AI Sigil Logo
Contact Us
Back to all insights
A broken chain link symbolizing the fight against discrimination

Sections

Gobernanza de la IA en la Era de la Regulación: Preparándose para la Ley de IA

Los sistemas de inteligencia artificial están transformando rápidamente las industrias, prometiendo una mayor eficiencia y soluciones innovadoras. Sin embargo, la adopción generalizada de la IA también plantea desafíos importantes, particularmente en lo que respecta a las consideraciones éticas, la privacidad de los datos y los posibles impactos sociales. Están surgiendo nuevas regulaciones para abordar estas preocupaciones de frente, lo que obliga a las organizaciones a adaptarse y garantizar que sus prácticas de IA sean responsables y cumplan con las normas. Esta investigación profundiza en la intrincada red de la gobernanza de la IA, ofreciendo información crucial para las empresas que se esfuerzan por aprovechar el poder de la IA al tiempo que mitigan sus riesgos inherentes y exploran el impacto y los cambios en la función de auditoría.

¿Cuál es el objetivo principal de la legislación de la Ley de IA?

El objetivo principal de la Ley de IA de la UE es salvaguardar los derechos fundamentales y los datos personales en el contexto de la inteligencia artificial. Al mismo tiempo, la legislación tiene como objetivo promover la innovación y fomentar la confianza en las tecnologías de IA en toda la Unión Europea.

Preocupaciones regulatorias clave abordadas por la Ley de IA:

  • Consideraciones éticas: Garantizar que los sistemas de IA se desarrollen y utilicen de manera no discriminatoria, promoviendo la igualdad y fomentando la diversidad cultural.
  • Gestión de riesgos: Categorizar los sistemas de IA en función de su nivel de riesgo, con obligaciones y requisitos que aumentan en consecuencia. Esto abarca desde sistemas de riesgo mínimo sin requisitos específicos hasta sistemas de riesgo inaceptable que están prohibidos.
  • Transparencia: Exigir transparencia en el uso de la IA, particularmente para los sistemas que generan contenido sintético o interactúan con individuos.

Implicaciones prácticas para las organizaciones:

  • Proyectos de cumplimiento: Ver el cumplimiento de la Ley de IA como un proyecto similar a otros en términos de evaluación de riesgos, auditorías de procesos y evaluación de la gobernanza.
  • Alfabetización en IA: Garantizar un nivel suficiente de comprensión de la IA entre el personal que se ocupa de los sistemas de IA.
  • Inventario y clasificación: Mantener un inventario actualizado de los sistemas de IA, clasificados según las categorías de riesgo de la Ley de IA.
  • Conciencia del rol: Comprender el rol de la organización en la cadena de valor de la IA (por ejemplo, proveedor, implementador, distribuidor), ya que los requisitos varían según este rol. Un implementador puede, a través de modificaciones de un sistema de IA, convertirse en un proveedor, lo que desencadena diferentes requisitos basados en este nuevo rol.

¿Cómo pueden las organizaciones prepararse para cumplir con los requisitos de cumplimiento de la Ley de IA?

La Ley de IA de la UE, ahora en vigor, presenta un enfoque por niveles basado en el riesgo que impacta a las organizaciones que implementan sistemas de IA dentro del mercado europeo. Las empresas deben prepararse de manera proactiva para una implementación por etapas, ajustando las estrategias según su función específica en la cadena de valor de la IA y el nivel de riesgo asociado con sus sistemas de IA.

Pasos clave para la preparación

Las organizaciones pueden abordar el cumplimiento de la Ley de IA como un proyecto de cumplimiento estándar, centrándose en el proceso y la gobernanza. Aquí hay una hoja de ruta:

  • Alfabetización en IA: Asegúrese de que el personal que interactúa con los sistemas de IA posea una comprensión adecuada.
  • Inventario de IA: Compile una lista completa de todos los sistemas de IA utilizados dentro de la organización y sus subsidiarias.
  • Clasificación de riesgos: Clasifique los sistemas de IA de acuerdo con las categorías de riesgo de la Ley de IA, entendiendo que estas son definiciones legales.
  • Sistemas prohibidos: Cese inmediatamente el uso de sistemas de IA que se considere que representan un «riesgo inaceptable». Retire dichos sistemas de IA del mercado de la UE.
  • Implementación de políticas: Establezca políticas sólidas para evaluar adecuadamente los futuros sistemas de IA.

Navegando por los plazos

La implementación de la Ley de IA presenta plazos escalonados, cada uno introduciendo obligaciones de cumplimiento específicas. Aquí hay un desglose simplificado para que los auditores internos guíen la preparación de su organización:

  • 2 de febrero de 2025: Comienzan las restricciones a los sistemas de IA prohibidos. Los implementadores deben cesar el uso y los proveedores deben retirarlos del mercado de la UE.
  • 2 de agosto de 2025: Entran en juego las regulaciones sobre los modelos de IA de propósito general (GPAI) y la gobernanza/aplicación pública. Los proveedores de GPAI con riesgo sistémico deben notificar a la Comisión e implementar políticas de cumplimiento. Tanto los proveedores como los implementadores necesitan mecanismos de transparencia adecuados.
  • 2 de agosto de 2026: Se aplica la mayor parte de la Ley de IA (excepto el artículo 6(1)). Los proveedores e implementadores deben establecer sistemas de evaluación de riesgos, gestión de riesgos y rendición de cuentas para los modelos de alto riesgo y establecer políticas de transparencia para los sistemas de IA de riesgo limitado.
  • 2 de agosto de 2027: Se aplica el artículo 6(1). Las medidas de GPAI establecidas en 2025 se extienden a todos los sistemas. Los proveedores de productos con componentes de IA (según el Capítulo 6(1)) deben garantizar el cumplimiento de las obligaciones para la IA de alto riesgo.

