Conheça os seus requisitos legais

O NIST AI Risk Management Framework (AI RMF) foi concebido como um quadro voluntário aplicável a qualquer organização envolvida na conceção, desenvolvimento, implementação ou utilização de sistemas de inteligência artificial. Não é um requisito de conformidade obrigatório da mesma forma que alguns regulamentos o são (por exemplo, a Lei de IA da UE). No entanto, oferece diretrizes muito úteis - pense nele como um guia para ajudar a sua organização a garantir que os benefícios da IA são realizados de forma responsável.

Este post abre uma série de publicações que discutem o NIST AI RMF - item por item.

Govern 1.1

O Govern 1.1 trata dos requisitos legais e regulamentares. Eles precisam de ser compreendidos, geridos e documentados, mas o que é que isso envolve exatamente?

1. Identificar e compreender as leis e regulamentos locais e internacionais relacionados com o desenvolvimento, implementação e utilização de IA

Defina e documente todos os requisitos mínimos em leis e regulamentos: GDPR (UE), leis de não discriminação (os seus sistemas de IA podem estar a tomar decisões sobre indivíduos!), leis de PI, cibersegurança e regulamentos específicos da indústria e da aplicação (por exemplo, HIPAA e FDA imporão certos requisitos aos sistemas de IA utilizados nos cuidados de saúde - relacionados com a proteção das informações de saúde dos pacientes e a garantia da segurança e eficácia dos dispositivos médicos alimentados por IA, respetivamente).

2. Monitorizar todas as alterações e atualizações - quer estar a par do cenário regulatório em evolução

• Subscreva blogs ou newsletters que publicam atualizações regulares

• Configure alertas de palavras-chave do Google (ou outros) para receber notificações sobre novas publicações

• Junte-se a associações da indústria para se conectar com colegas da indústria

• Participe em conferências e webinars

• Use as redes sociais! Siga os principais influenciadores: especialistas em regulamentação, líderes da indústria e agências governamentais

3. Alinhar os esforços de gestão de risco com as normas legais aplicáveis.

Já tem um quadro de gestão de risco implementado? Mapeie os riscos para os requisitos legais, identifique as lacunas - todas as suas práticas de gestão de risco abordam adequadamente os requisitos legais?

4. Criar e manter políticas para formar e reciclar o pessoal sobre os aspetos legais e regulamentares que afetam a conceção, desenvolvimento, implementação e utilização de IA

Essa formação pode envolver: leis de privacidade de dados, justiça da IA, direitos de PI, cibersegurança e segurança de dados, regulamentos específicos da indústria, bem como formação baseada em funções para cientistas de dados, engenheiros e gestores de projeto.

Torne-a relevante e interessante: use estudos de caso do mundo real e cenários hipotéticos, organize workshops e simulações interativas, exercícios de role-playing, convide especialistas externos e incentive o pessoal a participar em conferências, webinars e cursos online relevantes.

5. Certifique-se de que o sistema de IA foi revisto quanto à sua conformidade com as leis, regulamentos, normas e diretrizes aplicáveis

• Realize auditorias internas

• Contrate auditores ou consultores externos para fornecer uma avaliação independente da conformidade do seu sistema de IA

• Use listas de verificação

• Mantenha documentação detalhada sobre as conclusões da auditoria e as ações corretivas

• Realize avaliações de justiça do sistema de IA (paridade demográfica, igualdade de oportunidades, impacto díspar, testes contrafactuais - fique atento para mais informações sobre estas e outras métricas)

O próximo passo?

Como explorámos, o Govern 1.1 do NIST AI RMF fornece uma diretiva clara: conheça as suas obrigações legais. O próximo passo crucial é traduzir esta compreensão em ações concretas. Incentivamo-lo a avaliar os processos atuais da sua organização e a explorar as nossas outras publicações sobre a norma e como cumpri-la para garantir a fiabilidade dos sistemas de IA que desenvolve, implementa ou utiliza.