La Ley de IA de la UE está llegando a la etapa final de su largo y tortuoso camino desde la propuesta legislativa hasta la ley aplicable. Ha sido un proceso largo. La ley entró en vigor el 1 de agosto de 2024, con una implementación escalonada que dio lugar a numerosos plazos a lo largo de los meses y años siguientes. A menos que se publique mucho... Propuesta Ómnibus Digital Si el Parlamento Europeo lo aprueba pronto, la fecha límite clave llegará el 2 de agosto de 2026.

Las empresas británicas que desarrollan o utilizan sistemas de alto riesgo en la región tienen hasta entonces para poner en orden su gobernanza de la IA. Los reguladores querrán ver pruebas de control, no solo declaraciones de cumplimiento. Para algunas organizaciones, esto puede requerir un cambio cultural significativo. Pero normas pragmáticas de mejores prácticas como la ISO 42001 pueden ayudarles a lograrlo.

La historia hasta ahora

Desde su promulgación, varios aspectos de la ley han entrado en vigor. En particular, en febrero de 2025, se implementaron nuevos requisitos de alfabetización para el personal, se pusieron en marcha estructuras de gobernanza como la Oficina de IA y la Junta de IA, y se prohibieron los sistemas de IA que presenten "riesgos inaceptables". Sin embargo, según el enfoque basado en el riesgo de la ley, esta es la parte fácil. Con la prohibición de los sistemas que presentan riesgos inaceptables y sin nuevas normas para aquellos que se consideran de riesgo mínimo o nulo (por ejemplo, filtros de spam), la atención se centra en los sistemas "limitados" y de "alto riesgo".

Aquellos que se consideren de riesgo limitado (como los chatbots y algunos generadores de deepfakes) deberán "garantizar que los humanos estén informados cuando sea necesario para preservar la confianza", según el Comisión EuropeaPero son los sistemas de alto riesgo donde se presentan los mayores desafíos de cumplimiento.

Bajo el microscopio del cumplimiento

Como nosotros previamente explicadoLos sistemas de alto riesgo son aquellos utilizados en áreas como la identificación biométrica, sectores críticos como la salud, la educación y el empleo (donde las decisiones de IA pueden afectar la vida de las personas) e infraestructuras esenciales (por ejemplo, redes eléctricas y sistemas de transporte). Entre los casos de uso que cita la comisión se encuentran la calificación de exámenes, la cirugía asistida por robot, la clasificación de currículos, la calificación crediticia y el software utilizado para la toma de decisiones sobre visados ​​y la preparación de sentencias judiciales.

Estos estarán sujetos a estrictas obligaciones antes de poder comercializarse, a saber:

  • Evaluación y mitigación continua de riesgos
  • Conjuntos de datos de alta calidad para entrenar y probar la IA
  • Registro detallado de actividad y documentación
  • Información clara que debe proporcionarse al implementador (organizaciones que utilizan los modelos)
  • Supervisión humana adecuada
  • Altos niveles de “robustez, seguridad y precisión”

Estas obligaciones se complican en cierta medida por los diferentes requisitos exigidos a proveedores (desarrolladores de modelos), implementadores (usuarios), importadores y distribuidores. Estos parecen claros en teoría. Sin embargo, un implementador se clasificará como proveedor si modifica o cambia sustancialmente el propósito previsto de un sistema. Para complicar aún más las cosas, las organizaciones pueden desempeñar más de un rol simultáneamente. Imagine una empresa SaaS que adopta un modelo de base de terceros, lo perfecciona y luego lo implementa para clientes en múltiples jurisdicciones.

Empezando con la visibilidad

Todo esto hace que la gobernanza de la IA sea innegociable. Pero ¿qué debería incluir una estrategia de mejores prácticas en este mercado en rápida evolución? Para Chris Jones, director general de PSE Consulting, la visibilidad debería ser la máxima prioridad.

“Muchas empresas ya utilizan la IA de forma reducida y distribuida entre sus funciones, pero muy pocas tienen un inventario claro de su ubicación, las decisiones que influye y si entra en una categoría de alto riesgo”, explica a IO (anteriormente ISMS.online). “El punto de partida debería ser una revisión estructurada de los casos de uso de la IA, la responsabilidad de los riesgos asociados y cómo estos riesgos se vinculan con las obligaciones existentes en virtud de marcos como el RGPD y el NIS2”.

Aquí es donde el cumplimiento puede complicarse, debido a las obligaciones superpuestas de cada uno, dice el director de estrategia de Bizzdesign, Nick Reed.

