La mayoria del trabajo de cumplimiento del EU AI Act se desmorona en un punto: la brecha entre conocer las obligaciones y convertirlas en reglas internas repetibles.
Los equipos intentan "cumplir" pero nunca documentan como. Los mismos debates resurgen en cada proyecto. La evidencia termina dispersa entre tickets de Jira, carpetas de SharePoint y la bandeja de entrada de alguien. Luego, el departamento de adquisiciones pide una politica y alguien la escribe a las 2 de la manana.
Este articulo le da un paquete minimo de politicas para implementadores de sistemas de IA de alto riesgo, anclado directamente a los articulos del EU AI Act. Luego anadimos las politicas adicionales que aparecen repetidamente en cuatro escenarios comunes de implementacion: empleo, credito, infraestructura critica y educacion.
Proveedor vs. implementador: sepa que rol desempena
El EU AI Act traza una linea clara entre dos roles. Equivocarse en esto significa construir el programa de cumplimiento incorrecto.
| Rol | Que significa en la practica | Referencia del EU AI Act |
|---|---|---|
| Proveedor | Construye un sistema de IA (o lo manda construir) y lo coloca en el mercado o lo pone en servicio bajo su propio nombre o marca | Articulo 3(3) |
| Implementador | Utiliza un sistema de IA bajo su autoridad como parte de una funcion empresarial o publica | Articulo 3(4) |
Si compra un modelo de contratacion de un proveedor y lo ejecuta en recursos humanos, usted es el implementador. Si luego coloca una marca blanca en ese modelo y lo vende bajo su marca, tambien puede convertirse en proveedor, dependiendo de como lo coloque en el mercado.
La mayoria de las empresas son implementadores. Eso es lo que aborda este paquete de politicas.
Cuando se aplica "alto riesgo" a los implementadores?
El Anexo III enumera los casos de uso de alto riesgo que mas preocupan a las empresas. Si su sistema de IA cae en una de estas categorias, las obligaciones del implementador bajo el Articulo 26 entran en vigor.
| Tipo de implementacion | Referencia del Anexo III | Que lo activa |
|---|---|---|
| Infraestructura critica | Anexo III(2) | Componentes de seguridad en la gestion y operacion de infraestructura digital critica, trafico vial, agua, gas, calefaccion, electricidad |
| Educacion | Anexo III(3) | Decisiones de admision, calificacion, orientacion de resultados de aprendizaje, supervision de examenes |
| Empleo | Anexo III(4) | Reclutamiento, filtrado de solicitudes, evaluacion de candidatos, ascensos, despidos, monitoreo del rendimiento |
| Credito y seguros | Anexo III(5)(b) y (c) | Evaluacion de solvencia crediticia, puntuacion crediticia, evaluacion y fijacion de precios de riesgo de seguros de vida y salud |
Si no esta seguro de si su sistema califica, comience con una evaluacion de clasificacion. Las categorias de riesgo del EU AI Act no son interpretaciones opcionales: estan definidas en la regulacion.
El paquete minimo de politicas para implementadores
El EU AI Act rara vez exige "debe tener una politica llamada X". Lo que si exige es que los implementadores realicen acciones especificas de manera consistente, con propiedad clara y evidencia documentada.
El Articulo 26 es la columna vertebral para los implementadores de sistemas de alto riesgo. Aqui hay un conjunto minimo de politicas que cubre las obligaciones principales con la menor superficie posible:
| Politica | Que controla | Referencia del EU AI Act |
|---|---|---|
| Procedimiento de implementacion de IA de alto riesgo | Como los equipos aprueban un caso de uso, confirman el proposito previsto y aseguran que el uso se alinee con las instrucciones de uso del proveedor | Articulo 26(1) |
| Procedimiento de supervision humana y responsabilidad | Quien tiene autoridad para supervisar los resultados, cuando deben intervenir los humanos, requisitos de capacitacion y competencia | Articulo 26(2) |
| Procedimiento de gobernanza de datos de entrada | Reglas para la relevancia y representatividad de los datos de entrada que usted controla, mas monitoreo de la deriva de datos | Articulo 26(4) |
| Procedimiento de monitoreo y escalamiento de incidentes | Monitoreo continuo, rutas de escalamiento interno, criterios de suspension y como notificar a proveedores y autoridades cuando se detectan riesgos o incidentes graves | Articulo 26(5) |
| Procedimiento de retencion y acceso a registros | Que registros retiene, periodos de retencion, controles de acceso y como extraer evidencia para auditorias o investigaciones de incidentes | Articulo 26(6) |
| Procedimiento de transparencia laboral | Como informa a los empleados y representantes de los trabajadores cuando se utiliza IA de alto riesgo en el lugar de trabajo | Articulo 26(7) |
| Plan de alfabetizacion en IA | Capacitacion basada en roles para el personal que opera o interactua con sistemas de IA en su nombre | Articulo 4 |
Siete politicas. Esa es la base.
Complementos condicionales: cuando necesita mas
Dependiendo de su implementacion, dos politicas adicionales pueden volverse obligatorias:
| Politica | Cuando se requiere | Referencia del EU AI Act |
|---|---|---|
| Procedimiento de evaluacion de impacto en derechos fundamentales (FRIA) | Requerido para organismos publicos y ciertas entidades privadas que prestan servicios publicos antes de implementar la mayoria de los sistemas de alto riesgo. Tambien requerido para implementadores de sistemas de puntuacion crediticia y ciertos sistemas de seguros | Articulo 27 |
| Procedimiento de transparencia y divulgacion al usuario | Requerido si su IA interactua directamente con personas, utiliza reconocimiento de emociones o categorizacion biometrica, genera medios sinteticos tipo deepfake o publica texto generado por IA sobre asuntos de interes publico | Articulo 50 |
| Procedimiento de manejo de explicaciones | Requerido si utiliza sistemas de alto riesgo del Anexo III para tomar decisiones con efectos legales o similarmente significativos sobre las personas (excepto sistemas del punto 2 del Anexo III) | Articulo 86 |
Complementos de politicas especificos por implementacion
El paquete minimo cubre el cumplimiento basico. Las implementaciones del mundo real en dominios regulados necesitan controles adicionales. A continuacion se muestran los complementos que aparecen repetidamente en las implementaciones empresariales.