Obligaciones basadas en el riesgo y el rol

Los requisitos de cumplimiento varían según la categoría de riesgo del sistema de IA y el rol de la organización dentro de la cadena de valor de la IA. Los roles clave incluyen proveedor, implementador, distribuidor, importador y representante autorizado.

Los auditores internos deben evaluar el cumplimiento en toda la cadena de valor y estar particularmente atentos a los cambios en los roles. Un implementador podría convertirse en proveedor si modifica significativamente un sistema de IA o lo comercializa bajo su propia marca registrada, lo que desencadenaría obligaciones de cumplimiento más estrictas.

Transparencia y documentación

Los proveedores e implementadores de sistemas GPAI deben marcar claramente el contenido generado por IA (por ejemplo, imágenes, deepfakes, texto) con indicadores legibles por máquina. También deben proporcionar información para los implementadores con las capacidades y limitaciones del modelo y compartir públicamente un resumen del contenido utilizado para el entrenamiento.

Se debe elaborar y mantener actualizada la documentación técnica del modelo, su proceso de entrenamiento y prueba, y los resultados de su evaluación.

¿Cuáles son las obligaciones y requisitos clave para las entidades según la Ley de IA?

La Ley de IA de la UE introduce un enfoque escalonado para regular la IA, categorizando los sistemas según los niveles de riesgo: inaceptable, alto, limitado y mínimo. Las obligaciones para las organizaciones varían significativamente según esta clasificación y su función en la cadena de valor de la IA como proveedores (aquellos que desarrollan y colocan sistemas de IA en el mercado), implementadores (aquellos que utilizan los sistemas de IA) u otras funciones como importadores y distribuidores.

Obligaciones clave basadas en el riesgo

  • Sistemas de IA de riesgo inaceptable: Están prohibidos por completo. Los ejemplos incluyen sistemas de IA que manipulan el comportamiento humano para causar daño, o aquellos involucrados en la puntuación social o la identificación biométrica en espacios públicos.
  • Sistemas de IA de alto riesgo: Estos enfrentan los requisitos más estrictos. Esta categoría incluye la IA utilizada en infraestructura crítica, educación, empleo, aplicación de la ley y servicios esenciales como seguros y calificación crediticia. Las obligaciones clave incluyen:
    • Establecer y mantener un sistema de gestión de riesgos durante todo el ciclo de vida del sistema de IA.
    • Adherirse a estrictos estándares de gobernanza de datos, asegurando la calidad y minimizando el sesgo en los conjuntos de datos de capacitación, validación y prueba.
    • Desarrollar documentación técnica completa antes de la implementación.
    • Mantener registros detallados (registros) para la trazabilidad.
    • Proporcionar a los implementadores información transparente para comprender y utilizar adecuadamente la salida de la IA.
    • Implementar mecanismos de supervisión humana.
    • Garantizar la precisión, la solidez y la ciberseguridad.
    • Establecer un sistema de gestión de calidad para garantizar el cumplimiento continuo.
    • Cooperar con las autoridades y demostrar el cumplimiento a solicitud.
    • Realizar una evaluación de conformidad y elaborar una declaración UE de conformidad.
    • Colocar el marcado CE para demostrar la conformidad, que debe registrarse en la base de datos de la UE antes de la puesta en el mercado.
    • Realizar una evaluación del impacto en los derechos fundamentales.
    • Establecer seres humanos responsables y capacitados para garantizar el uso adecuado de la supervisión, la competencia y la autoridad.
    • Realizar un monitoreo posterior a la comercialización utilizando un plan documentado.
    • Informar de incidentes graves a las autoridades de vigilancia.
  • Sistemas de IA de riesgo limitado: Estos están sujetos a requisitos de transparencia. Los usuarios deben ser informados de que están interactuando con un sistema de IA, especialmente para el contenido generado por IA. Esto se aplica a los sistemas de IA que generan contenido sintético de audio, imagen, vídeo o texto.
  • Sistemas de IA de riesgo mínimo: No se describen requisitos específicos para los sistemas de IA que representan un riesgo mínimo.

Modelos de IA de propósito general (GPAI)

La Ley de IA también aborda los modelos de IA de propósito general (GPAI), que se entrenan con grandes conjuntos de datos y pueden realizar una amplia gama de tareas. Los proveedores de GPAI deben cumplir con las obligaciones de transparencia y respetar las leyes de derechos de autor. Los modelos GPAI se clasifican tras el cálculo y el cumplimiento de los requisitos establecidos en el Art. 42a de la Ley de IA.

Obligaciones por función

Los proveedores (ya sea dentro o fuera de la UE) soportan la mayor parte de la carga de cumplimiento. Son responsables de garantizar que sus sistemas de IA cumplan con todos los requisitos pertinentes antes de ser introducidos en el mercado de la UE. Aquellos que no estén establecidos en la UE deben designar un representante autorizado dentro de la UE.

