Directrices de la Política de uso de IA generativa

backgroud-texture-bg-4

Introducción

La rápida adopción de la IA generativa ofrece un enorme potencial para impulsar innovaciones que creen nuevas oportunidades tanto para las organizaciones como para las personas. No obstante, esto conlleva riesgos, algunos ya identificados y otros que están surgiendo o aún están por descubrir. Por ello, toda organización que desarrolle nuevas capacidades o genere contenidos mediante IA generativa debe contar con una política de uso adecuada.

Una política de uso deliberada y bien diseñada puede ayudar a una organización a fomentar la innovación utilizando la tecnología de la IA generativa, gestionando al mismo tiempo los riesgos y ajustándose a los cambios conforme evoluciona el panorama. Sophos ha desarrollado una política de uso en el trabajo para la IA generativa que permite a nuestros empleados seguir innovando de forma segura para beneficio de nuestros clientes y Partners. Desde entonces, hemos recibido numerosas solicitudes para compartir nuestra política y decidimos que, si pudiera ser de ayuda para nuestros clientes, Partners y el sector en general, lo haríamos.

El debate, los ejemplos y el contenido copiable de este documento se pueden utilizar para desarrollar un enfoque, formal o informal, para el uso de la IA generativa en los negocios de una empresa. Esperamos que el marco de esta política sirva de orientación en el uso de la IA generativa durante las primeras etapas de exploración y descubrimiento. Como cada organización adopta su propio enfoque en cuanto a estrategia y ejecución, es lógico que el uso de la IA generativa deba adaptarse a la organización que la adopte.

Este documento no es una plantilla y se proporciona con finesa meramente informativos. Este contenido no constituye asesoramiento jurídico, y recomendamos consultar a un asesor jurídico o profesional antes de adoptar o implementar cualquier política basada en las directrices y temas sugeridos a continuación.

Definiciones y aspectos a tener en cuenta

Definición de “política”

Aquí utilizamos el término “política” en su sentido más general haciendo referencia a las normas o directrices que establece una organización para regular el comportamiento. En este caso, el uso de la IA generativa en el ámbito de la organización. Una política en este contexto puede adoptarse formalmente a través de un proceso de aprobación corporativa o instituirse de manera más informal. El enfoque de una organización hacia la IA generativa, tal y como lo abordamos aquí, puede denominarse política o algo más. Aunque es importante que una organización considere el modo en que comunica las expectativas, aquí nos centramos en el enfoque general hacia la IA generativa, no proporcionamos orientación sobre cómo podría denominarse una política o cómo se implementaría o aplicaría.

El alcance

Una aspecto inicial a tener en cuenta es a quién cubre la política de uso de la IA generativa. Podría ser de aplicación para, por ejemplo, todos los empleados o terceros que interactúan con la organización, como contratistas, proveedores y Partners de ventas o tecnológicos. Su política también podría cubrir a parte de una de estas entidades o a todas.

Otra cuestión a tener en cuenta es el alcance de la tecnología que se cubrirá en la política. La “IA generativa” puede referirse, por ejemplo, a una categoría de tecnologías entrenadas con conjuntos de datos que pueden generar texto, imágenes, vídeo, sonido u otro contenido de trabajo (resultado) en respuesta a indicaciones (datos de entrada). Entre otros se incluyen ChatGPT/Bard (texto a texto/imagen), GitHub CoPilot (texto a código), Midjourney/Stability AI (texto a imagen), ModelScope (texto a video) y el código de lenguaje de programación. La IA generativa también puede incluirse como una función en otra aplicación.

Aspectos a tener en cuenta sobre la IA generativa

La IA generativa tiene el potencial de ofrecer unas ventajas significativas al aumentar la eficiencia y la productividad. Sin embargo, los entornos actuales también pueden conllevar riesgos, incluidos unos resultados inexactos o poco fiables (“alucinaciones”), resultados sesgados o inapropiados, vulnerabilidades de seguridad, problemas relacionados con la propiedad intelectual (PI) y la privacidad, inseguridad jurídica así como unos términos y condiciones en las licencias de los proveedores que pueden ser inaceptables para una organización determinada. Además, existe inseguridad jurídica en cuanto a si los resultados de la IA generativa cumplen los criterios necesarios para la protección de la propiedad intelectual y la propiedad de cualquier contenido creado con IA generativa. Al integrar un entorno de IA generativa en los procesos o aplicaciones de su organización, resulta esencial identificar claramente los materiales creados con herramientas de IA generativa para evitar posibles complicaciones en la relación a la propiedad intelectual de cualquier empresa.

