Log in
Sign up
Compliance monitoring for AI systems illustrated as an ink-wash lighthouse

Sections

Monitorización del cumplimiento de los sistemas de IA

Lo esencial

  • La monitorización del cumplimiento es el proceso continuo que verifica si sus sistemas, controles y actividades siguen alineados con las leyes, normas y políticas que les aplican.
  • En un sistema de IA hay más en juego, porque los modelos derivan, los datos se desplazan y el comportamiento cambia, de modo que un sistema conforme ayer puede dejar de serlo sin que nadie lo toque.
  • Tres marcos convierten ya la vigilancia en una obligación y no en una opción: el reglamento de IA (Artículo 72), la ISO/IEC 42001 (capítulo 9) y el marco de gestión de riesgos de la IA del NIST.
  • Lo que se monitoriza en un sistema de IA va mucho más allá de la disponibilidad: exactitud, deriva, sesgo, seguridad, registros de supervisión humana, incidentes y vigencia de las pruebas de cumplimiento.
  • Las auditorías periódicas conservan su valor, pero los sistemas de IA de alto riesgo y de fuerte evolución exigen una monitorización continua del cumplimiento para seguir siendo defendibles entre una auditoría y otra.
Monitorización del cumplimiento de sistemas de IA, faro en tinta sumi-e

¿Qué es la monitorización del cumplimiento?

La monitorización del cumplimiento es el proceso continuo con el que se comprueba que las actividades, los controles y los sistemas de una organización siguen alineados con las leyes, los reglamentos, las normas y las políticas internas que les aplican. Es la diferencia entre suponer que un control funciona y confirmar que sigue funcionando hoy. La mayoría de los equipos logra el cumplimiento mediante dos movimientos complementarios. La auditoría periódica toma una fotografía: una persona revisora examina una muestra de controles en un momento dado, por lo general cada trimestre o cada año. La monitorización continua, en cambio, funciona en segundo plano, donde comprobaciones automatizadas observan señales definidas y avisan de un problema en el instante en que un control flaquea, en lugar de meses después, en la siguiente auditoría. El motivo de que esta distinción importe es sencillo. Una auditoría puntual acredita que un sistema era conforme el día de la revisión. No dice nada de los otros 364 días. Para procesos estables y de bajo riesgo, esa brecha es tolerable. Para sistemas que cambian por sí solos, se convierte en un riesgo. Esa idea, un proceso y no un evento, es el núcleo de la monitorización del cumplimiento. Los controles en sí cambian poco. Lo que cambia es el entorno que los rodea, las personas que los usan y, en el caso de la IA, el propio sistema. Integrar esta disciplina en una plataforma de software para el cumplimiento de la IA la hace sostenible en el tiempo en lugar de heroica.

Por qué la monitorización del cumplimiento es distinta en los sistemas de IA

La monitorización tradicional presupone que el objeto vigilado es estable. Una regla de cortafuegos, una política de conservación de datos o un control de acceso se comportará el mes que viene igual que hoy, salvo que alguien lo modifique. Los sistemas de IA rompen ese supuesto. Un modelo de IA es un blanco móvil de tres maneras. La deriva de datos significa que las entradas que el modelo ve en producción se apartan poco a poco de aquellas con las que se entrenó. La deriva de concepto significa que la relación aprendida por el modelo se desplaza, de modo que la misma entrada debería producir ahora una respuesta distinta. El cambio de comportamiento, por último, significa que un reentrenamiento, un ajuste fino o un nuevo prompt pueden alterar las salidas sin ninguna puesta en producción formal. Por eso el marco de gestión de riesgos de la IA del NIST afirma de forma explícita que la medición del riesgo no puede ser una evaluación única: los sistemas de IA evolucionan por deriva de datos, reentrenamiento y cambios en su entorno operativo, de modo que la vigilancia debe ser continua para seguir siendo significativa. La investigación reciente va más lejos. En un mapeo de las obligaciones de los agentes de IA en el Derecho de la Unión publicado en 2026, Nannini y colegas describen la deriva de comportamiento en tiempo de ejecución como situada justo en la frontera de la noción de modificación sustancial del Artículo 3(23) del reglamento de IA: cuando un sistema deriva lo suficiente, puede pasar en silencio de la versión evaluada a un sistema materialmente distinto que nunca se evaluó. Su conclusión es tajante: un sistema de alto riesgo cuya deriva no pueda rastrearse no puede demostrar de forma fiable que cumple los requisitos del reglamento. La consecuencia práctica es que, para la IA, la monitorización del cumplimiento no es un trámite colocado sobre un control estático. Es la única manera de saber si el sistema en producción sigue siendo el que usted aprobó, razón por la cual se sitúa junto a la gestión de riesgos de la IA y no después de ella.