Los implementadores deben utilizar los sistemas de IA de manera responsable y de acuerdo con las instrucciones del proveedor. Esto incluye la asignación de supervisión humana, garantizar la competencia del personal y monitorear el funcionamiento del sistema de IA.

Cronograma de implementación

La Ley de IA se implementará por etapas. Los siguientes hitos son los más importantes:

  • 2 de febrero de 2025: Se aplican las regulaciones sobre sistemas de IA prohibidos.
  • 2 de agosto de 2025: Las regulaciones que se aplican a los modelos GPAI y los organismos públicos que hacen cumplir la Ley de IA entrarán en vigor.
  • 2 de agosto de 2026: La mayoría de las disposiciones de la Ley de IA se aplican, excepto el Artículo 6(1).
  • 2 de agosto de 2027: Se aplica el Artículo 6(1), que rige la clasificación de los productos con componentes de seguridad de IA como de alto riesgo.

Las organizaciones también deben considerar cómo la Ley de IA interactúa con la legislación de la UE existente y futura, como DORA y CSRD/CSDDD, particularmente observando los riesgos de terceros, los impactos ambientales y las preocupaciones de ciberseguridad.

¿Cómo cambian las obligaciones y los requisitos según la categoría de riesgo de un sistema de IA?

Como periodista tecnológico que cubre la gobernanza de la IA, he estado sumergido hasta el cuello en la Ley de IA de la UE. Aquí está el desglose de cómo las obligaciones cambian según el nivel de riesgo de un sistema de IA, según la Ley de IA:

Niveles Basados en el Riesgo

La Ley de IA emplea un enfoque basado en el riesgo, lo que significa que la carga regulatoria se escala con el daño potencial que un sistema de IA podría causar. Así es como funciona:

  • Riesgo Inaceptable: Estos sistemas de IA están directamente prohibidos. Piense en la IA que manipula a las personas para causar daño, permite prácticas discriminatorias o crea bases de datos de reconocimiento facial. ¡La lista está en el Artículo 5, así que revíselo!
  • Alto Riesgo: Esta categoría enfrenta los requisitos más estrictos. Estos sistemas tienen el potencial de causar un daño significativo, en áreas como infraestructura crítica, educación, empleo, aplicación de la ley, decisiones relacionadas con seguros, etc.

    Los sistemas de alto riesgo necesitan:

    • Un sistema de gestión de riesgos.
    • Controles de calidad y gobernanza de datos.
    • Documentación técnica.
    • Mantenimiento de registros (logs).
    • Transparencia e información clara para los implementadores.
    • Mecanismos de supervisión humana.
    • Estándares de precisión, robustez y ciberseguridad.
    • Un sistema de gestión de calidad.
    • Conservación de la documentación durante al menos 10 años.
    • Cooperación con las autoridades competentes.
    • Una declaración UE de conformidad.
    • Marcado CE.
    • Evaluación de la conformidad previa a la comercialización.
    • Registro en la base de datos de la UE.
    • Supervisión posterior a la comercialización.
    • Notificación de incidentes graves.
    • Evaluación del impacto en los derechos fundamentales.
  • Riesgo Limitado: Para sistemas de IA como los chatbots, el enfoque principal es la transparencia. Los usuarios deben saber que están interactuando con una IA. Para contenido como audio, imágenes, video o texto sintético, los proveedores también deben proporcionar una marca legible por máquina que indique que fue generado artificialmente.
  • Riesgo Mínimo: Esto incluye cosas como videojuegos habilitados para IA o filtros de spam. No hay requisitos específicos bajo la Ley de IA.

IA de propósito general (GPAI)

La Ley de IA también aborda los modelos GPAI. Se definen los requisitos de transparencia para proveedores e implementadores, y los modelos GPAI con riesgo sistémico se enfrentan a un escrutinio aún mayor.
Se considera que un modelo GPAI tiene un riesgo sistémico cuando la cantidad de computación utilizada para su entrenamiento es superior a 10 25 FLOPs.

Conclusiones Clave para el Cumplimiento

Para los profesionales de legal-tech que asesoran a clientes, o para los responsables de cumplimiento dentro de las organizaciones:

  • La Clasificación es Clave: Comprenda cómo la Ley de IA clasifica los sistemas y realice evaluaciones de riesgos exhaustivas. El método de clasificación de riesgos está prescrito dentro de la Ley de IA.
  • La Documentación es Crucial: Mantenga registros detallados de sus sistemas de IA, sus evaluaciones de riesgos y las medidas que está tomando para cumplir con la ley.
  • La Transparencia Fomenta la Confianza: Sea sincero con los usuarios sobre cuándo están interactuando con la IA.
  • Manténgase Actualizado: La Ley de IA es compleja y las interpretaciones evolucionarán. Supervise continuamente la orientación de la Comisión Europea y otros organismos reguladores.

¿Cuáles son las distinciones entre los distintos roles definidos por la Ley de IA y sus responsabilidades correspondientes?

La Ley de IA define varios roles clave en la cadena de valor de la IA, cada uno con responsabilidades distintas. Comprender estos roles es crucial para el cumplimiento y la gestión de riesgos. Estos roles también pueden cambiar con el tiempo, lo que genera nuevas obligaciones para la organización.