Por ejemplo, un sistema de IA que procesa datos personales en un contexto de infraestructura crítica puede activar simultáneamente las obligaciones del RGPD, la NIS2 y la Ley de IA. Cuando las organizaciones las tratan como vías de cumplimiento independientes, duplican esfuerzos y pueden pasar por alto los puntos en común que permiten una gestión del cumplimiento mucho más eficiente, explica a IO.

Para abordar esto se requiere visibilidad estructural en toda la empresa. Las organizaciones necesitan una visión coherente de cómo se interrelacionan la IA, las actividades de negocio, los datos y los sistemas críticos; no solo dentro de cada contexto regulatorio, sino en todos ellos. La arquitectura empresarial proporciona ese modelo semántico compartido a nivel empresarial, conectando los sistemas de IA con las capacidades, los procesos, los datos, los terceros y las obligaciones que afectan, de forma que se posibilita una gobernanza coordinada en lugar de iniciativas fragmentadas que duplican esfuerzos.

El siguiente paso para las organizaciones que cumplen con las normas es comprender su posición en la cadena de suministro de IA.

“Muchas organizaciones asumen que son simplemente usuarias de IA, pero en la práctica pueden actuar como integradoras o distribuidoras una vez que personalizan o integran modelos en sus propios servicios”, afirma Jones de PSE Consulting. “Esto modifica sus obligaciones y su exposición al riesgo, por lo que definir esas funciones con antelación es esencial”.

Reed, de Bizzdesign, está de acuerdo y sostiene que la visibilidad vuelve a ser vital.

“Para determinar el rol y evaluar la exposición al riesgo, las organizaciones necesitan ver cómo se conectan los sistemas de IA con la empresa en general: qué capacidades comerciales respaldan, qué procesos habilitan, a qué datos acceden y qué proveedores los suministran”, afirma.

Sin esa visión integrada, la clasificación de roles corre el riesgo de basarse en opiniones en lugar de hechos. La prueba llega cuando algo cambia. Si una herramienta de un proveedor se reclasifica como de alto riesgo o se retira del mercado, ¿puede responder de inmediato qué procesos dependen de ella, qué datos aborda, si existen alternativas y con qué rapidez podría actuar?

Un enfoque maduro con la norma ISO 42001

Para desarrollar la agilidad necesaria para cumplir con las normativas en medio de cambios regulatorios, reclasificación de proveedores y cambios estratégicos, las organizaciones deben adoptar un enfoque de gobernanza estructurado y consistente, continúa Reed. Aquí es donde la norma ISO 42001 puede ser de gran ayuda.

“Formaliza las expectativas en torno a la gestión de riesgos, la documentación, la supervisión y la mejora continua a lo largo del ciclo de vida de la IA”, afirma. “Para las organizaciones que se adaptan a la Ley de IA de la UE, junto con el RGPD y la NIS2, marcos como la ISO 42001 ayudan a traducir los requisitos regulatorios en procesos repetibles que los equipos de cumplimiento y gestión de riesgos pueden implementar con confianza”.

Nik Kairinos, director ejecutivo y cofundador de RAIDS AI, comparte razones más pragmáticas por las que la norma ISO 42001 puede ayudar.

“La UE ha desarrollado un proyecto de norma europea que aborda específicamente los requisitos del artículo 17 de la ley, que exige sistemas de gestión de calidad (SGC) para proveedores de IA de alto riesgo: EN 18286 (Inteligencia Artificial – Sistema de Gestión de Calidad para Fines Regulatorios de la Ley de IA de la UE)”, explica a IO.

Las organizaciones con certificación ISO 42001 vigente tienen una ventaja significativa en el cumplimiento de la Ley de IA de la UE, ya que proporciona la base operativa para la prEN 18286. Con la presunción de conformidad, las organizaciones que implementan la prEN 18286 pueden asumir que cumplen con las obligaciones del Artículo 17; por lo tanto, es en esto en lo que las empresas deben centrarse.

El objetivo no debería ser empezar desde cero, sino más bien ampliar los controles relevantes existentes y los modelos de garantía al espacio de la IA, dice Jones de PSE Consulting.

“Las organizaciones que se adaptarán con mayor éxito son aquellas que consideran la IA confiable como una disciplina operativa, más que como un ejercicio de cumplimiento normativo”, concluye. “Si sabes dónde está tu IA, quién es su propietario y cómo se comporta cuando algo sale mal, ya estás en gran parte del camino para cumplir con el objetivo de la regulación”.

Con posibles multas por incumplimiento que alcanzan los 15 millones de euros (13 millones de libras) o el 3 % de la facturación anual global, no hay tiempo que perder.