Con motivo del primer Pulse AI, impulsado por UVE Group e IPMARK, contamos con el experto en gobernanza René Álvarez, data & AI strategy governance lead de Open Sistemas, quién proporciona una visión holística. En esta entrevista se centra exclusivamente en: gobernanza de la IA, ética, estándares (ISO) y legalidad (AI Act).
¿Qué buenas prácticas destacarías en la gobernanza de la inteligencia artificial en las empresas? ¿Qué principales barreras crees que encuentran las organizaciones para implementar una gobernanza eficaz?
Si lo tuviera que resumir diría que las buenas prácticas de gobernanza en IA se construyen sobre cuatro pilares: multidisciplinariedad, ética por diseño, transparencia y trazabilidad. Y que las barreras más serias son culturales, operativas y de seguridad. Lo que diferencia a una empresa madura de una rezagada es la capacidad de reconocer estas dificultades y actuar con decisión antes de que un regulador o un incidente grave les obligue a hacerlo.
¿Qué principales barreras crees que encuentran las organizaciones para implementar una gobernanza eficaz?
En mi experiencia, las principales barreras para una gobernanza eficaz de la IA son claras. La primera es la brecha entre la teoría y la práctica. Muchas empresas hablan de ética y regulación, pero carecen de metodologías concretas para aplicarlas. He visto guías que prometen “arquitecturas seguras” sin ofrecer un plan de acción, dejando a los clientes expuestos.
La segunda es la falta de cultura interna y conocimiento técnico. La gobernanza requiere perfiles cross /multidisciplinares y empleados con formación básica en IA. Sin esa alfabetización, resulta casi imposible detectar riesgos a tiempo, la gestión del cambio es clave y ha de ser continua, es decir nunca se acaba, al contrario de como han hecho muchas empresas en la implantación de otras tecnologías como CRM, marketing automation, ERP.
Y no quiero dejar de mencionar la excesiva carga regulatoria.
¿Cómo se están preparando las compañías para cumplir con las nuevas normativas sobre IA? ¿Qué medidas concretas están tomando para asegurar un uso ético y responsable de esta tecnología?
En mi experiencia en España, las compañías están empezando a dar pasos proactivos, aunque con distintos ritmos según su tamaño y sector. Yo mismo he participado en proyectos donde la clave fue anticiparse a la IA EU act. creando estructuras de gobernanza interna que garanticen tanto el cumplimiento normativo como la confianza de clientes y empleados. Aún así he de decir que por lo general, las empresas no cuentan con perfiles que les puedan guiar a crear esa gobernanza de la IA, que no tiene nada que ver con la Gobernanza de datos.
¿Qué preocupaciones éticas surgen con mayor frecuencia cuando las empresas implementan sistemas de IA (por ejemplo, sesgos en los algoritmos o falta de transparencia)? ¿Cómo se pueden abordar esas cuestiones desde la gobernanza de la IA?
Las dos preocupaciones éticas que más peso tienen cuando hablamos de inteligencia artificial son el sesgo algorítmico y la opacidad de los sistemas, pero también me preocupa ver otros riesgos éticos recurrentes: la falta de supervisión humana ( HITL) , la gestión inadecuada de datos sensibles y la vulnerabilidad frente a nuevos ataques de ciberseguridad diseñados específicamente para la IA.
Cuatro pilares de la buena gobernanza
¿Cómo se pueden abordar esas cuestiones desde la gobernanza de la IA?
Lo primero que destacaría es la importancia de un enfoque multidisciplinar desde el diseño. No podemos dejar que el desarrollo de la IA dependa solo de los equipos técnicos, siendo clave los perfiles cross como ya he mencionado anteriormente.
Por otro lado, si queremos evitar la famosa “caja negra”, los sistemas deben ser explicables y auditables. La normativa europea ya marca esta línea, aquí entran en juego herramientas de IA explicable, que ayudan a los equipos técnicos y de negocio a comprender cómo el modelo llega a una decisión y a poder comunicarlo con claridad.
Otros aspectos clave son la supervisión humana y las auditorías continuas, una buena gobernanza exige medidas sólidas de protección de la información, como la anonimización o seudonimización de datos sensibles, y controles de seguridad específicos para la IA. En definitiva, la gobernanza eficaz de la IA se apoya en cuatro pilares: anticipar riesgos, garantizar transparencia, asegurar la supervisión humana y blindar la seguridad de los datos. Si no hacemos esto, la IA no será ni justa ni confiable.
¿Cómo ves la implantación de estándares internacionales para la gestión de la IA, como el nuevo ISO/IEC 42001? ¿Crees que estos marcos ayudarán a las empresas a desarrollar una IA más transparente y confiable?
Lo que me he encontrado como profesional, aunque no se pueda generalizar, es que generalmente aquellas organizaciones que ya han trabajado anteriormente con marcos como ISO 27001 o ISO 9001 suelen estar mejor posicionadas para afrontar la complejidad que supone el gobierno de la inteligencia artificial. Aunque a la hora de asimilar un marco como el ISO/IEC 42001 los retos son muy distintos: la explicabilidad de los modelos, la equidad algorítmica o la gestión de un riesgo mucho es mucho más dinámico.
Lo que me gusta de la ISO 42001 es que te obliga a pensar en esos elementos desde la fase de diseño, y eso cambia radicalmente la calidad de las implementaciones llevadas a cabo en muchas empresas solo por perfiles Big Data.
Cumplimiento normativo y cultura ética
¿Qué papel están desempeñando actualmente los departamentos de compliance y legal en los proyectos de IA de las empresas? ¿Crees que su nivel de involucración es el adecuado o debería ser mayor?
Lo que sigo viendo en la mayoría de empresas es un modelo reactivo y tardío , el rol tradicional de los departamentos legales y de compliance ya no es suficiente para atender a los retos que plantea la IA. Generalmente en las empresas antes ( y muchas a día de hoy ), estos equipos actuaban en la última fase del proyecto, cuando el sistema de IA está prácticamente desarrollado, dando el visto bueno al final.
No es extraño; es lo que siempre han hecho y puedo entenderles pues yo también estoy certificado como DPO. Pero en el contexto de la IA resulta completamente insuficiente actuar como se ha venido haciendo hasta ahora. La participación temprana de Legal y Compliance con soluciones de privacyOps ayudarán a entenderse mejor estas dos áreas.
¿Qué tendencias anticipas en la forma de gestionar la inteligencia artificial?
En cinco años hablaremos de IA governance native: las organizaciones que nazcan en esta era tendrán la gobernanza integrada en su ADN. Las organizaciones que nazcan en la era de la IA, tendrán la gobernanza integrada en su ADN organizacional, no como un añadido posterior. Y las empresas existentes que tiene IA o quieran IA , tendrán que hacer dicha transformación.
Las empresas que esperen a que la regulación les obligue van a estar siempre un paso atrás. Las que actúen proactivamente van a marcar el futuro del sector. Y soluciones como SofIA ayudará a que las empresas más reacias den el salto a la inteligencia artificial de una manera controlada pues les ayudará a cumplir las normativas y tener una gobernanza de la IA.
