Artículos

De los pilotos de IA al cumplimiento del AI Act: una aproximación pragmática al gobierno de la IA

Destacado 11 junio 2026

La conversación sobre inteligencia artificial ha cambiado radicalmente en los últimos dos años.

Muchas organizaciones comenzaron experimentando con asistentes conversacionales, copilotos, modelos predictivos o agentes inteligentes. Algunas obtuvieron resultados interesantes. Otras descubrieron rápidamente que desplegar IA en producción es mucho más complejo que ejecutar una prueba de concepto.

Hoy las preguntas ya no son únicamente tecnológicas:

  • ¿Qué sistemas de IA tenemos realmente en funcionamiento?
  • ¿Quién es responsable de cada uno de ellos?
  • ¿Qué datos utilizan?
  • ¿Qué riesgos generan?
  • ¿Cómo demostramos que operan de forma segura, responsable y conforme a la normativa?

Y mientras estas preguntas ganan relevancia, el contexto regulatorio avanza. En este contexto, existe una percepción equivocada en el mercado:

         Para cumplir con estas exigencias hay que embarcarse en proyectos complejos, largos y costosos.

La realidad es muy distinta.

No necesitas empezar con todo

La mayoría de las organizaciones no necesitan implantar un Sistema de Gestión de Inteligencia Artificial (SGIA) completo desde el primer día.

Algunas simplemente necesitan:

  • Inventariar sus sistemas de IA.
  • Identificar responsables.
  • Catalogar modelos.
  • Documentar los datos utilizados.
  • Evaluar riesgos básicos.
  • Mantener evidencias.

Otras ya están preparadas para abordar escenarios más avanzados relacionados con cumplimiento normativo, gestión integral de riesgos, evaluaciones de impacto o auditorías.

Por eso en Anjana Data hemos diseñado nuestro SGIA con un enfoque progresivo.

La plataforma permite empezar por los elementos esenciales y evolucionar gradualmente hacia modelos avanzados de gobierno, cumplimiento y auditoría sin necesidad de cambiar de herramienta, rehacer el trabajo realizado o introducir nuevas tecnologías cada vez que aumenta el grado de madurez de la organización.

La tecnología acompaña a la organización en su evolución y no al revés. Esto reduce la curva de aprendizaje, facilita la gestión del cambio y acelera significativamente el time-to-value.

Cuando la IA pasa a producción, el gobierno deja de ser opcional

La mayoría de organizaciones pueden gestionar uno o dos casos de uso de IA de forma relativamente informal.

El problema aparece cuando la IA comienza a escalar. Surgen nuevos modelos, nuevos equipos, nuevos proveedores, nuevas fuentes de datos y nuevas responsabilidades.

Las organizaciones que despliegan inteligencia artificial en Europa ya no se preguntan si tendrán que cumplir el AI Act 2024/1689, la ISO/IEC 42001 o las obligaciones de transparencia para modelos GPAI. La pregunta es ¿cuándo llegará la primera inspección y cuánto tardaremos en responderla?.

Y en este contexto aparecen preguntas concretas que han de ser respondidas con garantías y rapidez:

  • ¿Qué modelos están utilizando datos personales?
  • ¿Qué sistemas podrían considerarse de alto riesgo?
  • ¿Quién aprobó una determinada evaluación?
  • ¿Qué medidas de mitigación están implantadas?
  • ¿Qué evidencias podemos presentar ante una auditoría?
  • ¿Cómo demostramos cumplimiento frente al AI Act?

La mayoría reconoce, en voz baja, que hoy la información para dar respuesta a estas preguntas vive repartida entre hojas de cálculo, PDFs en SharePoint y la memoria del equipo de MLOps. Y eso es inmanejable.

Por eso, la única alternativa viable es convertir el gobierno de la IA en un proceso estructurado y operativo.

Del AI Act a una plataforma operativa

En Anjana Data hemos realizado con la inteligencia artificial el mismo ejercicio que ya desarrollamos para iniciativas de gobierno del dato, catálogos corporativos, calidad, linaje, datos abiertos y espacios de datos.

Transformar marcos normativos, estándares y buenas prácticas en configuración real de plataforma sin necesidad de acometer desarrollos.

El resultado es un Sistema de Gestión de Inteligencia Artificial (SGIA) desplegable sobre Anjana Data Platform, alineado con:

  • AI Act (Reglamento UE 2024/1689).
  • ISO/IEC 42001.
  • ISO/IEC 23894.
  • ISO/IEC 42005.
  • ISO/IEC 22989.
  • UNE 0077.
  • UNE 0078.
  • UNE 0079.

No se trata de una maqueta conceptual ni de una propuesta futura. Es una configuración real que desplegamos en entornos productivos.

