La intersección entre gobierno del dato y AI Act: qué obliga la normativa en términos de datos, cómo el gobierno del dato facilita el cumplimiento y qué hacer primero.

📌 En resumen
El AI Act europeo tiene implicaciones directas sobre los datos que usan los sistemas de IA: exige que los sistemas de IA de riesgo alto se entrenen con datos de calidad documentada, que haya registros de los datos de entrenamiento y de las métricas de rendimiento del modelo, y que existan mecanismos para corregir sesgos identificados.
El AI Act y el gobierno del dato parecen dos conversaciones distintas. Una es sobre regulación de IA; la otra, sobre gestión interna de datos. Pero cuando se mira en detalle qué requiere el AI Act para los sistemas de IA de riesgo alto, la conexión es directa: necesitas datos documentados, de calidad verificable y con linaje trazable. Eso es exactamente lo que proporciona un programa de gobierno del dato.
| Requisito AI Act | Qué cubre el gobierno del dato |
|---|---|
| Calidad documentada de datos | Políticas de calidad, controles automáticos y métricas de calidad por dominio |
| Linaje de datos | Catálogo de datos con linaje trazable desde la fuente hasta el uso |
| Data ownership | Definición de responsables por dominio de datos que pueden firmar la documentación |
| Minimización de datos | Inventario de datos y análisis de necesidad para cada sistema |
| Corrección de sesgos | Procesos de revisión de calidad y datos con alertas cuando hay anomalías |
Muchas empresas ven el gobierno del dato como un coste regulatorio impuesto desde fuera, algo que hay que hacer para evitar sanciones pero que no aporta valor al negocio. Pero las que lo implementan bien descubren que los beneficios operativos superan con creces el coste de implantación. Datos con ownership claro se actualizan mejor porque hay alguien responsable de que sean correctos. Datos con calidad documentada generan confianza en dashboards y modelos, lo que se traduce en decisiones más rápidas y menos tiempo perdido verificando cifras. Datos con linaje trazable permiten depurar errores en minutos en lugar de en días, porque sabes exactamente de dónde viene cada número y qué transformaciones ha sufrido. El AI Act añade urgencia al calendario, pero la motivación real debería ser la calidad de las decisiones que toma tu empresa cada día.
El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo, y las obligaciones dependen del nivel. La mayoría de sistemas de IA empresariales caen en las categorías de riesgo limitado o mínimo, donde las obligaciones son de transparencia básica. Los sistemas de alto riesgo son los que afectan a decisiones sobre personas: contratación, crédito, seguros, educación o acceso a servicios esenciales.
La pregunta clave para tu empresa es: tu sistema de IA toma decisiones que afectan directamente a personas (empleados, candidatos, clientes)? Si la respuesta es si, probablemente estas en la categoría de alto riesgo y necesitas cumplir con requisitos de documentación, auditoría y evaluación de impacto. Si tu IA es un copilot interno que resume documentos o un modelo de forecasting de demanda, probablemente estas en riesgo limitado o mínimo.
El AI Act no aplica todo de golpe. Las prohibiciones de sistemas de riesgo inaceptable entraron en vigor en febrero de 2025. Las obligaciones para sistemas de alto riesgo se aplican progresivamente entre agosto de 2025 y agosto de 2027, dependiendo del tipo de sistema. Los requisitos de transparencia para riesgo limitado aplican desde agosto de 2025.
Para una empresa que usa IA internamente (copilots, forecasting, automatización), la prioridad inmediata es hacer un inventario de todos los sistemas de IA en uso, clasificarlos por nivel de riesgo, y documentar los de alto riesgo. No esperes a que la fecha limite este encima: la documentación retroactiva es mucho más cara y complicada que hacerlo desde el diseño del sistema.
Para un enfoque completo de gobierno del dato adaptado a tu empresa, consulta nuestra página de gobierno del dato y calidad explicamos el proceso completo.
Si te interesa profundizar, en seguridad de datos e ia en empresa: guía rgpd exploramos este tema en detalle.
Para más contexto, puedes consultar la informe de McKinsey sobre empresas data-driven.
No con la misma intensidad. Las obligaciones más exigentes aplican a los sistemas de IA de riesgo alto (selección de personal, scoring crediticio, sistemas de infraestructura crítica). Para sistemas de riesgo limitado (chatbots, recomendadores), las obligaciones son principalmente de transparencia. Para sistemas de riesgo mínimo, no hay obligaciones específicas del AI Act.
En la mayoría de casos, no. Un copilot RAG que ayuda a empleados a encontrar información en documentos internos no toma decisiones sobre personas ni gestiona infraestructuras críticas. Cae típicamente en riesgo limitado (obligaciones de transparencia) o mínimo. Consulta con tu asesor legal si el sistema tiene casos de uso específicos que pudieran clasificarlo de otra forma.
Siguiente paso recomendado
Gobierno del dato alineado con los requisitos de trazabilidad del AI Act.
Sin compromiso · Respuesta en < 24h
Autor
Fundador y Consultor de Datos e IA
David Aldomar es fundador y consultor principal de MERIDIAN Data & IA, consultora especializada en ayudar a pymes y empresas medianas en España a tomar mejores decisiones con sus datos. Su trabajo se centra en cuatro áreas: diseño e implantación de plataformas de datos (data warehouses, pipelines ETL con dbt, integración de ERPs y CRMs), reporting y dashboards ejecutivos en Power BI, automatización de procesos de negocio con herramientas como n8n, y desarrollo de soluciones de inteligencia artificial aplicada — desde modelos de forecasting de demanda hasta copilots internos basados en RAG con LangChain y FastAPI. Ha liderado proyectos en sectores como logística y transporte, retail y distribución, servicios financieros, manufacturing y construcción, siempre con un enfoque pragmático: diagnóstico corto, entregables concretos y transferencia de conocimiento al equipo del cliente para que sea autónomo desde el primer día. Antes de fundar MERIDIAN, acumuló experiencia en consultoría de datos y transformación digital trabajando con stacks variados — desde entornos Microsoft (SQL Server, Power BI, Azure) hasta ecosistemas open source (Python, dbt, BigQuery). Su filosofía es que un buen proyecto de datos no se mide por la tecnología que usa, sino por las decisiones de negocio que permite tomar. Escribe regularmente en el blog de MERIDIAN sobre reporting, gobierno del dato, automatización e IA aplicada, con guías prácticas orientadas a responsables de negocio y equipos técnicos de empresas que quieren sacar partido real a sus datos sin depender de grandes consultoras.
Fuentes
Cómo construimos el programa de gobierno del dato que facilita el cumplimiento y mejora la calidad.
El desglose completo de qué obliga el AI Act según el tipo de sistema y el nivel de riesgo.
Los controles de seguridad y privacidad que complementan el gobierno del dato en proyectos de IA.
El AI Act exige trazabilidad — el linaje automatizado es la respuesta técnica.
Guía completa sobre gobierno del dato en empresa: estrategia, roles y herramientas.
Seguir leyendo
13 min lectura
10 min lectura
10 min lectura
11 min lectura
7 min lectura
Última revisión: