Guía práctica de uso de la IA

por | Informes del sector

Guía práctica de uso de la IA

Informes del sector

Guía práctica de uso de la IA data and co

Cómo cumplir (de verdad) con el Reglamento Europeo de IA: guía práctica de uso de la IA basada en las 16 guías del sandbox regulatorio español.

España ha desarrollado un conjunto de 16 guías prácticas dentro del piloto de sandbox regulatorio de IA. No sustituyen a la norma, aunque ofrecen un camino operativo para desplegar, evaluar y gobernar sistemas de IA conforme al Reglamento Europeo de IA (AI Act). Son documentos vivos, sujetos a revisión y alineados con los estándares que emerjan a escala europea. En Data & Co las entendemos como un manual de implantación: quién debe hacer qué, con qué evidencias y en qué momento del ciclo de vida del sistema.

1) ¿A quién aplican y con qué enfoque las guías de Inteligencia Artificial?

Las guías explican el enfoque basado en riesgo del AI Act y distinguen roles: proveedor, importador, distribuidor, integrador y usuario profesional. Identifican obligaciones reforzadas para sistemas de alto riesgo (p. ej., scoring crediticio, selección de personal) frente a requisitos de transparencia para otros usos. Incluyen ejemplos prácticos que ayudan a clasificar sistemas y a determinar la ruta de conformidad.

2) Mapa de obligaciones por rol y por fase

2.1 Sistema de gestión de la calidad (QMS) y evaluación de conformidad

Los proveedores de sistemas de alto riesgo deben contar con un QMS que cubra todo el ciclo de vida: diseño, desarrollo, pruebas, despliegue, monitorización y retirada. Se detallan políticas, responsabilidades, control documental, auditorías internas y mejora continua. La evaluación de conformidad integra el QMS, la documentación técnica y la verificación de requisitos esenciales.

2.2 Gestión de riesgos

Se propone un proceso iterativo: identificación de peligros, análisis de riesgos, mitigación, verificación de eficacia y registro continuo. Incluye riesgos técnicos (sesgo, deriva, error), organizativos y de cadena de suministro. Se exige trazabilidad de decisiones y presunciones de conformidad cuando apliquen estándares armonizados. 

2.3 Vigilancia humana

La supervisión humana debe ser efectiva y documentada: quién supervisa, con qué formación, qué herramientas tiene para intervenir y cuándo puede detener el sistema. Las guías describen salvaguardas operativas, límites de autonomía y diseño de interfaces que faciliten la intervención informada. 

2.4 Datos y gobernanza del dato

Requisitos de calidad, representatividad y relevancia de los datasets; documentación de origen, licencias, cobertura y limitaciones; controles de sesgo en datos de entrenamiento, validación y prueba; y data lineage que permita reproducibilidad. 

2.5 Transparencia hacia usuarios

Obligación de informar sobre capacidades, limitaciones, requisitos de uso seguro, nivel de autonomía y riesgos residuales. Donde aplique, aviso de interacción con sistemas de IA, junto a instrucciones claras para la desactivación o la escalada a humano

2.6 Precisión, robustez y solidez

Definición de métricas de precisión pertinentes para el caso de uso y de umbrales mínimos operativos; planes de pruebas contra ataques de adversarios, perturbaciones y cambios de dominio; gestión de deriva y recalibración.

2.7 Ciberseguridad

Controles zero-trust, protección de modelos y datos (en tránsito y en reposo), hardening del entorno de despliegue, seguridad de dependencias y defensa frente a data/model poisoning y extracción de modelo. 

2.8 Registros (logging)

Registro completo y fiable para reconstruir decisiones: versiones de modelo, parámetros, datasets, prompts o instrucciones, métricas, eventos de fallo y acciones de supervisión humana. Se marcan campos obligatorios y retenciones mínimas. 

2.9 Vigilancia poscomercialización y gestión de incidentes

Plan de monitorización tras el despliegue con KPIs, umbrales de alerta, canales de reporte y plazos de notificación a autoridades para incidentes graves. Las guías despliegan un playbook de incidentes con clasificación, respuesta, investigación de causa raíz y acciones correctivas.