Debido al continuo y rápido desarrollo de la IA generativa y al modo en que evolucionan sus riesgos, las organizaciones pueden aprovechar las ventajas que ofrece disponer de una política de uso para adoptar de manera responsable la IA generativa, tal y como se describe a continuación.

Actualizaciones y revisiones

La rápida innovación en el ámbito de la IA generativa sugiere la necesidad de revisar y ajustar regularmente cualquier política del modo necesario. La tecnología está cambiando tan rápidamente, al igual que el panorama jurídico y reglamentario, que una negligencia puede llevar a la irrelevancia.

Adopción, despliegue y uso de la IA generativa

Numerosos proveedores han desarrollado entornos de IA generativa con diferentes métodos de acceso (por ejemplo, interfaz de chat, API) a través de distintos tipos de cuentas (por ejemplo, cuentas personales, cuentas gratuitas, cuentas de pago) y sujetos a distintas condiciones de usuario. Una pregunta más técnica para las organizaciones es cómo permitir que los empleados y los Partners accedan e intercambien información con la IA generativa.

Al igual que ocurre con otras aplicaciones que se utilizan con fines comerciales, algunas empresas pueden limitar el uso de la IA generativa a cuentas corporativas. Si genera valor para la organización, es posible que requieran el uso de cuentas sujetas a unos términos y condiciones aceptables para la empresa. En este sentido, resulta útil considerar las opciones de la IA generativa de manera similar a cómo podría interactuar con proveedores de SaaS y otros proveedores de servicios en la nube que operan, en parte, a través de la recopilación de sus datos.

Despliegue o adopción de una nueva plataforma de IA generativa

Otro aspecto a tener en cuenta es el proceso de aprobación necesario para la adopción de una plataforma de IA generativa. La adquisición de una nueva plataforma de IA generativa para uso por parte de una organización, por ejemplo, ya sea como una aplicación independiente o como una funcionalidad de otro sistema, podría requerir seguir el proceso estándar de adquisición de la organización, complementado con consultas y condiciones específicas para la IA generativa.

Entre los medidas que se podrían adoptar antes del despliegue se incluyen:

  1. La aprobación por parte de los responsables de las áreas funcionales pertinentes, cuando corresponda, de departamentos internos como gestión de productos, ingeniería, privacidad de datos, asesoría jurídica, seguridad y gestión de riesgos. Algunas de estas funciones podrían, obviamente, consolidarse con menos responsables.
  2. Una evaluación tecnológica de las opciones comerciales que cubra aspectos tales como los siguientes:
    • La fuente y la calidad del conjunto de datos de entrenamiento.
    • Si los datos de entrada y los resultados pasan a formar parte del conjunto de datos de entrenamiento y si existe la posibilidad de exclusión voluntaria para que los datos de entrada/resultados no se utilicen para entrenar el modelo de IA generativa.
    • Los riesgos de utilizar el modelo de IA generativa y los mecanismos internos para mitigarlos o gestionarlos.
    • La capacidad de cumplir con los términos y condiciones del sistema de IA generativa.
    • Las implicaciones comerciales y los derechos de licencia asociados.
  3. Una evaluación empresarial del despliegue planificado en la que se tengan en cuenta factores tales como los siguientes:
    • El coste del despliegue.
    • El retorno de la inversión (ROI) previsto.
    • El desarrollo de mecanismos de seguimiento para ayudar a calcular el ROI real.
    • El uso del despliegue planificado, que se analiza en profundidad en la siguiente sección.

Uso de IA generativa aprobada

  1. Cada nuevo caso de uso de IA generativa podría estar sujeto a un proceso de aprobación. Una posibilidad es, por ejemplo, nombrar a un responsable de aprobación designado para cada responsable funcional con el fin de concentrar y acelerar el aprendizaje.
  2. Uso de funciones de seguridad. Si procede, se podría exigir a cada usuario que active todas las funciones de seguridad disponibles, que supervise las nuevas funciones de seguridad y que active las nuevas funciones a medida que estén disponibles.

Prohibido de forma predeterminada, aprobado por excepción

En algunos casos, puede resultar de utilidad exigir la revisión y aprobación del uso de la IA generativa que queda fuera del conjunto estándar de usos aprobados. El uso de la IA generativa podría, por ejemplo, estar prohibido a menos que se apruebe por excepción. Si se adopta este enfoque, podría ser importante actualizar regularmente la lista de casos de uso aprobados a la velocidad de innovación.

