Sistemas de Gestión de Inteligencia Artificial: Norma ISO/IEC 42001. Una opción para fiarse de las IA
La norma ISO/IEC 42001 sobre la Inteligencia Artificial
El propósito de ISO/IEC 42001 es guiar a las organizaciones sobre cómo trabajar con Sistemas de Gestión sobre la IA (inteligencia artificial). Esto es importante ya que el uso de la AI y el ML (machine learning o aprendizaje automático, que es un subconjunto de la IA de importancia fundamental) plantea varias preguntas, incluidas aquellas relacionadas con:
Una cuestión de confianza
En el Departamento de Ciencia de Datos del Laboratorio Nacional de Física, NPL (Instituto Nacional de Metrología del Reino Unido), se han investigado sistemas de IA y ML en el contexto de la metrología (la ciencia de la medición), que pueden proporcionar mediciones precisas que respaldan la confianza en los datos utilizados por dichos sistemas, Véase: https://aistandardshub.org/
En un sentido amplio, una organización debe aspirar a que sus sistemas de IA sean fiables. Se puede considerar que una persona es “digna de confianza” si es fiable y responsable. Para los sistemas de IA, la noción de confiabilidad2 es más compleja e incluye componentes éticos, técnicos y relacionados con el riesgo.
Existe un informe técnico, ISO/IEC TR 24028, que trata algunas de estas cuestiones. Sin embargo, para comprender mejor la IA confiable es importante consultar publicaciones de varias fuentes, ya que no existe un acuerdo definitivo sobre su definición precisa.
Sistemas de gestión de Inteligencia Artificial. ISO/IEC 42001
El énfasis de ISO/IEC 42001 está en integrar en los sistemas de gestión de Inteligencia Artificial y las estructuras existentes de la organización. En la norma, un sistema de gestión se define como “elementos interrelacionados o que interactúan en una organización para establecer políticas y objetivos, así como procesos para lograr los objetivos”.
Para establecer los elementos de un sistema de gestión, el cuerpo de la norma es relativamente genérico y se nos remite a los anexos de la norma, así como a otros documentos ISO/IEC, para obtener la perspectiva de la IA. Una perspectiva para ello, es una lista de verificación de la organización relacionada con su sistema de inteligencia artificial.
Gran parte es exactamente lo que una organización debería hacer para la gestión de todos sus sistemas informáticos, independientemente de si contienen un componente de IA. Un punto interesante es que el ML no se menciona en el cuerpo del estándar, sino que se deja en los anexos.
ISO/IEC 42001 la unión entre gestión, confinza y norma
La norma tiene cuatro anexos. La IA confiable se menciona en el anexo A como parte de la guía de gestión para el desarrollo de sistemas de IA. En el anexo B, que trata de la guía de implementación para los controles de IA, se mencionan además medidas específicas relacionadas con AI/ML. (Un control es una medida que mantiene y/o modifica el riesgo). En particular, se exige que la documentación de los datos utilizados en la organización incluya las categorías utilizadas para el LD y el proceso de etiquetar los datos para capacitación y pruebas.
En términos de evaluar el impacto de los sistemas de IA en grupos e individuos, el estándar menciona varias áreas de confiabilidad, como la equidad, la transparencia, la explicabilidad, la accesibilidad y la seguridad. Se mencionan muchas otras áreas importantes de impacto, como el efecto sobre el medio ambiente, la posible desinformación y posibles problemas adversos de seguridad y salud. Sin embargo, estos son relevantes para los sistemas de software en general y no sólo para los sistemas de IA.
la norma ISO/IEC 42001 ofrece a las organizaciones tanto la orientación para sus conjuntos técnicos existentes, como los estándares y procesos necesarios para implementar los Sistemas de Gestión de IA (Inteligencia Artificial)
Un control interesante es proporcionar una justificación para el desarrollo de un sistema de IA, incluida una explicación de cuándo y por qué se utilizará el sistema y una lista de métricas que deben usarse para medir si el desempeño del sistema es compatible con estos objetivos. Una pregunta que surge de esto es si las métricas conocidas que se utilizan para los sistemas de software son suficientes para los sistemas que contienen IA.
