Reglas básicas IA

Las reglas básicas para cumplir con la normativa sobre Inteligencia Artificial, explicadas de forma clara, práctica y adaptadas a lo que se exige hoy en España y la Unión Europea (incluyendo el AI Act, la LOPDGDD, el RGPD y las directrices de uso responsable).

https://leylegal.com/ley-de-inteligencia-artificial

GUÍA COMPLETA DE CUMPLIMIENTO DEL AI ACT (UE)

El AI Act es la primera normativa integral del mundo que regula la Inteligencia Artificial. Su objetivo es garantizar que los sistemas de IA utilizados en la Unión Europea sean seguros, transparentes, éticos y respetuosos con los derechos fundamentales. Para cumplirlo, cualquier organización debe seguir un conjunto de obligaciones que varían según el nivel de riesgo del sistema de IA que utilice o desarrolle.

El primer paso es clasificar el sistema de IA según su nivel de riesgo. El AI Act distingue entre sistemas prohibidos, de alto riesgo, de riesgo limitado y de riesgo mínimo. Los sistemas prohibidos incluyen prácticas como la puntuación social, la manipulación de personas vulnerables o la vigilancia biométrica masiva en tiempo real. Estos sistemas no pueden utilizarse bajo ninguna circunstancia. Los sistemas de alto riesgo —como los usados en sanidad, transporte, educación, empleo, seguridad o justicia— requieren controles estrictos, auditorías y documentación exhaustiva. Los sistemas de riesgo limitado deben cumplir obligaciones de transparencia, mientras que los de riesgo mínimo solo requieren buenas prácticas voluntarias.

TRANSPARENCIA

Una vez clasificado el sistema, la organización debe garantizar transparencia y comunicación clara. Esto implica informar a los usuarios cuando interactúan con IA, explicar la finalidad del sistema, sus limitaciones y si interviene en decisiones que les afectan. En sistemas de riesgo limitado, como chatbots o generadores de contenido, esta transparencia es obligatoria. En sistemas de alto riesgo, además, debe explicarse cómo se toman las decisiones y ofrecer mecanismos para impugnarlas.

El cumplimiento del AI Act exige también una gestión responsable de los datos. Si la IA procesa datos personales, se aplican simultáneamente el RGPD y la LOPDGDD. Esto implica minimizar los datos utilizados, justificar legalmente su tratamiento, garantizar la calidad de los datos y permitir que los usuarios ejerzan sus derechos. En sistemas de alto riesgo, es obligatorio realizar una Evaluación de Impacto de la IA, que analice riesgos éticos, técnicos y legales antes de desplegar el sistema.

SUPERVISIÓN HUMANA

Otro pilar fundamental es la supervisión humana significativa. El AI Act exige que las decisiones automatizadas puedan revisarse por personas cualificadas, que los operadores puedan intervenir cuando el sistema falla y que existan mecanismos para detener el sistema si actúa de forma incorrecta. En ámbitos sensibles —como selección de personal, diagnóstico médico o control fronterizo— esta supervisión es obligatoria y debe documentarse.

La normativa también exige garantizar la no discriminación y la equidad. Los sistemas de IA deben entrenarse con datos representativos y auditados para evitar sesgos por género, raza, edad, discapacidad u otros factores protegidos. Las organizaciones deben monitorizar periódicamente el rendimiento del sistema, corregir desviaciones y documentar los resultados de las auditorías. En sistemas de alto riesgo, estas auditorías son obligatorias y deben conservarse para inspecciones.

El AI Act establece requisitos estrictos de seguridad y robustez técnica. Los sistemas deben ser estables, resistentes a ataques, capaces de gestionar errores y disponer de registros de actividad para facilitar auditorías. Los proveedores deben documentar el diseño del sistema, los datos de entrenamiento, las pruebas realizadas y las medidas de mitigación de riesgos. Los usuarios profesionales deben operar el sistema siguiendo instrucciones claras y mantenerlo actualizado.

DOCUMENTACIÓN

La documentación y trazabilidad es otro elemento clave. Las organizaciones deben conservar información detallada sobre el desarrollo, entrenamiento, pruebas, despliegue y mantenimiento del sistema. Esta documentación debe estar disponible para autoridades europeas en caso de inspección. En sistemas de alto riesgo, la trazabilidad es obligatoria y debe mantenerse durante todo el ciclo de vida del sistema.