Roles y Responsabilidades Clave

  • Proveedor (UE): Desarrolla sistemas de IA o modelos de IA de propósito general y los coloca en el mercado de la UE. Asumen la carga de cumplimiento más extensa según la Ley de IA.
  • Proveedor (Fuera de la UE): Si se encuentra fuera de la UE, puede utilizar un importador o distribuidor para colocar el modelo de IA en el mercado de la UE.
  • Implementador: Utiliza el sistema de IA, por ejemplo, proporcionándolo a los empleados o poniéndolo a disposición de los clientes. Sus obligaciones son menores, pero incluyen garantizar el uso adecuado y el cumplimiento de las directrices del proveedor.
  • Representante Autorizado: Una persona dentro de la UE, mandatada por el proveedor, para actuar en su nombre, sirviendo como intermediario entre los proveedores de IA no pertenecientes a la UE y las autoridades/consumidores europeos.
  • Distribuidor: Ayuda a colocar el modelo de IA en el mercado de la UE.
  • Importador: Utilizado por los Proveedores para colocar el modelo de IA en el mercado de la UE.

Los auditores internos deben determinar el rol que desempeña su empresa para cada sistema de IA y ser conscientes de que estos roles pueden evolucionar. Un implementador puede convertirse en proveedor al realizar cambios significativos en el sistema de IA o al cambiar su marca, lo que desencadena nuevos requisitos de cumplimiento.

También es importante considerar toda la cadena de valor al evaluar el proceso de IA; los auditores deben considerar los riesgos de toda la cadena de valor.

¿Cuál es el cronograma de implementación de las regulaciones dentro de la Ley de IA?

Las regulaciones de la Ley de IA se implementarán en fases. Aquí hay un desglose de las fechas clave para marcar en su calendario de cumplimiento:

  • 1 de agosto de 2024: La Ley de IA entró en vigor oficialmente. Piense en esto como el pistoletazo de salida: es hora de poner en marcha su estrategia de gobernanza de IA.
  • 2 de febrero de 2025: Comienzan a aplicarse las regulaciones relativas a los sistemas de IA prohibidos. Eso significa que cualquier IA considerada como un «riesgo inaceptable» (que viola los derechos y valores fundamentales de la UE) está prohibida. Es hora de auditar sus sistemas y garantizar el cumplimiento.
  • 2 de agosto de 2025: Entran en vigor las regulaciones para los modelos de IA de propósito general (GPAI) y la gobernanza/ejecución pública de la Ley. Si está trabajando con modelos de IA grandes, espere un mayor escrutinio y requisitos de cumplimiento.
  • 2 de agosto de 2026: Entran en vigor casi todas las partes restantes de la Ley de IA, excluyendo el Artículo 6(1). Esto abarca la mayor parte de las evaluaciones de riesgos, la gestión y las políticas de rendición de cuentas que su organización debe tener implementadas para los modelos de IA de alto riesgo. Ahora es el momento de aplicar la regulación de la IA y establecer políticas de transparencia para los sistemas de IA de riesgo limitado.
  • 2 de agosto de 2027: Comienza a aplicarse el Artículo 6(1). Esto rige la clasificación de productos con componentes de seguridad de IA como de alto riesgo. Además, las medidas GPAI de 2025 ahora se aplican a todos los sistemas relevantes.
  • Nota: Los proveedores de modelos GPAI que ya estén en uso antes de agosto de 2025 deben cumplir con la Ley de IA a partir de/ desde agosto de 2025.

¿Qué debe considerar la Auditoría Interna al evaluar el proceso de IA?

Los auditores internos ahora enfrentan el desafío y la oportunidad de evaluar los sistemas de IA dentro de sus organizaciones, particularmente a la luz de la Ley de IA de la UE. Ya no se trata solo de riesgos financieros tradicionales, sino también de cumplimiento, ética e impacto social.

Consideraciones clave para los auditores internos:

  • Comprensión del panorama de la IA: Los auditores deben desarrollar una comprensión sólida de las tecnologías de IA. Esto incluye los diferentes niveles de autonomía en los sistemas de IA, sus capacidades para generar resultados y cómo influyen en diferentes entornos. Desafíe a la organización sobre cómo define la IA y garantiza la coherencia en todas las unidades de negocio.
  • Categorización de riesgos: Céntrese en cómo la organización clasifica los sistemas de IA de acuerdo con las categorías de riesgo de la Ley de IA (inaceptable, alto, limitado, mínimo e IA de propósito general). Es crucial comprender que estas categorías representan definiciones legales, no solo evaluaciones de riesgo internas.
  • Roles y responsabilidades: Reconozca los diferentes roles dentro de la cadena de valor de la IA (proveedor, implementador, distribuidor, importador, etc.) y las obligaciones asociadas según la Ley de IA. Determine cómo el rol de la organización para cada sistema de IA afecta los requisitos de cumplimiento. Tenga en cuenta que estos roles pueden cambiar con el tiempo, lo que desencadena nuevas obligaciones.
  • Cumplimiento como un proyecto: Trate el cumplimiento de la Ley de IA como un proyecto con etapas e hitos definidos para garantizar que la organización se esté preparando de manera ordenada. Adapte los requisitos de alto nivel al contexto específico de la organización.
  • Gestión de riesgos y rendición de cuentas: Asegúrese de que se establezcan sistemas de evaluación de riesgos, gestión de riesgos y rendición de cuentas para los modelos de IA de alto riesgo. Examine minuciosamente las prácticas de gobierno de datos para los conjuntos de datos de capacitación, validación y pruebas, con un ojo hacia la calidad de los datos y la minimización del sesgo.
  • Transparencia y supervisión: Evalúe las políticas de transparencia para los sistemas de IA de riesgo limitado y las garantías de supervisión humana. Verifique que los proveedores de sistemas GPAI con riesgo sistémico notifiquen a la comisión y tengan políticas de cumplimiento apropiadas. Investigue los mecanismos de transparencia para implementadores y proveedores.

