Índice de contenidos
La mayoría de las empresas que ya usan IA en algún proceso tienen un problema que todavía no saben que tienen: si alguien les pidiera explicar qué hace ese sistema, con qué datos trabaja y qué pasa si falla, no podrían responder al momento y necesitarían una reunión. Y probablemente esa reunión terminaría con más preguntas que respuestas.
¿Crees que podría pasarte a ti o a alguien de tu empresa? Entonces sigue leyendo, ¡esto te interesará!
Eso es exactamente lo que el Reglamento de IA de la Unión Europea (Reglamento UE 2024/1689) viene a corregir. Y lo que la norma ISO/IEC 42001 y el Esquema Nacional de Seguridad llevan años pidiendo, cada uno desde su ángulo: que la inteligencia artificial no sea una caja negra dentro de la organización que la usa.
Documentar una IA no es escribir y reescribir un manual para que se quede en una carpeta almacenada en la nube, o que no tenga un plan de ejecución en caso de haber un problema o riesgo. Se trata de construir una explicación que funcione y se entienda a distintos niveles, porque personas distintas van a necesitarla.
Por qué es obligatorio documentar tu IA
El Reglamento de IA entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada. Te lo contamos:
- Desde febrero de 2025 ya son exigibles las prohibiciones y las obligaciones de alfabetización en IA.
- Desde agosto de 2025 aplican las reglas de gobernanza y las obligaciones para proveedores de modelos de propósito general.
- Y en agosto de 2026 entran en vigor las obligaciones completas para los sistemas de alto riesgo, con el registro público llegando en 2027.
Qué tienes que documentar sobre tu IA
El artículo 11 y el anexo IV del Reglamento detallan qué debe contener la documentación técnica de un sistema de alto riesgo:
- descripción del sistema,
- lógica de funcionamiento,
- datos de entrenamiento,
- métricas de precisión,
- medidas de supervisión humana y
- gestión de riesgos, entre otros puntos.
El artículo 13 exige además que esa información sea "concisa, completa, correcta y clara" y, sobre todo, comprensible para quien va a usar el sistema en el día a día.
Lee en este blog "Reglamento de IA (AI Act): qué debe tener listo tu empresa antes de la próxima inspección" los distintos tipos de riesgo para ver cuál aplica a tu empresa.
No todas las empresas desarrollan sistemas de alto riesgo. Pero casi todas las que usan IA en atención al cliente, selección de personal, scoring, mantenimiento predictivo o soporte interno deberían preguntarse dónde se sitúan en esa clasificación de riesgo antes de que se lo pregunte otro.
Los tres niveles de documentación que necesita una IA
Un error habitual es tratar la documentación como un único documento. Funciona mejor pensarla como tres capas, cada una con un lector distinto en mente.
| Nivel | Para quién | Qué responde | Formato habitual |
|---|---|---|---|
| Negocio | Dirección, comité, cliente final | Qué hace, para qué sirve, qué decide o sugiere, qué pasa si se equivoca | Ficha de una página, sin vocabulario técnico |
| Operativo | Equipos que usan el sistema a diario | Cómo se usa, qué hacer si da una respuesta rara, a quién avisar | Guía práctica, casos reales |
| Técnico - normativo | IT, compliance, auditor, autoridad de vigilancia | Arquitectura, datos de entrenamiento, métricas, gestión de riesgos, registros | Documentación técnica formal |
La mayoría de las empresas solo tienen la tercera capa, si tienen alguna. Y esa es precisamente la que menos ayuda a que "cualquiera lo entienda", porque no está pensada para eso.
Qué debe incluir la ficha de nivel negocio
Esta es la pieza que más rentabilidad da y menos esfuerzo cuesta. Te recomendamos hacer una simple ficha de una sola página, por cada sistema de IA que tengas, y que incluya lo siguiente:
- Nombre y propósito del sistema. Si lo puedes reducir a una frase, mejor.
- Qué datos usa. De dónde vienen y quién los ha validado.
- Qué tipo de decisión toma o sugiere. Si lo vemos en un ejemplo, no es lo mismo recomendar un producto que aprobar un crédito.
- Nivel de autonomía. Si actúa solo, si necesita revisión humana, o si solo informa.
- Qué pasa cuando falla. Quién se entera, cómo se corrige, cuánto tarda en volver a estar operativa.
- Responsable interno. Una persona en concreto (aunque recomendamos mínimo 2 por si una falla) pero nunca, un departamento genérico porque con esto lo único que conseguirás es que nadie lo sepa controlar con detalle, si no superficialmente.
