Captura de pantalla de plantilla de inventario de sistemas de IA desarrollado por Auferil

Inventario y clasificación de los sistemas de IA: Primer paso para la adecuación al Reglamento de Inteligencia Artificial (RIA)

Las empresas españolas deberían aprender de las lecciones derivadas de la aplicación del Reglamento General de Protección de Datos (RGPD) y no esperar hasta el último minuto para ponerse a dar cumplimiento a las obligaciones del Reglamento de Inteligencia Artificial (RIA), siendo uno de los primeros pasos que las organizaciones pueden realizar es un inventario de los sistemas de IA existentes en su seno, incluyendo tanto los sistemas desarrollados internamente como aquellos adquiridos a proveedores externos.

Este proceso implica la creación de un inventario y la clasificación de cada sistema según su función y nivel de riesgo, lo que permitirá clasificar dichos sistemas tomando en consideración los riesgos definidos por el RIA y determinar el rol de la organización en la cadena de valor de la IA (conjunto de actividades y roles involucrados en el proceso de creación de un producto o servicios hasta su entrega al cliente final).

A continuación, presentamos los campos recomendados que deberían formar parte de un inventario de sistemas de IA. Esta estructura ayudará a las organizaciones a cumplir con los requisitos del RIA y también con los del RGPD:

    • ID del sistema de IA: Un identificador único para cada sistema de IA. Se recomienda asignar códigos significativos para una rápida identificación (por ejemplo, “IA-RRHH-01” para sistemas de recursos humanos).

    • Nombre del sistema: Denominación descriptiva que refleje la finalidad del sistema, facilitando su identificación (por ejemplo, «Proceso de selección automatizado»).

    • Rol de la organización: Identificación del papel específico que desempeña la organización en la cadena de valor del sistema de IA, según el RIA (Proveedor, Responsables del despliegue, Representante autorizado, Importador o Distribuidor).

    • Departamento responsable: Equipo responsable de la gestión, mantenimiento y supervisión del sistema del sistema de IA dentro de la organización.

    • Persona de contacto: Información y datos de contacto de la persona del departamento responsable del uso adecuado del sistema de IA. Esta persona será el punto de referencia para proporcionar información en caso de incidentes, actualizaciones o consultas relacionadas con el sistema.

    • Fecha de implementación: Fecha en la que el sistema de IA fue puesto en funcionamiento, útil para el seguimiento de su ciclo de vida.

    • Descripción del sistema: Breve explicación de la finalidad y funcionamiento del sistema dentro de la organización.

    • Tipo de sistema: Clasificación general del sistema, como aprendizaje automático, toma de decisiones automatizada, reconocimiento facial, IA generativa o procesamiento de lenguaje natural.

    • Origen del sistema: Indicación de si el sistema es desarrollado internamente o adquirido externamente a un proveedor.

    • Proveedor externo: Nombre del proveedor o desarrollador externo, si aplica.

    • Objetivo, funciones y características: Descripción del problema que el sistema pretende resolver o el beneficio que aporta a la organización, sus principales capacidades y acciones, así como las propiedades específicas del sistema.

    • Datos tratados: Identificación del tipo de información procesada por el sistema, incluyendo datos personales (como nombre, correo electrónico, datos económicos) e información no personal (como datos agregados, patrones de comportamiento o datos generados por dispositivos).

    • Categorías de interesados: Identificación de los grupos de personas físicas afectados por el sistema o que interactúan con él (por ejemplo, usuarios finales, clientes, empleados, candidatos, proveedores externos, público en general, etc.).

    • Clasificación del sistema: Categorización del sistema en función del nivel de riesgo que representa, conforme a lo establecido en el Reglamento de Inteligencia Artificial.

    • Medidas de seguridad: Descripción de las medidas técnicas y organizativas adoptadas para mitigar riesgos y garantizar la seguridad, integridad, confidencialidad y disponibilidad de los datos, incluyendo protección frente a accesos no autorizados.

    • Evaluación de impacto relativa a la protección de datos: Indicación de si se ha realizado una evaluación de impacto conforme al RGPD.

    • Evaluación de impacto de derechos fundamentales: Información sobre el análisis de cómo el uso del sistema podría afectar los derechos y libertades fundamentales de las personas.

    • Posibles riesgos e impacto: Detalle de los riesgos potenciales asociados al uso del sistema de IA y su impacto tanto en las personas (interesados) como en la organización (por ejemplo, discriminación, sesgo algorítmico, pérdida de privacidad, riesgos reputacionales y de dependencia tecnológica).

    • Transparencia y explicabilidad: Descripción de las medidas adoptadas para asegurar que el sistema es transparente y que sus decisiones son comprensibles para los usuarios.

    • Supervisión humana: Indicación de si el sistema cuenta con supervisión humana y, en caso afirmativo, una breve descripción del tipo de supervisión.

    • Normativa aplicable: Identificación de las normas que rigen el diseño, desarrollo, implementación y uso del sistema (por ejemplo, normas de inteligencia artificial, protección de datos, propiedad intelectual, ciberseguridad y normativa sectorial).

    • Documentación relacionada: Listado de la documentación relevante asociada al sistema, como especificaciones técnicas, políticas de privacidad, términos y condiciones, análisis de riesgos, evaluaciones de impacto, controles de acceso y procedimientos de gestión de incidentes.

    • Fecha de última actualización: Fecha en la que se revisaron o modificaron por última vez los detalles del sistema en el inventario, para mantener la vigencia de la información.

    • Observaciones e información adicional: Espacio para registrar cualquier información relevante que no esté cubierta en otros campos de la plantilla, incluyendo información con las opciones “Otros”.

Plantilla de inventario de sistemas de IA de AUFERIL

En AUFERIL hemos desarrollado una plantilla de inventario de sistemas de IA para facilitar a las organizaciones dar inicio a su proceso de adecuación a los requisitos del Reglamento de Inteligencia Artificial (RIA), así como dar cumplimiento al Reglamento General de Protección de Datos (RGPD). Su objetivo es ayudar a las organizaciones a documentar los sistemas de inteligencia artificial (IA) en uso dentro de la organización, permitiendo evaluar, gestionar y mitigar los riesgos asociados a cada sistemas.  

Descargue aquí la plantilla de inventario de sistemas de IA de AUFERIL.

Para obtener más información sobre cómo podemos ayudar a su organización a iniciar este proceso de adecuación, contáctenos a través de nuestro correo electrónico info@auferil.es o por teléfono o WhatsApp (+34 676 351 757).

Para cualquier comentario, sugerencia o incidencias, puede utilizar igualmente los métodos de contacto mencionados anteriormente.