Por Javier Surasky-
En un mundo hiperconectado, con cadenas de producción deslocalizadas
y un comercio internacional integrado, el establecimiento de estándares
internacionalmente compartidos de gestión y calidad de productos es un elemento
clave. ¿No le ha pasado encontrarse con enchufes o cargadores de batería
para sus equipos con formas diferentes? ¿No se ha preguntado en esos casos por
qué diablos no se ponen de acuerdo y utilizan todos el mismo modelo? En ese
caso, lo que usted está pidiendo es estandarización, y esa es la clase de
problemas que ella resuelve.
El establecimiento de estándares comunes respaldados por conocimientos tiene fuertes impactos sobre la vida cotidiana de las personas, pero también en el campo del desarrollo sostenible en tanto incide en las formas y procesos de producción, comercio y consumo de bienes y servicios.
La preocupación por establecer estándares universalmente
aceptados dista de ser nueva: ya en 1904 se creó la Comisión Electrotécnica
Internacional, que aun funciona. A fin de reducir (mucho) una larga historia,
podemos saltar hasta 1946: la reorganización económica del mundo que siguió
a la segunda guerra mundial, con la creación de las Naciones Unidas, el FMI y
el Banco Mundial incluidas, resultó en el establecimiento de la Organización
Internacional para la Estandarización, más conocida como “ISO”.
Hoy la ISO es una organización técnica, liderada por
expertos que trabajan en comités temáticos. No es una organización de “Estados”
como las que conocemos habitualmente: sus 172 miembros son organizaciones
nacionales de estandarización.
El foco y la agilidad del trabajo de la ISO le permiten
reaccionar rápidamente ante los cambios y desafíos cuya solución implica, en alguna
medida al menos, procesos de estandarización. Tomado como referencia el año
2000, los siguientes son solo algunos ejemplos de ello:
- En 2005, la norma ISO/IEC 27001 adoptó estándares para la gestión sobre seguridad de la información.
- En 2010 la norma ISO 26000 abordó el tema de la responsabilidad social.
- En 2011 la norma ISO 50001 estableció estrategias de gestión para aumentar la eficiencia y el desempeño energéticos.
- En 2016 la norma ISO 37001 se convirtió en la primera norma internacional sobre sistemas de gestión para combate de los sobornos.
- En 2019 la norma 56002 dedica su atención a sistemas gerenciamiento e innovación.
- En 2020 se aprobó la norma ISO/PAS 45005 sobre seguridad del trabajo durante la pandemia de COVID-19.
En el campo de la IA, a inicios de 2022 se dio a conocer
la norma ISO/IEC 22989 sobre tecnología de la información e Inteligencia
Artificial donde se establecen conceptos y terminología estándar a ser
aplicados al campo de la IA, y en diciembre de 2023, se adoptó la norma ISO/IEC
42001 [*] que establece estándares para poner en marcha, implementar, mantener
y mejorar continuamente un sistema de gestión de inteligencia artificial a fin
de garantizar su desarrollo y uso responsable.
La norma se estructura a través de 10 capítulos sobre
1. Alcance: Establece los propósitos y límites de aplicación de la norma. Dispone que su propósito es establecer los requisitos y orientar el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de IA en el contexto de una organización. Su objetivo es que esos es proceso se realice de forma segura y responsable, incluso a través de la consideración de las obligaciones y expectativas de las partes interesadas.
2. Referencias Normativas: describe las normas y documentos que deben ser considerado al implementar el estándar ISO/IEC 42001.
3. Términos y Definiciones: explica cómo deben entenderse los términos más relevantes utilizados en la norma. Para los términos que no son expresamente incluidos en este capítulo, se realiza una redirección general hacia las definiciones dadas en la norma ISO/IEC 22989 adoptada en 2022.
4. Contexto de la Organización: refiere al entendimiento de la organización que gestionará el sistema de IA, los problemas externos e internos y los roles y responsabilidades dentro del sistema de gestión de la IA.
5. Liderazgo: Focalizado en la alta dirección, las políticas y objetivos de la institución al aplicar un sistema de IA, y la asignación de recursos y responsabilidades en su ciclo de vida.
6. Planificación: Presenta los requisitos de la planificación de acciones relativas a riesgos y oportunidades asociados a los sistemas de IA.
7. Soporte: Centra su atención en los recursos necesarios para la implementación y mantenimiento del sistema de gestión de IA.
8. Operación: Sobre requisitos para la implementación efectiva de procesos y controles relacionados con la gestión de la IA, incluyendo cuestiones relativas a datos.
9. Evaluación del Desempeño: Sobre requisitos de monitoreo, medición y evaluación del desempeño del sistema de gestión de IA.
10. Mejora: Establece los requisitos para la mejora continua del sistema de gestión de IA, tales como acciones correctivas, preventivas y de mejora a partir de evaluaciones de desempeño.
Cuatro anexos abordan elementos de carácter principalmente operativo
de implementación de los elementos definidos en la norma.
Es especialmente interesante conocer algunas definiciones de
términos que brinda la norma
Parte interesada es la “persona u organización
que puede afectar, ser afectada por, o percibirse afectada por una decisión o
actividad”. El lugar otorgado a la percepción, más allá de la afectación
efectiva, amplia considerablemente el marco de referencia que debe ser tenido
en cuenta en los procesos de gestión de sistemas de IA.
