La OCDE publica su Guía de Diligencia Debida para una IA Responsable: un nuevo estándar operativo global para empresas
La Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha publicado oficialmente la OECD Due Diligence Guidance for Responsible AI, un documento que marca un punto de inflexión en la transición desde los principios éticos de la inteligencia artificial hacia una arquitectura operativa de responsabilidad empresarial. La guía no es una norma jurídica obligatoria. Sin embargo, su relevancia estratégica es indiscutible: constituye la primera traducción sistemática de los Principios de IA de la OCDE y de las Directrices para Empresas Multinacionales en un marco práctico de diligencia debida aplicable a toda la cadena de valor de la IA. En un entorno caracterizado por la fragmentación regulatoria (UE, Estados Unidos, Asia-Pacífico), la guía se presenta como instrumento de coherencia internacional y de alineación estratégica para empresas globales.
Un cambio de paradigma: de la ética declarativa a la diligencia debida estructurada
El elemento más significativo del documento es su enfoque: la IA responsable no se aborda como una cuestión meramente técnica o ética, sino como una obligación integrada dentro de la conducta empresarial responsable (Responsible Business Conduct, RBC).
La guía adopta el marco clásico de diligencia debida de la OCDE, estructurado en seis pasos:
- Integrar la conducta responsable en políticas y sistemas de gestión.
- Identificar y evaluar impactos adversos reales y potenciales.
- Cesar, prevenir o mitigar dichos impactos.
- Hacer seguimiento de la implementación y resultados.
- Comunicar cómo se gestionan los riesgos.
- Proporcionar o cooperar en la reparación cuando proceda.
Este enfoque transforma la gobernanza de la IA en un proceso continuo, iterativo y basado en riesgos, alejándose de modelos estáticos de cumplimiento formal.
Elementos clave de la Guía
1. Enfoque basado en riesgo y gravedad del impacto
La guía introduce un modelo de priorización fundamentado en la combinación de:
- Gravedad (scale) del daño,
- Alcance (scope) de personas afectadas,
- Irremediabilidad del impacto,
- Probabilidad (likelihood).
Este análisis no se limita a riesgos legales, sino que abarca impactos en derechos humanos, condiciones laborales, no discriminación, seguridad, sostenibilidad ambiental y estabilidad social. La significatividad del riesgo, concepto central del documento, obliga a las empresas a justificar y documentar cómo priorizan sus acciones, especialmente cuando no pueden abordar todos los riesgos simultáneamente.
2. Cobertura integral de la cadena de valor de la IA
La guía clasifica a los actores en tres grandes grupos:
- Proveedores upstream (datos, anotación, infraestructura, capital).
- Desarrolladores y operadores de sistemas de IA (diseño, entrenamiento,
validación, despliegue). - Usuarios downstream (empresas que integran IA en sus operaciones).
Este enfoque es especialmente relevante en el contexto de modelos fundacionales y sistemas de propósito general, donde la responsabilidad puede extenderse a múltiples relaciones comerciales. El documento subraya que la diligencia debida varía según el grado de implicación en el impacto: causar, contribuir o estar vinculado.
3. Gobernanza interna y responsabilidad directiva
Uno de los aportes más operativos de la guía es su énfasis en la estructura organizativa:
- Asignación de responsabilidad al consejo de administración y alta dirección.
- Integración transversal entre áreas técnicas, legales, compliance, procurement y recursos humanos.
- Inventario actualizado de sistemas de IA.
- Sistemas de registro, trazabilidad y gestión documental.
- Planes de respuesta ante incidentes y contingencias.
Se observa una clara convergencia con modelos de sistemas de gestión tipo ISO (como ISO/IEC 42001), pero con un énfasis adicional en derechos humanos y reparación.
4. Participación significativa de stakeholders
La guía introduce un elemento donde supera a muchos marcos técnicos: el engagement significativo con partes interesadas.
Se exige participación bidireccional, informada y continua de:
- Trabajadores y sindicatos.
- Comunidades afectadas.
- Usuarios finales.
- Grupos vulnerables.
- Expertos independientes.
No se trata de una consulta formal, sino de integración estructural de la perspectiva de los afectados en el diseño y operación de sistemas de IA. En contextos de alto riesgo, como justicia, empleo, migración o servicios esenciales, esta participación adquiere especial relevancia.