Además, aquí hay un cronograma que la Auditoría Interna debe tener en cuenta:

  • 2 de febrero de 2025 Asegúrese de que haya disponible material de capacitación adecuado sobre alfabetización en IA para el personal, que haya un inventario de sistemas de IA, que estos hayan sido clasificados por riesgo, que los sistemas de IA con riesgo inaceptable hayan sido prohibidos y que existan políticas para garantizar que los futuros sistemas de IA se evalúen adecuadamente.
  • 2 de agosto de 2025 Verifique los protocolos de transparencia de los modelos GPAI. Asegúrese de que la organización sepa con qué organismos reguladores y de supervisión interactuará. Los proveedores de modelos GPAI con riesgo sistémico deben notificar a la comisión.
  • 2 de agosto de 2026 Audite las políticas para la gestión de riesgos, la evaluación de riesgos y los sistemas de rendición de cuentas apropiados para los modelos de alto riesgo, así como evalúe las políticas de transparencia.
  • 2 de agosto de 2027 Asegúrese de que las medidas GPAI listas a partir de 2025 se apliquen ahora a todos los sistemas. Los proveedores de productos con componentes de IA deben asegurarse de que sus productos cumplan con las obligaciones de IA de alto riesgo.

¿Qué acciones específicas deben tomar las organizaciones con respecto a la IA?

A medida que los sistemas de IA se vuelven más frecuentes, las organizaciones enfrentan un creciente escrutinio regulatorio, particularmente con la aplicación de la Ley de IA de la UE. Las acciones específicas requeridas dependerán de su rol (Proveedor, Implementador, etc.) y la clasificación de riesgo de sus sistemas de IA.

Áreas de Acción Clave:

  • Establecer Alfabetización en IA:

    Las empresas deben asegurarse de que el personal que maneja sistemas de IA posea un nivel suficiente de alfabetización en IA para comprender y gestionar los riesgos asociados y garantizar el cumplimiento.

  • Mantener un Registro de IA:

    Las empresas deben crear y mantener un inventario completo de todos los sistemas de IA utilizados dentro de la organización y sus subsidiarias, clasificándolos según las clasificaciones de riesgo de la Ley de IA (inaceptable, alto, limitado, mínimo, GPAI).

  • Realizar Evaluaciones de Riesgo de IA:

    Realizar evaluaciones de riesgo exhaustivas en todos los sistemas de IA, adhiriéndose al método de clasificación de riesgo prescrito por la Ley de IA, no solo al análisis de riesgo tradicional.

  • Implementar Sistemas de Gestión de Riesgos (IA de Alto Riesgo):

    Para los sistemas de IA de alto riesgo, establecer, documentar, mantener e implementar un sistema de gestión de riesgos para gestionar los riesgos razonablemente previsibles durante todo el ciclo de vida del sistema.

  • Asegurar Datos y Gobernanza de Datos (IA de Alto Riesgo):

    Implementar prácticas robustas de gobernanza de datos para conjuntos de datos de entrenamiento, validación y prueba, centrándose en la calidad de los datos y la mitigación de sesgos.

  • Preparar Documentación Técnica (IA de Alto Riesgo):

    Elaborar documentación técnica integral antes de que el sistema se ponga en servicio, como se indica en el apéndice de la Ley de IA.

  • Implementar Mantenimiento de Registros (IA de Alto Riesgo):

    Mantener registros detallados de eventos (logs) para garantizar la trazabilidad del funcionamiento del sistema de IA.

  • Asegurar Transparencia y Provisión de Información (IA de Alto Riesgo):

    Proporcionar a los implementadores información transparente y comprensible sobre el uso del resultado de la IA.

  • Implementar Monitoreo Post-Comercialización (IA de Alto Riesgo):

    Implementar un plan que recopile datos relevantes sobre el rendimiento del sistema de IA durante su vida útil.

  • Establecer Supervisión Humana (IA de Alto Riesgo):

    Diseñar sistemas de IA con provisiones para una supervisión humana efectiva por parte de personas físicas.

  • Respetar las Leyes de Derechos de Autor:

    Las leyes de derechos de autor deben respetarse de acuerdo con los requisitos del RGPD.

  • Asegurar Precisión, Robustez y Ciberseguridad (IA de Alto Riesgo):

    Garantizar altos estándares de precisión, robustez y ciberseguridad para un rendimiento consistente del sistema de IA.

  • Implementar un Sistema de Gestión de Calidad (IA de Alto Riesgo):

    Implementar un SGC para garantizar el cumplimiento de la Ley de IA.

  • Transparencia para IA de Riesgo Limitado:

    Informar a los usuarios finales que están interactuando con un sistema de IA.

  • Marcar el Contenido Generado por IA:

    Los proveedores e implementadores deben marcar el contenido de IA para ejemplos de imágenes y videos.