Qué exige la normativa: una visión de tres marcos

La monitorización del cumplimiento de la IA ya no es opcional en Europa, y los principales organismos de normalización convergen en la misma expectativa. Tres marcos definen aquello frente a lo que se mide a la mayoría de las organizaciones, y una plataforma de cumplimiento de la IA debe satisfacer los tres a la vez.

Reglamento de IA: vigilancia poscomercialización (Artículo 72)

El reglamento de IA convierte la vigilancia en una obligación jurídica firme para los proveedores de sistemas de alto riesgo. El Artículo 72 exige a cada proveedor establecer y documentar un sistema de vigilancia poscomercialización, proporcionado a la naturaleza de la tecnología y a los riesgos, que recopile, documente y analice de forma activa y sistemática los datos sobre el rendimiento del sistema a lo largo de toda su vida útil. El fin declarado es permitir al proveedor evaluar el cumplimiento continuo de los sistemas de IA con los requisitos del capítulo III, sección 2. Dos detalles condicionan la aplicación. Primero, este sistema debe apoyarse en un plan escrito de vigilancia poscomercialización, parte de la documentación técnica, para el que la Comisión Europea facilita un modelo común. Segundo, la obligación se extiende a toda la vida útil del sistema, no hasta el lanzamiento. La vigilancia se concibe como el mecanismo que mantiene conforme a un sistema de alto riesgo después de llegar al mercado, es decir, exactamente la lectura continua que defiende esta guía.

ISO/IEC 42001: apartado 9.1, seguimiento y medición

La ISO/IEC 42001, la norma de sistema de gestión dedicada a la IA, inscribe el seguimiento en su capítulo 9. Las organizaciones deben hacer seguimiento, medir, analizar y evaluar tanto el rendimiento de sus sistemas de IA como los procesos de gobernanza que los rodean. En la práctica, esto supone elegir indicadores, entre ellos exactitud, fiabilidad y robustez, alineados con la evaluación de riesgos y los objetivos de IA de la organización, y fijar límites aceptables para las tasas de error, los niveles de sesgo y la calidad de los datos. El capítulo 9 también reclama pruebas. Las organizaciones definen cómo y cuándo se recopilan los datos, conservan resultados documentados, realizan auditorías internas del sistema de gestión de la IA y alimentan la revisión por la dirección. La norma trata el seguimiento como el insumo que hace posible la mejora continua, no como una casilla marcada una vez al año.

NIST AI RMF: MEASURE y MANAGE

El marco de gestión de riesgos de la IA del NIST, muy utilizado fuera de la Unión y como complemento voluntario dentro de ella, reparte el trabajo entre sus funciones MEASURE y MANAGE. En el marco de MEASURE, los sistemas de IA se monitorizan de forma continua para detectar desviaciones de rendimiento y riesgos emergentes, mediante pruebas de equidad, seguimiento de la deriva, pruebas adversarias y revisión de las salidas generadas. En el marco de MANAGE, esas mediciones desencadenan una respuesta, y el marco insiste en el carácter continuo de la vigilancia precisamente porque los sistemas no dejan de cambiar. El NIST también describe la dirección del cambio: las prácticas de gobernanza pasan de las revisiones manuales a la monitorización continua, las comprobaciones automatizadas de políticas y los cuadros de mando de reporte integrados. Esa es la forma operativa de una monitorización del cumplimiento de la IA madura.

Qué monitorizar en un sistema de IA

Monitorizar un control es binario: está implantado o no lo está. Monitorizar un sistema de IA significa observar un conjunto de señales que, en su conjunto, indican si el sistema sigue siendo fiable y conforme. Un programa concreto de monitorización del cumplimiento de la IA sigue al menos los siguientes elementos.

  • Indicadores de rendimiento: exactitud, precisión, exhaustividad, tasas de error y latencia frente a los umbrales que usted se ha fijado.
  • Deriva: deriva de datos en las entradas y deriva de concepto en el comportamiento del modelo, con alertas cuando se cruza un límite.
  • Equidad y sesgo: diferencias de resultado entre grupos protegidos, evaluadas con una cadencia definida y no solo en el lanzamiento.
  • Robustez y seguridad: resistencia a entradas adversarias, a la inyección de prompts y a las acciones abiertas que un sistema agentico puede emprender.
  • Supervisión humana: registros que muestran anulaciones, escalados y los puntos en los que una persona revisó o intervino.
  • Incidentes y cuasi incidentes: un recuento registrado, ya que el número de incidentes relacionados con la IA es en sí mismo un indicador vigilado según la ISO/IEC 42001.
  • Estado de controles y pruebas: qué controles de cumplimiento están activos, cuándo se verificó cada uno por última vez y si las pruebas asociadas están vigentes.

