GENAI AREDEZ
GENAI AREDEZ · Gobernabilidad de IA · MMXXVI · Gobernanza · Página 4 / IX

Gobernanza

Cumplir con Europa no es un coste aparte: sale de la misma base que pone su IA a operar.

Subtítulo

La regulación europea de la IA no le pide buenas intenciones: le pide demostrar, por escrito, qué hace su sistema y cómo lo controla. Esa prueba no se fabrica al final, como un trámite: es lo que queda cuando la IA está bien construida y gobernada desde el primer día.

§ 01 · El principio

Preciso pero legible. Traducir no es simplificar.

A usted no le sirve ni la jerga del técnico ni el folleto del comercial. Le sirve la pregunta que usted ya tiene, respondida con el artefacto que la responde — el documento concreto que un auditor, o usted, puede abrir.

Patrón

«¿Cómo sé que esto funciona y se gobierna?»

→ Artefacto

El documento concreto que responde la pregunta y que un auditor puede abrir.

§ 02 · Las tres normas que importan

ISO/IEC 42001, EU AI Act, RGPD — en su idioma.

01 ISO/IEC 42001

Gestionar la IA como un sistema, no como una intención.

Es la primera norma internacional que define qué significa gestionar la inteligencia artificial con responsabilidad: con un responsable, procesos, evaluación de riesgos y mejora continua. Su «Anexo A» es, en la práctica, una lista de cosas que cualquier empresa que opere IA debería estar haciendo; nosotros le mostramos, una por una, cuáles hace, cómo y con qué evidencia.

Su pregunta

«¿Estoy gestionando mi IA o improvisando?»

El artefacto

El sistema de gestión: política, registro de riesgos, declaración de aplicabilidad.

02 EU AI Act

Saber en qué casilla cae cada sistema, y poder defenderlo.

La ley europea clasifica los sistemas por riesgo. La primera pregunta no es técnica: es saber si lo suyo es de «alto riesgo» o no — y, si dice que no, poder demostrarlo por escrito antes de usarlo. Sin un inventario de sus sistemas y su finalidad, esa respuesta no existe.

Su pregunta

«¿Me aplica, y cuánto me cuesta no hacerlo?»

El artefacto

Inventario y clasificación de riesgo, y el sistema de calidad que la ley exige para alto riesgo (Art. 17).

03 RGPD

Los datos personales tienen reglas, también dentro de la IA.

La protección de datos se aplica a toda IA que toque datos de personas, sea cual sea su nivel de riesgo. Tener el dato no da derecho a usarlo; si su IA decide sobre una persona, esa persona tiene derecho a que intervenga un humano.

Su pregunta

«¿Sé si mi IA está causando daño, y puedo demostrar que la gobierno?»

El artefacto

Evaluación de impacto, registro de tratamientos y los controles que lo dejan ver.

§ 03 · La diferencia

El cumplimiento no es un trámite aparte.

Aquí está la diferencia con una consultora de cumplimiento al uso: nosotros no le entregamos un informe que certifica un momento. La evidencia de control sale de la arquitectura que hace operar a la IA — vive junto al sistema, se actualiza con él, y por eso sigue siendo cierta el día que llega el auditor.

Cumplimiento integrado, no añadido después.

§ 04 · Una nota de precisión

La distinción que conviene tener clara.

Nota de precisión

Decimos «conforme a ISO/IEC 42001» y «sistema de gestión implementado y auditable» — no «organización certificada por una entidad acreditada»: son cosas distintas, y la distinción importa.

Trabajamos su cumplimiento —EU AI Act, RGPD, ISO/IEC 42001— hasta dejarlo documentado y defendible, sobre la documentación oficial. La alineación con la norma y el argumento técnico-regulatorio son nuestro trabajo; el dictamen jurídico, cuando hace falta, lo firma un letrado.

Cuando una afirmación tiene matices, se los contamos; esa es, precisamente, la clase de proveedor que conviene cuando lo que está en juego es defenderse ante un regulador.

§ 05 · Siguiente paso

Operable abajo, defendible arriba.

La gobernanza no es una capa decorativa: es la consecuencia natural de una base operable. Una sale de la otra.

Responder al regulador empieza por poder verse uno mismo.

Hablemos → Una conversación. Sin formulario, sin demo.