1. Proposito
Esta politica define quien es responsable y rinde cuentas por las actividades de gobernanza de IA en [Nombre de la organizacion]. Establece los organos de gobernanza, los roles individuales, los derechos de decision y las vias de escalamiento, de modo que cada sistema de IA tenga un titular designado y cada decision de gobernanza cuente con un responsable claro.
2. Alcance
Esta politica abarca:
- Todos los organos de gobernanza involucrados en la supervision de IA (comites, consejos, grupos de trabajo).
- Todos los roles individuales con responsabilidades de gobernanza de IA.
- Todos los sistemas de IA independientemente de su clasificacion de riesgo.
- Todas las etapas del ciclo de vida de la IA.
3. Organos de gobernanza
Texto de marcador de posiciĂłn. Complete con el lenguaje de su organizaciĂłn para 3. Organos de gobernanza.
3.1 Comite de gobernanza de IA
El Comite de gobernanza de IA es el principal organo de toma de decisiones para la gobernanza de IA. Opera como un comite directivo multifuncional con el siguiente mandato:
Composicion: Patrocinador ejecutivo (Presidente), Responsable de asuntos juridicos/cumplimiento, CISO o Responsable de seguridad, Delegado de proteccion de datos, Director de ingenieria/ciencia de datos, Director de gestion de riesgos, Representante de operaciones comerciales.
Quorum: Las decisiones requieren la presencia de al menos 5 miembros, incluido el Presidente o su delegado. Las decisiones se registran en las actas de las reuniones y se almacenan en el portal de gobernanza.
Periodicidad: Reunion mensual ordinaria, con sesiones extraordinarias para escalamientos urgentes.
- Aprobar o rechazar casos de uso de IA de alto riesgo.
- Establecer estandares de gobernanza, umbrales de riesgo y directrices de politica.
- Resolver escalamientos y arbitrar disputas entre equipos.
- Revisar la postura agregada de riesgo de IA de la organizacion trimestralmente.
- Encargar revisiones internas o auditorias cuando se considere necesario.
- Supervisar los esfuerzos de deteccion y correccion de IA no autorizada.
3.2 Grupo consultivo de etica de IA (opcional)
Las organizaciones con un despliegue significativo de IA pueden establecer un grupo consultivo de expertos internos y externos para proporcionar orientacion no vinculante sobre consideraciones eticas, riesgos emergentes y preocupaciones de las partes interesadas.
4. Roles individuales
Texto de marcador de posiciĂłn. Complete con el lenguaje de su organizaciĂłn para 4. Roles individuales.
4.1 Patrocinador ejecutivo
- Preside el Comite de gobernanza de IA.
- Es titular del presupuesto y la direccion estrategica de gobernanza de IA.
- Rinde cuentas ante la junta directiva por la postura de riesgo de IA.
- Aprueba la Politica de gobernanza de IA y sus actualizaciones significativas.
4.2 Responsable de gobernanza de IA
- Coordina las operaciones diarias de gobernanza.
- Mantiene el inventario de sistemas de IA y el seguimiento de cumplimiento.
- Prepara los materiales para las reuniones del Comite y da seguimiento a las acciones.
- Es el primer punto de escalamiento para asuntos relacionados con IA.
- Gestiona las solicitudes de excepcion y da seguimiento a su vencimiento.
- Coordina la deteccion y notificacion de IA no autorizada.
4.3 Titular del modelo
Todo sistema de IA debe tener un Titular del modelo designado que rinda cuentas por:
Los titulares de modelos suelen ser ingenieros senior, cientificos de datos o gerentes de producto con conocimiento directo del sistema.
- La documentacion del sistema (ficha del modelo, ficha de datos, evaluacion de riesgos).
- La aprobacion de las revisiones de puertas del ciclo de vida antes del despliegue.
- El monitoreo continuo y el rendimiento en produccion.
- La respuesta a incidentes que involucren su sistema.
