Gobernanza de IA en América Latina: lo que se declara y lo que se puede verificar

América Latina adopta inteligencia artificial más rápido de lo que la gobierna. La fotografía regional muestra países que ya usan IA generativa de forma transversal mientras sus marcos de control siguen en borrador o recién promulgados.

El Índice Latinoamericano de Inteligencia Artificial documenta esa asimetría: hay adopción dinámica y brechas críticas simultáneas en talento, infraestructura y gobernanza. Buena parte de las estrategias nacionales carece de presupuesto, implementación y evaluación.

Para un auditor, esa frase tiene un significado preciso. Una estrategia sin presupuesto de seguimiento ni mecanismo de evaluación ex post no es un sistema de gobierno; es una declaración de intención. La diferencia se nota el día que un sistema automatizado deniega un beneficio, sesga una contratación o equivoca un diagnóstico.

El modelo regulatorio dominante en la región es la clasificación por nivel de riesgo. Perú lo consagró en la Ley 31814 y su reglamento, con exigencia de transparencia, supervisión humana y previsión de entornos de prueba. Chile y Colombia impulsan proyectos con el mismo enfoque, centrados en sesgos, privacidad y transformación laboral.

El EU AI Act funciona como referencia comparada de esa arquitectura: prohíbe ciertos usos, somete los sistemas de alto riesgo a obligaciones reforzadas y deja el resto bajo deberes de transparencia. La región converge metodológicamente con ese esquema sin haber producido todavía un equivalente horizontal propio.

El auditor no audita la categoría declarada; audita la consistencia entre la categoría y los controles efectivamente operados. Un sistema etiquetado como bajo riesgo que en los hechos decide sobre derechos es un hallazgo, no una formalidad.

Una IA responsable deja rastro. Esa es la prueba operativa que separa la gobernanza real de la retórica. Un sistema auditable conserva, como mínimo, cinco cosas: el propósito declarado, los datos de entrenamiento y su procedencia, las decisiones de diseño relevantes, los registros de operación y los puntos donde una persona puede intervenir o revertir.

La distancia entre exigir y verificar es donde se juega la credibilidad del marco. Una obligación de transparencia sin formato, custodio ni plazo de conservación es inauditable. Lo que no se registra no se puede revisar, y lo que no se puede revisar no rinde cuentas.

La pregunta de auditoría es deliberadamente simple. Si mañana este sistema produce un daño, ¿qué evidencia quedó, quién la custodia y en cuánto tiempo se la puede recuperar? Cuando la respuesta es un silencio, el control no existía.

ISO/IEC 42001 ofrece a las organizaciones un sistema de gestión de IA con controles sobre políticas, roles, evaluación de impacto y gestión del ciclo de vida del modelo. Es la pieza que traduce el principio regulatorio en disciplina interna verificable.

Conviene una precisión que el mercado tiende a borrar. La certificación contra ISO/IEC 42001 es hoy una certificación no acreditada, fuera del alcance de acreditación publicado. Eso no la invalida; la ubica. Acredita que un organismo evaluó un sistema de gestión, no que un Estado avaló el cumplimiento legal del sistema de IA subyacente.

El Observatorio IAC registra y verifica evidencia; no acredita ni certifica. Verificar es constatar que un control existe y opera. La secuencia sensata para una organización es inversa a la del marketing: primero se construye la trazabilidad que la ley exigirá, después se busca el sello que la atestigua.

La rendición de cuentas es el control que sostiene todos los demás. Sin un responsable identificable, una evaluación de impacto firmada y un mecanismo de revisión ex post, la supervisión humana se vuelve una casilla marcada sin contenido.

Los marcos regionales más maduros lo reconocen. Uruguay alineó su estrategia con referencias internacionales de derechos humanos y Estado de derecho, optando por interoperabilidad jurídica antes que por obligaciones inéditas. Otros países discuten auditorías algorítmicas y evaluaciones de impacto en el ámbito parlamentario.

El cierre es un diagnóstico, no una receta. La región no necesita más estrategias anunciadas; necesita evidencia conservable, responsables nombrados y trazabilidad que sobreviva a la rotación de gobiernos y gerencias. La IA responsable se reconoce por lo que puede demostrar cuando le piden cuentas, no por lo que prometió cuando la presentaron.