Conoscere i propri requisiti legali

Il NIST AI Risk Management Framework (AI RMF) è progettato come un quadro volontario applicabile a qualsiasi organizzazione coinvolta nella progettazione, sviluppo, implementazione o utilizzo di sistemi di intelligenza artificiale. Non è un requisito di conformità obbligatorio nello stesso modo in cui lo sono alcune normative (ad esempio, la legge sull’IA dell’UE). Tuttavia, offre linee guida molto utili: pensalo come una guida per aiutare la tua organizzazione a garantire che i benefici dell’IA siano realizzati in modo responsabile.

Questo post apre una serie di pubblicazioni che discutono il NIST AI RMF - punto per punto.

Govern 1.1

Govern 1.1 riguarda i requisiti legali e normativi. Devono essere compresi, gestiti e documentati, ma cosa comporta esattamente?

1. Identificare e comprendere le leggi e le normative locali e internazionali relative allo sviluppo, all’implementazione e all’uso dell’IA

Definire e documentare tutti i requisiti minimi nelle leggi e nei regolamenti: GDPR (UE), leggi sulla non discriminazione (i tuoi sistemi di IA potrebbero prendere decisioni sugli individui!), leggi sulla proprietà intellettuale, cybersecurity e normative specifiche del settore e dell’applicazione (ad esempio, HIPAA e FDA imporranno determinati requisiti ai sistemi di IA utilizzati nell’assistenza sanitaria - relativi alla protezione delle informazioni sanitarie dei pazienti e alla garanzia della sicurezza e dell’efficacia dei dispositivi medici basati sull’IA, rispettivamente).

2. Monitorare tutte le modifiche e gli aggiornamenti: vuoi essere al passo con il panorama normativo in evoluzione

• Iscriviti a blog o newsletter che pubblicano aggiornamenti regolari

• Imposta avvisi per parole chiave di Google (o altri) per ricevere notifiche su nuove pubblicazioni

• Unisciti ad associazioni di settore per entrare in contatto con colleghi del settore

• Partecipa a conferenze e webinar

• Usa i social media! Segui influencer chiave: esperti di regolamentazione, leader del settore e agenzie governative

3. Allineare gli sforzi di gestione del rischio agli standard legali applicabili.

Hai già un quadro di gestione del rischio? Mappa i rischi ai requisiti legali, identifica le lacune: tutte le tue pratiche di gestione del rischio affrontano adeguatamente i requisiti legali?

4. Creare e mantenere politiche per la formazione e la riqualificazione del personale sugli aspetti legali e normativi che incidono sulla progettazione, lo sviluppo, l’implementazione e l’uso dell’IA

Tale formazione può riguardare: leggi sulla privacy dei dati, equità dell’IA, diritti di proprietà intellettuale, sicurezza informatica e dei dati, normative specifiche del settore, nonché formazione basata sui ruoli per data scientist, ingegneri e project manager.

Rendila pertinente e interessante: utilizza casi di studio reali e scenari ipotetici, organizza workshop e simulazioni interattive, esercizi di gioco di ruolo, invita esperti esterni e incoraggia il personale a partecipare a conferenze, webinar e corsi online pertinenti.

5. Assicurarsi che il sistema di IA sia stato esaminato per la sua conformità alle leggi, ai regolamenti, agli standard e alle linee guida applicabili

• Condurre audit interni

• Coinvolgere revisori o consulenti esterni per fornire una valutazione indipendente della conformità del tuo sistema di IA

• Utilizzare liste di controllo

• Mantenere una documentazione dettagliata sui risultati degli audit e sulle azioni correttive

• Condurre valutazioni di equità del sistema di IA (parità demografica, pari opportunità, impatto disparato, test controfattuali - resta sintonizzato per maggiori informazioni su queste e altre metriche)

Il prossimo passo?

Come abbiamo esplorato, Govern 1.1 del NIST AI RMF fornisce una direttiva chiara: conoscere i propri obblighi legali. Il prossimo passo cruciale è tradurre questa comprensione in azioni concrete. Ti incoraggiamo a valutare i processi attuali della tua organizzazione ed esplorare i nostri altri post sullo standard e su come rispettarlo per garantire l’affidabilità dei sistemi di IA che sviluppi, implementi o utilizzi.