El último punto es el lugar donde la monitorización del cumplimiento se encuentra con el seguimiento del rendimiento de la IA. Un cuadro de mando de MLOps puede avisar de una caída de exactitud; un programa de cumplimiento debe enlazar esa caída con la obligación que amenaza y con la prueba que un auditor reclamará. Mantener cada sistema y sus obligaciones al día en un registro de sistemas de IA es lo que hace posible ese enlace.

Monitorización continua o periódica (y cómo elegir)

No todos los sistemas necesitan una vigilancia en tiempo real, y pretender lo contrario malgasta recursos. La cadencia adecuada sigue al riesgo y al ritmo de cambio. La monitorización periódica, una revisión programada cada trimestre o cada semestre, es defendible cuando un sistema es de bajo riesgo, se reentrena rara vez y opera en un entorno estable. Un modelo de clasificación documental que no ha cambiado en un año no exige una observación al segundo. La monitorización continua justifica su coste cuando un sistema es de alto riesgo según el reglamento de IA, se reentrena con frecuencia, toma decisiones sobre personas u opera allí donde sus entradas se desplazan deprisa. Para estos sistemas, el intervalo entre dos auditorías es justo el momento en que la deriva y el sesgo se cuelan sin ser detectados, y el Artículo 72 espera que los proveedores recopilen y analicen los datos de rendimiento a lo largo de toda la vida útil, no a intervalos. La mayoría de las organizaciones llega a un modelo por niveles: monitorización automatizada continua para los sistemas de alto riesgo, revisión periódica más ligera para la cola larga y una regla clara que asigna cada sistema a un nivel. Poner por escrito esa regla, y revisarla cuando el perfil de riesgo de un sistema cambia, forma parte de un programa de vigilancia defendible.

Cómo construir un programa de monitorización del cumplimiento de la IA

Convertir la obligación en un programa operativo sigue un camino reconocible.

  1. Inventaríe sus sistemas de IA y sus obligaciones. No se monitoriza lo que no se ha catalogado. La tarea fundacional del proveedor, como la formulan Nannini y colegas, es un inventario exhaustivo de las acciones de un sistema, de sus flujos de datos, de los sistemas conectados y de las personas afectadas. Vincule cada sistema a los marcos y artículos que le aplican.
  2. Defina indicadores y umbrales. Para cada sistema, decida qué significa estar bien: suelos de exactitud, techos de deriva, límites de equidad y el punto en que una señal se convierte en alerta.
  3. Asigne la responsabilidad. Cada señal vigilada necesita una persona responsable nombrada, que rinda cuentas de la acción a tomar, y la ISO/IEC 42001 espera que esa responsabilidad aflore en la revisión por la dirección.
  4. Automatice la recogida de pruebas. La captura manual de pantallas no sobrevive al choque con la monitorización continua. Extraiga de forma automática indicadores, registros y estado de los controles, para que la prueba se mantenga vigente y lista para auditoría.
  5. Establezca el escalado y la cadencia de revisión. Defina a quién se avisa, con qué rapidez y cuál es la vía de respuesta cuando se supera un umbral.
  6. Documente para la auditoría. El reglamento de IA exige un plan escrito de vigilancia poscomercialización en el expediente técnico: diseñe el programa para que sus salidas alimenten ese plan en lugar de requerir una redacción aparte.

Bien ejecutado, el programa produce un registro vivo que además sirve de base de pruebas, es decir, exactamente aquello para lo que se construye una plataforma de software para el cumplimiento de la IA.