Un modelo preparado para crecer con la organización

La gran ventaja de un enfoque basado en metadatos y configuración es que permite evolucionar sin fricciones.

Una organización puede comenzar gestionando únicamente:

  • Sistemas IA.
  • Modelos.
  • Casos de uso.
  • Responsables.
  • Riesgos básicos.

Y posteriormente incorporar capacidades más avanzadas como:

  • Evaluaciones de impacto.
  • Gestión integral de riesgos.
  • Documentación técnica.
  • Cumplimiento AI Act.
  • Gestión de modelos GPAI.
  • Observabilidad operacional.
  • Auditoría continua.

Todo ello sobre la misma plataforma, con la misma experiencia de usuario y manteniendo la trazabilidad completa de la información.

El núcleo del SGIA: gobierno, riesgo y trazabilidad

La configuración incorpora:

    • Más de 18 roles especializados para gobierno, cumplimiento, riesgo y operación organizados en tres bloques:
      • Gobierno corporativo: CDO, DPO, CISO, Legal IP Officer
      • Gobierno y calidad del dato según UNE 0077/0078/0079: Data Owner, Data Steward, Data Quality Director/Analyst, Data Architect
      • Operación específica del SGIA: AI System Owner, AI Delegate, AI Human Oversight, AI Compliance Officer, AI Risk Owner, AI Auditor, Incident Manager IA, GPAI Model Owner, Model Validator
      • Cada rol con permisos quirúrgicos y segregación de funciones según ISO 42001 — el auditor no modifica lo que audita, el validador no desarrolla el modelo que valida.
    • Más de 25 subtipos de entidades que cubren:
      • El núcleo del AI Act: `SISTEMA_IA`, `MODELO_IA`, `CASO_USO_IA`, `RESUMEN_CONTENIDO_ENTRENAMIENTO_GPAI`, `PROVEEDOR_IA`.
      • La gestión de riesgo e impacto: `EVALUACION_RIESGO_IA`, `EVALUACION_IMPACTO_IA`, `MEDIDA_CONTROL`, `EVIDENCIA_CONTROL`.
      • La operativa SGIA: `DOCUMENTACION_TECNICA_IA`, `EXPEDIENTE_CONFORMIDAD_IA`, `PLAN_MONITORIZACION_IA`, `INCIDENTE_IA`, `NO_CONFORMIDAD_SGIA`, `ACCION_CORRECTIVA_SGIA`.
      • El gobierno del dato según UNE: `POLITICA_DATO`, `INICIATIVA_DATO`, `REQUISITO_CALIDAD_DATO`, `MEDICION_CALIDAD`.
      • El RGPD: `TRATAMIENTO`, `EVALUACION_DPIA`, `BRECHA_SEGURIDAD`.
    • Más de 30 subtipos de relaciones que materializan la trazabilidad extremo a extremo:
      • Cadena de gobierno del sistema: sistema ↔ caso de uso ↔ modelo ↔ documentación ↔ expediente de conformidad ↔ proveedor
      • Cadena de riesgos: sistema → riesgo → medida → evidencia
      • Cadena dato → modelo → producción: modelo ↔ datasets de entrenamiento, validación y producción
      • Cadena RGPD: tratamiento ↔ DPIA ↔ FRIA ↔ brecha
  • Vocabularios controlados precargados alineados con la norma:
    • Clasificación de riesgo del Art. 6: inaceptable, alto, limitado, mínimo
    • Dominios del Anexo III
    • Categorías de riesgo ISO 23894
    • Tipos de modelo ISO 22989
    • Modalidades de datos de entrenamiento del Art. 53
    • Categorías especiales del Art. 9 RGPD
    • Controles del Anexo A de ISO 42001
  • Menús de plantillas configurados, validaciones de obligatoriedad y workflows de aprobación.

El objetivo no es generar más documentación. Es convertir la información necesaria para gobernar la IA en un activo vivo y gestionable.

Preparado para sistemas de alto riesgo y modelos GPAI

El SGIA cubre las dos grandes familias de obligaciones que el AI Act introduce a partir de agosto de 2026:

  • Sistemas de alto riesgo (Arts. 6-15, Anexo III): Cada `SISTEMA_IA` tiene cinco menús de plantilla — Identificación, Técnico, Cumplimiento, Gestión SGIA y Observabilidad operacional — con campos obligatorios que impiden dar de alta un sistema sin clasificación de riesgo, sin asignación nominal de supervisor humano del Art. 14, sin evaluación de excepciones del Art. 6(3) y sin registro de ámbito del Art. 2 (incluida la extraterritorialidad del Art. 2(1)(c) cuando el output se usa en la UE).
  • Documentación técnica del Anexo IV: La entidad `DOCUMENTACION_TECNICA_IA` incluye un mapeo estructurado a los puntos del Anexo IV y a los apartados de ISO 42001. Permite responder en segundos a “¿qué documento cubre el punto 3 del Anexo IV?” sin abrir un solo PDF.
  • Modelos GPAI (Arts. 53-55): La entidad `RESUMEN_CONTENIDO_ENTRENAMIENTO_GPAI` modela las modalidades de datos (texto, imagen, audio, vídeo, código, sintéticos), el volumen del corpus en los rangos que la AI Office exigirá publicar, las fuentes agregadas por tipo, la política de respeto del opt-out de TDM conforme a la Directiva 2019/790 y los mecanismos concretos de detección (robots.txt parsing, cabeceras TDM, listas blancas/negras, acuerdos individuales). El flag “Modelo GPAI” en `MODELO_IA` dispara automáticamente la creación de la entidad vinculada.
  • Evaluación de Impacto en Derechos Fundamentales (FRIA): La FRIA no es una entidad aparte: es exactamente lo que se documenta en `EVALUACION_IMPACTO_IA`, conforme al Art. 27 del AI Act y a la metodología ISO 42005. Incluye grupos vulnerables, impactos por derecho fundamental y conclusión vinculante (Aceptable / Requiere mitigación / No aceptable).

Monitorización post-comercialización (Art. 72) y notificación de incidentes (Art. 73): Las entidades `PLAN_MONITORIZACION_IA` e `INCIDENTE_IA` cierran el ciclo de vida operativo con métricas, umbrales, frecuencias y plazos de notificación al regulador.

Listo para desplegar: sin código, sin fricción

Al igual que todas las configuraciones de Anjana Data que sirven de acelerador para la implementación de casos de uso sobre Anjana Data Platform, el SGIA se entrega out of the box:

  • Implantación automatizada en tiempo récord sobre cualquier instancia de Anjana Data Platform.
  • Sin necesidad de desarrollo. La configuración se aplica vía API REST y el cliente puede personalizar atributos, vocabularios y workflows sin romper la conformidad con la norma.
  • Validaciones integradas: los campos críticos (clasificación de riesgo, ámbito Art. 2, conclusión FRIA) son obligatorios. Un sistema no puede pasar a estado “Activo” sin la documentación regulatoria asociada.
  • Plantillas y secciones organizadas pedagógicamente: cada menú agrupa atributos por bloque de obligaciones, de forma que el usuario funcional —no necesariamente experto en AI Act— sabe qué rellenar y por qué.

Trazabilidad extremo a extremo: del caso de uso al dato

Esta es la pieza diferencial del SGIA de Anjana Data. El AI Act exige a proveedores y deployers mantener la trazabilidad uso → sistema → modelo → dato. La mayoría de organizaciones la mantienen a mano, en una hoja Excel que nunca está actualizada.

En el SGIA esa cadena es navegable:

  • Un caso de uso (`CASO_USO_IA`) registra el dominio del Anexo III, los usuarios previstos y la evaluación preliminar de impacto en derechos fundamentales. Si la respuesta es “Alto”, el workflow bloquea la activación hasta que la FRIA esté firmada.
  • El caso de uso se conecta con el sistema IA que lo ejecuta. La misma red neuronal puede ser bajo riesgo cuando etiqueta spam y alto riesgo cuando decide un crédito: el AI Act regula el caso de uso, no el modelo.
  • El sistema agrega uno o varios modelos (`MODELO_IA`), con sus métricas de exactitud, robustez y ciberseguridad exigidas por el Art. 15, su tipo según ISO 22989 y su flag GPAI cuando aplica.
  • Cada modelo se conecta con los datasets que lo entrenaron, validaron y alimentan en producción. Cuando un afectado ejerce el derecho de supresión del Art. 17 RGPD, podemos identificar todos los modelos que tocaron ese dato. Cuando aparece un sesgo en el output, podemos rastrear hacia atrás qué dataset lo introdujo.
  • El dataset arrastra su propio linaje técnico — RAW → Silver → Gold — y su linaje de consumo hacia Power BI, donde los reports se conectan con KPIs y los KPIs con términos del glosario corporativo.

El resultado: una sola plataforma donde la pregunta “¿qué datos personales alimentan qué modelos, qué sistemas los ejecutan, en qué casos de uso, con qué FRIA firmada por quién?” se responde con clics, no con reuniones.

Gobierno del dato, RGPD y AI Act en un único hilo

  • El AI Act dedica un artículo entero — el Art. 10 — a la calidad del dato para sistemas de alto riesgo. Si el gobierno del dato vive en una herramienta y el SGIA en otra, esa exigencia obliga a un puente manual que nunca está completo.

