La Inteligencia Artificial (IA) está de moda. Las modas son efímeras. Debemos aprender a relacionarnos con ella: con inteligencia, desde la aptitud y actitud, condiciones netamente humanas. Dejarse llevar por las modas, sin más, nos parece una mera (y pobre) ocurrencia.
La predisposición y la proactividad para relacionarnos con la IA conforman una conducta necesaria, por resiliente y adaptativa, si no queremos que nos pase por encima.
Sin un plan estratégico, un previo análisis de riesgos, una mínima prevención de contingencias y un marco autorregulatorio de uso de la IA, alineados con la realidad de cada institución pública, será elevada la probabilidad, no ya de fracasar -aparte del pírrico éxito provisional de algún efímero titular con fotografía en prensa-, sino de malgastar recursos, asumiendo riesgos inaceptables desde la res pública.
No es aventurado intuir que esos hechos comportarán previsibles casos de responsabilidad -en el ámbito de la protección de datos personales o la vulneración de derechos de propiedad intelectual o industrial, en distintos órdenes jurisdiccionales- de los que pueden derivarse consecuencias económicas y sociales de vértigo para la entidad incumplidora.
La inmediatez de los avances, principalmente tecnológicos- no ha de llevarnos a la precipitación de querer ser los primeros en lograr algo -a menudo no se sabe qué ni cuáles son los objetivos-, no podemos confundir innovación con improvisación. La mejora continua en la gestión pública es una obligación del personal que la llevamos a cabo. La IA, qué duda cabe, tiene un papel relevante en esta partida, de la que no puede ni debe ser excluida. Pero hay que hacerla con talento, sensatez, responsabilidad, sosiego y sentido común.
Tres apuntes o sugerencias, que no consejos, sino sobre buenas prácticas, que, de alguna manera, pueden contribuir a ello:
Ciberseguridad, desde el inicio y por defecto.
El miedo no ha de retraernos, sino al contrario, espolearnos para articular -sabemos que no existe el riesgo cero- una política consistente de seguridad tecnológica en el funcionamiento de nuestras organizaciones públicas. Hay normas, guías, método, herramientas y recursos -humanos y económicos- para hacerlo[1].
La excusa perfecta para comprometer los recursos necesarios (los del lado oscuro no paran de hacerlo), puede ser el planificar la acreditación certificada del ENS, llevando a cabo las correspondientes declaraciones de aplicabilidad, previos los necesarios análisis de riesgos en función de las categorías de datos con los que trabaja cada administración pública para el desempeño de sus competencias legales, para poder implantar y mantener las soluciones y medidas adecuadas para conseguirlo[2].
Ver las estadísticas de cumplimiento (obligatorio en términos de legalidad) del sector público que publica el CCN producen, no ya sonrojo, sino desasosiego y escalofríos. No se puede ser ajeno o insensible hacia los riesgos reales, que la IA, sin un uso consciente, robusto y consecuente, incrementa de forma exponencial. Estamos avisados. Es nuestra responsabilidad. Es ineludible lidiar con ello.
Sin gobernanza de datos no debería hacerse uso de la IA.
Nadie duda de que los datos son, hoy por hoy, la materia prima por excelencia, no solo en la actividad privada, sobre todo económica, sino también en el marco de la ejecución de políticas, desempeño de competencias y funciones legales, así como en la prestación de servicios públicos. Hoy por hoy, el dato es un activo vertebrador esencial de la transformación digital, en un contexto de cambio continuo.
El sector público -cada ente en su ámbito respectivo- dispone de una gran cantidad de datos, a menudo apetecibles por terceros. Nuestra principal obligación es ejercitar un uso adecuado de los mismos, adoptando las garantías necesarias y orientando las respectivas organizaciones hacia su uso inteligente -con o sin IA-.
Obvio es decir que exponer esos datos a riesgos, a menudo desconocidos, a veces ni siquiera imaginados o intuidos, no es una actitud coherente ni responsable. ¿Cómo corregirlo? Cumpliendo el ordenamiento: estableciendo una gobernanza del dato en el seno de cada administración, aprobando la correspondiente política del gobierno del dato.[3]
Hemos de saber qué queremos, podemos, debemos, y, sobre todo, no debemos, hacer con los datos. Si la IA funciona a base de datos -y con bases de datos-, parece obvio que sus titulares, originarios, o como responsables derivados de su tratamiento, somos los encargados de utilizarlos con garantías, cumpliendo el ciclo clásico del código DICAT: Disponibilidad, Integridad, Calidad, Autenticidad y Trazabilidad.
El instrumento idóneo para ello es la gobernanza del dato, que debe ser aprobada por cada entidad, y conocida por cuantos trabajan en ella.
El uso inteligente de la IA exige orden, un marco previsible de funcionamiento.
Una parte de la gobernanza comentada, o un complemento esencial de la misma, es la necesidad, a mi juicio indispensable, de prever, regular y controlar, en el seno de cada entidad pública, el uso de la IA: en qué supuestos cabe, con qué garantías en función del nivel de los datos utilizados, a través de qué herramientas autorizadas, con qué niveles de seguridad exigibles en cada caso.
Las normas superiores -no me detengo en ello, ya sea a nivel europeo, nacional o autonómico- ya nos dicen cómo hacerlo. Pero hay que aterrizarlas en el caso concreto de la actividad diaria de nuestras instituciones. Para ello es acuciante formar adecuadamente a todo el personal en el uso responsable de las utilidades que sin duda la IA facilita.
Para concluir telegráficamente: Las tres sugerencias apuntadas, para no perder definitivamente la batalla, exigen un compromiso real y proactivo de la alta dirección, de los responsables del gobierno de las respectivas administraciones, entidades o instituciones del sector público, para dar un adecuado soporte e impulso a los recursos humanos que disponen del talento y conocimiento necesarios para lograrlo con éxito.
La IA no va solo de tecnología, sino también de personas, organización y sistemas, la parte baja del iceberg que sustenta, invisible y silenciosa, la actividad que, en forma de servicios, el sector público retorna a la sociedad a la que se debe, en tanto que la sufraga y sostiene. No ocuparse de ello es un acto de irresponsabilidad manifiesta.
[1] https://www.ccn-cert.cni.es/es/
[2] https://ens.ccn.cni.es/es/certificacion
[3] https://datos.gob.es/es/blog/guia-para-implantar-un-programa-de-gobierno-del-dato-une-0085