Preguntas frecuentes

¿Qué significa la monitorización del cumplimiento? La monitorización del cumplimiento es el proceso continuo que verifica si los sistemas, los controles y las actividades de una organización siguen alineados con las leyes, los reglamentos, las normas y las políticas internas aplicables. A diferencia de una auditoría única, está pensada para detectar un problema cuando ocurre, y no en la siguiente revisión programada. Para un sistema de IA implica además observar el propio modelo, ya que su rendimiento y su comportamiento pueden cambiar sin ninguna actualización deliberada. ¿Es la monitorización del cumplimiento un requisito legal para la IA? Para los sistemas de IA de alto riesgo en la Unión, sí. El Artículo 72 del reglamento de IA obliga a los proveedores a un sistema documentado de vigilancia poscomercialización que recopila y analiza los datos de rendimiento a lo largo de toda la vida útil para evaluar el cumplimiento continuo. La ISO/IEC 42001 y el NIST AI RMF lo convierten en una expectativa antes que en una ley, pero juntos fijan el listón que auditores y clientes aplican cada vez más. ¿Qué diferencia hay entre monitorización continua y periódica? La monitorización periódica revisa los controles según un calendario, por ejemplo cada trimestre. La monitorización continua ejecuta comprobaciones automatizadas en segundo plano y señala las anomalías casi en tiempo real. La revisión periódica conviene a sistemas estables y de bajo riesgo; la monitorización continua conviene a sistemas de IA de alto riesgo o de cambio rápido, donde la deriva y el sesgo pueden aparecer entre dos auditorías. ¿Qué se debería monitorizar en un sistema de IA? Más allá de la disponibilidad, la exactitud y las tasas de error, la deriva de datos y de concepto, la equidad y el sesgo, la robustez y la seguridad, los registros de supervisión humana y de anulación, los incidentes y cuasi incidentes, y el estado de sus controles de cumplimiento y de sus pruebas. El objetivo es enlazar una señal técnica con la obligación a la que afecta. ¿Qué relación hay entre la monitorización del cumplimiento y la deriva del modelo? La deriva del modelo es una de las principales razones por las que la IA necesita una monitorización continua del cumplimiento. A medida que las entradas y el comportamiento derivan, un sistema que había superado su evaluación puede dejar de ser conforme, y según el reglamento de IA una deriva suficiente puede constituir una modificación sustancial del sistema. Vigilar la deriva es, por tanto, a la vez una medida de calidad y un control de cumplimiento. ¿Puede automatizarse la monitorización del cumplimiento? En gran medida sí, y para la IA debe serlo. El NIST AI RMF describe el paso de las revisiones manuales a la monitorización continua, las comprobaciones automatizadas de políticas y los cuadros de mando. La automatización mantiene las pruebas al día y hace practicable la vigilancia a lo largo de toda la vida útil que espera el Artículo 72, en lugar de un mero propósito.

Conclusión

La monitorización del cumplimiento siempre consistió en confirmar, no en suponer. Para los sistemas de IA ese principio se vuelve ineludible, porque el sistema que usted evaluó y el que se ejecuta en producción pueden divergir en silencio por efecto de la deriva, el reentrenamiento y la evolución de los datos. El reglamento de IA, la ISO/IEC 42001 y el NIST AI RMF convergen en la misma respuesta: vigilar de forma continua, medir frente a umbrales claros y mantener las pruebas al día. Tratar la vigilancia como la capa operativa de su gobernanza de la IA, y no como una tarea anual, es lo que mantiene un sistema defendible entre una auditoría y otra. Una capacidad continua de monitorización del cumplimiento de la IA convierte ese principio en una garantía en la que sus equipos, y sus auditores, pueden confiar.

Elena Vargas

Monitorización del cumplimiento de los sistemas de IA

La monitorización del cumplimiento mantiene los sistemas de IA alineados con el reglamento de IA, la ISO 42001 y el NIST AI RMF. Qué vigilar y con qué frecuencia.

Notificación de incidentes de IA: el artículo 73 del Reglamento de IA

Notificación de incidentes de IA según el artículo 73 del Reglamento de IA: qué es un incidente, quién notifica, los plazos de 2/10/15 días y el proceso.

MITRE ATLAS: de las técnicas de ataque a la IA a los controles de cumplimiento

MITRE ATLAS reúne 16 tácticas y 84 técnicas de ataque a sistemas de IA. Conviértalas en controles y pruebas para el artículo 15 del Reglamento de IA.

Gobernanza de la IA: el sistema operativo de una IA conforme y responsable

La gobernanza de la IA convierte los principios en controles auditables. Así encajan el reglamento europeo, la ISO 42001 y el NIST AI RMF.

Gestión de riesgos de cumplimiento: el manual 2026 para equipos GRC en la era de la IA

Replantear la gestión de riesgos de cumplimiento en la era de la IA: ISO 31000, ISO 42001, NIST AI RMF y artículo 9 del Reglamento IA en un solo stack.

Benchmarks de LLM: guía de cumplimiento para equipos de gobernanza de IA

Guía sobre benchmarks de LLM pensada para los reguladores: cómo MMLU, HumanEval, HELM y AIR-Bench se vinculan al Reglamento IA, NIST AI RMF e ISO 42001.