IA: Checklist de auditoría de conformidad

Auditar la conformidad de un sistema de IA no es trivial. A diferencia de una auditoría RGPD (donde los requisitos están bien definidos desde 2018), el AI Act es nuevo y las prácticas de auditoría están en proceso de maduración. Esta checklist reúne los puntos de control esenciales basados en el texto del reglamento, las directrices del EDPB y las buenas prácticas emergentes.

Fase 1: Inventario y clasificación

Inventario de sistemas de IA

• [ ] Lista completa de sistemas de IA utilizados o desarrollados
• [ ] Para cada sistema: proveedor, versión, fecha de implementación
• [ ] Descripción funcional: qué hace, qué datos usa, qué decisiones toma o asiste
• [ ] Identificación del rol: ¿eres proveedor o deployer?

Clasificación por riesgo

• [ ] Verificar si algún sistema está en la lista de prohibidos (Art. 5)
• [ ] Clasificar cada sistema según el Anexo III (alto riesgo)
• [ ] Identificar sistemas con obligaciones de transparencia (riesgo limitado)
• [ ] Documentar la justificación de la clasificación

Registro

• [ ] Registrar sistemas de alto riesgo en la base de datos de la UE (obligatorio para proveedores)
• [ ] Mantener registro interno actualizado de todos los sistemas

Fase 2: Gobernanza y organización

Estructura

• [ ] Designar un responsable de compliance IA en la organización
• [ ] Definir roles y responsabilidades para cada sistema de alto riesgo
• [ ] Establecer un comité de IA o integrar la IA en el comité de compliance existente

Políticas

• [ ] Política de uso aceptable de IA documentada
• [ ] Procedimiento de evaluación de nuevos sistemas de IA antes de su adopción
• [ ] Política de gestión de incidentes relacionados con IA
• [ ] Código ético de IA alineado con los principios europeos

Formación

• [ ] Programa de formación en IA para empleados relevantes
• [ ] Formación específica para supervisores humanos de sistemas de alto riesgo
• [ ] Registro de formaciones realizadas

Fase 3: Requisitos técnicos (sistemas de alto riesgo)

Datos y entrenamiento

• [ ] Documentación de los conjuntos de datos de entrenamiento, validación y prueba
• [ ] Evaluación de sesgo y representatividad de los datos
• [ ] Proceso de gobernanza de datos documentado
• [ ] Métricas de calidad de datos definidas y monitorizadas

Transparencia y explicabilidad

• [ ] Documentación técnica accesible para autoridades
• [ ] Instrucciones de uso claras para deployers
• [ ] Información comprensible para los afectados por las decisiones de la IA
• [ ] Capacidad de explicar las decisiones del sistema (explicabilidad)

Supervisión humana

• [ ] Mecanismo de intervención humana implementado
• [ ] Supervisores humanos designados y formados
• [ ] Capacidad de anular o corregir decisiones de la IA
• [ ] Procedimiento documentado para escalamiento

Precisión y robustez

• [ ] Métricas de rendimiento definidas y medidas
• [ ] Tests de robustez ante datos adversarios
• [ ] Plan de gestión de errores y falsos positivos/negativos
• [ ] Evaluación de ciberseguridad del sistema de IA

Registro de actividades (logs)

• [ ] Logging automático de todas las decisiones
• [ ] Trazabilidad completa: input → proceso → output
• [ ] Conservación mínima de 6 meses
• [ ] Acceso controlado a los logs

Fase 4: Protección de datos (RGPD)

Evaluación de impacto

• [ ] EIPD realizada para sistemas que tratan datos personales
• [ ] Base legal identificada para cada tratamiento
• [ ] Principio de minimización aplicado (solo datos necesarios)
• [ ] Derechos de los interesados garantizados (acceso, rectificación, oposición)

Decisiones automatizadas (Art. 22 RGPD)

• [ ] Identificar si el sistema toma decisiones automatizadas con efectos legales
• [ ] Garantizar el derecho a intervención humana
• [ ] Garantizar el derecho a expresar el punto de vista
• [ ] Garantizar el derecho a impugnar la decisión

Transferencias internacionales

• [ ] Identificar si los datos se transfieren fuera del EEE (APIs de IA en USA)
• [ ] Mecanismo de transferencia documentado (SCT, decisión adecuación)
• [ ] Evaluación de impacto de transferencia (TIA) si procede

Fase 5: Transparencia para usuarios

Chatbots y asistentes virtuales

• [ ] Disclaimer visible: "Este asistente utiliza inteligencia artificial"
• [ ] Opción de hablar con un humano disponible
• [ ] Información sobre las limitaciones del sistema

Contenido generado por IA

• [ ] Etiquetado de contenido generado por IA que se publica
• [ ] Watermarking o metadata para imágenes y vídeos generados
• [ ] Política de divulgación para contenido sintético

Detección de emociones / categorización biométrica

• [ ] Información previa a los afectados (si aplica)
• [ ] Consentimiento explícito cuando sea necesario
• [ ] Evaluación de si la finalidad está permitida

Fase 6: Monitorización y mejora continua

Monitorización post-comercialización (proveedores)

• [ ] Plan de monitorización documentado
• [ ] Recopilación sistemática de datos de rendimiento
• [ ] Detección de derivas (drift) del modelo
• [ ] Proceso de actualización y reentrenamiento

Gestión de incidentes

• [ ] Procedimiento de detección de incidentes IA
• [ ] Canales de reporte (interno y a autoridades)
• [ ] Plazos de notificación definidos
• [ ] Plan de contingencia si el sistema debe desactivarse

Revisión periódica

• [ ] Auditoría interna anual de sistemas de IA
• [ ] Revisión de clasificación de riesgo ante cambios
• [ ] Actualización de documentación
• [ ] Evaluación de nuevas directrices regulatorias

Puntuación de madurez IA

| Puntos | Nivel | Descripción | |--------|-------|-------------| | 80-100% | Avanzado | Cumplimiento proactivo, cultura de IA responsable | | 60-79% | En progreso | Fundamentos establecidos, mejoras necesarias | | 40-59% | Inicial | Conciencia pero implementación parcial | | Menos de 40% | Crítico | Riesgo regulatorio significativo, acción urgente |

Cómo WarDek complementa tu auditoría

WarDek no audita directamente tus modelos de IA, pero evalúa la capa web donde se despliegan:

• Detección de IA en tu web: identifica chatbots, scripts de IA, APIs de ML
• Verificación de transparencia: ¿informas a los usuarios?
• Seguridad de la infraestructura: protección de la capa que sirve la IA
• Score AI Act integrado: junto con NIS2, RGPD y OWASP

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.