- La iniciacion de la revalidacion cuando el sistema o su contexto cambien.
- La iniciacion del retiro cuando el sistema ya no sea apto para su proposito.
4.4 Titular de datos / Administrador de datos
- Rinde cuentas por la calidad, la procedencia y el cumplimiento de los datos utilizados en sistemas de IA.
- Aprueba las solicitudes de acceso a datos y garantiza que el uso de datos sea coherente con el consentimiento y la base legal.
- Documenta el linaje de los datos y mantiene los registros de clasificacion de datos.
- Revisa los datos de entrenamiento en busca de sesgos, representatividad y cumplimiento de licencias.
- Asegura que la retencion y eliminacion de datos cumplan con la politica organizacional y la normativa vigente.
4.5 Asuntos juridicos y cumplimiento
- Revisa los casos de uso de IA respecto a las obligaciones regulatorias.
- Asesora sobre los terminos contractuales con proveedores de IA.
- Monitorea los cambios regulatorios y comunica su impacto al Comite.
- Participa en las evaluaciones de conformidad y las evaluaciones de impacto en derechos fundamentales.
4.6 Seguridad de la informacion
- Realiza revisiones de seguridad de los sistemas e infraestructura de IA.
- Gestiona la deteccion de amenazas y la respuesta a incidentes relacionados con IA.
- Revisa la postura de seguridad de los proveedores de IA de terceros.
- Asegura la seguridad de la cadena de suministro de IA (modelos, bibliotecas, dependencias).
4.7 Todos los empleados
- Cumplen con esta politica y los procedimientos de IA relacionados.
- Reportan el uso no autorizado de herramientas de IA (IA no autorizada) al Responsable de gobernanza de IA.
- Completan la formacion obligatoria de concienciacion sobre IA correspondiente a su rol.
- Escalan las preocupaciones sobre el comportamiento de la IA a traves de los canales establecidos.
5. Matriz RACI
La siguiente matriz RACI define la responsabilidad sobre las actividades clave de gobernanza de IA. R = Responsable (ejecuta el trabajo), A = Aprobador (decision final), C = Consultado (se requiere su aportacion), I = Informado (se le mantiene actualizado).
| Actividad | Patrocinador ejecutivo | Responsable de gob. IA | Titular del modelo | Titular de datos | Juridico | Seguridad |
|---|---|---|---|---|---|---|
| Estrategia y aprobacion de politicas de IA | A | R | I | I | C | C |
| Clasificacion de riesgo | I | C | R | C | C | C |
| Aprobacion de casos de uso de alto riesgo | A | R | C | C | C | C |
| Obtencion y revision de calidad de datos | I | I | C | A/R | C | I |
| Validacion y pruebas del modelo | I | I | A/R | C | I | C |
| Aprobacion de despliegue | I | A | R | I | C | C |
| Monitoreo en produccion | I | I | A/R | I | I | I |
| Respuesta a incidentes | I | C | A/R | C | C | R |
| Revision de cumplimiento regulatorio | I | R | C | C | A | C |
| Evaluacion de riesgo de proveedores | I | C | C | C | C | A/R |
| Deteccion y notificacion de IA no autorizada | I | A/R | I | I | C | R |
| Mantenimiento del inventario de IA | I | A/R | C | C | I | I |
| Formacion y concienciacion en IA | I | A/R | C | C | C | C |
Esta matriz se revisa trimestralmente y se actualiza cuando se producen cambios organizacionales.