2.10 Documentación técnica

Estructura de la documentación técnica que acompañará a la evaluación de conformidad: descripción del sistema, caso de uso, arquitectura, datasets, métricas, validaciones, controles de seguridad, procedimiento de despliegue y plan de retirada. Incluye plantillas y evidencias esperadas. 

2.11 Checklists

Manual para operacionalizar todos los requisitos con listas de verificación por rol y por fase, útil para auditorías internas y para alinear áreas legales, técnicas y de negocio. 

3) Plan de implantación en 90 días (enfoque práctico)

Días 0–15 — Alcance y gobierno

  • Inventariar casos de uso de IA y clasificarlos por riesgo. Resultado: matriz de criticidad y mapa de roles.
  • Nombrar responsables de QMS de IA y aprobar política de gestión de riesgos.

16–45 — Controles esenciales

  • Implementar data governance: catálogo de datasets, criterios de calidad, evaluaciones de sesgo y data lineage. 
  • Definir transparencia y experiencia de usuario: avisos, instrucciones de uso y límites conocidos. 
  • Diseñar vigilancia humana: puntos de control, formación y capacidad de override. 
  • Establecer métricas de precisión y robustez con umbrales y protocolos de reentrenamiento.
  • Desplegar controles de ciberseguridad y gestión de dependencias. 

46–75 — Evidencias y verificación

  • Completar logging obligatorio y retenciones; vincularlo al QMS.
  • Preparar documentación técnica y expediente de conformidad.

Días 76–90 — Operación y mejora

  • Activar vigilancia poscomercialización con KPIs y canal de reporte. 
  • Probar el plan de incidentes con simulacros y compromisos de notificación. 
  • Cerrar ciclo con checklists y auditoría interna. 

4) Qué significa esto para marketing de datos, BBDD y tele-ventas

Aunque la mente se va a “modelos grandes”, el AI Act alcanza a sistemas de recomendación, scoring, priorización de leads, detección de fraude y asistentes de ventas. Tres implicaciones clave:

  • Datos con licencia y trazables: origen, permisos, representatividad y límites de uso descritos y verificables. El enriquecimiento de BBDD debe documentar fuente y finalidad, con análisis de sesgo y controles de calidad. 
  • Transparencia operativa: cuando una interacción con el cliente esté asistida por IA, el usuario debe entender capacidades y restricciones, con vías claras de escalado a humano
  • Medición y control continuos: métricas de precisión y robustez ligadas a resultados comerciales, con umbrales y acciones de recalibración si se detecta deriva o degradación.

5) Métricas de cumplimiento que funcionan

  • Cobertura de trazabilidad: % de predicciones con logs completos (datos→modelo→métrica→acción). 
  • Tiempo de intervención humana: p95 de minutos desde alerta hasta override efectivo. 
  • Freshness de datos críticos y tasa de sesgo residual tras mitigación, con periodicidad de reevaluación. 
  • MTTD/MTTR de incidentes y % de notificaciones en plazo. 
  • Conformidad documental: completitud de la documentación técnica y del QMS.

6) Señales de madurez

Una organización lista para auditoría exhibe: QMS de IA operativo, riesgos priorizados con mitigaciones verificadas, transparencia implantada en UX, supervisión humana con formación documentada, ciberseguridad reforzada, logging útil para reconstruir decisiones, vigilancia poscomercialización activa y documentación técnica lista para evaluación de conformidad. Las checklists del sandbox permiten verificar cada bloque de manera sistemática.

Fuentes (Guías del piloto español de sandbox regulatorio de IA)

  1. Guía introductoria al Reglamento de IA
  2. Guía práctica y ejemplos para entender el Reglamento de IA
  3. Guía de evaluación de conformidad
  4. Guía del sistema de gestión de la calidad
  5. Guía de gestión de riesgos
  6. Guía de vigilancia humana
  7. Guía de datos y gobernanza de datos
  8. Guía de transparencia
  9. Guía de precisión
  10. Guía de solidez
  11. Guía de ciberseguridad
  12. Guía de registros
  13. Guía de vigilancia poscomercialización
  14. Guía de gestión de incidentes
  15. Guía de documentación técnica
  16. Manual de checklist de guías de requisitos

Nota: Las guías son documentos no vinculantes de apoyo a la implantación y se actualizan de forma periódica conforme avanza la normalización europea. Data and Co ha utilizado las guías de diciembre 2025 para la realización de este contenido.