Los siguientes tipos de uso podrían, por ejemplo, estar prohibidos a menos que se aprueben específicamente:

  1. Uso que requiera las siguientes categorías de datos de entrada, ya sea total o parcial:
    • Cualquier información confidencial o sensible para la empresa.
    • Cualquier dato personal o cualquier información que identifique a la organización.
    • Cualquier propiedad intelectual (PI) de la organización.
    • Código informático propietario.
    • Cualquier información relativa a los clientes, proveedores, Partners u otra información protegida, incluida información de identificación personal (PII).
    • Cualquier información sobre los empleados.
    • Credenciales de acceso a sistemas (para los sistemas de la organización o los de cualquier tercero).
  2. Uso cuyo resultado afecte potencialmente a los derechos u obligaciones de cualquier persona.
  3. Incorporación del resultado en la tecnología o en otra propiedad intelectual de la organización.
  4. Uso que infrinja las políticas de la organización, las obligaciones contractuales o los términos y condiciones de uso de la tecnología.
  5. Cualquier uso ilegal o que demuestre una intención no ética como, por ejemplo, desinformación, manipulación, discriminación, difamación o invasión de la privacidad.

Código escrito por la IA generativa

Implementar la IA generativa para reescribir el código existente en lenguajes modernos y seguros para la memoria es una tarea compleja y ambiciosa. Además, implica tener en cuenta distintos aspectos técnicos, éticos y prácticos. A continuación se muestran, por ejemplo, distintas cuestiones a tener en cuenta:

  1. Calidad y fiabilidad: preservando la funcionalidad del código original y ajustándose a las prácticas modernas de programación seguras para la memoria.
  2. Análisis de seguridad y vulnerabilidades: una revisión exhaustiva del código generado para validar las prácticas seguras.
  3. Rendimiento: evaluación y optimización del código generado para que cumpla o supere el rendimiento del código original.
  4. Derechos de propiedad intelectual: establecer los derechos de propiedad intelectual para el código generado por la IA, un asunto complicado que los marcos jurídicos actuales pueden no abordar por completo.
  5. Privacidad de los datos y cumplimiento: adoptar las medidas de protección de los datos adecuadas conforme a los reglamentos pertinentes para evitar exponer de forma inadvertida datos sensibles o personales utilizados en el entrenamiento de los modelos de la IA generativa.

Uso de ChatGPT y herramientas similares para la productividad personal

En algunas organizaciones, se puede permitir el uso de plataformas de IA generativa con el propósito de aumentar la productividad administrativa personal, tal y como se ilustra a continuación. Cualquier uso de este tipo debe estar sujeto a lo siguiente:

  1. Evitar cualquier uso prohibido por la organización.
  2. Cumplir los términos, condiciones y políticas que procedan.
  3. Si es posible, optar por no contribuir al conjunto de datos de entrenamiento antes de su uso.
  4. Verificación de la exactitud / fiabilidad / idoneidad del resultado antes de su implementación.

Ejemplos de uso comercial permitido de ChatGPT, y de herramientas de IA generativa gratuitas similares, a través de cuentas personales:

  1. Verificación de hechos o investigación similar al uso de la búsqueda de Google, Wikipedia y otros recursos de internet.
  2. Creación de borradores iniciales de correos electrónicos de rutina y documentos internos.
  3. Edición de documentos.
  4. Generación de ideas básicas (por ejemplo, crear una lista de actividades sociales para una jornada fuera de la oficina, describir cómo funciona un bloque de código concreto, detallar cómo escribir una función en particular).

Una organización puede decidir desarrollar una formación o certificación para las personas que utilizarán la IA generativa. Los cursos de formación sobre seguridad actuales podrían actualizarse para incluir los riesgos asociados al uso de la IA generativa.

También merece la pena tener en cuenta las consecuencias de que un usuario no adopte el marco. Es probable que estas directrices se decidan de forma similar a otras políticas formales o informales de la empresa.

Conclusión

La IA generativa tendrá un impacto en numerosos aspectos de una organización y existirán riesgos conocidos y desconocidos que deberán ser mitigados hábilmente. Estamos en las primeras etapas de la comprensión del impacto de la tecnología, y las organizaciones previsoras no limitarán las posibilidades de innovación con la IA generativa. La reducción de los riesgos mientras se fomenta la exploración, la curiosidad y el método de prueba y error, será el sello distintivo de los ganadores en esta nueva era.

Adoptar un enfoque hábil para establecer políticas de uso adaptadas a los casos de uso probables de una organización es un buen primer paso a medida que el mundo se adapta a la IA generativa y a las innumerables posibilidades que ofrece. Aparte de esto, las políticas y las directrices podrían integrarse en una estrategia de gobernanza y gestión de riesgos más amplia, que puede incluir la formación de un comité directivo, la realización regular de auditorías y evaluaciones de riesgos, y el establecimiento de procesos de readaptación continua de las políticas para conseguir un equilibrio entre el uso responsable de la IA generativa y los esfuerzos pertinentes para mitigar los riesgos.