Si la organización utiliza IA de terceros, debe garantizar la responsabilidad compartida. Esto implica verificar que el proveedor cumple el AI Act, firmar acuerdos de tratamiento de datos, evaluar riesgos antes de integrar el sistema y monitorizar su funcionamiento. El usuario profesional no puede delegar completamente la responsabilidad en el proveedor: ambos comparten obligaciones legales.

Finalmente, el AI Act exige actualización y revisión continua. Los sistemas de IA deben monitorizarse durante su uso real, actualizarse cuando cambian los datos o el contexto, corregirse cuando se detectan sesgos y documentarse cada modificación. El cumplimiento no es un evento puntual, sino un proceso continuo que acompaña al ciclo de vida del sistema.

PLANTILLA DE EVALUACIÓN DE IMPACTO DE INTELIGENCIA ARTIFICIAL (EIA/IA)

(Formato en párrafos, profesional y alineado con el AI Act)

Descripción general del sistema de IA

Este apartado debe explicar qué hace el sistema de Inteligencia Artificial, cuál es su finalidad y en qué contexto se utiliza. Se debe describir si el sistema realiza clasificación, predicción, recomendación, generación de contenido o toma de decisiones automatizadas. También se debe indicar si el sistema sustituye, complementa o asiste a operadores humanos. La descripción debe incluir el alcance funcional, los usuarios previstos y las limitaciones conocidas del sistema.

Clasificación del nivel de riesgo según el AI Act

Aquí se determina si el sistema entra en alguna de las categorías del AI Act: riesgo mínimo, riesgo limitado, alto riesgo o prácticas prohibidas. Para sistemas de alto riesgo, se debe justificar la categoría y explicar por qué el sistema encaja en uno de los ámbitos regulados (sanidad, empleo, transporte, justicia, seguridad, educación, etc.). Si el sistema es de riesgo limitado, se deben detallar las obligaciones de transparencia aplicables. Si es de riesgo mínimo, se deben describir las buenas prácticas voluntarias adoptadas.

Datos utilizados por el sistema

Este apartado debe describir los tipos de datos que utiliza el sistema, su origen, su calidad y su relevancia para la finalidad del modelo. Se debe explicar si los datos contienen información personal, si se han anonimizado o pseudonimizado, y si existe base legal para su tratamiento conforme al RGPD. También se debe analizar la representatividad de los datos y el riesgo de sesgos derivados de su composición. En caso de usar datos de terceros, se debe documentar el proveedor y los acuerdos de tratamiento.

Evaluación de riesgos para derechos fundamentales

Aquí se analizan los riesgos que el sistema puede generar para las personas afectadas. Esto incluye riesgos de discriminación, sesgos, errores, falta de explicabilidad, impacto en privacidad, pérdida de control humano, exclusión social o perjuicios económicos. Se debe evaluar cómo el sistema podría afectar a grupos vulnerables y si existe riesgo de decisiones automatizadas que tengan efectos significativos sobre los individuos. Este análisis debe ser exhaustivo y considerar escenarios de uso normal y uso indebido.

Supervisión humana significativa

Este apartado debe describir cómo se garantiza la intervención humana en el funcionamiento del sistema. Se debe explicar quién supervisa el sistema, qué formación tiene, cómo puede intervenir, qué decisiones pueden revertirse y cómo se gestiona la responsabilidad humana. También se debe detallar cómo se evita que los operadores dependan excesivamente de la IA y cómo se previenen automatismos peligrosos. En sistemas de alto riesgo, la supervisión humana debe ser continua y documentada.

Medidas de mitigación y control de riesgos

Aquí se describen las medidas técnicas y organizativas implementadas para reducir los riesgos identificados. Esto incluye controles de calidad de datos, auditorías de sesgos, pruebas de robustez, mecanismos de seguridad, validación del modelo, monitorización en tiempo real, límites operativos y protocolos de emergencia. También se deben incluir medidas legales y organizativas, como políticas internas, formación de empleados y procedimientos de revisión periódica.

Transparencia y explicabilidad del sistema

Este apartado debe explicar cómo se informa a los usuarios y afectados de que están interactuando con IA. Se debe describir qué información se proporciona sobre el funcionamiento del sistema, cómo se explican las decisiones y cómo se garantiza que los usuarios puedan impugnar resultados. En sistemas de riesgo limitado, la transparencia es obligatoria; en sistemas de alto riesgo, la explicabilidad debe ser suficiente para permitir auditorías y revisión humana.

