Mejores prácticas 2025: IA en sector público, transparencia y accesibilidad

Como responsable de innovación pública, he aprendido que la pregunta no es si desplegar asistentes y buscadores con IA, sino cómo hacerlo sin sacrificar derechos, confianza y acceso universal. Este artículo condensa prácticas que hemos visto funcionar en administraciones españolas y latinoamericanas, alineadas con los hitos regulatorios de 2025 y con un enfoque radicalmente práctico.

1) Lo imprescindible de cumplimiento en 2025 (y lo que implica en un buscador/assistant)

• Reglas europeas de IA: el Reglamento (UE) 2024/1689 (AI Act) ya está en vigor y establece, entre otras, obligaciones de gestión de riesgos, gobernanza de datos, documentación técnica, registros de eventos, transparencia, supervisión humana y ciberseguridad para sistemas de alto riesgo. Véanse los artículos 9–15 en el texto oficial del DOUE y su ELI en EUR-Lex – AI Act (2024). Para modelos de propósito general (GPAI) se exige documentación y resumen del contenido de entrenamiento; los de riesgo sistémico incorporan salvaguardas reforzadas, según el resumen de la Comisión Europea (2024).
• Cronograma operativo: las prohibiciones de prácticas inaceptables aplican alrededor de febrero de 2025; las obligaciones para GPAI y autoridades competentes, en torno a agosto de 2025; y la mayoría de requisitos de alto riesgo a partir de 2026, conforme a las disposiciones transitorias y guías no oficiales consistentes como el resumen de ArtificialIntelligenceAct.eu sobre implementación y el repaso de Getronics 2025. Para precisión jurídica, consulte siempre el DOUE.
• Protección de datos: un asistente que responde sobre trámites o consultas ciudadanas debe pasar por una EIPD/DPIA, definir base legal, minimizar datos y garantizar trazabilidad, en línea con RGPD y las recomendaciones recientes de la AEPD. Véase el Informe de actividad de la AEPD 1S 2025 y su guía sobre evaluaciones de impacto.
• Accesibilidad por ley: todo canal público (web/app/chatbot) debe cumplir el RD 1112/2018 y el estándar EN 301 549 (alineado con WCAG 2.1). Revise el RD 1112/2018 en el BOE, el Observatorio de Accesibilidad Web y cambios del estándar recopilados por la Comisión en “latest changes to the accessibility standard”. La versión vigente de referencia de EN 301 549 es la v3.2.1, según el buscador de ETSI.
• Marcos voluntarios útiles: para estructurar la gobernanza y los riesgos, el marco NIST AI RMF (2023) aporta funciones y prácticas accionables; consulte el portal del NIST AI RMF y su Playbook. Para transparencia algorítmica, la guía de OGP (2021) sintetiza “qué publicar” y “cómo” en el sector público, ver Algorithmic accountability for the public sector.

Qué significa en la práctica para un buscador/assistant de gobierno:

• Diseñar con “supervisión humana efectiva” y vías de derivación a agente humano para casos ambiguos o sensibles (AI Act art. 14).
• Documentar el sistema (Anexo IV): datos de entrenamiento, limitaciones, pruebas de rendimiento, controles de sesgos y ciberseguridad.
• Mantener registros de eventos (logs) para auditoría y resolución de incidentes.
• Publicar una ficha pública del algoritmo (ver sección 3) y una declaración de accesibilidad viva.

2) Principios de diseño: transparencia-by-design y accesibilidad-by-default

• Arquitectura RAG con fuentes oficiales: alimente el modelo con repositorios institucionales y cite explícitamente los documentos en las respuestas. Esto reduce alucinaciones y permite verificabilidad. Diseñe umbrales de confianza: si la evidencia es insuficiente, derive a un humano.
• Trazabilidad completa: habilite logs de consultas, decisiones, fuentes citadas y derivaciones, con retención proporcional. Esto es clave para auditorías y mejora continua.
• Supervisión humana y explainability: para decisiones que afecten derechos (p. ej., tributarias), explique en lenguaje llano cómo se generó la respuesta y cuándo aplica validación humana.
• Transparencia significativa: publique la finalidad, base legal, tipos de datos, evaluación de riesgos, mitigaciones, métricas y responsables. Inspírese en los registros de Ámsterdam y Helsinki, que muestran campos y lenguaje ciudadano; consulte el AI/Algorithm Register de Ámsterdam y el AI Register de Helsinki.
• Accesibilidad desde el inicio: cumpla EN 301 549 v3.2.1 (WCAG 2.1 AA), con navegación por teclado, lectura fácil, contraste suficiente, compatibilidad con lectores de pantalla, subtitulado/ASR en multimedia y pruebas con usuarios con discapacidad. Apóyese en el Observatorio de Accesibilidad Web.