Las empresas deben garantizar la conformidad con la Ley de IA a través de controles internos o evaluaciones del sistema de gestión de calidad, que pueden involucrar a organismos notificados. Los proveedores deben crear una declaración de conformidad de la UE y adherir el marcado CE. Los implementadores también tienen responsabilidades, incluyendo asegurar el uso responsable de la IA con la formación, competencia y autoridad necesarias.

Además, si los proveedores tienen razones para sospechar la no conformidad con la Ley de IA, entonces deben tomar medidas correctivas.

¿Cuál es el propósito central del cuestionario y la encuesta?

El cuestionario y la encuesta detallados en este documento cumplen un propósito específico y crítico: evaluar el panorama de la adopción de la IA y las prácticas de auditoría dentro de las empresas, particularmente en el contexto de la Ley de IA de la UE. Esta información es crucial para comprender qué tan preparadas están las organizaciones para los requisitos de la Ley de IA e identificar posibles lagunas en sus marcos de gobernanza de la IA.

La encuesta tiene como objetivo:

  • Comprender la aplicación de la Ley de IA dentro de las organizaciones.
  • Evaluar el uso actual de la IA en diversos procesos empresariales.
  • Evaluar los enfoques de auditoría interna actuales hacia los sistemas de IA.

Detalles de la encuesta y perfil del participante

La encuesta incluyó respuestas de más de 40 empresas, con una porción significativa (39%) que operan en el sector financiero (banca, seguros) y una gran mayoría (70%) que tienen operaciones exclusiva o también en Europa. Dado que el 70% de las empresas encuestadas tenían pequeños equipos de auditoría interna (menos de 10 FTE), y casi la mitad de esas empresas carecían de auditores de TI especializados, se hace un claro énfasis en la mayor necesidad de reforzar las capacidades de TI dentro de dichas funciones de auditoría interna.

Principales hallazgos prácticos

  • La adopción de la IA está generalizada: Un considerable 57% de las empresas ya han implementado o están implementando activamente sistemas de IA.
  • Brecha en el conocimiento de la IA: Si bien la mayoría (85%) de los encuestados tienen una comprensión buena o regular de la IA, un porcentaje menor (71%) comprende la auditoría de la IA específicamente, y solo el 56 por ciento refleja una visión clara de la Ley de IA de la UE, lo que implica una necesidad general de una mayor capacitación en la Ley de IA de la UE para que los departamentos de auditoría puedan realizar los procesos de garantía de la IA de manera efectiva.
  • Esfuerzos de cumplimiento en curso: El 60% de las empresas afectadas por la Ley de IA están iniciando proyectos para garantizar el cumplimiento de los nuevos requisitos reglamentarios.
  • Bajo uso de la IA en la auditoría interna: La mayoría (72%) de los departamentos de auditoría interna no están aprovechando activamente los sistemas de IA en sus procesos de auditoría. Cuando se utiliza la IA, es principalmente para la evaluación de riesgos (33%).
  • Adopción de la IA generativa: El 64% de las empresas están utilizando o implementando sistemas de IA generativa, y el 44% tiene regulaciones internas que rigen su desarrollo y uso.

Estos datos resaltan la necesidad de que las organizaciones mejoren sus esfuerzos de cumplimiento, brinden capacitación adecuada sobre la Ley de IA y consideren incorporar la IA en sus procesos de auditoría interna. Para los auditores internos, la encuesta subraya la importancia de desarrollar marcos para evaluar y auditar el uso de la IA dentro de sus organizaciones, ofrecer beneficios y reducir los riesgos de manera efectiva.

¿Cuáles son los hallazgos clave sobre la adopción de IA por parte de las empresas según los resultados de la encuesta?

Una encuesta reciente arroja luz sobre el estado actual de la adopción de la IA dentro de las empresas, particularmente en el contexto de la Ley de IA de la UE. Los hallazgos revelan un uso generalizado de la IA, pero también destacan áreas de preocupación con respecto a la preparación para el cumplimiento y las capacidades de auditoría interna.

Tasas de adopción de IA y áreas de enfoque

  • Adopción generalizada: Aproximadamente el 57% de las empresas encuestadas ya han implementado sistemas de IA (39%) o tienen proyectos de implementación en curso (18%).
  • Necesidad de conocimiento de la Ley de IA: Aunque la mayoría son empresas financieras que operan en Europa y, por lo tanto, están sujetas a la Ley de IA (60%), la comprensión de los requisitos de la Ley de IA de la UE sigue siendo baja (56%). Esto presenta una necesidad de iniciativas de capacitación dedicadas dentro de las organizaciones.
  • Impulso de la IA generativa: Existe un interés sustancial en la IA generativa, con un 64% de las empresas encuestadas que utilizan o implementan estos sistemas. Alrededor del 44% de estas empresas han instalado regulaciones internas que se ocupan de la tecnología.
  • Soporte de procesos: Tanto los sistemas de IA estándar como los generativos se están implementando principalmente para respaldar:
    • Servicio al cliente, ventas y marketing.
    • Inteligencia empresarial y análisis, finanzas y contabilidad.
    • TI y ciberseguridad (más destacado con la IA generativa).

