Cómo hacer una evaluación de impacto de sistemas de IA (AIIA) según ISO 42001
Qué es una AIIA y por qué ISO 42001 la exige
ISO 42001 requiere que la organización evalúe el impacto de sus sistemas de IA antes de desplegarlos y a lo largo de su operación. La lógica es simple: un sistema de IA puede afectar a personas que no son sus usuarios directos, y esos efectos deben anticiparse y gestionarse, no descubrirse después.
AIIA vs. evaluación de riesgos: no son lo mismo
La evaluación de riesgos mira hacia la organización: qué puede salir mal para el negocio. La evaluación de impacto mira hacia afuera: qué consecuencias tiene el sistema para las personas y la sociedad (discriminación, pérdida de privacidad, decisiones injustas, falta de transparencia). ISO 42001 pide ambas y que se alimenten mutuamente.
Pasos para realizar una AIIA
- Definir alcance y contexto: qué sistema de IA es, su propósito, dónde y cómo se usa.
- Identificar a las partes interesadas afectadas: usuarios, personas sobre las que se decide, grupos vulnerables, sociedad.
- Evaluar impactos potenciales: sesgo y equidad, privacidad y datos personales, seguridad, transparencia y explicabilidad, autonomía y supervisión humana.
- Determinar controles y mitigaciones: medidas para reducir los impactos negativos (datos representativos, revisión humana, información al usuario, límites de uso).
- Documentar y revisar: registrar el análisis, las decisiones y las mitigaciones; revisar cuando el sistema o su contexto cambien.
Qué documentar
El alcance del sistema evaluado, las partes afectadas, los impactos identificados y su severidad, los controles aplicados y los responsables, y la fecha de revisión. Esta documentación es evidencia clave en una auditoría de certificación y para demostrar debida diligencia.
Relación con el EU AI Act y con DPIA
La AIIA se complementa con la evaluación de impacto en protección de datos (DPIA del RGPD) cuando hay datos personales, y aporta buena parte de la diligencia que exige el EU AI Act para los sistemas de alto riesgo. Los controles del Anexo A de ISO 42001 incluyen la evaluación de impacto como objetivo de control.
Evalúa el impacto de tus sistemas de IA: Pre-Evaluación gratuitaPreguntas frecuentes
- ¿Qué es una AIIA?
- La evaluación de impacto de un sistema de IA: el análisis de sus consecuencias potenciales sobre individuos, grupos y la sociedad, requerido por ISO 42001.
- ¿En qué se diferencia de la evaluación de riesgos?
- La evaluación de riesgos mira el impacto sobre la organización; la evaluación de impacto mira el efecto sobre las personas y la sociedad. ISO 42001 pide ambas.
- ¿Cuándo hay que hacerla?
- Antes de desplegar el sistema de IA y a lo largo de su ciclo de vida, revisándola cuando el sistema o su contexto cambian.
- ¿Sirve para el EU AI Act?
- Aporta buena parte de la diligencia que exige el EU AI Act para sistemas de alto riesgo, aunque no lo sustituye.