Además, las opciones de diseño deben documentarse, lo que incluye detalles sobre el método ML. A este respecto, la evaluación del sistema de IA también es importante e incluirá medidas específicas de IA.
Aunque no se menciona en el estándar, la generalización es muy importante para los sistemas de IA, así es como el modelo estadístico construido por los métodos de ML empleados se adapta a nuevos datos que antes no se habían visto. Para la implementación, es posible que sea necesario volver a entrenar el modelo creado por el aprendizaje automático de forma periódica, o incluso continua. Por lo tanto, el sistema de gestión que incluya IA debe monitorearse de manera continua para evaluar el efecto en el desempeño del sistema.
Sistema de gestión de datos e IA responsable.
El Anexo B de la norma ya mencionada, también aborda los procesos de gestión de datos que deben implementarse. Estos cubren la orientación específica para sistemas de IA que incluyen transparencia, explicabilidad y datos de entrenamiento de muestra. También incluye orientación para la preparación de datos, que incluye la exploración estadística de los datos, una actividad fundamental en la ciencia de datos. También se aborda el uso responsable de la IA, cuyo objetivo es que el sistema de IA sea confiable en múltiples dimensiones, incluidas la equidad, la rendición de cuentas, la transparencia, la confiabilidad, la solidez, la seguridad, la privacidad y la accesibilidad.
Las dimensiones de la confiabilidad también se aplican al tema del Anexo C, que aborda los objetivos de la organización relacionados con la IA y las fuentes de riesgo.
Finalmente, el Anexo D trata sobre los dominios y sectores en los que se puede utilizar un sistema de IA. El problema abordado es la integración de estándares específicos del sector con este estándar general de IA. El anexo D también trata de la certificación, señalando un enfoque para la evaluación de la conformidad por parte de terceros sobre la base del estándar de gestión de la IA.
El Objetivo de la norma con respecto a la Inteligencia Artificial y los sistemas de gestión
En su conjunto, la norma ISO/IEC 42001 ofrece a las organizaciones tanto la orientación para sus conjuntos técnicos existentes, como los estándares y procesos necesarios para que la implementación de la IA construida sobre ellos sea confiable, en sus diversas dimensiones, algunas de las cuales se mencionaron anteriormente.
La IA confiable es uno de los principales asuntos de interés que se tendrá que investigar por parte de los distintos agentes y autoridades que vigilan a la IA, como resultado de las iniciativas globales para regularla, ya que es de suma importancia garantizar que cualquier sistema incluya un componente de IA cumpla con los principios subyacentes de la IA responsable.
Tras la aprobación por la Eurocámara de la histórica ley para regular la IA, se ha definido como el riesgo inaceptable de los sistemas de IA, aquéllos que se consideran una amenaza para las personas y por tanto están prohibidos. Incluyen:
Sin embargo, existen algunas excepciones a esta calificación, por ejemplo, los sistemas de identificación biométrica a distancia “a posteriori”, en los que la identificación se produce tras un retraso significativo, se permitirán para perseguir delitos graves y sólo cuando haya previa aprobación judicial.
Asimismo en la Ley de definen los sistemas de alto riesgo y los requisitos de transparencia.
Lo que ya parece estar fuera de toda duda es cómo la ISO/IEC 42001 podría ser útil para toda organización que busque beneficiarse del uso de IA y del aprendizaje automático en sus operaciones, implementarlo en sus Sistemas de Gestión teniendo en cuenta los requisitos legales como los que ya existen en la UE, de momento únicos.
Si está pensando en implementar la Inteligencia Artificial en los diferentes procesos, Garante Privacy puede ayudarle a usted y su empresa a través de diferentes consultorías, a realizar el tratamiento de los datos en sus sistemas de gestión.