AI Compliance

Lista de verificación, evaluación de impacto, informe y política de gobernanza de IA para empresas

Cumplimiento normativo de IA: checklist, evaluación de impacto, informe y política de gobernanza de IA para empresas

Si su empresa desarrolla, implementa, distribuye o revende sistemas de inteligencia artificial, el cumplimiento normativo de IA ya no es una opción: debe demostrar conformidad. En este artículo reunimos los cuatro pilares operativos de un programa de cumplimiento de IA: el checklist, la evaluación de impacto, los informes y la política de gobernanza de IA.

Por qué el cumplimiento de IA afecta a toda la cadena de valor

El Reglamento de IA (UE 2024/1689) distribuye las obligaciones a lo largo de toda la cadena de suministro:

  • Proveedor – quien desarrolla el sistema

  • Usuario – quien utiliza el sistema

  • Importadores y distribuidores – quienes comercializan o revenden

El rol que desempeña determina el alcance de sus obligaciones, pero ningún eslabón de la cadena está exento. Por ejemplo, un revendedor que pone su propia marca en un sistema de IA de terceros puede asumir las obligaciones del proveedor.

Por ello, el cumplimiento de IA debe diseñarse «by design»: identificar su rol, clasificar el riesgo de los sistemas y construir un sistema de gestión coherente con la norma ISO/IEC 42001, que exige determinar el contexto, las partes interesadas y el alcance del sistema de gestión de IA.

El checklist de cumplimiento de IA: el punto de partida

Un checklist bien estructurado según el Reglamento de IA / ISO 42001 convierte obligaciones abstractas en comprobaciones concretas. Las áreas mínimas a cubrir son:

  • Inventario de IA – censo de sistemas de IA en uso o en desarrollo

  • Clasificación de riesgos – prácticas prohibidas, alto riesgo, riesgo limitado, riesgo mínimo

  • Roles – identificación del rol desempeñado para cada sistema

  • Calidad de datos – procedencia y calidad de los datos de entrenamiento, validación y prueba

  • Documentación – documentación técnica y registros de eventos

  • Supervisión humana – mecanismos de supervisión y anulación

  • Transparencia – información a los usuarios finales

  • Formación – alfabetización en IA del personal (art. 4 del Reglamento de IA)

  • Gestión de proveedores – contratos y obligaciones con socios

  • Gestión de incidentes – plan de respuesta y notificación de incidentes

El checklist no es un trámite único: debe revisarse a intervalos planificados y ante cualquier cambio significativo, tal como exige la lógica de los sistemas de gestión.

Los 4 pilares del cumplimiento de IA

Un sistema de cumplimiento de IA estructurado se apoya en cuatro pilares operativos:

 
 
PilarDescripciónDocumento de salida
1. ChecklistVerificación puntual de los requisitos normativos: inventario de sistemas, clasificación de riesgos, roles, gobernanzaChecklist cumplimentada y actualizada
2. Evaluación de Impacto de IAEvaluación de las consecuencias potenciales sobre personas y sociedad: equidad, transparencia, seguridad, impactos socialesEvaluación documentada y conservada
3. InformeDocumentación para uso interno, autoridades y partes interesadas: revisiones, auditorías, notificaciones, comunicacionesRegistro, Declaración de Aplicabilidad (SoA), notificaciones de incidentes
4. Política de Gobernanza de IADocumento estratégico adoptado formalmente por la alta dirección: principios, roles, usos permitidos/prohibidosPolítica de IA firmada por la dirección

Evaluación de Impacto de IA: evaluar antes de implementar

La evaluación de impacto de IA es el núcleo sustancial del cumplimiento. La ISO/IEC 42001 (punto 6.1.4) exige un proceso formal y documentado para identificar y evaluar las consecuencias potenciales de los sistemas de IA sobre personas, grupos y sociedad, considerando el uso previsto y el uso indebido razonablemente previsible.

Una evaluación eficaz valora:

  • Equidad y sesgos – en los datos y en los resultados

  • Transparencia y explicabilidad – cómo se toma la decisión

  • Seguridad y protección de datos – vinculado a la evaluación de impacto sobre la protección de datos (art. 35 RGPD)

  • Salvaguarda de las personas – protección de los derechos fundamentales

  • Impactos sociales y ambientales – efectos colaterales de amplio alcance

Punto crucial: los resultados de la evaluación deben alimentar las decisiones de diseño y la evaluación de riesgos. No debe quedar como un documento estático.

