Nueva Ley de California Requiere Evaluaciones de Riesgo de IA para Finales de 2027
A medida que las empresas se apresuraban a adoptar la inteligencia artificial durante 2025, pudieron haber pasado por alto un problema crítico. La IA no solo ha creado nuevos riesgos, sino que ha expuesto debilidades en la infraestructura que muchas organizaciones han mantenido desde finales de la década de 1990, según expertos legales.
Se está instando a las empresas a actuar de inmediato sobre las evaluaciones de riesgo de IA, advirtiendo que los consejos y reguladores esperan un progreso visible en la gobernanza de la IA. Se señala la creciente presión: ingenieros desplegando modelos más rápido de lo que los equipos legales pueden revisarlos, contratos de proveedores que no abordan quién posee los datos de entrenamiento y reguladores que están prestando atención.
Marco de Riesgo Obligatorio
Bajo el nuevo marco de riesgo obligatorio de California, las empresas deben incluir evaluaciones de riesgo de IA como parte de su evaluación de riesgos empresariales antes del 31 de diciembre de 2027. La reciente orden ejecutiva que establece un marco nacional de política de IA indica que la aplicación regulatoria federal puede intensificarse, incluso mientras los estados y el gobierno federal chocan sobre la jurisdicción.
Se recomienda que las organizaciones adopten el Marco de Gestión de Riesgos de IA del Instituto Nacional de Estándares y Tecnología (NIST) como su base. Este marco neutral por sectores se está convirtiendo en el estándar de la industria y proporciona herramientas prácticas de implementación que ayudan a los equipos legales, de riesgo e ingeniería a trabajar juntos de manera efectiva.
Escenarios Críticos
La firma advierte sobre la importancia de evitar escenarios críticos, como el descubrimiento de que un sistema de IA de servicio al cliente estaba tomando decisiones de elegibilidad que no estaba autorizado a hacer. Este tipo de situaciones resaltan por qué es crucial el mapeo de la infraestructura. Las empresas necesitan saber quién posee los resultados de la IA cuando los datos de los clientes son entrenados por ingeniería, desplegados por equipos de producto y utilizados para decisiones por las cuales los departamentos legales son responsables.
Las organizaciones deben identificar quién tiene la autoridad para pausar o anular sistemas cuando surgen riesgos.
Enfoque en Tres Fases
Se describe un enfoque en tres fases. En los primeros tres meses, las empresas deben mapear el uso de la IA, asignar propietarios para el riesgo y cumplimiento de la IA, y crear un sistema de registro para todos los sistemas de IA en uso. Los siguientes tres a nueve meses deben centrarse en ampliar los protocolos de prueba, revisar contratos para obligaciones específicas de IA e implementar controles técnicos. La fase final, de nueve a dieciocho meses y más allá, implica un monitoreo continuo a través de alertas, tableros y detección de desviaciones.
Los reguladores comprenden que la perfección no es inmediatamente alcanzable. Esperan ver progreso visible y una narrativa de mejora creíble. Las empresas deben tener ahora un inventario de sistemas de IA con niveles de riesgo y propiedad, planes de respuesta a incidentes actualizados para riesgos específicos de IA y un documento de gobernanza de IA.
Conclusiones
Dentro del primer año, las organizaciones deben desarrollar políticas y estándares de IA, crear protocolos escritos para pruebas y validación (especialmente para sistemas que afectan el empleo, la vivienda o poblaciones vulnerables) y establecer cuestionarios de diligencia para proveedores. A medida que la IA continúa avanzando rápidamente, el mensaje de los expertos legales es claro: el momento de construir marcos de gobernanza robustos es ahora, no cuando los reguladores toquen a la puerta.
