Volver a plantillas de políticas
Política 04 de 15

Politica de gobernanza de IA

Politica marco que establece el enfoque de la organizacion para gobernar los sistemas de IA a lo largo de su ciclo de vida.

1. Proposito

Esta politica establece como [Nombre de la organizacion] gobierna el desarrollo, adquisicion, despliegue y retiro de los sistemas de inteligencia artificial. Crea la estructura de gobernanza, define los derechos de decision, establece las puertas del ciclo de vida y confirma que los sistemas de IA operan dentro de limites de riesgo aceptables cumpliendo con las obligaciones regulatorias.

2. Alcance

Esta politica se aplica a:

Fuera de alcance: Software empresarial estandar que no utiliza capacidades de aprendizaje automatico o IA generativa (p. ej., automatizacion basada en reglas, paneles de analisis tradicionales).

  • Todos los sistemas de IA y aprendizaje automatico desarrollados internamente o adquiridos de terceros.
  • Todos los empleados, contratistas y socios que desarrollen, desplieguen, operen o supervisen sistemas de IA.
  • Todas las etapas del ciclo de vida de la IA: ideacion, desarrollo, pruebas, despliegue, monitoreo y retiro.
  • Tanto sistemas de IA de proposito general como especificos de dominio, incluyendo modelos de lenguaje extenso, herramientas de apoyo a la decision, analisis predictivo y sistemas de procesamiento automatizado.

3. Definiciones

  • Sistema de IA: Un sistema que utiliza tecnicas de aprendizaje automatico, aprendizaje profundo o IA generativa para producir resultados como predicciones, recomendaciones, decisiones o contenido.
  • Sistema de IA de alto riesgo: Un sistema de IA que toma o influye significativamente en decisiones que afectan los derechos, la salud, la seguridad, el empleo, la situacion financiera o el estatus legal de las personas. Tambien incluye sistemas clasificados como de alto riesgo conforme al Anexo III del Reglamento Europeo de IA.
  • Ciclo de vida de la IA: Las etapas por las que pasa un sistema de IA: ideacion, recopilacion de datos, desarrollo, validacion, despliegue, monitoreo y retiro.
  • Titular del modelo: La persona responsable del rendimiento, cumplimiento y postura de riesgo de un sistema de IA a lo largo de su ciclo de vida.
  • Comite de gobernanza de IA: El organo multifuncional que revisa los casos de uso de IA de alto riesgo, aprueba excepciones y establece estandares de gobernanza.

4. Estructura de gobernanza

Texto de marcador de posición. Complete con el lenguaje de su organización para 4. Estructura de gobernanza.

4.1 Comite de gobernanza de IA

La organizacion establece un Comite de gobernanza de IA compuesto por representantes de:

El Comite se reune mensualmente (o segun sea necesario para escalamientos) y es responsable de:

  • Liderazgo ejecutivo (patrocinador)
  • Asuntos juridicos y cumplimiento
  • Seguridad de la informacion
  • Privacidad de datos
  • Ingenieria / ciencia de datos
  • Operaciones comerciales
  • Gestion de riesgos
  • Aprobar o rechazar casos de uso de IA de alto riesgo.
  • Establecer y actualizar los estandares y umbrales de gobernanza de IA.
  • Revisar la postura agregada de riesgo de IA y las tendencias de incidentes.
  • Asesorar sobre cambios regulatorios que afecten las operaciones de IA.

4.2 Responsable de gobernanza de IA

Un Responsable de gobernanza de IA designado coordina las actividades diarias de gobernanza, mantiene el inventario de IA, da seguimiento al estado de cumplimiento y es el punto principal de escalamiento para asuntos relacionados con IA.

4.3 Titulares de modelos

Cada sistema de IA debe tener un titular del modelo asignado que rinda cuentas por:

  • Mantener la documentacion (ficha del modelo, ficha de datos, evaluacion de riesgos).
  • Confirmar que el sistema aprueba las validaciones requeridas antes del despliegue.
  • Monitorear el sistema en produccion y responder a incidentes.
  • Iniciar el retiro cuando el sistema ya no sea apto para su proposito.

4.4 Todos los empleados

Se espera que cada empleado:

  • Cumpla con esta politica y los procedimientos de IA relacionados.
  • Reporte el uso de herramientas de IA no autorizadas o no validadas.
  • Complete la formacion obligatoria de concienciacion sobre IA.
  • Escale las preocupaciones sobre el comportamiento de los sistemas de IA a traves de los canales establecidos.

5. Clasificacion de riesgo de IA

Todos los sistemas de IA deben clasificarse antes de que comience el desarrollo o la adquisicion.

Nivel de riesgoCriteriosRequisitos de gobernanza
AltoAfecta derechos, salud, seguridad, empleo, situacion financiera o estatus legal. Opera en un dominio regulado. Esta incluido en el Anexo III del Reglamento Europeo de IA.Revision completa del Comite, EIDF, pruebas obligatorias, monitoreo poscomercializacion, plan de respuesta a incidentes.
MedioInfluye en decisiones comerciales o la experiencia del cliente, pero no afecta directamente los derechos individuales.Revision del titular del modelo, evaluacion de riesgos documentada, monitoreo periodico.
BajoHerramientas internas de productividad, asistencia de contenido o analisis con revision humana.Registro en el inventario de IA, documentacion basica.