Documentación técnica y trazabilidad

Aquí se detalla la documentación disponible sobre el sistema: diseño, arquitectura, datos de entrenamiento, versiones del modelo, pruebas realizadas, auditorías, validaciones y registros de actividad. La trazabilidad debe permitir reconstruir cómo se ha desarrollado, entrenado y desplegado el sistema. En sistemas de alto riesgo, esta documentación debe mantenerse durante todo el ciclo de vida del sistema y estar disponible para autoridades europeas.

Evaluación del proveedor y responsabilidad compartida

Si el sistema utiliza IA de terceros, se debe evaluar el cumplimiento del proveedor con el AI Act y el RGPD. Se deben documentar los acuerdos de tratamiento de datos, las garantías contractuales, las auditorías externas y los mecanismos de control. La organización debe demostrar que no depende ciegamente del proveedor y que mantiene responsabilidad activa sobre el uso del sistema.

Plan de monitorización continua y revisión periódica

Este apartado debe describir cómo se monitoriza el sistema una vez desplegado. Se debe explicar cómo se detectan errores, cómo se corrigen sesgos, cómo se actualiza el modelo y cómo se documentan los cambios. El AI Act exige que los sistemas de IA se revisen de forma continua, especialmente si cambian los datos, el contexto o la finalidad del sistema.

Reglas básicas para cumplir con la normativa sobre Inteligencia Artificial

1) Transparencia y comunicación clara

Debes informar siempre que estás usando IA, especialmente si afecta a decisiones sobre personas. Incluye:

  • Qué sistema de IA se usa
  • Para qué finalidad
  • Qué datos procesa
  • Qué limitaciones tiene

Esto es obligatorio en el AI Act para sistemas de riesgo medio y alto.

2) Protección de datos (RGPD + LOPDGDD)

Si la IA procesa datos personales, debes cumplir con:

  • Minimización de datos (solo los necesarios)
  • Base legal para el tratamiento
  • Derechos del usuario (acceso, rectificación, supresión, oposición)
  • Evaluación de impacto (EIPD) si hay riesgo significativo

La IA no puede entrenarse con datos personales sin base legal.

3) Supervisión humana

La normativa exige que:

  • Las decisiones automatizadas siempre puedan ser revisadas por un humano
  • El usuario pueda solicitar intervención humana
  • El sistema no actúe de forma autónoma sin control en ámbitos sensibles (sanidad, justicia, seguridad, empleo)

4) No discriminación y equidad

Debes garantizar que la IA:

  • No genere sesgos por sexo, raza, edad, religión, discapacidad, etc.
  • No tome decisiones que afecten negativamente a grupos protegidos
  • Sea auditada periódicamente para detectar sesgos

Esto es obligatorio en sistemas de alto riesgo según el AI Act.

5) Seguridad y robustez técnica

La IA debe:

  • Funcionar de forma estable
  • Tener mecanismos de control de errores
  • Ser resistente a manipulaciones o ataques
  • Registrar actividad para auditorías

6) Uso ético

La normativa europea prohíbe:

  • IA para vigilancia masiva indiscriminada
  • IA para puntuación social (social scoring)
  • IA que manipule conductas vulnerables (niños, ancianos)
  • Reconocimiento facial en tiempo real en espacios públicos (salvo excepciones policiales estrictas)

7) Documentación y trazabilidad

Debes conservar:

  • Registros de entrenamiento
  • Versiones del modelo
  • Datos usados
  • Evaluaciones de impacto
  • Resultados de auditorías

Esto permite demostrar cumplimiento ante autoridades.

8) Responsabilidad y control del proveedor

Si usas IA de terceros:

  • Debes verificar que el proveedor cumple la normativa
  • Debes firmar acuerdos de tratamiento de datos
  • Debes evaluar riesgos antes de desplegar el sistema

9) Accesibilidad y explicabilidad

El usuario debe poder entender:

  • Por qué la IA ha tomado una decisión
  • Qué factores influyeron
  • Cómo puede impugnarla

La IA debe ser explicable, especialmente en decisiones que afecten a derechos.

10) Actualización y revisión continua

La normativa exige:

  • Revisar periódicamente el sistema
  • Actualizar modelos
  • Corregir sesgos
  • Mejorar seguridad
  • Documentar cambios
Compartir: Facebook (0) Twitter (0) LinkedIn (0) WhatsApp (0)