El riesgo no solo se considera como un posible
efecto, sino también como falta de certeza sobre los efectos de la
implementación del sistema de IA, de allí que el control sea la
medida que “mantiene y/o modifica el riesgo”.
La seguridad de la información se define como
la “preservación de la confidencialidad, integridad y disponibilidad de la
información”, y en una nota se agrega que pueden estar implicadas otras
propiedades de la información como su autenticidad, la rendición de cuentas, el
no repudio y la fiabilidad. Asociado a ello, la calidad de los datos
se presenta como la “característica de los datos que permite que cumplan con
los requisitos de datos de la organización para un contexto específico”, lo que
significa que requieren necesariamente un análisis contextualizado específico.
Pero la definición mas relevante, y que debemos buscar en la
norma de 2022, es la de Inteligencia Artificial, a la que se
entiende como “investigación y desarrollo de mecanismos y aplicaciones de
sistemas de IA”, explicando que su investigación y desarrollo pueden tener
lugar en áreas diversas, entre las que menciona la informática, la ciencia de
datos, las humanidades, las matemáticas y las ciencias naturales. Para completar
el entendimiento de esa definición, “sistema de IA” es definido
como “sistema diseñado que genera resultados como contenido, pronósticos,
recomendaciones o decisiones para un conjunto determinado de objetivos
definidos por el hombre”, aclarando que puede utilizar diversas técnicas y
enfoques de IA para desarrollar un modelo, representar datos, conocimiento,
procesos, etc. que se pueden utilizar para realizar tareas”.
La definición de sistema de IA tiene algunos elementos que queremos
destacar:
- No incluye referencias a que los sistemas deban ser autónomos, elemento que debe entenderse como “característica de un sistema [por la cual es] capaz de modificar su dominio de uso o meta previstos sin intervención, control o supervisión externa”.
- Tampoco refiere a la creación de conocimiento, elemento definido como “información abstracta sobre objetos, eventos, conceptos o reglas, sus relaciones y propiedades, organizada para un uso sistemático orientado a objetivos”. Esta definición se separa del entendimiento general sobre el significado de la palabra, definida en el diccionario de la RAE como “acción y efecto de conocer” pero también como “entendimiento, inteligencia, razón natural”, algo de lo que la norma ISO/IEC 22989 se hace cargo al incluir una nota explicando que el conocimiento en el dominio de la IA no implica una capacidad cognitiva ni un acto cognitivo de comprensión.
- La definición dada por la ISO de IA se acerca a la que nos
brindaba John McCarthy, pionero en al campo, como la “ciencia e ingeniería de la
fabricación de máquinas inteligentes, especialmente programas informáticos
inteligentes” (ver
aquí), poniendo el acento en el elemento técnico de la IA, alejándose de
las visión de Lasse Rouhiainen al definir la IA como “la capacidad de las
máquinas para usar algoritmos, aprender de los datos y utilizar lo aprendido en
la toma de decisiones tal y como lo haría un ser humano” (2018:17), destacando la
mecanización automática de los procesos, e incluso de la de Marvin Minsky, otro
de los padres de la actual IA, quien la definía como "la ciencia de hacer
que las máquinas hagan cosas que requerirían inteligencia si fueran realizadas
por seres humanos" (citado en Geist y Lohn, 2018:9), donde el foco está
puesto en el logro de resultados “humanamente inteligentes”.
Estas definiciones deben ser muy seriamente tenidas en
cuenta. Craig Murphy y Joanne Yates (2009:2) nos dicen que
De hecho, la ISO ha asumido algunas de las tareas que han
resultado demasiado difíciles para la Liga de las Naciones o la ONU. Entre
ellas se encuentran la regulación medioambiental, donde la norma voluntaria ISO
14000 puede haber tenido más impacto que cualquiera de los acuerdos
patrocinados por la ONU en los años 1990, y cuestiones de responsabilidad
corporativa en materia de derechos humanos (incluidos los derechos laborales
fundamentales), donde la nueva ISO 26000 podría resultar más exitosa que el Pacto
Mundial patrocinado por la ONU
La sola sugerencia dada por expertos de que ello pueda ser así (no puedo afirmarlo ni desmentirlo, aunque mi inclino a creer que eso es cierto) hacen que debamos tener plenamente en cuenta el trabajo de la ISO al pensar en la gobernanza de la IA, no como una imposición a los Estados, pero sí como elementos de peso en un campo donde es el sector privado quien posee el liderazgo y las capacidades de los Estados de imponer decisiones a las grandes compañías de tecnología es limitada, sea que ello guste o no, por la propia dinámica que los Estados han impreso al actual orden mundial.
Nota
[*] La referencia “ISO/IEC” (que también vemos en la norma 27001 sobre seguridad de la información de 2005) significa que se trata de un desarrollo conjunto de la ISO y la Comisión Electrotécnica Internacional.
Referencias
Murphy C. y Yates J. (2009). The International Organization for
Standardization. Global Governance through Voluntary Consensus. Routledge.
Rouhiainen, L. (2018). Inteligencia
artificial 101 cosas que debes saber hoy sobre nuestro futuro. Planeta.
Geist, E. y Lohn, A. (2018). How Might Artificial Intelligence Affect
the Risk of Nuclear War? RAND Corporation.
.jpg)