3) Plan de implementación en 90 días (tres sprints reales)

Sprint 1 (Días 1–30): Alineamiento normativo y prototipo interno

• Caso de uso y clasificación: informativo vs. transaccional; ¿alto riesgo? Documente decisión con referencia al AI Act y RGPD.
• EIPD/DPIA y gobernanza: mapa de datos, base legal, retención, minimización, roles; comité ético y responsable del sistema.
• Arquitectura y seguridad: RAG con fuentes oficiales; aislamiento de datos; controles ENS, cifrado y registro de eventos.
• Prototipo de respuesta: flujo de QA con citas, instrucciones de uso, avisos de límites y botón “habla con una persona”.
• Accesibilidad temprana: diseño y revisión de patrones accesibles; checklist EN 301 549; pruebas con lector de pantalla y teclado.

Sprint 2 (Días 31–60): Piloto controlado y transparencia

• Testing con ciudadanos y personal: 30–50 usuarios representativos, incluyendo personas con discapacidad; recopile CSAT y problemas de comprensión.
• Métricas y umbrales: establezca FCR objetivo (60–70% en informativo), tasa de derivación segura, latencia máxima y tasa de respuestas con cita (>90%).
• Ficha pública del algoritmo: redacte y publique la “tarjeta” con propósito, datos, base legal, riesgos y mitigaciones, inspirándose en los modelos de Países Bajos (Algoritmeregister) y en la guía OGP (2021).
• Entrenamiento del personal: protocolo de escalamiento y resolución; atención a personas en situación de brecha digital.

Sprint 3 (Días 61–90): Producción limitada y mejora continua

• Despliegue gradual: por tema (p. ej., becas, tasas) y horario, con monitorización en tiempo real y canal de feedback.
• Auditorías iniciales: revisión de accesibilidad, privacidad y seguridad; pruebas adversariales y revisión de sesgos.
• Publicación: declaración de accesibilidad específica del asistente; versiónado de la ficha del algoritmo.
• Plan de revisión trimestral: auditorías, actualización de datasets, control de cambios y reporte público de métricas clave.

4) Métricas operativas que importan (y cómo instrumentarlas)

• FCR (First Contact Resolution): % de consultas resueltas sin escalamiento. Objetivo inicial 60–70% en informativo; más bajo en transaccional.
• CSAT post-interacción: encuesta breve 1–5. Añada pregunta de claridad/legibilidad.
• Accesibilidad operativa: tasa de cumplimiento AA (muestreo mensual con auditoría manual + automática) conforme al RD 1112/2018.
• Tasa de derivación segura: % de conversaciones que escalan a humano por baja confianza.
• Respuestas con cita: % de respuestas que incluyen enlace a documento oficial (objetivo >90%).
• Sesgo y quejas: número de incidencias por discriminación o error grave; tiempos de resolución.
• Integridad técnica: latencia, errores, caídas; registros de eventos (AI Act art. 12) en repositorio seguro con retención definida.

Para visibilidad y confianza en “buscadores de IA” (ChatGPT, Google AI Overview, Perplexity), monitorice menciones y fuentes citadas, y optimice contenidos públicos en consecuencia.

5) Casos reales y aprendizajes

• Agencia Tributaria (España): el ecosistema de asistentes virtuales y el ADI ofrecieron más de 560.000 respuestas durante la campaña de Renta 2023, creciendo un 53% interanual, con asistentes específicos para IRPF e IVA y opciones de chat con especialistas en horario extendido, según la Sede de la AEAT y notas 2025 de Moncloa y las páginas de asistencia IRPF e IVA.
• Seguridad Social – Importass: plataforma de autoservicio con fuerte adopción móvil y tiempos de alta ágiles; en 2023 reportó 35,6 millones de usuarios (69,6% nuevos), más de 21,5 millones de consultas de vida laboral y alta del empleo del hogar en ~6 minutos, según la presentación institucional 2023.
• Barcelona y Generalitat de Catalunya: pilotos de IA para simplificación de texto legal y asistentes temáticos; se mencionan en el informe EPTA sobre IA y democracia (2023) y en comunicaciones municipales sobre asistentes para programas sociales como el Fondo de Infancia.
• Buenos Aires – Boti: el chatbot por WhatsApp se consolidó como canal ciudadano; informes sectoriales muestran crecimiento de consultas (p. ej., área de turismo registró 3.706 consultas en enero 2025, +19% vs. 2023), según el Informe mensual de Turismo BA 2025 y el VLR 2025 de la ciudad.
• Registros de algoritmos (internacional): Países Bajos publica un registro nacional con propósito, base legal, datos y riesgos de cada algoritmo público; útil como referencia para España/LatAm. Véase el Algoritmeregister Overheid (NL) y compárelo con los registros de Ámsterdam y Helsinki.

Aprendizajes clave:

• Las citas a documentos oficiales elevan la confianza y reducen reclamaciones.
• El “carril humano” bien diseñado mejora satisfacción y evita bloqueos en casos sensibles.
• Publicar la ficha del algoritmo y la declaración de accesibilidad del asistente disminuye la fricción con órganos de control y ciudadanía.