5. Remediación y mecanismos de queja
Mientras muchos marcos regulatorios se centran en prevención, la OCDE incorpora explícitamente la dimensión de remediación.
Las empresas deben:
- Establecer mecanismos accesibles de reclamación.
- Cooperar cuando hayan causado o contribuido a un daño.
- Participar en procesos de reparación.
Además, la guía recuerda el papel de los National Contact Points (NCP) como mecanismo institucional de resolución de controversias en el marco de las Directrices para Empresas Multinacionales.Este elemento refuerza la dimensión de accountability más allá del cumplimiento normativo.
6. Relación con marcos regulatorios existentes
Aunque voluntaria, la guía se diseña para facilitar la interoperabilidad con:
- EU AI Act,
- Corporate Sustainability Due Diligence Directive (CSDDD),
- NIST AI Risk Management Framework,
- ISO/IEC 42001,
- Marcos del G7 y Consejo de Europa.
No constituye un manual de cumplimiento legal, pero puede actuar como arquitectura transversal para armonizar exigencias en múltiples jurisdicciones.
Desde la perspectiva de la gobernanza corporativa y del compliance estratégico, la guía introduce implicaciones estructurales que trascienden el ámbito tecnológico. En primer lugar, la inteligencia artificial deja de ser tratada como una cuestión exclusivamente técnica o de innovación y pasa a integrarse formalmente en los sistemas corporativos de gestión de riesgos (ERM), con la misma lógica que los riesgos financieros, regulatorios o reputacionales. Esta integración implica metodologías de identificación, evaluación y priorización documentadas y sometidas a supervisión periódica. En paralelo, se consolida la expectativa de que el consejo de administración y la alta dirección asuman un rol activo en la supervisión de los riesgos vinculados a la IA, elevando la materia al nivel estratégico y alejándola de una gestión puramente operativa.
Asimismo, aumenta de manera significativa la presión para documentar los procesos de evaluación y priorización de riesgos, especialmente cuando la empresa debe justificar por qué determinados impactos son abordados antes que otros. La exigencia de trazabilidad y evidencia refuerza la dimensión de accountability corporativa. De forma complementaria, se amplía el alcance de la responsabilidad hacia relaciones comerciales indirectas, lo que obliga a revisar contratos, prácticas de procurement y mecanismos de supervisión de terceros en la cadena de valor. En sectores donde la confianza constituye un activo crítico, como el financiero, sanitario o la administración pública, la implementación rigurosa de este marco puede transformarse en una ventaja competitiva, al reforzar la credibilidad institucional y la capacidad de acceso a mercados regulados.
No obstante, el avance normativo no elimina las tensiones estructurales. El carácter voluntario del instrumento limita su fuerza coercitiva y puede generar asimetrías en su adopción. A ello se suma la complejidad técnica de los sistemas avanzados, que dificulta evaluaciones profundas y comprensivas, especialmente cuando se trata de modelos de gran escala o sistemas de propósito general. La gobernanza de modelos fundacionales plantea desafíos específicos de trazabilidad, supervisión y delimitación de responsabilidades entre desarrolladores y usuarios. Además, la asimetría de capacidades entre grandes corporaciones y pequeñas y medianas empresas puede derivar en brechas de implementación, tanto por recursos técnicos como por capacidad organizativa. El propio documento reconoce esta realidad y establece que la diligencia debida debe ser proporcional al tamaño, capacidad y grado de implicación de cada empresa en el impacto.
En términos generales, la publicación de la OECD Due Diligence Guidance for Responsible AI representa un paso decisivo hacia la institucionalización global de la responsabilidad empresarial en inteligencia artificial. No se trata de un marco técnico de auditoría algorítmica, sino de una arquitectura de gobernanza corporativa aplicada a la IA. Su núcleo conceptual se articula en torno a una gestión de riesgos basada en la gravedad del impacto, una integración estructural en los sistemas de gestión, una participación significativa de las partes interesadas, mecanismos efectivos de remediación y una aspiración de coherencia internacional entre marcos regulatorios. En este contexto, la cuestión ya no es si la IA debe desarrollarse de forma responsable, sino cómo se integra esa responsabilidad en la arquitectura organizativa y decisional de las empresas. En ese terreno, la OCDE ha establecido un nuevo estándar de referencia que redefine las expectativas globales sobre la gobernanza de la inteligencia artificial.