6. Requisitos de formacion por rol
| Rol | Formacion requerida | Frecuencia |
|---|---|---|
| Patrocinador ejecutivo | Vision general de gobernanza de IA, entorno regulatorio, apetito de riesgo | Anualmente |
| Responsable de gobernanza de IA | Marco de gobernanza completo, profundizacion regulatoria, dominio de herramientas | Anualmente + ante cambios regulatorios |
| Titular del modelo | Gestion del ciclo de vida, evaluacion de riesgos, monitoreo, respuesta a incidentes | Anualmente + ante cambios del sistema |
| Titular de datos | Gobernanza de datos, deteccion de sesgos, requisitos de privacidad, calidad de datos | Anualmente |
| Juridico / Cumplimiento | Normativa de IA, actualizaciones de marcos, evaluacion de conformidad | Anualmente + ante cambios regulatorios |
| Seguridad | Entorno de amenazas de IA, seguridad de la cadena de suministro, pruebas adversarias | Anualmente |
| Todos los empleados | Concienciacion sobre IA, uso aceptable, notificacion de IA no autorizada | Al incorporarse + anualmente |
7. Sucesion y delegacion
- Cada rol de gobernanza debe tener un delegado designado que pueda actuar en ausencia del titular principal.
- Los delegados deben estar documentados en el portal de gobernanza con las fechas de vigencia.
- Las vacantes de roles que superen los 30 dias requieren que el Responsable de gobernanza de IA escale al Patrocinador ejecutivo para establecer disposiciones interinas.
- Las notas de traspaso deben documentarse cuando se transfiera la responsabilidad principal.
8. Vias de escalamiento
- Problemas operativos (rendimiento del modelo, deriva): Titular del modelo → Responsable de gobernanza de IA.
- Problemas de calidad de datos: Cualquier equipo → Titular de datos → Responsable de gobernanza de IA.
- Problemas de riesgo y cumplimiento: Cualquier empleado → Responsable de gobernanza de IA → Juridico/Cumplimiento → Comite de gobernanza de IA.
- Incidentes de seguridad: Cualquier empleado → Equipo de seguridad → Responsable de gobernanza de IA → Patrocinador ejecutivo.
- Reportes de IA no autorizada: Cualquier empleado → Responsable de gobernanza de IA → Seguridad (para evaluacion) → Comite de gobernanza de IA (si es sistemico).
- Preocupaciones eticas: Cualquier empleado → Responsable de gobernanza de IA → Comite de gobernanza de IA.
- Excepciones a politicas: Solicitante → Responsable de gobernanza de IA → Comite de gobernanza de IA (para alto riesgo).
9. Medicion de la eficacia
El Comite de gobernanza de IA da seguimiento a las siguientes metricas para evaluar si los roles y procesos de gobernanza estan funcionando:
- Porcentaje de sistemas de IA con un Titular del modelo asignado y documentacion actualizada.
- Tiempo promedio desde la recepcion del caso de uso hasta la aprobacion del despliegue.
- Numero de escalamientos de gobernanza y su tiempo de resolucion.
- Tasa de deteccion y correccion de IA no autorizada.
- Tasas de finalizacion de formacion por rol.
- Hallazgos de auditoria relacionados con brechas de roles o fallas de responsabilidad.
10. Alineacion regulatoria
- Reglamento Europeo de IA: Articulo 4a (alfabetizacion en IA), Articulo 9 (responsabilidades de gestion de riesgos), Articulo 26 (obligaciones del implementador).
- ISO/IEC 42001: Clausula 5.3 (Roles, responsabilidades y autoridades organizacionales).
- NIST AI RMF: Funcion GOVERN (GV-1: estructuras de gobernanza, GV-2: roles y responsabilidades).
11. Revision
Esta politica se revisa trimestralmente en alineacion con las reuniones del Comite de gobernanza de IA, o antes si se desencadena por una reestructuracion organizacional, cambios significativos de roles o hallazgos de auditoria.
Control documental
| Campo | Valor |
|---|---|
| Titular de la politica | [Responsable de gobernanza de IA] |
| Aprobado por | [Comite de gobernanza de IA] |
| Fecha de vigencia | [Fecha] |
| Proxima fecha de revision | [Fecha + 3 meses] |
| Version | 1.0 |
| Clasificacion | Interna |