El nuevo contexto regulador
Las empresas que introducen IA en su operativa se ven inmersas en un marco regulatorio cada vez más restrictivo. El Reglamento (EU) 2024/1689 de Inteligencia Artificial, que empezó a ser de aplicación a partir de agosto de 2024, impone obligaciones en función del nivel de riesgo de cada sistema, además del ya vigente RGPD y de estándares como ISO 27001, configurando un ecosistema regulatorio que necesita ser gestionado de manera coordinada.
Esta convergencia no es casual. Los sistemas de IA procesan grandes volúmenes de datos, muchos de ellos de carácter personal, teniendo además un impacto en la toma de decisiones que afectará (y ya está afectando) a las personas y también a las organizaciones. El requisito de la seguridad de la información, la protección de datos y la gobernanza de la IA son aspectos indivisibles de un mismo reto estratégico.
Los cimientos de la sinergia normativa
Los tres marcos regulatorios forman un todo estructurado, donde cada marco se refuerza y da soporte a los demás. ISO 27001 establece las bases desarrollando la gestión sistemática de riesgos de seguridad. El RGPD define los límites y los controles para el tratamiento de datos personales. El Reglamento de IA añade requisitos específicos para los sistemas inteligentes. En este sentido, estos marcos forman una estructura en capas. La relación que existe entre ellos no responde a una relación jerárquica, sino interdependiente. Un sistema de inteligencia artificial no puede ser conforme al Reglamento Europeo de la IA si no garantiza la seguridad de los datos que se procesa, lo cual queda cubierto por lo dispuesto en ISO 27001. De igual forma, no se puede considerar conforme al reglamento antes mencionado si vulnera los principios del RGPD tratando información personal. La riqueza del conjunto de soportes radica precisamente en que cada marco aborda dimensiones diferentes respecto al mismo problema. A continuación, veremos un detalle más pormenorizado de cada marco.
ISO 27001: la infraestructura confiable.
La norma ISO 27001 establece un marco estructurado para llevar a cabo la gestión de la seguridad de la información. Lo importante en este caso es cómo se relaciona con el resto de las normativas. El análisis de riesgos que llega a exigir esta norma directamente alimenta las evaluaciones de impacto requeridas por el RGPD y las valoraciones de riesgo exigidas por el Reglamento de IA. Los controles de seguridad que se implementen bajo ISO 27001 (gestión de accesos, cifrado, monitorización, respuesta ante incidentes) constituyen requisitos previos de cumplimiento del RGPD y el Reglamento de IA. Un sistema de IA de alto riesgo que carezca de controles de seguridad de la información no es capaz de garantizar la protección de datos personales ni la robustez técnica exigida por la normativa europea.
RGPD: el custodio de los derechos fundamentales
El RGPD establece principios que resultan especialmente relevantes en el desarrollo y uso de la IA. La minimización de datos, la limitación de la finalidad y la transparencia son requisitos que tienen que ser incluidos desde el diseño de cualquier sistema inteligente. La sinergia con la ISO 27001 es inmediata. Las medidas técnicas y organizativas que solicita el RGPD para garantizar la seguridad de los tratamientos tienen su concreción práctica en los controles de la ISO 27001. Un Sistema de Gestión de Seguridad de la Información certificado facilita poder demostrar el cumplimiento del artículo 32 del RGPD. Con el Reglamento de la IA el RGPD comparte objetivos que resultan fundamentales. Ambos persiguen proteger a las personas de decidir perder el control sobre decisiones automatizadas, que pudieran afectar a los derechos de estas. Las evaluaciones de impacto en la protección de datos del RGPD tienen coincidencias conceptuales con las evaluaciones de conformidad cuando se trata de sistemas de alto riesgo y, por esto, se pueden tener procesos integrados que eviten duplicidades.
Reglamento Europeo de IA: la capa especializada
Por último, pero no menos importante cuando la actividad del negocio o el producto utiliza IA, este reglamento parte de un enfoque basado en el riesgo de los sistemas de IA que clasifica los sistemas de IA de acuerdo con cuatro categorías (riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo) y establece obligaciones distintas por cada una de ellas a partir de las bases que se encuentran en las normativas preexistentes. La conexión con ISO 27001 es estructural. El Reglamento de IA exige la gobernanza de datos, la documentación técnica y medidas de ciberseguridad a partir de las cuales se encuentra su propio desarrollo metodológico en ISO 27001. Una organización que ya ejerce una certificación cuenta con procesos documentados, controles de seguridad y mecanismos de auditoría que cubren gran parte de los requisitos técnicos del Reglamento de IA. La conexión con el RGPD va más allá. El Reglamento de IA establece que la aplicación de la normativa no excluye las obligaciones del RGPD, sino que se complementan. Cuando un sistema de IA trata datos personales (situación habitual en la mayor parte de aplicaciones) en la práctica ambos Reglamentos se aplican simultáneamente.
Hacia una unificación de los modelos operativos
Todas las organizaciones más maduras en sus capacidades van poco a poco avanzando hacia modelos de gobernanza que tratan de explotar estas sinergias: Registro de activos unificado. Un inventario con todos los sistemas de IA, con los datos personales que son procesados por ellos, la categoría de riesgo que mantienen según el Reglamento de IA y los controles de seguridad que han aplicado de acuerdo con ISO 27001. Evaluaciones integradas del riesgo. Procesos que llevan a cabo la evaluación de riesgos de seguridad, la evaluación de impacto sobre la protección de datos y la evaluación de todos los requisitos del Reglamento de IA de forma simultánea, en vez de tener tres evaluaciones separadas. Privacidad y seguridad de forma diseñado. El concepto de privacy by design del RGPD integra los tipos de security by design que describe la norma ISO 27001 y el enfoque de gestión del riesgo del Reglamento de IA. Equipos duales. Cada equipo por separado, y no en silos por separado, sino equipos integrados con competencias cruzadas, que evalúan cada iniciativa desde todas las normativas.
ISO 27001, GDPR y el Reglamento por el que se establece el marco de la inteligencia artificial en la Unión Europea no son regulaciones en paralelo, sino tres dimensiones de un mismo ecosistema de gobierno para la era de la inteligencia artificial. Cada marco aborda aspectos concretos (seguridad de la información, protección de los datos, gestión de riesgos de la IA)pero todos ellos confluyen en objetivos compartidos: proteger a las personas, asegurar la confianza en los sistemas, promover la innovación responsable. La sinergia entre los marcos no es casual sino intencionada. Los reguladores europeos han diseñado un sistema donde cada nueva regulación se construye sobre la anterior, evitando contradicciones y favoreciendo el cumplimiento integrado. Las organizaciones que reconocen y hacen uso de tal sinergia no solo cumplen de forma más eficiente, sino que construyen capacidades organizativas más sólidas para navegar la complejidad tecnológica y regulatoria del futuro.