Informes y documentación: demostrar la conformidad

Sin evidencias, la conformidad no existe. El sistema de información debe cubrir tres direcciones:

Hacia el interior:

  • Revisiones por la dirección

  • Resultados de auditorías internas

  • Seguimiento del rendimiento de los sistemas

  • Registro de no conformidades y acciones correctivas

Hacia las autoridades:

  • Documentación técnica

  • Registro de los sistemas de alto riesgo

  • Notificación de incidentes graves en los plazos legales

Hacia las partes interesadas:

  • Información a los usuarios

  • Canales para notificar impactos negativos

  • Comunicación de incidentes

La Declaración de Aplicabilidad (SoA) exigida por la ISO 42001 es el documento clave que lo vincula todo: cada control incluido o excluido debe estar justificado y ser coherente con la evaluación de riesgos.

La política de gobernanza de IA: el marco que lo integra todo

La política de IA es el documento estratégico que la alta dirección debe adoptar formalmente. Una política eficaz define:

  • Los principios que orientan todas las actividades de IA: supervisión humana, transparencia, seguridad, robustez

  • Los roles, responsabilidades y autoridad – quién aprueba, quién supervisa, quién responde

  • Los usos permitidos y prohibidos de los sistemas de IA, incluidas las herramientas de IA generativa adoptadas por los empleados

  • La conexión con las demás políticas de la empresa: privacidad, seguridad de la información, calidad

  • El proceso de gestión de excepciones

  • Las modalidades de revisión periódica

La gobernanza no es burocracia; es lo que permite a la empresa innovar rápidamente sabiendo dónde están los límites.

Preguntas frecuentes sobre cumplimiento de IA

¿Cuál es la diferencia entre el Reglamento de IA y la ISO/IEC 42001?

El Reglamento de IA es el reglamento europeo (ley) que impone obligaciones a proveedores, usuarios y distribuidores. La ISO/IEC 42001 es la norma internacional que proporciona el marco para implementar un sistema de gestión de IA conforme a la normativa. La ISO 42001 es la herramienta práctica para cumplir con el Reglamento de IA.

¿Quién debe realizar una evaluación de impacto de IA?

Todos: proveedores que desarrollan sistemas de IA, usuarios que los implementan y utilizan, y distribuidores que los revenden. La profundidad de la evaluación varía según el nivel de riesgo del sistema. Los sistemas de alto riesgo requieren una evaluación más detallada (incluida la evaluación de impacto en derechos fundamentales – FRIA).

¿Puedo delegar el cumplimiento de IA en un consultor externo?

Un consultor puede ayudarle a construir el sistema, pero la responsabilidad del cumplimiento sigue siendo suya. La política de IA debe ser firmada por la alta dirección, las revisiones deben realizarse internamente y el seguimiento debe ser continuo. El consultor es un facilitador, no un salvavidas.

¿Cada cuánto debe revisarse el checklist de cumplimiento de IA?

Al menos una vez al año, o siempre que haya un cambio significativo: nuevo sistema de IA, modificación de los datos de entrenamiento, cambio de proveedores, incidentes o comentarios de los usuarios. La revisión debe documentarse.

LexBlast le acompaña en su programa de cumplimiento de IA

LexBlast IP & IT Attorneys® acompaña a las empresas que desarrollan, implementan, distribuyen y revenden sistemas de IA con un enfoque multidisciplinar legal‑ingenieril.

Nuestros servicios incluyen:

  • Evaluación de conformidad con el Reglamento de IA y la ISO/IEC 42001

  • Implementación de sistemas de gestión estructurados

  • Redacción de políticas de gobernanza de IA

  • Evaluación de impacto de IA y FRIA

  • Formación en alfabetización en IA para su equipo

Contáctenos para una evaluación preliminar de su nivel de cumplimiento de IA y descubra cómo podemos ayudarle.

Contáctenos para solicitar una primera consulta

Rellene el formulario y nos pondremos en contacto con usted lo antes posible.

 

Colaboramos con

Algunas de las colaboraciones de los profesionales de LexBlast IP & IT Attorneys