Preocupaciones clave de cumplimiento y regulatorias

  • Brechas de estandarización: Una parte significativa de las empresas (72%) no aprovecha la IA para auditorías internas o actividades.
  • Preparación de la auditoría interna: Solo el 28% ha definido una arquitectura tecnológica estándar para los sistemas de IA existentes. Además, el 44% ha implementado una estructura de regulación interna para supervisar el uso, pero el 85% ha informado una comprensión buena o justa de la IA. Pero en general, solo el 56% de los encuestados declaró una comprensión buena o justa de la Ley de IA. Esto revela posibles desafíos en la auditoría de sistemas de IA sin una estructura sólida para cumplir.

Implicaciones prácticas para los responsables de cumplimiento

  • Imperativo de mejora de las habilidades: Parece haber una necesidad constante de planificar e implementar actividades de capacitación dedicadas en IA para la legislación de IA de la UE. Esto es necesario para promover un uso responsable y competente.
  • Empoderamiento de la auditoría interna: Las habilidades del auditor interno para auditar la IA se mejoran a través de capacitación interna o externa. Sin embargo, es importante mejorar esas habilidades para seguir cumpliendo adecuadamente con las regulaciones.

¿Cuáles son las principales conclusiones de la encuesta sobre el papel de la Auditoría Interna con la IA?

Una encuesta reciente arroja luz sobre el estado actual y la dirección futura de la participación de la Auditoría Interna con la IA, particularmente en el contexto de la Ley de IA de la UE. Los hallazgos revelan tanto oportunidades como desafíos para los auditores a medida que navegan por este panorama en evolución.

Adopción y comprensión de la IA:

Las conclusiones clave incluyen:

  • Uso limitado de la IA en la auditoría: Una mayoría significativa (72%) de los departamentos de Auditoría Interna no están utilizando actualmente sistemas de IA para sus actividades de auditoría.
  • Casos de uso específicos: Entre los que utilizan la IA, la evaluación de riesgos es la principal actividad respaldada (33%).
  • Comprensión de los conceptos de IA: Si bien la mayoría de los encuestados informan una comprensión buena o justa de los conceptos generales de IA (85%) y la auditoría de sistemas de IA (71%), la comprensión de la Ley de IA de la UE específicamente es menor (56%). Esto señala una necesidad crucial de capacitación específica.

Abordar la brecha de habilidades:

La encuesta subraya la necesidad de mejorar las habilidades dentro de los departamentos de auditoría:

  • Desarrollo de habilidades: Los departamentos de auditoría están abordando principalmente las habilidades de auditoría de IA a través de capacitación interna/externa (57%) e intercambio de conocimientos (29%), con una contratación dedicada limitada (14%).
  • Equipos de auditoría pequeños: Un número considerable de encuestados (70%) indica que su función de auditoría interna comprende menos de 10 empleados a tiempo completo (ETC). Casi la mitad (48%) no tiene auditores de TI especializados. Combinado con la tecnología en rápida evolución, estos datos resaltan la necesidad de fortalecer los equipos de auditoría interna con habilidades de TI.

La Ley de IA de la UE y el cumplimiento:

La investigación revela información crítica sobre la Ley, los planes de cumplimiento y el papel de la Auditoría Interna:

  • Aplicabilidad de la Ley: El 60% de las empresas reconoce que estará sujeto a la nueva Ley de IA.
  • Proyectos de cumplimiento: Poco más de la mitad (53%) de las empresas relevantes ha iniciado o planea iniciar un proyecto de cumplimiento para adherirse a las nuevas regulaciones.

Información sobre la IA generativa:

Las conclusiones específicas sobre el uso de la IA generativa incluyen:

  • Estadísticas de adopción: El 64% de las empresas utiliza o planea implementar sistemas de IA generativa.
  • Regulaciones internas: El 44% de los encuestados tiene regulaciones internas específicas para la IA generativa.
  • Procesos admitidos: La aplicación más frecuente de la IA y la IA generativa es en el servicio al cliente, ventas, marketing e inteligencia empresarial, análisis, finanzas y contabilidad.

Estos hallazgos subrayan la necesidad de que las funciones de Auditoría Interna desarrollen de manera proactiva marcos de auditoría de IA y aumenten su comprensión de la Ley de IA. A medida que las organizaciones se apresuran a adoptar la IA, los auditores desempeñan un papel fundamental para garantizar el uso responsable de la IA y el cumplimiento.

La llegada de la Ley de IA señala un cambio significativo en el panorama, exigiendo que las organizaciones evolucionen su enfoque de gobernanza y cumplimiento. Si bien muchas empresas ya están adoptando la IA, una comprensión clara de los matices de la Ley, particularmente dentro del ámbito regulatorio, sigue siendo un desafío. Es crucial que las empresas inviertan tiempo y recursos en el cumplimiento, reconociendo que el éxito futuro de la IA depende de una base de consideraciones éticas, una gestión sólida de riesgos y prácticas transparentes. La Auditoría Interna debe desarrollar rápidamente el conocimiento y las herramientas necesarias para proporcionar una supervisión crucial, guiando a sus organizaciones hacia una innovación responsable dentro de este entorno tecnológico transformador.

