1. Proposito
Esta politica establece como [Nombre de la organizacion] identifica, da seguimiento y demuestra el cumplimiento de las regulaciones, estandares y obligaciones contractuales relacionadas con la IA. Crea el proceso de gestion de cumplimiento, define el registro de requisitos y confirma que se mantiene evidencia para satisfacer a reguladores, auditores, organismos de certificacion y clientes.
2. Alcance
Esta politica abarca:
- Todos los sistemas de IA sujetos a regulacion externa (Reglamento Europeo de IA, RGPD, normas sectoriales).
- Todos los sistemas de IA dentro del alcance de estandares voluntarios (ISO/IEC 42001, NIST AI RMF).
- Todos los sistemas de IA sujetos a obligaciones contractuales de cumplimiento (auditorias de clientes, acuerdos con socios).
- Todas las jurisdicciones donde la organizacion desarrolle, despliegue u ofrezca sistemas de IA.
3. Panorama de marcos y priorizacion
Los tres marcos principales de gobernanza de IA abordan preocupaciones superpuestas pero distintas. Las organizaciones deben comprender su relacion:
Enfoque recomendado: Comience con el marco mas relevante para sus obligaciones regulatorias (Reglamento Europeo de IA para operaciones en la UE, NIST AI RMF para organizaciones centradas en EE. UU.). Anade ISO/IEC 42001 para una gestion sistematica y certificacion. Utilice mapeos cruzados para evitar duplicar esfuerzos donde los marcos se solapan.
- Reglamento Europeo de IA: Obligaciones legales. Obligatorio para sistemas de IA comercializados o utilizados en la UE. El incumplimiento conlleva multas de hasta 35 millones de EUR o el 7% de la facturacion global.
- ISO/IEC 42001: Estandar de sistema de gestion. Voluntario pero cada vez mas exigido por clientes y socios empresariales. Certificable a traves de organismos acreditados.
- NIST AI RMF: Proceso de gestion de riesgos. Voluntario, ampliamente adoptado en EE. UU. Proporciona una metodologia estructurada para identificar, evaluar y gestionar riesgos de IA.
4. Mapeo entre marcos
La siguiente tabla mapea los temas clave de gobernanza a su ubicacion en cada marco, permitiendo a los equipos satisfacer multiples obligaciones con un solo control cuando sea posible.
| Tema de gobernanza | Reglamento Europeo de IA | ISO/IEC 42001 | NIST AI RMF |
|---|---|---|---|
| Evaluacion de riesgos | Art. 9 | Clausula 6.1, Anexo B | MAP, MEASURE |
| Estructura de gobernanza | Art. 4a, 9, 26 | Clausula 5.1, 5.3 | GOVERN (GV-1, GV-2) |
| Documentacion tecnica | Art. 11, Anexo IV | Clausula 7.5 | MAP (MP-5) |
| Gobernanza de datos | Art. 10 | Anexo B (B.7) | MAP (MP-3), MANAGE (MG-3) |
| Transparencia | Art. 13, 50 | Clausula 4.2 | GOVERN (GV-4) |
| Supervision humana | Art. 14 | Anexo C (C.2) | GOVERN (GV-5), MANAGE (MG-4) |
| Exactitud y robustez | Art. 15 | Clausula 8.4 | MEASURE (MS-2) |
| Sesgo y equidad | Art. 10 (datos), Considerando 47 | Anexo B (B.3) | MEASURE (MS-2), MAP (MP-3) |
| Monitoreo poscomercializacion | Art. 72 | Clausula 9.1 | MANAGE (MG-1, MG-2) |
| Notificacion de incidentes | Art. 73 | Clausula 10.2 | MANAGE (MG-4) |
| Gestion de terceros | Art. 25 (cadena de valor) | Clausula 8.5 | GOVERN (GV-6) |
| Formacion y competencia | Art. 4a (alfabetizacion en IA) | Clausula 7.2 | GOVERN (GV-3) |
5. Obligaciones del Reglamento Europeo de IA
Obligaciones clave para proveedores e implementadores de sistemas de IA de alto riesgo:
- Clasificacion de riesgo (Art. 6, Anexo III): Clasificar todos los sistemas de IA. El alto riesgo activa requisitos obligatorios.
- Evaluacion de conformidad (Art. 43): Evaluacion interna o por terceros antes de la comercializacion.
- Documentacion tecnica (Art. 11, Anexo IV): Expediente tecnico que describa el sistema, datos, pruebas y rendimiento.
- Transparencia (Art. 13, 50): Informacion a implementadores/usuarios sobre capacidades y limitaciones. Notificar a los usuarios cuando interactuen con IA.
- Supervision humana (Art. 14): Disenar para una supervision humana efectiva de la operacion.
- Evaluacion de impacto en derechos fundamentales (Art. 27): Los implementadores evaluan el impacto antes del uso.
- Monitoreo poscomercializacion (Art. 72): Plan de monitoreo para sistemas de alto riesgo desplegados.
- Notificacion de incidentes (Art. 73): Reportar incidentes graves a las autoridades de vigilancia del mercado sin demora indebida.
- Registro (Art. 49): Registro en la base de datos de la UE antes de la comercializacion.
- Alfabetizacion en IA (Art. 4a): Asegurar que el personal tenga suficiente alfabetizacion en IA para su rol.
