Cumplimiento y ética

Gobierno del dato para IA

El gobierno del dato para IA es el conjunto de políticas, procesos y controles que aseguran que los datos usados para entrenar, ajustar o alimentar sistemas de IA son legítimos, representativos, de calidad y trazables. Es obligación específica para sistemas de alto riesgo bajo el AI Act (Artículo 10).

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

Cualquier sistema IA es tan bueno como los datos con los que ha aprendido o sobre los que opera. El gobierno del dato cubre todo el ciclo: cómo se recogen los datos (con qué consentimiento o base legal RGPD), cómo se almacenan, cómo se etiquetan, qué calidad tienen, cómo se actualizan, cómo se borran, quién tiene acceso, qué se hace cuando un sujeto ejerce derechos RGPD. El AI Act, en su Artículo 10, exige específicamente para alto riesgo: que los datos de entrenamiento, validación y prueba sean pertinentes, suficientemente representativos, libres de errores en la medida de lo posible y completos para la finalidad prevista; que se documenten las decisiones de diseño relevantes; que se examinen sesgos posibles y se mitiguen. La intersección con RGPD es central: si los datos son personales, hay que cumplir ambos reglamentos a la vez. Para empresas que entrenan modelos, gobierno de datos es lo que diferencia un proyecto serio de uno improvisable. Para empresas que usan modelos preentrenados, gobierno de datos sigue importando para los datos que se introducen como contexto (RAG) y los datos generados por el sistema (memoria, registros).

Por qué importa para tu empresa

Aplicación práctica

Para una empresa con cualquier sistema IA en producción, el gobierno del dato es la columna vertebral del cumplimiento normativo y de la calidad. La pregunta práctica que conviene poder contestar en cualquier momento es: "¿qué datos usa este sistema, de dónde vienen, con qué consentimiento, cuánto tiempo se conservan, quién accede, cómo se borran?". Si esa pregunta no tiene respuesta clara, hay un agujero que tarde o temprano genera incidente regulatorio o de calidad.

Ejemplo concreto

Caso real

Una pyme de seguros desplegó un asistente IA conectado a sus expedientes históricos. Inicialmente "todo el SharePoint estaba indexado". Al hacer auditoría de gobierno del dato descubrieron que: parte de los expedientes contenían datos de salud (categoría especial, requiere base legal específica RGPD); había documentos cuya retención debía haber expirado pero seguían accesibles; algunos expedientes incluían datos de menores que el asistente podía exponer. Reformaron el sistema: política de retención automática, exclusión de categorías especiales del corpus, registro de accesos. Tres meses de trabajo en lugar de "indexar todo y arrancar"; en el camino, prevenir cinco potenciales sanciones AEPD.