para que estos modelos de gobernanza sean exitosos es que los órganos de administración y la alta dirección demuestren de forma clara y visible su compromiso, participando activamente y liderando la implantación del sistema de IA, independientemente de que las normas, en su vertiente hard law, les obliguen o no a hacerlo. Para ello, deberán definir una política de IA que resulte coherente con el resto de las políticas y normativa interna de la organización, asignar los roles y responsabilidades, establecer las estructuras y dotarlas de los recursos pertinentes.
La adopción de un modelo de gobernanza que siga los criterios de la ISO/IEC 42001 contribuirá a mejorar la eficiencia operativa de la organización, evitando duplicidades o carencias derivadas de una deficiente integración con otros sistemas de gestión de la organización, a la vez que favorecerá el cumplimiento normativo, al ayudar a cumplir los requisitos legales aplicables a la IA y a otras normas conexas, como las relativas a la seguridad de la información.
Formación desde arriba
Como hemos visto, la integración de la IA en la estrategia corporativa requiere la toma de gran variedad de decisiones, tanto por parte de la administración como por parte de los equipos de expertos implicados en el desarrollo del proyecto, lo que implica tener una visión clara y una comprensión profunda del potencial y limitaciones de los sistemas de IA.
Si, como hemos dicho, la primera decisión versa sobre analizar la necesidad o no de adoptar un sistema de IA, identificando las áreas donde esta tecnología puede crear valor, parece claro que los administradores y directivos de la organización deberán tener los conocimientos adecuados para poder tomar una decisión suficientemente informada, razonable y basada en una comprensión adecuada de la tecnología y sus implicaciones. Para ello, resulta indispensable la formación, no solo en cuestiones legales, sino también en principios y valores éticos y en derechos fundamentales.
La administración y dirección de la sociedad deberá trabajar en estrecha colaboración con los profesionales expertos, con los posibles destinatarios del sistema y con otras partes interesadas para desarrollar o implementar una IA fiable y segura, dotada de los controles adecuados para minimizar los riesgos que se detecten en cada una de sus fases. En este punto, resulta imprescindible contar con equipos multidisciplinares, que sean capaces de entender la solución de IA desde todas sus perspectivas: técnica, legal y social. Para ello, resulta igualmente imprescindible la adecuada formación de estos equipos de trabajo.
Finalmente, el Reglamento de Inteligencia Artificial menciona la formación del personal en varios preceptos y, especialmente, en el art. 26.2, al establecer que “Los responsables del despliegue encomendarán la supervisión humana a personas físicas que tengan la competencia, la formación y la autoridad necesarias”. Igualmente, en el apartado 7 del mismo artículo, establece la necesidad de informar a la representación legal de las personas trabajadoras antes de utilizar un sistema de IA de alto riesgo en el lugar de trabajo.
Este precepto destaca la importancia de la formación para garantizar un uso seguro y ético de la inteligencia artificial y su adecuada supervisión.
De nuevo, entendemos que, aunque la norma se refiera expresamente a los sistemas de alto riesgo, resulta imprescindible una formación mínima a todo el personal que vaya a utilizar sistemas de inteligencia artificial en el desempeño de sus funciones. Del mismo modo que creamos extensas políticas de uso de dispositivos BYOD o de uso de dispositivos de empresa, entendemos que es preciso formar a los usuarios de los sistemas de IA sobre sus riesgos y limitaciones, así como sobre los usos permitidos y prohibidos de estas tecnologías. Ello es coherente, igualmente, con el modelo de SGIA establecido por la ISO/IEC 42001.
Conclusiones
Como hemos visto, la gobernanza de la IA es un área de creciente importancia y complejidad. El éxito del modelo dependerá, en gran medida, de la implicación y el compromiso de los órganos de administración y de la alta dirección.
En este sentido, los administradores de las empresas tendrán un papel fundamental en la implementación y supervisión de los sistemas de IA, como decisión estratégica de la organización, debiendo asegurar que su adopción es necesaria y que está alineada con los objetivos corporativos y el marco legal aplicable.
Finalmente, cabe destacar que la formación, empezando desde arriba y descendiendo hasta calar en todos los niveles de la organización, será un elemento esencial para garantizar un uso responsable y efectivo de la IA en el entorno empresarial.
Inés Vázquez Igual
Responsable de Cumplimiento de Legitec.