El AI Act tiene 113 artículos. La mayoría no aplican a tu agente. Los que aplican, lo hacen con consecuencias operativas concretas.
Artículo 9 · risk management system
Necesitas un sistema de gestión de riesgos continuo, no un documento. Tres componentes:
- Identificación de riesgos previsibles
- Estimación de riesgos en uso real
- Mitigación con medidas técnicas y de gobernanza
La pregunta operativa: ¿quién lo mantiene y dónde vive?. Si vive en un PDF compartido, no cumples. Tiene que estar en un sistema que se actualiza con la frecuencia con la que cambia el agente.
Artículo 10 · data governance
Datasets de training, validación y test tienen que cumplir requisitos de relevancia, representatividad y libertad de errores. Para agentes RAG, el "dataset" incluye el corpus indexado.
Implicación: si tu agente puede leer cosas que no debería leer (cross-contamination entre tenants, por ejemplo), no pasa el AI Act.
Artículo 14 · human oversight
El humano tiene que poder intervenir, anular o detener el sistema. No es "ver dashboards". Es kill switch funcional. Necesita auditoría — si se usa, se registra; si no se usa pero podría, también.
Qué cambia para ti hoy
Si tu agente ya está en producción, tres acciones esta semana:
- Confirma que tienes un log per-decisión que sobreviva a un reset del agente.
- Verifica que el corpus RAG está segmentado por scope, no por filtros de query.
- Documenta el kill switch y cómo se prueba.