La Casa Blanca presentó en julio un amplio plan de acción sobre IA que redefine el enfoque de Estados Unidos para la gobernanza de la IA. Representa un cambio radical respecto a la postura de la administración anterior, eliminando las trabas regulatorias y promoviendo un enfoque a toda máquina para el desarrollo y la implementación de la IA.
Esto genera tanto oportunidades como riesgos para las organizaciones. Una implementación más rápida conlleva una menor supervisión federal, lo que obliga a las empresas a subsanar por sí mismas las deficiencias críticas de gobernanza. Veamos qué nos depara el futuro.
Tres pilares del plan
Trump Plan de acción de IA Describe un esfuerzo federal coordinado para ganar la carrera armamentística de la IA contra competidores globales, en particular China. Sus recomendaciones abarcan todas las agencias federales principales, desde las normas revisadas del Departamento de Comercio hasta las iniciativas de guerra de IA del Pentágono. A continuación, se explica cómo cada pilar transforma el panorama.
Pilar I: Acelerar la innovación en IA
Este pilar aborda las barreras regulatorias al desarrollo de la IA en el sector privado. La Oficina de Política Científica y Tecnológica y la Oficina de Administración y Presupuesto (OMB) identificarán y derogarán las normas restrictivas. Los estados se enfrentan a un escrutinio especial, ya que la OMB evalúa sus marcos regulatorios de IA al tomar decisiones de financiación, lo que podría desviar fondos federales de los estados con demasiadas barreras.
El lado positivo es que el plan también promueve modelos de código abierto y de peso abierto, reconociendo su valor para empresas emergentes e investigadores que no pueden permitirse sistemas comerciales cerrados.
Pilar II: Construir una infraestructura de IA estadounidense
Descrito por el presidente como la parte del plan "construir bebé, construir", este pilar se centra principalmente en los requisitos físicos que sustentan la IA: centros de datos, fabricación de semiconductores y energía. Los constructores de centros de datos obtienen exenciones de permisos de construcción, lo que reduce o elimina las evaluaciones ambientales y elimina las regulaciones de la Ley de Aire Limpio y la Ley de Agua Limpia.
El plan abre terrenos federales para el desarrollo de centros de datos y sus instalaciones de generación de energía, a la vez que promete una red eléctrica moderna para satisfacer la necesidad de electrones de la IA (se hace un fuerte guiño a la energía nuclear y geotérmica). Todos estos centros de datos necesitarán muchos electricistas, expertos en climatización y otros puestos técnicos de infraestructura, por lo que el plan incluye programas de capacitación para reforzar esa fuerza laboral.
Pilar III: Diplomacia internacional de IA
¿Cómo ejerce la diplomacia un gobierno aislacionista? Con una lógica de "con nosotros o contra nosotros". El plan enmarca el desarrollo de la IA como un juego de suma cero entre los miembros de una "Alianza de IA" y el resto. Estos aliados tienen acceso a paquetes completos de exportación de IA, que incluyen hardware, modelos, software y estándares. Los países no miembros, como China, se enfrentan a controles de exportación más estrictos para los subsistemas de fabricación de semiconductores. Las funciones de verificación de ubicación en chips avanzados evitarán el desvío a adversarios.
La desregulación crea un vacío
La precipitada desregulación transfiere mayor responsabilidad de cumplimiento a las propias empresas. La FTC debe revisar las investigaciones que podrían "sobrecargar indebidamente la innovación en IA", mientras que el NIST elimina las referencias a la desinformación, la DEI y el cambio climático de su Marco de Gestión de Riesgos de IA. Sin embargo, en lugar de eliminar las obligaciones de cumplimiento, esta retirada federal simplemente las fragmenta. Los estados mantienen sus propias regulaciones de IA, lo que crea una maraña de requisitos que las empresas ahora deben cumplir por jurisdicción. Mientras tanto, un plan prometido para eliminar el "sesgo ideológico" introduce normas de contratación vagas sin definiciones claras.
Las empresas deben ahora definir sus propios marcos de gobernanza para gestionar los riesgos de la IA. Esto implica establecer políticas claras que abarquen la gobernanza de datos, la transparencia de los modelos y la mitigación de sesgos, especialmente para los sistemas de atención al cliente, donde la rendición de cuentas es fundamental.
¿Qué sigue?
Las organizaciones ahora necesitan evaluaciones periódicas de riesgos de IA, registros de auditoría documentados y una gestión sólida de proveedores para herramientas de IA de terceros. Las áreas críticas incluyen la explicabilidad algorítmica, la protección de la privacidad más allá de los requisitos federales mínimos y los procedimientos de respuesta a incidentes específicos de IA.
Todo esto será especialmente complicado para las empresas que operan a través de fronteras estatales y nacionales.
La apuesta segura es mapear los requisitos en todas las jurisdicciones operativas, identificando los máximos denominadores comunes para el cumplimiento. Las empresas deben auditar sus implementaciones de IA y actualizar los registros de riesgos para reflejar este nuevo panorama.
Comience por crear un inventario de todas las implementaciones de IA, tanto actuales como planificadas, evaluando cada una en función de su tolerancia al riesgo y la evolución de la normativa. Las áreas prioritarias incluyen los sistemas de atención al cliente que requieren transparencia, las decisiones basadas en IA que afectan al empleo o al crédito, y las dependencias de modelos de terceros.
Como la primera norma mundial sobre sistemas de gestión de IA, la ISO 42001 proporciona 38 controles en nueve objetivos, siguiendo la conocida metodología «Planificar-Hacer-Verificar-Actuar». Las empresas que obtienen la certificación demuestran que sus sistemas de IA identifican y mitigan riesgos, a la vez que demuestran resiliencia, escalabilidad y una supervisión constante. La norma se integra con los sistemas ISO 27001 existentes y se adapta a diferentes industrias mediante directrices sectoriales.
Un marco de control estructurado es valioso en tiempos de incertidumbre, cuando los vientos regulatorios cambian y las directrices varían sobre cómo abordar un desarrollo tecnológico en rápida evolución. La norma ISO 42001 puede ser su guía, manteniéndole anclado en las mejores prácticas de control y gestión de sistemas de IA, sin importar cuán tormentosas sean las aguas del cumplimiento normativo.
