Ha pasado un año desde que la Ley de Inteligencia Artificial de la UE se publicó en el Diario Oficial y comenzó a remodelar el panorama del cumplimiento en Europa y más allá.
Si bien las obligaciones más amplias de la legislación no entrarán en vigor hasta 2026, la Ley de IA ya está teniendo un impacto medible, especialmente en los equipos de privacidad. Muchos profesionales de la privacidad se han encontrado en el centro de una conversación en rápida evolución que no necesariamente habían iniciado, pero que ahora tienen que liderar. Desde prohibiciones inaceptables hasta requisitos de gobernanza para la IA de uso general.
Entonces, ¿cómo están abordando todo esto los equipos de privacidad?
De la gestión de la privacidad a la «gobernanza de la privacidad y la IA»
Tradicionalmente, los equipos de privacidad se han centrado en dominios bien definidos: datos personales, derechos de los interesados, evaluaciones de impacto y flujos de datos transfronterizos. Sin embargo, el auge de los sistemas de inteligencia artificial ha difuminado esos límites, al introducir nuevos riesgos, ampliar el alcance del cumplimiento y aumentar la demanda de supervisión.
Como resultado, la gobernanza de la IA recae cada vez más en la responsabilidad de los oficiales de protección de datos (DPO) o administradores de privacidad. Ya sea que se les encomiende formalmente esta función o simplemente se les obligue a desempeñarla por necesidad, ahora se pide a dichos profesionales identificar y clasificar los sistemas de IA en toda la organización, incluidas las llamadas iniciativas de IA en la sombra (shadow AI). Deben evaluar los niveles de riesgo utilizando los criterios definidos en la Ley de IA, colaborar con los equipos legales, técnicos y de cumplimiento sobre las evaluaciones y los esfuerzos de mitigación, y rastrear la procedencia, el propósito y la explicabilidad de cada sistema en uso.
Todo esto se suma a sus responsabilidades habituales, lo que añade complejidad y urgencia a los programas de privacidad. La gobernanza de la IA no está reemplazando el trabajo relacionado con la privacidad, se está apilando encima.
La carga operativa es real
La Ley de IA se describe a menudo como una regulación «horizontal», que complementa las leyes verticales como el GDPR. Sin embargo, en la práctica, existe una superposición significativa, especialmente en lo que respecta a la base legal, la transparencia, las evaluaciones de impacto y los derechos individuales.
Esto crea una doble carga para los equipos de privacidad, muchos de los cuales ya operan con limitaciones de recursos. Por ejemplo:
- Las Evaluaciones de impacto de la IA a menudo se parecen a las DPIA, pero con capas técnicas y éticas adicionales.
- Los Inventarios de sistemas de IA requieren disciplinas de documentación similares a las de la RoPa, pero abarcan departamentos y tecnologías más amplios.
- La colaboración interdepartamental (con equipos legales, informáticos, de riesgo y de producto) es ahora una necesidad, no un lujo.
Los equipos de privacidad están bien posicionados para liderar, pero muchos carecen de las herramientas o el apoyo interno para ampliar su trabajo de manera eficaz.
Un año de aprendizaje y esfuerzo
Desde la publicación de la Ley en agosto de 2024, muchas organizaciones se han centrado en educación y alineación interna. Algunas medidas clave que han tomado los equipos de privacidad incluyen:
- Realización de talleres de descubrimiento de sistemas de IA con equipos empresariales y de productos
- Establecimiento de registros internos de IA y juntas de gobierno
- Comparación de requisitos de la Ley de Inteligencia Artificial con los procesos actuales del RGPD
- Colaboración con un asesor legal para aclarar las clasificaciones de riesgo y las obligaciones
- Experimentación con plantillas para evaluaciones y documentación de IA
Sin embargo, existe una incertidumbre generalizada, especialmente en torno a los modelos de IA de uso general (GPAI), los riesgos de los modelos básicos y la evolución de los plazos de aplicación.
Cómo los clientes de TrustWorks consiguen que su gestión de la IA sea más eficiente
En junio de 2024, en TrustWorks, lanzamos el Módulo de Gobernanza de IA para ayudar a los equipos de privacidad a ir más allá del seguimiento manual y a prepararse mejor para la Ley de Inteligencia Artificial. ¿Nuestro objetivo? Hacer que la IA se gobierne de forma procesable, colaborativa y escalable. Lo mismo que hicimos con la gestión de la privacidad, simplificando las operaciones para que los equipos de privacidad puedan por fin dejar de enfocarse en tareas administrativas repetitivas y centrarse en tareas más estratégicas y de gran valor.