Esta ficha es, en la práctica, el primer artefacto que pide cualquier auditor, cualquier cliente corporativo grande y cualquier comité de dirección antes de aprobar la expansión de un proyecto de IA. Y es también la base sobre la que se construye la documentación técnica más exigente, porque obliga a la empresa a tener claro lo esencial antes de perderse en el detalle.
Dónde entran ISO 42001 y el ENS en la IA
La ISO/IEC 42001, publicada en 2023, es la primera norma internacional certificable para sistemas de gestión de IA. No exige documentar un sistema concreto, sino documentar cómo la organización gobierna todos sus sistemas de IA. Algunos de esos procesos son:
- política de IA,
- roles y responsabilidades,
- evaluación de impacto,
- gestión del ciclo de vida, y
- un registro de sistemas que recuerda mucho al inventario de activos que ya conocen los equipos de seguridad de la información.
El Esquema Nacional de Seguridad aporta la parte de trazabilidad y control de acceso: quién puede modificar el sistema, qué registros quedan después de realizar cambios, cómo se demuestra que la seguridad se ha mantenido en el tiempo...
Porque en el momento en que una IA entra dentro del alcance de un sistema de información sujeto al ENS, su documentación tiene que poder defenderse ante una auditoría formal, con las categorías básica, media o alta según el nivel de riesgo del servicio.
El Esquema Nacional de Seguridad es obligatorio para el sector público y para muchas empresas que prestan servicios a la administración.
La buena noticia es que estos tres marcos no compiten entre sí. Se solapan lo suficiente como para que documentar bien una vez sirva para las tres cosas: cumplir el Reglamento IA, avanzar hacia una certificación ISO 42001 si la empresa la persigue, y sostener una auditoría ENS si aplica.
Un ejemplo que hace tangible la documentación de IA
Cuando en Bluak construimos La iaia, el asistente de IA que responde desde las fuentes documentales de cada organización (a parte de interactuar con el usuario y tener una infraestructura de negocio para la toma de decisiones), la documentación no fue un trámite posterior. Cada respuesta que da el sistema cita de dónde sale. Cada fuente de conocimiento queda registrada, con fecha de última actualización y estado de indexación. Y el panel de control muestra, en tiempo real, qué porcentaje de las preguntas se responde con precisión y cuáles quedan fuera de alcance.
Y eso no lo añadimos como aspecto de compliance. Es la misma información que necesita el responsable de IT para defender el sistema ante una auditoría, o la que necesita el CEO para explicar en un comité qué hace exactamente la IA nueva que se ha comprado.
Checklist para saber si estás documentando bien tu IA
| Estado | Pregunta de control |
|---|---|
Si alguna respuesta es "no", ¡bien! ¡Acabas de encontrar cuál será tu siguiente paso!
Cómo documentar tu IA: Preguntas frecuentes
¿Todas las empresas están obligadas a documentar sus sistemas de IA?
Las obligaciones más estrictas del Reglamento IA aplican a sistemas de alto riesgo y a proveedores de modelos de propósito general. Pero cualquier empresa que use IA en procesos con impacto sobre personas (contratación, atención al cliente, scoring) debería documentar como buena práctica, aunque no esté en la categoría de alto riesgo, porque reduce el riesgo legal y comercial.
¿La documentación técnica y la ficha de negocio deben ser el mismo documento?
No. Deben ser coherentes entre sí, pero cumplen funciones distintas. Mezclarlas suele producir un documento que no sirve para una auditoría y tal vez tampoco lo entienda un comité de dirección.
¿La normativa ISO 42001 es obligatoria?
No, es una certificación voluntaria. Pero cada vez más pliegos de contratación pública y corporativa la piden o la valoran, de forma parecida a cómo se pedía ISO 27001 hace una década para seguridad de la información.
Antes de cerrar esta pestaña
Con todo lo que hemos visto hasta ahora, simplemente queremos que te lleves una idea básica:
Una IA sin documentación entendible no es una IA madura, por muy bien que funcione. Es más bien una decisión de negocio que nadie puede explicar cuando alguien pregunta por ella. Y tarde o temprano, alguien preguntará.
En Bluak ayudamos a empresas industriales, fotovoltaicas y de servicios a documentar, auditar y desplegar sistemas de IA que se entienden a la primera, desde el comité de dirección hasta el equipo que los usa cada día.
Si quieres revisar cómo está documentada la IA que ya tienes en marcha, hablemos. O consulta nuestros servicios para ver cómo te ayudamos a poner en orden tu IA.