Checklist de obligaciones de implementadores para fundadores y lideres de compliance

Las obligaciones de implementador bajo el EU AI Act deben revisarse antes de poner en servicio un sistema de IA de alto riesgo, cambiar su uso, ampliarlo a un nuevo workflow de cliente o empleado, o depender de su output para una decision importante. La checklist practica es clara: confirmar el rol, usar el sistema segun las instrucciones del proveedor, asignar supervision humana competente, controlar los datos de entrada cuando el equipo los controla, monitorizar el uso real, conservar logs, gestionar avisos y triggers de evaluacion de impacto, y definir cuando hay que suspender o escalar el uso.

Para equipos SaaS, esto es un flujo operativo y no un memo legal. Conecta configuracion de producto, implementacion, gestion de proveedores, soporte, formacion, logging de seguridad, revision de privacidad e incident response. Un fundador o compliance lead debe poder abrir un registro y ver que sistema se usa, por que la empresa es implementador, que instrucciones aplican, quien supervisa, que evidencia existe y que obligaria a reevaluar.

Use esta checklist junto con las expectativas de AI governance para proveedores SaaS. Los demas temas relacionados sobre regulacion acelerada de IA, documentos estaticos de compliance y fundraising due diligence aun no tienen versiones localizadas en espanol.

1. Confirmar sistema y caso de uso

Nombre el sistema de IA y el workflow exacto. Registre proveedor, producto, version o configuracion, finalidad, owner de negocio, usuarios, personas afectadas, datos de entrada, output, punto de decision y si se usa para clientes, empleados, candidatos, contratistas u operaciones internas.

Indique si el sistema es de alto riesgo, sujeto a transparencia, de riesgo minimo o pendiente de clasificacion. Si la clasificacion no esta cerrada, la checklist no debe marcarse como completa. Debe mostrar owner, preguntas abiertas, documentos solicitados al proveedor y fecha de decision.

2. Decidir si la empresa es implementador

El rol de implementador consiste en usar un sistema de IA bajo la autoridad de la organizacion, salvo uso personal no profesional. Una empresa SaaS puede ser implementador cuando usa IA de terceros en soporte, seleccion de personal, trust and safety, fraude, scoring de clientes, moderacion de contenido u operaciones internas.

Documente los hechos: quien eligio el sistema, quien define el uso operativo, quien controla acceso, umbrales, prompts, reglas o escalados, quien forma al personal y quien decide si el output se acepta, revisa, anula o ignora.

3. Recoger y bloquear instrucciones del proveedor

El articulo 26 exige medidas tecnicas y organizativas para usar sistemas de alto riesgo conforme a sus instrucciones. El equipo necesita instrucciones vigentes, notas de version, limites, usos soportados y no soportados, expectativas de monitorizacion, instrucciones de supervision humana y rutas de escalado.

Guarde las instrucciones en un lugar accesible para producto, seguridad, legal, soporte y operaciones. Registre version y fecha revisada. Si customer success, soporte o implementacion usan guias separadas, reconcílielas con las instrucciones oficiales antes del lanzamiento.

4. Asignar supervision humana

La supervision humana no se cumple nombrando un equipo en una policy. El articulo 26 requiere personas naturales con competencia, formacion, autoridad y soporte. El registro debe incluir roles o nombres, formacion recibida, decisiones que pueden tomar y puntos donde deben intervenir.

Pregunte por workflow: puede el reviewer entender el output, ver contexto suficiente, anular, pausar o escalar, y reconocer cuando el sistema esta fuera del uso aprobado? Tambien debe estar protegido contra presiones para aprobar recomendaciones automaticamente.

5. Controlar datos de entrada

Cuando el implementador controla datos de entrada, estos deben ser relevantes y suficientemente representativos para la finalidad prevista. Esto incluye datos de clientes, empleados, tickets, documentos, prompts, etiquetas, campos CRM, transacciones o configuraciones.

Documente controles minimos de calidad, datos excluidos, tratamiento de datos obsoletos, riesgos de sesgo o representatividad y responsable de remediacion. Si el equipo no puede demostrar que los inputs encajan con el uso aprobado, el lanzamiento debe seguir condicionado.

6. Monitorizar y escalar

Los implementadores deben monitorizar el funcionamiento segun las instrucciones. Defina que se observa, frecuencia de revision, responsable y accion cuando cambian los resultados.

La monitorizacion puede incluir tickets de soporte, quejas, tasas de override, sampling, incidentes, drift, avisos del proveedor, mal uso o correcciones manuales repetidas. Si el uso conforme a instrucciones puede presentar un riesgo, la ruta debe contemplar informar al proveedor o distribuidor y a la autoridad de vigilancia de mercado, y suspender el uso. Para incidentes graves, incluya proveedor, importador o distribuidor, autoridad, legal, seguridad, privacidad y comunicaciones.

7. Conservar logs bajo control

Los logs automaticos bajo control del implementador deben conservarse durante un periodo adecuado y al menos seis meses, salvo otra norma aplicable. El registro debe indicar que logs existen, cuales estan bajo control de la empresa, retencion, access owner, restricciones de seguridad, privacy review, exportacion y recuperacion en incidentes.

Los logs deben ayudar a responder que sistema se uso, por quien, para que workflow, con que input o configuracion, que output se produjo, si hubo revision humana y que accion siguio.

8. Avisos y evaluaciones de impacto

Antes de usar un sistema de IA de alto riesgo en el lugar de trabajo, los empleadores implementadores deben informar a representantes de trabajadores y trabajadores afectados cuando aplique. Segun el sistema y el articulo 50, tambien puede haber avisos para personas sujetas a interacciones o decisiones asistidas por IA.

El articulo 27 puede exigir una evaluacion de impacto en derechos fundamentales para ciertos implementadores. El articulo 26 tambien conecta informacion del proveedor con obligaciones de DPIA bajo GDPR cuando aplique. Documente si se requiere, quien decidio, que hechos se revisaron y cuando se reabre la decision.

9. Paquete de evidencia y reevaluacion

Organice la evidencia alrededor de decisiones: rol, clasificacion, instrucciones, uso aprobado, supervision, formacion, controles de input, monitorizacion, retencion de logs, avisos, decision de impact assessment, contactos del proveedor, ruta de incidente y triggers de reevaluacion.

Reabra la checklist si cambian instrucciones, version, workflow, segmento de clientes, datos de entrada, automatizacion, revision humana, quejas, logs, incidentes o guias oficiales. Un registro correcto solo el dia de lanzamiento no protege a un equipo SaaS que se mueve rapido.

FAQ

Cual es el objetivo practico de estas obligaciones?

Poder demostrar que el equipo siguio instrucciones del proveedor, asigno supervision competente, monitorizo uso, controlo inputs relevantes, conservo logs, gestiono avisos y escalo riesgos.

Cuando aplican a equipos SaaS?

Pueden aplicar cuando el equipo usa un sistema de IA bajo su autoridad en un proceso de negocio, especialmente si es de alto riesgo o afecta a clientes, empleados, candidatos, fraude, seguridad u operaciones.

Que se debe documentar primero?

Un registro por workflow de IA: rol, clasificacion, instrucciones, uso aprobado, owner de supervision, monitorizacion, logs, avisos, decision de impact assessment, incident route y triggers de reevaluacion.

Fuentes

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26.
• European Commission AI Act Service Desk, Article 27.
• European Commission AI Act Service Desk, Article 50.
• European Commission AI Act Service Desk, Article 4.