Situación normativa actual del IA Act - Entrada 10 — Construir un programa completo de compliance IA


 

Situación normativa actual del IA Act

Entrada 10 — Construir un programa completo de compliance IA

Enfoque general

Un programa de compliance IA debe integrar obligaciones técnicas, organizativas y documentales del IA Act en un sistema coherente. No es un “proyecto tecnológico”, sino un marco transversal que afecta a legal, compliance, tecnología, datos, RR. HH., compras y dirección.

El objetivo es doble:

·       Garantizar que la organización cumple el reglamento.

·       Demostrarlo ante autoridades, clientes y socios, con evidencias auditables.

 

Componentes esenciales del programa

1. Gobernanza interna

·       Comité o responsable de IA con autoridad real.

·       Políticas internas que definan roles, responsabilidades y procesos.

·       Integración con compliance general, protección de datos y ciberseguridad.

·       Capacitación continua para todos los equipos implicados.

La Comisión subraya que la alfabetización en IA es un requisito estructural del reglamento (Art. 4) y parte de la preparación para su aplicación efectiva.

 

2. Inventario y clasificación de sistemas

·       Mapa completo de sistemas de IA y GPAI utilizados, desarrollados o adquiridos.

·       Clasificación según categorías del IA Act: prohibidos, alto riesgo, riesgo limitado, mínimo, GPAI.

·       Identificación del rol de la organización en cada caso: proveedor, importador, distribuidor, desplegador.

El Compliance Checker oficial ayuda a determinar obligaciones según el tipo de sistema y rol del actor.

 

3. Gestión del ciclo de vida del sistema

Para sistemas de alto riesgo, integrar los requisitos de los artículos 9 a 15:

·       Gestión de riesgos.

·       Gobernanza de datos.

·       Documentación técnica.

·       Logs y trazabilidad.

·       Supervisión humana.

·       Robustez, precisión y ciberseguridad.

Estos requisitos son la base del marco técnico del IA Act y deben integrarse desde el diseño, no añadirse al final.

 

4. Evaluaciones obligatorias

·       FRIA (Evaluación de Impacto en Derechos Fundamentales) cuando aplique.

·       DPIA si hay tratamiento de datos personales.

·       Evaluaciones de conformidad para sistemas de alto riesgo.

·       Evaluaciones reforzadas para GPAI de riesgo sistémico.

La Comisión destaca que estas evaluaciones deben formar parte del proceso de cumplimiento continuo y no ser ejercicios puntuales.

 

5. Documentación y archivo

·       Documentación técnica completa y actualizada.

·       Registros de decisiones, versiones, datos, pruebas y auditorías.

·       Conservación durante al menos 10 años para sistemas de alto riesgo.

·       Resumen público del entrenamiento para GPAI.

La documentación es clave para auditorías y para demostrar conformidad ante autoridades.

 

6. Vigilancia postmercado y reporting

·       Sistema interno para detectar incidentes, degradación del rendimiento o riesgos emergentes.

·       Procedimiento de escalado y análisis.

·       Notificación de incidentes graves en los plazos del Art. 73.

·       Cooperación con autoridades nacionales y el AI Office.

El régimen de vigilancia y reporting es uno de los pilares del Título IX del reglamento y se articula a través de autoridades nacionales y del AI Office, operativo desde agosto de 2025.

 

7. Integración con compras y terceros

·       Evaluación de proveedores de IA.

·       Cláusulas contractuales específicas: documentación, soporte, incidentes, actualizaciones.

·       Verificación de marcado CE y conformidad para sistemas de alto riesgo.

·       Control de GPAI integrados en productos o servicios.

 

8. Revisión continua y auditoría interna

·       Auditorías periódicas del programa.

·       Revisión de políticas, controles y documentación.

·       Actualización según cambios regulatorios, técnicos o organizativos.

·       Uso de herramientas oficiales como el AI Act Explorer para mantenerse actualizado.

 

Hoja de ruta de 12 meses

Una organización puede estructurar su adaptación así:

·       Meses 1–3: gobernanza, inventario, clasificación, políticas.

·       Meses 4–6: documentación técnica, gestión de riesgos, FRIA/DPIA.

·       Meses 7–9: procesos de vigilancia, reporting, auditoría interna.

·       Meses 10–12: pruebas, ajustes, formación, revisión final.

Este enfoque está alineado con las recomendaciones de guías de cumplimiento y auditoría publicadas en 2025, que insisten en la necesidad de preparación anticipada ante la entrada en aplicación, para cuyo plazo habrá que tenerse en cuenta ahora la recalibración de plazos introducida por el Ómnibus Digital.

 

Cierre de la serie

Con esta entrada, el lector tiene un marco completo para construir un programa de compliance IA que cumpla el reglamento y sea sostenible en el tiempo.

Seguirán dos entradas, una con los cambios esperables en el IA Act y cómo anticiparlos.  Y otra con un Anexo final — Actualización Ómnibus Digital (marzo 2026)

Comentarios

Publicar un comentario