Gobernanza

Para que un regulador no le preocupe, primero tiene que poder responderle.

Subtítulo

La regulación europea de la IA no le pide buenas intenciones: le pide poder demostrar, por escrito, qué hace su sistema y cómo lo controla. Eso no es un trámite que se añade al final — sale de la misma base que pone la IA a funcionar.

§ 01 · El principio

Preciso pero legible. Traducir no es simplificar.

A usted no le sirve ni la jerga del técnico ni el folleto del comercial. Le sirve la pregunta que usted ya tiene, respondida con el artefacto que la responde — el documento concreto que un auditor, o usted, puede abrir.

Patrón

«¿Cómo sé que esto funciona y se gobierna?»

→ Artefacto

El documento concreto que responde la pregunta y que un auditor puede abrir.

§ 02 · Las tres normas que importan

ISO/IEC 42001, EU AI Act, RGPD — en su idioma.

01 ISO/IEC 42001

Gestionar la IA como un sistema, no como una intención.

Es la primera norma internacional que define qué significa gestionar la inteligencia artificial con responsabilidad: con un responsable, procesos, evaluación de riesgos y mejora continua. Su «Anexo A» es, en la práctica, una lista de cosas que cualquier empresa que opere IA debería estar haciendo; nosotros le mostramos, una por una, cuáles hace, cómo y con qué evidencia.

Su pregunta

«¿Estoy gestionando mi IA o improvisando?»

El artefacto

El sistema de gestión: política, registro de riesgos, declaración de aplicabilidad.

02 EU AI Act

Saber en qué casilla cae cada sistema, y poder defenderlo.

La ley europea clasifica los sistemas por riesgo. La primera pregunta no es técnica: es saber si lo suyo es de «alto riesgo» o no — y, si dice que no, poder demostrarlo por escrito antes de usarlo. Sin un inventario de sus sistemas y su finalidad, esa respuesta no existe.

Su pregunta

«¿Me aplica, y cuánto me cuesta no hacerlo?»

El artefacto

Inventario y clasificación de riesgo, y el sistema de calidad que la ley exige para alto riesgo (Art. 17).

03 RGPD

Los datos personales tienen reglas, también dentro de la IA.

La protección de datos se aplica a toda IA que toque datos de personas, sea cual sea su nivel de riesgo. Tener el dato no da derecho a usarlo; si su IA decide sobre una persona, esa persona tiene derecho a que intervenga un humano.

Su pregunta

«¿Sé si mi IA está causando daño, y puedo demostrar que la gobierno?»

El artefacto

Evaluación de impacto, registro de tratamientos y los controles que lo dejan ver.

§ 03 · La diferencia

El cumplimiento no es un trámite aparte.

Aquí está la diferencia con una consultora de cumplimiento al uso: nosotros no le entregamos un informe que certifica un momento. La evidencia de control sale de la arquitectura que hace operar a la IA — vive junto al sistema, se actualiza con él, y por eso sigue siendo cierta el día que llega el auditor.

Cumplimiento integrado, no añadido después.

§ 04 · Una nota de honestidad

Lo que decimos, y lo que no decimos.

Nota de honestidad

Decimos «conforme a ISO/IEC 42001» y «sistema de gestión implementado y auditable» — no «organización certificada por una entidad acreditada», porque son cosas distintas y no le vamos a vender una por otra.

Cuando una afirmación tiene matices, se los contamos; esa es, precisamente, la clase de proveedor que conviene cuando lo que está en juego es defenderse ante un regulador.

§ 05 · Siguiente paso

Operable abajo, defendible arriba.

La gobernanza no es una capa decorativa: es la consecuencia natural de una base operable. Una sale de la otra.

La base de la que sale todo esto → Probado en producción →

Responder al regulador empieza por poder verse uno mismo.

Hablemos → Una conversación. Sin formulario, sin demo.