Cómo empezar un inventario de sistemas de IA para el AI Act
Una guía práctica para localizar, clasificar y priorizar sistemas de IA antes de entrar en controles formales.
En este articulo
El inventario es la primera herramienta útil para saber qué obligaciones puede tener una organización bajo el AI Act. Sin inventario, la conversación suele quedarse en una pregunta demasiado amplia: "usamos IA o no usamos IA". La respuesta operativa necesita más detalle.
Un buen inventario no tiene que empezar como una plataforma compleja. Puede comenzar como un registro controlado, con responsables claros y criterios de clasificación consistentes.
Qué debe contar como sistema de IA
Incluye cualquier solución que use modelos, automatización predictiva, clasificación, recomendación, generación de contenido o soporte a decisiones. El error habitual es registrar solo las herramientas compradas como "IA" y dejar fuera integraciones en CRMs, ERPs, plataformas de selección, analítica comercial o atención al cliente.
También conviene separar tres capas:
- Herramientas externas usadas por empleados.
- Sistemas integrados en procesos internos.
- Funcionalidades de IA incluidas dentro de proveedores existentes.
Campos mínimos del inventario
Para que el inventario sirva de base a compliance y auditoría, cada entrada debería recoger:
| Campo | Para qué sirve |
|---|---|
| Caso de uso | Entender el proceso afectado |
| Proveedor o desarrollo interno | Identificar responsabilidades |
| Usuarios afectados | Evaluar impacto y transparencia |
| Datos tratados | Revisar privacidad, confidencialidad y calidad |
| Nivel preliminar de riesgo | Priorizar revisión |
| Responsable interno | Evitar sistemas sin propietario |
No hace falta resolver toda la clasificación jurídica en la primera iteración. Sí hace falta dejar trazabilidad de quién respondió, con qué información y qué dudas quedan abiertas.
Priorización inicial
Los sistemas que afectan a personas físicas, empleo, educación, crédito, acceso a servicios, seguridad o decisiones con efectos relevantes deben revisarse antes. También merecen prioridad los sistemas que procesan datos personales sensibles, datos confidenciales o documentación contractual.
El objetivo del primer inventario no es demostrar cumplimiento perfecto. Es eliminar zonas ciegas.
Siguiente paso
Una vez localizado el mapa inicial, conviene revisar cada sistema contra tres preguntas: si entra en el ámbito del AI Act, si puede ser de alto riesgo y qué controles de gobernanza faltan para operarlo de forma defendible.