Los sistemas pueden reclasificarse a medida que evoluciona su uso. Cualquier cambio en la clasificacion de riesgo desencadena una nueva revision.

6. Puertas del ciclo de vida de IA

Los sistemas de IA deben pasar por las siguientes puertas. Cada puerta requiere evidencia documentada antes de proceder.

Puerta 1: Recepcion y clasificacion

  • Justificacion comercial documentada.
  • Clasificacion de riesgo asignada.
  • Requisitos de datos e impacto en la privacidad identificados.
  • Titular del modelo asignado.

Puerta 2: Desarrollo y validacion

  • Datos de entrenamiento obtenidos, documentados y revisados en busca de sesgos.
  • Modelo validado segun los criterios de aceptacion.
  • Revision de seguridad completada.
  • Pruebas de sesgo y equidad completadas para sistemas de alto riesgo.

Puerta 3: Aprobacion previa al despliegue

  • Validacion independiente completada (sistemas de alto riesgo).
  • Evaluacion de riesgos finalizada e ingresada en el registro de riesgos.
  • Revision de cumplimiento completada (mapeo regulatorio).
  • Aprobacion del titular del modelo y, para sistemas de alto riesgo, del Comite de gobernanza de IA.

Puerta 4: Despliegue

  • Monitoreo configurado (rendimiento, deriva, seguridad).
  • Plan de respuesta a incidentes documentado.
  • Requisitos de notificacion al usuario y transparencia cumplidos.
  • Procedimiento de reversion probado.

Puerta 5: Monitoreo continuo

  • Revisiones regulares de rendimiento segun las metricas acordadas.
  • Reevaluacion periodica de sesgo y equidad.
  • Evaluacion de impacto de cambios regulatorios.
  • Revalidacion desencadenada por cambios significativos en el modelo, los datos o el contexto operativo.

Puerta 6: Retiro

  • Partes interesadas notificadas.
  • Datos retenidos o eliminados segun la politica de retencion.
  • Sistema desmantelado y eliminado del inventario.
  • Lecciones aprendidas documentadas.

7. Alineacion regulatoria

Esta politica esta disenada para apoyar el cumplimiento de:

MarcoObligaciones clave
Reglamento Europeo de IAClasificacion de riesgo, evaluacion de conformidad, obligaciones de transparencia, evaluacion de impacto en derechos fundamentales, monitoreo poscomercializacion, registro de sistemas de alto riesgo.
ISO/IEC 42001Sistema de gestion de IA, tratamiento de riesgos, compromiso del liderazgo, controles operativos, evaluacion del desempeno, mejora continua.
NIST AI RMFFunciones Govern, Map, Measure, Manage a lo largo del ciclo de vida de la IA.
ISO/IEC 27001Controles de seguridad de la informacion aplicados a datos y sistemas de IA.

El Responsable de gobernanza de IA mantiene un mapeo entre los requisitos de esta politica y las obligaciones regulatorias aplicables, actualizado cuando las regulaciones cambien.

8. Excepciones

Cualquier solicitud de desviacion de esta politica debe presentarse al Responsable de gobernanza de IA con:

Las excepciones de alto riesgo requieren la aprobacion del Comite de gobernanza de IA. Todas las excepciones se registran y revisan al menos trimestralmente.

  • Una descripcion de la excepcion y su justificacion.
  • Una evaluacion del riesgo adicional introducido.
  • Controles compensatorios propuestos.
  • Una fecha de vencimiento definida (las excepciones no son permanentes).

9. Cumplimiento

El incumplimiento de esta politica puede resultar en:

La organizacion se reserva el derecho de suspender inmediatamente cualquier sistema de IA que represente un riesgo inaceptable para las personas, la organizacion o la situacion regulatoria.

  • Suspension del sistema de IA pendiente de revision.
  • Correccion obligatoria con un plazo definido.
  • Escalamiento al liderazgo ejecutivo.
  • Accion disciplinaria proporcional al riesgo introducido.

10. Revision y actualizacion

Esta politica se revisa al menos anualmente, o antes si se desencadena por:

El Responsable de gobernanza de IA es responsable de iniciar la revision. Las actualizaciones requieren la aprobacion del Comite de gobernanza de IA.

  • Cambios regulatorios significativos (p. ej., nuevas disposiciones del Reglamento Europeo de IA que entren en vigor).
  • Incidentes significativos de IA dentro de la organizacion.
  • Cambios en la estrategia de IA o el apetito de riesgo de la organizacion.
  • Hallazgos de auditorias internas o externas.

Control documental

CampoValor
Titular de la politica[Responsable de gobernanza de IA]
Aprobado por[Comite de gobernanza de IA]
Fecha de vigencia[Fecha]
Proxima fecha de revision[Fecha + 12 meses]
Version1.0
ClasificacionInterna

¿Listo para implementar esta política?

Use VerifyWise para personalizar esta plantilla de política, desplegarla y hacer seguimiento del cumplimiento.

Comenzar gratisExplorar todas las plantillas
Politica de gobernanza de IA | Plantillas de gobernanza de IA de VerifyWise