6. Requisitos de ISO/IEC 42001
Clausulas clave del sistema de gestion de IA:
Certificacion: La certificacion ISO/IEC 42001 requiere una auditoria por terceros acreditados. El Responsable de gobernanza de IA coordina el programa de certificacion, incluyendo la Etapa 1 (revision documental) y la Etapa 2 (auditoria de implementacion), mas auditorias anuales de seguimiento.
- Clausula 4: Contexto (partes interesadas, alcance, inventario de sistemas de IA).
- Clausula 5: Liderazgo (compromiso, politica, roles).
- Clausula 6: Planificacion (evaluacion de riesgos, objetivos, evaluacion de impacto de IA).
- Clausula 7: Soporte (recursos, competencia, concienciacion, documentacion).
- Clausula 8: Operacion (ciclo de vida, terceros, gestion de datos).
- Clausula 9: Evaluacion del desempeno (monitoreo, auditoria interna, revision por la direccion).
- Clausula 10: Mejora (no conformidad, accion correctiva, mejora continua).
7. Proceso de gestion del cumplimiento
Texto de marcador de posición. Complete con el lenguaje de su organización para 7. Proceso de gestion del cumplimiento.
7.1 Registro de requisitos
El Responsable de gobernanza de IA mantiene un registro de requisitos que mapea cada obligacion a:
- La clausula o articulo especifico.
- El control interno que lo aborda.
- El responsable del control encargado de la implementacion.
- La evidencia requerida para demostrar el cumplimiento.
- El estado actual (conforme, parcialmente conforme, brecha, no aplicable).
- Planes y plazos de correccion para las brechas.
7.2 Biblioteca de evidencia
Toda la evidencia de cumplimiento se almacena centralmente con control de versiones, etiquetas de retencion, controles de acceso y marcas de tiempo. Los tipos de evidencia incluyen:
- Politicas y procedimientos (este documento, politicas relacionadas).
- Evaluaciones de riesgos y planes de tratamiento.
- Fichas de modelos, fichas de datos y documentacion tecnica.
- Informes de pruebas (sesgo, equidad, seguridad, rendimiento).
- Registros de formacion y evaluaciones de competencia.
- Actas de reuniones y registros de decisiones.
- Informes de incidentes y revisiones posincidente.
- Informes de auditoria y evidencia de correccion.
7.3 Analisis de brechas
El analisis de brechas se realiza cuando entra en vigor una nueva regulacion, cuando un nuevo sistema de IA entra en el alcance, anualmente como parte del ciclo de revision, y cuando los hallazgos de auditoria identifiquen debilidades en los controles. Las brechas se asignan a responsables de correccion, plazos y se da seguimiento hasta su cierre.
7.4 Monitoreo de cambios regulatorios
Juridico y Cumplimiento monitorean los desarrollos regulatorios. Cuando se identifica un cambio significativo, se actualiza el registro de requisitos, se notifica a los responsables de los controles afectados, se desencadena un analisis de brechas y se informa al Comite de gobernanza de IA.
8. Obligaciones de notificacion de incidentes
| Marco | Obligacion de notificacion | Plazo |
|---|---|---|
| Reglamento Europeo de IA (Art. 73) | Reportar incidentes graves a la autoridad de vigilancia del mercado | Sin demora indebida, a mas tardar 15 dias despues de tomar conocimiento |
| RGPD (Art. 33) | Reportar violaciones de datos personales a la autoridad de control | Dentro de las 72 horas de haber tomado conocimiento |
| ISO/IEC 42001 (Clausula 10.2) | Registrar no conformidades y tomar acciones correctivas | Como parte del proceso de mejora continua |
| NIST AI RMF (MG-4) | Documentar y comunicar las decisiones de gestion de riesgos | Segun el proceso organizacional |
9. Roles y responsabilidades
| Rol | Responsabilidades de cumplimiento |
|---|---|
| Responsable de gobernanza de IA | Mantiene el registro, coordina auditorias, da seguimiento a la correccion, prepara informes, gestiona el programa de certificacion. |
| Responsables de controles | Implementan controles, producen y actualizan evidencia, corrigen hallazgos. |
| Juridico y Cumplimiento | Monitorean regulaciones, asesoran sobre obligaciones, coordinan las interacciones con reguladores. |
| Titulares de modelos | Aseguran que los sistemas cumplan los requisitos, mantienen la documentacion tecnica, apoyan las auditorias. |
| Comite de gobernanza de IA | Aprueba la estrategia, revisa la postura, resuelve escalamientos. |
10. Periodicidad de informes
- Mensual: El Responsable de gobernanza de IA revisa el estado del registro y la vigencia de la evidencia.
- Trimestral: Resumen de cumplimiento presentado al Comite de gobernanza de IA.
- Anual: Informe completo de cumplimiento al liderazgo ejecutivo que cubra la cobertura de marcos, tendencias de brechas, resultados de auditoria y perspectiva regulatoria.
11. Excepciones
El aplazamiento temporal de un control de cumplimiento requiere justificacion escrita, controles compensatorios, un plazo de correccion y la aprobacion del Responsable de gobernanza de IA (o del Comite para controles de alto riesgo).
12. Revision
Esta politica se revisa anualmente o antes si se desencadena por la entrada en vigor de nuevas regulaciones, hallazgos significativos de auditoria o cambios en el alcance de IA de la organizacion.
Control documental
| Campo | Valor |
|---|---|
| Titular de la politica | [Responsable de gobernanza de IA] |
| Aprobado por | [Comite de gobernanza de IA] |
| Fecha de vigencia | [Fecha] |
| Proxima fecha de revision | [Fecha + 12 meses] |
| Version | 1.0 |
| Clasificacion | Interna |