More Insights

A shield with a digital pattern

Regulación de IA: Un llamado urgente del CII

abril 24, 2025 Conformità Regolatoria,Conformité IA,Cumplimiento Regulatorio,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA
El Instituto Chartered de Seguros (CII) ha solicitado marcos de responsabilidad claros y una estrategia de habilidades a nivel sectorial para guiar el uso de la inteligencia artificial (IA) en los...
Read More
A regulatory checklist

Panorama Regulatorio de la IA en MedTech en APAC

abril 24, 2025 Conformité des dispositifs médicaux IA,Conformité IA limitée,Estructuras Regulatorias para IA,IA,Innovación en Medtech,Innovazione in Medtech,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA dans le secteur médical,Strutture Regolatorie per l'IA
La regulación de la inteligencia artificial (IA) en Asia-Pacífico aún está en desarrollo y se basa principalmente en marcos regulatorios existentes para otras tecnologías. A medida que las técnicas de...
Read More
Light bulb

Desarrollos en Inteligencia Artificial en Nueva York: Legislación Clave para Empleadores

abril 24, 2025 Concienciación sobre Regulación de IA,Conformità Regolatoria,Conformité IA,Cumplimiento Regulatorio,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA
En la primera parte de 2025, Nueva York se unió a otros estados para regular la inteligencia artificial (IA) a nivel estatal. Se introdujeron proyectos de ley que se centran en el uso de herramientas...
Read More
A circuit board with a warning sign

Estrategias de Gestión de Riesgos en Sistemas de Inteligencia Artificial

abril 24, 2025 Conformité IA,Cumplimiento Regulatorio,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA,Responsabilità dell'IA
El artículo discute la importancia de gestionar los riesgos asociados con los sistemas de inteligencia artificial, destacando que el uso de datos erróneos puede llevar a resultados perjudiciales y...
Read More
A compass to signify guidance and direction in navigating the AI landscape.

Lo Que Debe Saber Sobre la Ley de Inteligencia Artificial de la UE

abril 24, 2025 Conformità IA dell'UE,Conformità UE,Conformité IA EU,Cumplimiento de la UE,Cumplimiento Regulatorio,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA,Régulation IA EU
La Unión Europea ha introducido la Ley de Inteligencia Artificial (AI Act), una regulación histórica diseñada para gestionar los riesgos y oportunidades de las tecnologías de IA en Europa. Este...
Read More
1. A robot figurine 2. A circuit board 3. A book titled "AI Ethics"Selected: A book titled "AI Ethics"

La Ley Básica de IA en Corea: Un Nuevo Horizonte Regulatorio

abril 24, 2025 Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Politica Globale sull'IA,Politica Tecnologica,Regolamentazione dell'Intelligenza Artificiale,Regulación de IA
Corea del Sur se ha posicionado a la vanguardia de la regulación de la inteligencia artificial en Asia con la aprobación de la Ley Básica de IA, que entrará en vigor en enero de 2026. Esta legislación...
Read More
A blueprint

Cumpliendo con el Acta de IA de la UE y DORA: Un Enfoque Financiero

abril 24, 2025 Conformità Regolatoria,Conformità UE,Conformité des données IA,Conformité IA EU,Cumplimiento de la UE,Cumplimiento Regulatorio,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA EU
El Acta de IA de la UE y DORA están transformando la manera en que las entidades financieras manejan el riesgo asociado con la inteligencia artificial. Es fundamental comprender cómo estas...
Read More
A lock and key set representing security and access

Regulación de la IA: Desafíos y Oportunidades en el Espacio Transatlántico

abril 24, 2025 IA,Inteligencia Artificial,Politica Globale sull'IA,Regolamentazione dell'IA,Regulación de IA,Régulation IA,Régulation internationale IA,Strutture Regolatorie per l'IA
La inteligencia artificial (IA) se ha convertido en una de las fuerzas tecnológicas más trascendentales de la actualidad, con el potencial de transformar economías, sociedades y la naturaleza misma de...
Read More
A toolbox

La UE Impulsa la Estrategia de IA para Superar Barreras

abril 24, 2025 Conformità IA dell'UE,Conformité IA EU,Conformité IA pour les entreprises,Cumplimiento de la UE,Estructuras Regulatorias para IA,IA,Inteligencia Artificial,Politica Tecnologica,Regolamentazione dell'IA,Regulación de IA,Régulation IA
La Comisión Europea ha presentado una nueva estrategia para promover la inteligencia artificial (IA) en Europa, buscando reducir las barreras para su implementación y mejorar la competitividad global...
Read More

Ready to become AI compliant?

Take the first steps in your transformation towards international AI compliance.

Book a Discovery Call See Frameworks

Explore

Ninguno

Need More Assistance?

Our expert sales team is here to answer your questions, just leave your email and we’ll get in touch.

Research & Market Studies
A light bulb
Auditorías Algorítmicas: Una Guía Práctica para la Equidad, la Transparencia y la Responsabilidad en la
La Lista de Verificación de Auditoría de IA es un componente vital del Programa de...
A compass
Explicabilidad de la IA: Una Guía Práctica para Construir Confianza y Comprensión
Este trabajo de investigación explora el concepto crucial de la explicabilidad de la IA, enfatizando...
A shield symbolizing protection against unregulated AI practices.
Gobernanza de la IA: Transparencia, Ética y Gestión de Riesgos en la Era de la
Este documento describe el tercer borrador de un Código de Prácticas integral para la IA...
A magnifying glass over a document
Auditoría de Ética en IA: De la Impulsión Regulatoria a la Construcción de IA Confiable
Este artículo de investigación explora el impacto transformador de los grandes datos en la sociedad...
Latest News on AI Compliance
No posts found.

© 2023 AI Sigil

Medium Envelope