¿Por qué necesito un inventario de sistemas de IA?

El EU AI Act exige a las organizaciones conocer todos sus sistemas de IA para poder clasificarlos, gestionar sus obligaciones y demostrar cumplimiento ante las autoridades supervisoras. Sin un inventario, es imposible saber cuáles son de alto riesgo, quién es responsable de cada uno, ni qué obligaciones aplican. Además, el artículo 60 del EU AI Act establece una base de datos europea donde deben registrarse los sistemas de alto riesgo.

¿Qué información debo registrar por sistema de IA?

Como mínimo: nombre y descripción del sistema, propósito y casos de uso, responsable interno, proveedor o desarrollador, datos personales que procesa, nivel de riesgo EU AI Act, estado de despliegue, y fecha de última revisión. Para sistemas de alto riesgo del Anexo III, se requiere además la documentación técnica completa del Anexo IV.

Gobernanza de IA · EU AI Act Art. 60

Inventario de sistemas de IA: la base de toda governance

Sin saber qué sistemas de IA tienes, no puedes clasificarlos, gestionar sus obligaciones ni demostrar cumplimiento. Guía completa para construir y mantener tu inventario.

¿Por qué necesitas un inventario de sistemas de IA?

Un inventario de sistemas de IA es el primer paso obligatorio — y no opcional — para cualquier organización que quiera cumplir el EU AI Act. Sin él, no es posible saber qué sistemas hay que clasificar, cuáles son de alto riesgo, quién es responsable de cada uno, ni qué obligaciones regulatorias aplican.

El artículo 60 del EU AI Act establece una base de datos europea donde proveedores y desplegadores deben registrar sus sistemas de IA de alto riesgo antes de ponerlos en servicio. Para inscribirse en esa base de datos, primero necesitas tener tu propio inventario interno completo.

Más allá del cumplimiento regulatorio, el inventario tiene valor organizacional inmediato: proporciona visibilidad sobre la IA en la sombra (shadow AI) — los sistemas de IA que empleados o departamentos usan sin conocimiento ni autorización del Comité —, permite asignar responsables claros a cada sistema, y facilita la toma de decisiones sobre qué sistemas mantener, actualizar o retirar.

ISO 42001 también requiere un inventario como punto de partida del sistema de gestión (controles A.8 y A.6): sin conocer qué sistemas existen y qué hacen, no es posible evaluar su impacto ni establecer los controles adecuados.

Qué registrar por cada sistema de IA

El nivel mínimo de información que debe capturar cada entrada del inventario incluye:

Identificador único: código o ID interno que permite referenciar el sistema en toda la documentación de compliance.
Nombre y descripción: nombre funcional del sistema y descripción de qué hace, qué problema resuelve y en qué contexto opera.
Propósito y casos de uso: para qué se usa exactamente, qué decisiones automatiza o apoya, en qué procesos de negocio interviene.
Responsable interno (owner): persona o función dentro de la organización que es accountable de la gestión del sistema. Esencial para las obligaciones del desplegador en el EU AI Act.
Proveedor o desarrollador: si es un sistema de terceros (SaaS, API) o desarrollado internamente. Para terceros, incluir el nombre del proveedor y el contrato.
Datos personales procesados: si el sistema procesa datos personales, qué categorías, con qué base legal (conexión directa con el RGPD).
Nivel de riesgo EU AI Act: prohibido, alto, limitado o mínimo. Incluir la justificación y si se ha verificado el Anexo III.
Estado de despliegue: en producción, en pruebas/piloto, en desarrollo, retirado.
Fecha de alta y última revisión: para gestionar los ciclos de revisión periódica obligatorios.
Área de negocio: departamento o área propietaria del sistema.

Para sistemas clasificados como alto riesgo, el inventario debe complementarse con la documentación técnica completa del Anexo IV del EU AI Act: descripción general, capacidades y limitaciones, datos de entrenamiento, metodología de desarrollo, métricas de rendimiento y medidas de supervisión humana.

Cómo construir el inventario: proceso paso a paso

1. Fase de descubrimiento

El mayor desafío no es documentar los sistemas conocidos, sino descubrir los que nadie ha catalogado. La fase de descubrimiento debe incluir:

Revisión de contratos con proveedores de software: ¿hay cláusulas de uso de IA o machine learning?
Encuesta a departamentos: ¿qué herramientas usan que incluyan funcionalidades de IA?
Revisión de subscripciones SaaS activas: muchas herramientas de productividad (Copilot, Notion AI, Salesforce Einstein) incluyen IA sin que los equipos lo identifiquen como tal.
Entrevistas con responsables técnicos: ¿hay modelos o scripts de ML desarrollados internamente?

2. Entrevistas con stakeholders

Para cada sistema identificado, la entrevista con el responsable del área busca capturar el propósito real de uso, los datos que maneja, quién toma las decisiones finales y si hay supervisión humana efectiva sobre las salidas del sistema.

3. Auditoría técnica

Para sistemas desarrollados internamente o integrados en infraestructura propia, la auditoría técnica verifica qué modelos se usan, qué datos de entrenamiento se han utilizado, qué versiones están en producción y si hay logs de actividad.

4. Monitorización continua

El inventario no es un proyecto de una vez: es un proceso continuo. Los sistemas de IA se añaden, se actualizan y se retiran constantemente. El proceso de alta de nuevos sistemas debe estar integrado en el ciclo de adquisición de software y en el proceso de desarrollo interno.

Errores comunes al construir el inventario

Alcance incompleto: limitar el inventario a sistemas desarrollados internamente e ignorar las herramientas SaaS con IA integrada. La mayoría de la IA en uso empresarial hoy es IA de terceros contratada como servicio.
Sin responsable asignado: registrar sistemas sin un owner claro hace el inventario inoperativo para compliance. Cada sistema necesita una persona accountable.
Snapshot estático: hacer el inventario como un proyecto que se cierra y no se mantiene. Sin un proceso de actualización, el inventario se desactualiza en semanas.
Infradocumentación de datos: no registrar qué datos personales procesa cada sistema hace imposible conectar el inventario con las obligaciones del RGPD y el registro de actividades de tratamiento.
Clasificación optimista: asumir que un sistema es de riesgo mínimo sin verificar el Anexo III. La verificación formal de los 8 dominios del Anexo III debe documentarse para cada sistema.

Cómo Kaitalog automatiza el inventario

Kaitalog proporciona tres mecanismos para construir y mantener el inventario de forma continua:

Agente conversacional de registro: cualquier empleado puede declarar un sistema de IA respondiendo preguntas en lenguaje natural. El agente extrae los metadatos estructurados y genera un borrador listo para validación del Comité. Sin formularios largos, sin fricción.
Importación CSV/API: para organizaciones con inventarios parciales existentes en hojas de cálculo o sistemas CMDB, Kaitalog permite importar en masa y completar la información faltante.
Ciclos de revisión automatizados: Kaitalog notifica a los responsables cuando un sistema debe ser revisado, actualizando automáticamente el estado del inventario y generando el historial de cambios auditable.

Preguntas frecuentes

¿Por qué es obligatorio el inventario de sistemas de IA? +

El EU AI Act exige a proveedores y desplegadores de sistemas de alto riesgo registrarlos en la base de datos europea (Art. 60) antes de ponerlos en servicio. Para hacerlo, primero necesitas tener tu propio inventario interno completo. Además, sin inventario es imposible cumplir otras obligaciones como la gestión de riesgos (Art. 9) o la documentación técnica (Art. 11).

¿Qué es la IA en la sombra y cómo la descubro? +

La IA en la sombra (shadow AI) son los sistemas de IA que empleados o departamentos usan sin conocimiento ni aprobación del equipo de IT o del Comité de IA. Incluye herramientas como ChatGPT de uso personal, plugins de IA en herramientas de productividad, o scripts de ML desarrollados de forma informal. Para descubrirla, combina encuestas a empleados, revisión de contratos SaaS y auditorías técnicas de servicios conectados.

¿Con qué frecuencia debo actualizar el inventario? +

El EU AI Act requiere que la documentación de sistemas de alto riesgo esté actualizada en todo momento. Como práctica mínima, recomendamos revisión completa del inventario al menos cada 6 meses, revisión inmediata cuando se introduce un nuevo sistema o se hace un cambio significativo en uno existente, y revisión anual formal como parte del ciclo de gestión ISO 42001.

¿Debo incluir en el inventario las herramientas SaaS con IA integrada? +

Sí, si actúas como desplegador de un sistema de IA de terceros, tienes obligaciones bajo el EU AI Act independientemente de que no hayas desarrollado el sistema. Herramientas como Microsoft Copilot, Salesforce Einstein, o sistemas de scoring de crédito de terceros deben aparecer en tu inventario. La obligación de documentación técnica recae sobre el proveedor, pero la obligación de supervisión humana y logging recae sobre el desplegador.

¿Cómo conecta el inventario de IA con el registro de actividades del RGPD? +

El inventario de sistemas de IA y el registro de actividades de tratamiento del RGPD (Art. 30 RGPD) deben estar coordinados. Para cada sistema de IA que procese datos personales, el inventario debe referenciar la actividad de tratamiento RGPD correspondiente. Kaitalog permite marcar qué sistemas procesan datos personales y enlazar cada sistema con su actividad de tratamiento, manteniendo coherencia entre ambos registros.

Automatiza tu inventario de sistemas de IA

Kaitalog registra, clasifica y mantiene tu inventario actualizado con un agente conversacional.

Empezar gratis →