Checklist para Cumplir con la Ley de IA de la UE

Checklist de Riesgos y Gobernanza en IA

En la era de la inteligencia artificial, es vital asegurarse de que los sistemas de IA cumplan con las normativas y estándares éticos. A continuación, se presenta un checklist que abarca múltiples aspectos de la gestión de riesgos y gobernanza en IA, alineado con el Reglamento de IA de la UE.

1. Identificación y Clasificación de Riesgos

• Determinar si la IA cae bajo las categorías de riesgo inaceptable, alto, limitado o mínimo.
• Verificar si califica como IA de propósito general (GPAI) o un sistema agente con autonomía.
• Mapear el alcance jurisdiccional (Reglamento de IA de la UE, GDPR, leyes nacionales, mercados globales).

2. Gobernanza y Responsabilidad

• Asignar un responsable claro para el cumplimiento de la IA.
• Establecer un marco de gobernanza de IA (políticas, comités, rutas de escalado).
• Definir roles para proveedor, desplegador, distribuidor e importador según el Reglamento de IA de la UE.

3. Gestión y Calidad de Datos

• Asegurar que los conjuntos de datos sean representativos, relevantes y documentados.
• Realizar auditorías de sesgos y equidad durante la preparación de datos.
• Aplicar protección de datos por diseño (minimización, anonimización, base legal).

4. Diseño y Desarrollo

• Realizar evaluaciones de riesgo en cada etapa del desarrollo.
• Documentar el diseño del modelo, entrenamiento y limitaciones.
• Implementar seguridad por diseño (robustez ante ataques, pruebas de penetración).

5. Transparencia y Documentación

• Mantener documentación técnica (tarjetas de modelo, hojas de datos, uso previsto).
• Proporcionar instrucciones de uso a los desplegadores descendentes.
• Declarar claramente capacidades, limitaciones y tasas de error a los usuarios.
• Registrar fuentes de datos de entrenamiento, cambios en el modelo y flujos de decisión.

6. Supervisión y Control Humano

• Asegurar mecanismos de humano en el bucle (HITL) o humano en el lazo (HOTL).
• Proporcionar medios para anular o apagar el sistema de manera segura.
• Capacitar a los usuarios en supervisión efectiva y revisión de decisiones.

7. Pruebas y Validación

• Realizar pruebas previas al despliegue para precisión, robustez y seguridad.
• Simular escenarios adversariales y de uso indebido.
• Validar contra normas de cumplimiento y éticas.

8. Despliegue y Monitoreo

• Mantener monitoreo continuo para rendimiento, desviaciones y anomalías.
• Registrar eventos significativos para trazabilidad y responsabilidad.
• Recoger retroalimentación de usuarios e informes de incidentes sistemáticamente.
• Establecer un proceso de desmantelamiento cuando los sistemas sean retirados.

9. Evaluación de Impacto y Derechos

• Realizar una Evaluación de Impacto de Derechos Fundamentales (FRIA) si el riesgo es no trivial.
• Mapear riesgos a privacidad, igualdad, seguridad, libertad de expresión, empleo.
• Documentar estrategias de mitigación para daños identificados.

10. Cumplimiento Normativo

• Verificar obligaciones bajo el Reglamento de IA de la UE (basado en el nivel de riesgo).
• Asegurar cumplimiento con GDPR, leyes de ciberseguridad, leyes de protección al consumidor.
• Para sistemas de alto riesgo, preparar archivos de evaluación de conformidad.
• Rastrear cronogramas para obligaciones de cumplimiento por fases.

11. Seguridad y Ciber-resiliencia

• Asegurar el modelo contra envenenamiento de datos, entradas adversariales, extracción de modelos.
• Proteger la infraestructura de ciberataques.
• Monitorear el uso indebido y la reutilización maliciosa de los resultados.

12. Cultura y Capacitación

• Proporcionar capacitación en IA responsable a desarrolladores, gerentes y desplegadores.
• Construir una cultura de responsabilidad, cuestionamiento y escalado.
• Fomentar el reporte de preocupaciones éticas o de cumplimiento.