    El SGIA reutiliza el metamodelo de gobierno y calidad del dato que Anjana Data ya ofrece nativamente:

    • UNE 0077: Políticas, iniciativas, responsabilidades nominales y riesgos del dato vinculados al sistema IA.
    • UNE 0078: Clasificación, ciclo de vida, arquitectura, seguridad y privacidad del dato (incluida la marca de categorías especiales del Art. 9 RGPD, que dispara automáticamente la obligación de DPIA del Art. 35).
    • UNE 0079 / ISO 25012: Evaluación de calidad por características inherentes y dependientes del sistema, con plan de mejora y mediciones.
    • Datos para IA: Sección específica con sesgo, representatividad, etiquetado y preparación. Es donde se materializa la “documentación de la calidad del dato en la medida de lo posible” del Art. 10.
    • RGPD nativo: `TRATAMIENTO` (RAT del Art. 30), `EVALUACION_DPIA` (Art. 35) y `BRECHA_SEGURIDAD` (Arts. 33-34), conectados al sistema IA por relaciones específicas (`SISTEMA_DPIA`, `TRATAMIENTO_SISTEMA`, `FRIA_DPIA`).

    El DPO emite su opinión sobre la DPIA, el AI Risk Owner firma la evaluación de riesgos IA, el Data Owner autoriza el dataset, el LEGAL IP Officer aprueba el resumen GPAI. Tres mundos, un único hilo de trazabilidad.

Observabilidad operacional: del MLOps al gobierno

Cada `SISTEMA_IA` y cada `MODELO_IA` incluyen un menú de Observabilidad operacional con secciones dedicadas a rendimiento, disponibilidad y SLO, calidad en runtime, coste y consumo, deriva del modelo y trazabilidad técnica.

Estos atributos no se rellenan a mano. Se sincronizan vía:

  • API REST de Anjana Data: endpoints documentados, autenticación OAuth, idempotentes. Cualquier plataforma de MLOps puede empujar métricas.
  • Plugins nativos: Dynatrace, MLflow, Evidently, Datadog, Helicone, LangSmith, Langfuse, los model registries de los principales proveedores cloud.

La idea: capa de gestión técnica de IA ↔ capa de gobierno de IA. Las herramientas de MLOps operan el día a día; Anjana Data convierte esa operativa en metadato gobernable, auditable y reportable al regulador. Se acaba la divergencia clásica entre “lo que sabe Datadog” y “lo que dice el informe de cumplimiento”.

Una solución modular, preparada para crecer

El SGIA de Anjana Data es la base configurada, no el techo:

  • Extensiones sectoriales. Banca, sanidad, sector público, RR. HH., infraestructuras críticas: cada dominio puede añadir atributos específicos sin tocar el metamodelo base.
  • Metadatos propios. Las organizaciones que ya tienen taxonomías de riesgo, controles internos o KPIs de gobierno pueden incorporarlos como atributos adicionales.
  • Workflows de gobernanza personalizables. Quién aprueba qué, con qué SLA, con qué notificaciones, con qué evidencias. Los flujos de aprobación se modelan en la plataforma.
  • Integración con el resto del ecosistema Anjana: catálogo de datos abiertos DCAT-AP-ES, marketplace de productos de dato, glosario corporativo, linaje técnico, KPIs y reports gobernados. El SGIA hereda todo eso.

El objetivo no es cumplir. Es gobernar.

El cumplimiento normativo es una consecuencia. El verdadero objetivo es disponer de una visión completa, fiable y auditable de cómo la organización utiliza la inteligencia artificial.

Porque las organizaciones que obtendrán más valor de la IA no serán necesariamente las que tengan más modelos. Serán aquellas capaces de gobernarlos, operarlos y escalarlos con confianza.

¿Quieres verlo en funcionamiento?

Tenemos una demo de 50-60 minutos que recorre el SGIA completo sobre un caso real: desde la creación de un caso de uso, su clasificación de riesgo conforme al Anexo III, la documentación técnica del Anexo IV, la FRIA del Art. 27, la evaluación de riesgos según ISO 23894 con sus medidas de control y evidencias, el modelo IA con sus métricas del Art. 15, el resumen GPAI del Art. 53, los datasets de entrenamiento gobernados según UNE 0077/0078/0079, hasta el linaje técnico hacia Power BI y el marketplace de acceso al dato.

La demo se adapta al perfil del público — comité de dirección, CDO/CDAIO, DPO, comprador técnico — y muestra exactamente cómo responder en minutos a la pregunta que llegará en la primera inspección: “Mostradnos el inventario de sistemas IA de alto riesgo con su clasificación, su evaluación de riesgos firmada y su documentación técnica completa.”

Solicita una demo del SGIA

Ahora puedes hacerlo de forma inmediata, sin desarrollo y con una solución 100% alineada con AI Act, ISO/IEC 42001 y las normas UNE de gobierno del dato.

Esto no es documentación. Es un sistema de gestión vivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *