Evaluación de Impacto
Algorítmico (AIA)

Una Evaluación de Impacto Algorítmico (AIA) es un proceso sistemático y documentado para identificar, analizar y mitigar los posibles impactos de sistemas algorítmicos y de inteligencia artificial sobre personas, organizaciones y la sociedad. La evaluación examina riesgos relacionados con equidad, sesgos, discriminación, transparencia, explicabilidad, protección de datos, supervisión humana, seguridad y posibles daños sociales. Es especialmente relevante para sistemas de alto impacto, despliegues en el sector público o soluciones que puedan afectar derechos fundamentales.

Cualquier organización que desarrolle, despliegue o utilice sistemas algorítmicos o de IA que influyan en decisiones que afectan a personas. Esto incluye empresas que utilizan IA en procesos de selección de personal, scoring crediticio, seguros, publicidad dirigida o moderación de contenido, organizaciones del sector público que despliegan sistemas automatizados de decisión en áreas como justicia, educación, salud o prestaciones sociales, y cualquier empresa sujeta al Reglamento Europeo de IA, leyes estatales de IA en Estados Unidos o regulaciones equivalentes que exigen evaluaciones de impacto para sistemas de alto riesgo.

No. Es un proceso de diagnóstico y evaluación, no una certificación. Su valor reside en identificar de forma anticipada los riesgos de impacto de un sistema algorítmico antes de su despliegue o durante su operación, y en documentar las medidas de mitigación adoptadas. Los resultados pueden utilizarse como evidencia de gobernanza responsable ante reguladores, inversores o equipos de compras, y como base para estructurar un sistema de gestión de IA certificable bajo ISO/IEC 42001.

La evaluación de riesgos ISO/IEC 23894 se centra en los riesgos técnicos, operativos y organizativos asociados a los sistemas de IA a lo largo de su ciclo de vida. La Evaluación de Impacto Algorítmico se centra en los efectos que esos sistemas producen sobre las personas y la sociedad: discriminación, sesgos, falta de transparencia, impacto en derechos fundamentales y daños colectivos. Ambas son complementarias. ISO/IEC 23894 evalúa los riesgos del sistema; la AIA evalúa los riesgos para las personas afectadas por el sistema.

Son especialmente necesarias en sistemas que toman o influyen en decisiones sobre personas, como sistemas de scoring crediticio o evaluación financiera, herramientas de selección y evaluación de personal, sistemas de priorización en salud o triaje automatizado, modelos de detección de fraude o riesgo, sistemas de moderación de contenido o recomendación, herramientas de vigilancia, identificación biométrica o reconocimiento facial, y cualquier sistema clasificado como de alto riesgo bajo el Reglamento Europeo de IA o legislaciones equivalentes.

El plazo estándar es de aproximadamente cuatro a seis semanas, dependiendo del número de sistemas evaluados, la complejidad de las interacciones del sistema con las personas afectadas y la disponibilidad de documentación técnica y datos de rendimiento. Sistemas con múltiples casos de uso o que afectan a poblaciones diversas pueden requerir un plazo mayor.

La evaluación requiere acceso a la descripción funcional del sistema algorítmico, la documentación técnica del modelo, los datos de entrenamiento y validación utilizados, las métricas de rendimiento y equidad disponibles, los procedimientos de supervisión humana, las políticas de protección de datos aplicables, y cualquier reclamación, incidente o auditoría previa relacionada con el sistema.

Un informe estructurado que incluye la identificación de los grupos afectados por el sistema, un análisis de impacto clasificado por tipo de riesgo (equidad, discriminación, privacidad, transparencia, seguridad), una evaluación de las medidas de mitigación existentes, la identificación de brechas y riesgos residuales, y un plan de acción priorizado con recomendaciones de mitigación y plazos. El informe es un documento auditable que puede presentarse ante reguladores, inversores o equipos de compras.

El Reglamento Europeo de IA exige a los proveedores y operadores de sistemas de IA de alto riesgo la realización de evaluaciones de impacto sobre los derechos fundamentales. Una Evaluación de Impacto Algorítmico independiente proporciona la base documental y analítica para cumplir con esta obligación, y genera evidencia auditable de que la organización ha evaluado y mitigado proactivamente los riesgos de impacto de sus sistemas de IA.

La Evaluación de Impacto Algorítmico alimenta directamente la dimensión de gestión de riesgos de un sistema de gestión de IA bajo ISO/IEC 42001. Los resultados pueden utilizarse para reforzar los controles de equidad, transparencia y supervisión humana dentro del sistema de gestión, facilitando la certificación. Zertia ofrece ambos servicios y puede diseñar un encargo integrado.

Sí. El informe resultante proporciona evidencia documentada de que la organización ha evaluado de forma proactiva el impacto de sus sistemas algorítmicos sobre las personas. Esto puede facilitar procesos de contratación pública en los que se exige transparencia algorítmica, due diligence de inversores que evalúan riesgos reputacionales y regulatorios, y relaciones con clientes empresariales que exigen gobernanza responsable de IA a sus proveedores.