Auditorías de inteligencia artificial: el nuevo reto estratégico para las legaltech

De las auditorías de protección de datos a las auditorías de IA

La entrada en vigor en mayo de 2018 del Reglamento General de Protección de Datos  (RGPD) y, unos meses más tarde, de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), supuso un cambio drástico en relación a los derechos de los individuos respecto a sus datos personales, y a las obligaciones de las empresas para proteger dicha información personal.

Una de las consecuencias derivadas de la aplicación de estas regulaciones fue el incremento significativo de solicitudes para llevar a cabo auditorías de protección de datos con vistas a cumplir la normativa. En este escenario, las legaltech y empresas de protección de datos también se vieron obligadas a adaptar su operativa para dar una respuesta adecuada a estas solicitudes y consolidar el papel de estos actores como piezas clave en el nuevo ecosistema de privacidad y protección de datos.

Ahora, con la entrada en vigor del Reglamento (UE) 2024/1689 de la Unión Europea o AI Act y su transposición al ordenamiento jurídico español a través de la Ley para el buen uso y la gobernanza de la Inteligencia Artificial, aún en fase de anteproyecto, los expertos del sector prevén una situación similar, aunque en este caso las protagonistas serán las auditorías de inteligencia artificial.

Y así lo respaldan las cifras. Un reciente estudio de Market.us vaticina que el mercado global de auditorías de IA alcanzará los 10.881 millones de euros para 2033, con una tasa de crecimiento anual compuesta del 27,9% entre 2024 y 2033, lo que refleja una creciente necesidad de servicios de auditoría de IA.

Tal y como señala Ricardo Prada, responsable del equipo de abogados expertos en inteligencia artificial y protección de Datos de Grupo Atico34 , “en los últimos seis meses se ha producido un aumento progresivo de las consultas relacionadas con inteligencia artificial. Esto supone una oportunidad y una preocupación a partes iguales. En primer lugar, debemos adaptar nuestra tecnología, operativa y recursos con vistas a dar respuesta a las solicitudes para hacer auditorías de inteligencia artificial por parte de organizaciones que requieran ayuda profesional para cumplir esta normativa”.

¿En qué consiste una auditoría de inteligencia artificial?

Se podría definir una auditoría de inteligencia artificial como un proceso sistemático de evaluación que analiza la transparencia, equidad, seguridad, cumplimiento normativo y funcionamiento ético de sistemas de IA, verificando su alineación con criterios legales, técnicos y sociales a lo largo de su ciclo de vida.

Este análisis tiene como objetivo detectar riesgos y asegurar el cumplimiento normativo a lo largo de todo el ciclo de vida del sistema de IA (diseño, desarrollo, implementación y uso) y es obligatorio para empresas que usen sistemas de IA de alto riesgo.

¿Y qué se debería de auditar? Pues todo uso de la IA que pueda suponer un riesgo para terceros. Algunos ejemplos son el desarrollo de una app de gestión de empleados o de facturación, el uso de IA en el ámbito docente para evaluación de alumnos, o para el diagnóstico médico.

Las empresas pueden realizar sus propias auditorías internas de IA. En ese caso, deben tener los conocimientos necesarios acerca de la normativa que regula esta tecnología, además de destinar tiempo y recursos para ello. La otra opción, que terminará siendo la más elegida, será acudir a auditorías de IA externas.

“Un escenario esperable, en el sentido que ya sucedió lo mismo con la entrada en vigor del RGPD, es que las organizaciones en un principio no le den importancia a la normativa sobre IA o que intenten cumplirla por sí mismas, de manera interna. Sin embargo, la experiencia nos dice que, por falta de tiempo, por desconocimiento de la ley, por falta de recursos, o por el motivo que sea, la gran mayoría termina acudiendo a ayuda externa”, señalan desde Atico34.

¿Por qué las auditorías de IA suponen un nuevo reto para las legaltech?

Las legaltech relacionadas con el sector de la protección de datos tienen en las auditorías de inteligencia artificial una nueva piedra de toque, y muy dura. La primera consecuencia de su creciente demanda es la exigencia para estas empresas de adaptar sus herramientas tecnológicas y sus procesos internos.

Una de las principales diferencias entre las auditorías de inteligencia artificial y las auditorías de protección de datos es que una auditoría de IA evalúa la ética, funcionamiento y riesgos de un sistema de inteligencia artificial; en cambio, una auditoría de protección de datos se centra en verificar el cumplimiento del RGPD respecto al tratamiento, seguridad y derechos sobre datos personales. Sin embargo, ambas siguen estando íntimamente relacionadas, ya que la protección de datos personales es una de las principales preocupaciones en relación al uso de inteligencia artificial.

Tal y como apuntan desde Atico34, “los especialistas en protección de datos están obligados a integrar la inteligencia artificial dentro de sus pilares básicos profesionales. Deben saber analizar modelos, sus riesgos y su finalidad, analizar algoritmos o evaluar la trazabilidad de los datos usados. En pocas palabras, se buscará un perfil más versátil, completo y, sobre todo, adaptado a las exigencias de nuevas tecnologías como la IA”.

Obviamente, esto también implica nuevas exigencias en cuanto a la formación y especialización de los profesionales del sector. El perfil del experto en RGPD y LOPD deja paso a un perfil multidisciplinar, que debe estar familiarizado con conceptos como machine learning, datasets, overfitting, explicabilidad, recall, sesgos algorítmicos, redes neuronales, modelos generativos y más

“No solo se trata de adquirir los conocimientos necesarios, sino de tener la capacidad para aplicar metodologías de auditoría algorítmica y análisis de impacto, para revisar documentación técnica y organizativa de los sistemas como registros, logs o evaluaciones internas, o para diseñar e interpretar pruebas de rendimiento, explicabilidad y sesgo”, remarcan desde Atico34.

El reto es aún mayor, si cabe, si tenemos en cuenta que la inteligencia artificial es una tecnología todavía reciente, y que su regulación lo es todavía más. Lo más probable es que la normativa reciba actualizaciones constantes para adaptarse a la propia evolución de la tecnología, por lo que no se trata de un proceso puntual, sino de uno transversal que implica una transformación profunda en el modus operandi de las legaltech.