Hoy en día, nos enorgullece tener clientes, incluidas empresas de Fortune 500, que utilizan la Plataforma de gobernanza de IA para:
- Crear y mantener un registro de IA centralizado y listo para la auditoría
- Realizar evaluaciones de riesgo e impacto de la IA en todas las jurisdicciones
- Reducir el tiempo dedicado a los talleres de IA automatizando el descubrimiento y la clasificación de los casos de uso de IA
- Obtener información en tiempo real sobre el propósito, la base legal y el nivel de riesgo de cada sistema
- Colaborar con asuntos legales, de cumplimiento y de ingeniería sobre planes de mitigación
- Documentar el control de versiones automático y monitorizar los flujos de trabajo de gobierno
Y a diferencia de las herramientas que agrupan todo en suites rígidas de todo o nada, algunos clientes han empezado únicamente con 'AI Governance', porque ahí es donde estaba la presión. Gracias al enfoque modular de TrustWorks, pudieron adoptar exactamente lo que necesitaban, sin verse obligados a integrar una solución de privacidad global desde el primer día.
Si quieres ver cómo uno de nuestros clientes empresariales está optimizando la gobernanza de la IA en este momento, reserva una reunión conmigo. Te explicaré cómo es la gobernanza real y operativa de la IA.
¿Qué viene después?
La aplicación de la Ley de IA es gradual y ya hemos superado la primera ronda. En febrero de 2025, las prohibiciones sobre sistemas de riesgo inaceptable y los requisitos de alfabetización en IA entraron en vigor, marcando el inicio de una verdadera presión reguladora.
El mensaje de la UE es ahora muy claro: «[...] no hay forma de detener el reloj. No hay período de gracia. No hay pausa».
Se ha descartado oficialmente cualquier esperanza de un aterrizaje suave. Entonces, ¿qué hay por delante?
- agosto de 2025: Obligaciones para modelos de IA de uso general (GPAI) , incluida la documentación, la transparencia y las divulgaciones
- agosto de 2026: Plazo de cumplimiento total para sistemas de IA de alto riesgo
- agosto de 2027: Los requisitos adicionales entran en vigor para IA de alto riesgo integrada en productos regulados (por ejemplo, tecnología de la salud, maquinaria)
Lo que significa que los equipos de privacidad, riesgo y gobierno deben moverse ahora, no más tarde. Las líneas de trabajo que ya deberían estar en marcha incluyen:
- Mapeo de sistemas de IA en todos los departamentos
- Calificación de riesgo de cada sistema basado en los criterios de la Ley de Inteligencia Artificial
- Prepararse para las evaluaciones de conformidad, cuando proceda
- Comprender los requisitos de transparencia y divulgación, incluso para los implementadores
- Desarrollo de plantillas de revisión interna adaptado a los casos de uso de la IA
- Definición de los procesos de propiedad, escalamiento y aprobación
- Y si operas en B2B, los compradores pueden una prueba del cumplimiento de la Ley de IA, especialmente en las industrias reguladas
Es el momento de demostrar que la gobernanza ya está en marcha y que su organización no solo conoce las normas, sino que está preparada activamente para cumplirlas.
Reflexiones finales
Un año después de la promulgación de la Ley de Inteligencia Artificial, los profesionales de la privacidad se están adaptando. La gobernanza de la IA ya no es solo una cuestión tecnológica o ética. Es una prioridad de cumplimiento. Pero esta vez, tienen una ventaja valiosa: la experiencia.
Muchos de los profesionales que ahora son responsables de la gobernanza de la IA también fueron los que dirigieron la Implementación del RGPD. Ya lo has hecho antes: mapas de datos, marcos de gobernanza y traducción de textos legales a flujos de trabajo operativos, y con frecuencia en plazos ajustados y con recursos limitados.
Sin embargo, la implementación de la Ley de IA ofrece la oportunidad de abordar las cosas de manera más eficaz. Esta vez, los equipos de privacidad pueden ser más proactivos que reactivos. Pueden alejarse de tareas basadas en 'check boxes' para ir hacia una gobernanza operativa por defecto. Se pueden adaptar a los flujos de trabajo multifuncionales desde el primer día. Y, lo que es más importante, pueden reemplazar tareas manuales y repetitivas con procesos más automatizados y eficientes.
En lugar de repetir los enfoques fragmentados y repletos de hojas de cálculo que adoptaron muchas organizaciones cuando se preparaban para el RGPD, los líderes en privacidad ahora tienen acceso a herramientas y marcos más inteligentes diseñados para escalar. Con la configuración adecuada, la gobernanza de la IA puede convertirse en una parte integral de las operaciones diarias, y no en una idea de último momento ni en un simulacro de incendio.
La regulación de la IA es un territorio nuevo, pero para los profesionales de la privacidad, el manual básico es familiar. Y esta vez, existe una posibilidad real de crear algo más resiliente, colaborativo y preparado para el futuro. Desde el principio.
👉 ¿Estás listo para optimizar la gobernanza de la IA? Comienza con un prueba gratuita del módulo AI Governance.
Sin gastos de configuración ni complementos innecesarios. Solicita tu prueba gratuita de AI Governance.
