¿Qué hace GuardianAI?

Analiza documentación técnica y detecta riesgos de cumplimiento según la Ley de IA de la UE, RGPD e ISO 42001.

¿Qué documentos puedo escanear?

Archivos PDF, DOCX y TXT de hasta 25 MB: especificaciones técnicas, model cards, evaluaciones de riesgo, políticas de privacidad.

¿GuardianAI reemplaza el asesoramiento legal?

No. GuardianAI es una herramienta RegTech de apoyo. No sustituye el asesoramiento legal profesional. Se recomienda la revisión humana para decisiones finales.

¿Mis datos están seguros?

Cifrado TLS 1.3 + AES-256. Infraestructura europea conforme al RGPD. Retención mínima. Tus documentos nunca se usan para entrenar modelos.

DPAs, Subencargados y Gobernanza de Datos bajo la Ley de IA

La intersección entre GDPR y la Ley de IA

La Ley de IA de la UE no reemplaza al GDPR — lo complementa. Esto significa que los Data Processing Agreements (DPAs) existentes necesitan ser ampliados para cubrir las obligaciones específicas del AI Act, especialmente en lo relativo a gobernanza de datos (Art. 10).

¿Qué exige el Artículo 10?

El Art. 10 de la Ley de IA establece requisitos específicos para los conjuntos de datos utilizados en el entrenamiento, validación y prueba de sistemas de IA de alto riesgo:

Prácticas de gobernanza de datos

Decisiones de diseño relevantes — Documentar elecciones sobre recopilación, preparación y etiquetado de datos
Origen de los datos — Trazabilidad completa del origen y propósito de los datasets
Operaciones de procesamiento — Documentar anotación, etiquetado, limpieza, enriquecimiento y agregación
Hipótesis subyacentes — sobre representatividad, completitud y adecuación
Evaluación de disponibilidad, cantidad y adecuación de los datos
Examen de posibles sesgos que puedan afectar a grupos protegidos
Identificación de lagunas o deficiencias en los datos y cómo se abordan

El papel de los subencargados en la cadena de IA

En un ecosistema típico de SaaS con IA, la cadena de datos suele ser:

Cliente → Tu SaaS → Proveedor de IA → Sub-procesadores del proveedor

Cada eslabón de esta cadena necesita:

Acuerdos de procesamiento de datos (DPAs) actualizados
Medidas de gobernanza según el AI Act
Trazabilidad del flujo de datos

Problemas comunes con subencargados

Opacidad: Los proveedores de IA fundacionales raramente revelan sus sub-procesadores de datos de entrenamiento
Jurisdicción: Datos procesados fuera del EEE sin garantías adecuadas
Finalidad secundaria: Datos de clientes usados para mejorar modelos sin consentimiento explícito
Falta de evaluación de impacto: Sin DPIA (Data Protection Impact Assessment) que cubra el componente de IA

Requisitos del DPA ampliado

Tu DPA debe incluir clausulas adicionales para cubrir el AI Act:

Gobernanza de datos de entrenamiento

Lista de datasets utilizados y su origen
Procedimientos de evaluación de sesgo
Métricas de calidad de datos
Procedimientos de actualización y reentrenamiento

Transparencia del modelo

Información técnica sobre el modelo utilizado
Métricas de rendimiento: precisión, recall, F1, fairness
Limitaciones conocidas
Procedimiento de notificación ante cambios en el modelo

Derechos de auditoría ampliados

Derecho a auditar la gobernanza de datos
Acceso a logs de entrenamiento
Revisión de evaluaciones de sesgo
Auditoría de medidas de seguridad y robustez

Gestión de incidentes

Definición de "incidente serio" según la Ley de IA
Tiempo máximo de notificación (alineado con Art. 62)
Procedimiento de investigación conjunta
Plan de remediación

DPIA + Evaluación de Conformidad: Un proceso unificado

Para sistemas de IA de alto riesgo que procesan datos personales, necesitas realizar dos evaluaciones que pueden unificarse:

DPIA (GDPR)	Evaluación de conformidad (AI Act)
---	---
Descripción del procesamiento	Documentación técnica del sistema
Necesidad y proporcionalidad	Evaluación de riesgos del sistema
Riesgos para los derechos	Riesgos para salud, seguridad y derechos
Medidas de mitigación	Sistema de gestión de riesgos
Consulta al DPO	Supervisión humana

Recomendación: Proceso integrado

Fase 1: Inventario de datos y sistemas → Alimenta ambas evaluaciones
Fase 2: Análisis de riesgos unificado → DPIA + evaluación AI Act
Fase 3: Medidas de mitigación → Técnicas + organizativas
Fase 4: Documentación → Un solo repositorio, dos formatos de salida

Lista de verificación para DPAs

☐ Roles definidos según GDPR y AI Act
☐ Base legal para el procesamiento de datos de IA
☐ Requisitos de gobernanza según Art. 10
☐ Procedimiento de evaluación de sesgo
☐ Derechos de auditoría ampliados
☐ Gestión de subencargados con obligaciones de AI Act
☐ Procedimiento de gestión de incidentes integrado
☐ Transferencias internacionales evaluadas para contexto IA
☐ Registro de actividades de procesamiento actualizado
☐ DPIA integrada con evaluación de conformidad

Cómo GuardianAI simplifica este proceso

GuardianAI analiza tus DPAs y contratos para identificar automáticamente:

Brechas entre tus DPAs actuales y los requisitos del AI Act
Subencargados no documentados o sin evaluación
Flujos de datos que necesitan evaluaciones adicionales
Recomendaciones específicas de cláusulas a añadir

Sube tus documentos y obtén un plan de acción claro.