Implementaciones de empleo
Los sistemas de IA relacionados con el empleo caen bajo el Anexo III(4). Estas implementaciones tocan la contratacion, las evaluaciones de rendimiento, los ascensos y los despidos, areas con una exposicion legal significativa y sensibilidad laboral.
| Politica adicional | Proposito | Basada en |
|---|---|---|
| Procedimiento de gobernanza de decisiones de empleo | Define que decisiones de RRHH pueden incorporar resultados de IA, umbrales de revision humana, rutas de apelacion y cadencia de monitoreo de sesgo | Deberes de supervision y monitoreo del Articulo 26 |
| Procedimiento de impacto y consulta a trabajadores | Operacionaliza los requisitos de transparencia laboral especificamente para contextos de RRHH | Articulo 26(7) |
| Procedimiento FRIA | Obligatorio cuando el implementador es un organismo publico o entidad privada que presta servicios publicos | Articulo 27(1) |
Implementaciones de credito
La puntuacion crediticia y la evaluacion de solvencia estan explicitamente listadas en el Anexo III(5)(b). El Articulo 27 requiere especificamente que los implementadores de estos sistemas realicen evaluaciones de impacto en derechos fundamentales.
| Politica adicional | Proposito | Basada en |
|---|---|---|
| Procedimiento FRIA | Obligatorio antes del primer uso, con actualizaciones requeridas cuando cambian elementos clave del sistema | Articulo 27 |
| Procedimiento de explicacion de decisiones adversas | Operacionaliza como proporcionar explicaciones significativas cuando las decisiones informadas por IA afectan significativamente a las personas | Articulo 86 |
| Manual de monitoreo y suspension | Hace que "dejar de usarlo" sea una opcion concreta con disparadores definidos, responsables y procedimientos de respaldo | Articulo 26(5) |
Implementaciones de infraestructura critica
La infraestructura critica aparece en el Anexo III(2). Estas implementaciones priorizan la seguridad operacional y la resiliencia del sistema por encima de todo.
| Politica adicional | Proposito | Basada en |
|---|---|---|
| Procedimiento de seguridad operacional y anulacion | Define estados seguros, procedimientos de respaldo manual, quien puede anular los resultados de IA y requisitos de tiempo de respuesta | Deberes de supervision y monitoreo del Articulo 26 |
| Procedimiento de integracion de respuesta a incidentes | Conecta los incidentes especificos de IA con los marcos existentes de gestion y escalamiento de incidentes operacionales | Articulo 26(5) |
| Procedimiento de retencion de registros y preparacion forense | Asegura que los registros soporten el analisis post-incidente en entornos con estrictas restricciones de tiempo de actividad y disponibilidad | Articulo 26(6) |
Implementaciones de educacion
La educacion y la formacion profesional caen bajo el Anexo III(3). Estos sistemas a menudo involucran a menores o estudiantes en relaciones de desequilibrio de poder, lo que exige una documentacion y transparencia mas estrictas.
| Politica adicional | Proposito | Basada en |
|---|---|---|
| Procedimiento de gobernanza de evaluacion estudiantil | Reglas para la calificacion asistida por IA, resultados de supervision, umbrales de revision humana y manejo de disputas | Deberes de supervision y monitoreo del Articulo 26 |
| Procedimiento de transparencia y divulgacion | Asegura que las personas entiendan cuando estan interactuando con IA, incluyendo divulgaciones para la generacion de contenido sintetico | Articulo 50 |
| Procedimiento FRIA | Obligatorio cuando el implementador es un organismo publico o entidad privada que presta servicios publicos | Articulo 27(1) |
De la politica a la practica
Las politicas sin implementacion son solo PDFs acumulando polvo. Cada politica necesita:
- Propiedad clara: Quien la mantiene, quien aprueba los cambios
- Requisitos de evidencia: Que documentacion demuestra el cumplimiento
- Cadencia de revision: Con que frecuencia se revisa y actualiza
- Puntos de integracion: Como se conecta con sus flujos de trabajo existentes
El EU AI Act le da los anclajes legales. Sus sistemas internos (plataformas GRC, gestion documental o herramientas de gobernanza de IA especializadas) proporcionan el flujo de trabajo, el versionado, las aprobaciones y la pista de auditoria. Si los empleados estan adoptando herramientas de IA fuera de los canales aprobados, la deteccion de IA en la sombra puede identificar ese uso antes de que cree brechas de cumplimiento en su programa de implementador.
Comience a construir su programa de cumplimiento de implementador
Si esta implementando sistemas de IA de alto riesgo en la UE, el reloj esta corriendo. El paquete minimo de politicas anterior le da un punto de partida concreto. Los complementos especificos por implementacion le ayudan a adaptar el cumplimiento a sus casos de uso reales.
Necesita ayuda para convertir estas politicas en flujos de trabajo operacionales? Comience con VerifyWise para gestionar su programa de gobernanza de IA, o contacte a nuestro equipo para discutir sus escenarios de implementacion especificos.