6) Selección de herramientas y arquitectura (criterios prácticos)

• Cumplimiento y soberanía de datos: ¿cloud pública, híbrida u on-prem? Evalúe ENS, cifrado en tránsito/descanso, aislamiento de tenant y logs exportables.
• Explicabilidad y auditoría: capacidad de mostrar fuentes y razonamiento (en lo posible), registrar eventos y versionar modelos/datasets.
• Accesibilidad y multicanal: cumplimiento EN 301 549, soporte para teclado/lectores, contraste, multilingüe, y canales como web, app y WhatsApp.
• Integración y costos: conectores con CMS/documentales, RPA para trámites, costes por consulta y escalabilidad.
• Opciones típicas en el sector: asistentes como IBM watsonx Assistant, Vertex AI Search/Conversational, Copilot/Power Platform; búsqueda semántica con Elastic; y open source (Rasa, Haystack) para mayor control.

Monitoreo de visibilidad en “buscadores de IA” y reputación pública:

• Con plataformas especializadas como Geneo, un organismo puede monitorizar su presencia, enlaces citados y menciones en respuestas multi-plataforma (ChatGPT, Perplexity, Google AI Overview), aplicar análisis de sentimiento y recibir sugerencias de mejora de contenidos. Esto facilita cerrar el ciclo entre contenido oficial, respuestas generadas por IA y percepción ciudadana, en línea con el enfoque de mejora continua.

7) Gestión de riesgos: límites, mitigaciones y cuándo no usar IA

• Privacidad y datos personales: minimización, anonimización/pseudonimización, base legal clara y EIPD/DPIA; ver AEPD 2025 – actividad y guías EIPD. Evite usar IA para decidir automáticamente sobre derechos sin base legal y salvaguardas.
• Sesgos y equidad: calidad y representatividad de datos (AI Act art. 10), pruebas con colectivos diversos y auditorías externas, siguiendo también las recomendaciones de la guía OGP (2021).
• Seguridad y robustez: controles ENS y requisitos del AI Act art. 15; pruebas adversariales y plan de respuesta a incidentes con logs (art. 12) del texto oficial del AI Act 2024.
• Alucinaciones y errores: RAG con fuentes oficiales, umbrales de confianza, disclaimers y derivación a humano; reporte de errores para aprendizaje.
• Dependencia de proveedor: arquitectura modular, estándares abiertos, y cláusulas contractuales de portabilidad de datos/modelos.
• Cuándo no usar IA: si no hay base legal clara, si el error potencial afecta derechos fundamentales sin mitigaciones suficientes, o si el canal exacerba la brecha digital sin alternativas accesibles.

8) Checklist accionable (copiable)

Gobernanza y cumplimiento (antes de desplegar)

• [ ] Clasificación del caso de uso y alcance; ¿alto riesgo? referencia a AI Act.
• [ ] EIPD/DPIA completada; bases legales y minimización definidas.
• [ ] Documentación técnica (Anexo IV) y plan de logs (art. 12) preparados.
• [ ] Comité ético y responsable del sistema designados.
• [ ] Ficha pública del algoritmo redactada (propósito, datos, base legal, riesgos, mitigaciones, métricas, contacto).
• [ ] Plan de accesibilidad EN 301 549 y declaración inicial.
• [ ] Plan de ciberseguridad ENS, pruebas, y respuesta a incidentes.

Diseño e implementación

• [ ] Arquitectura RAG con citación de fuentes oficiales y umbral de confianza.
• [ ] Supervisión humana y derivación a agente; instrucciones claras al usuario.
• [ ] Pruebas con usuarios (incl. discapacidad); ajustes de lectura fácil y lenguaje claro.
• [ ] Instrumentación de métricas: FCR, CSAT, accesibilidad, derivaciones, sesgos.
• [ ] Etiquetado del contenido generado por IA y avisos de límites.

Operación y mejora continua

• [ ] Publicación/actualización trimestral de ficha del algoritmo y declaración de accesibilidad.
• [ ] Auditorías periódicas de accesibilidad, privacidad y seguridad.
• [ ] Reentrenos controlados y control de cambios documentado.
• [ ] Revisión de métricas y reporte público resumido.
• [ ] Monitorización de visibilidad en buscadores de IA y optimización de contenidos.

9) Plantilla breve de “ficha pública del algoritmo”

• Propósito y ámbito: qué problema resuelve y para quién.
• Base legal: normativa y artículos aplicables.
• Datos tratados: fuentes, categorías, retención y minimización.
• Funcionamiento: arquitectura (p. ej., RAG), fuentes citadas y umbrales.
• Riesgos identificados: privacidad, sesgos, seguridad.
• Salvaguardas: supervisión humana, accesibilidad, ciberseguridad.
• Métricas y resultados: FCR, CSAT, incidencia de sesgos, accesibilidad.
• Responsables y contacto: unidad titular, DPO, canal de reclamaciones.

10) Conclusión y próximo paso

La búsqueda y atención con IA puede aumentar la transparencia si la construimos sobre registros públicos, accesibilidad verificable, documentación rigurosa y medición constante. Los casos españoles y latinoamericanos muestran que funciona cuando hay supervisión humana, citación de fuentes oficiales y ciclos de mejora.

Si su organismo quiere además entender cómo se ve y se cita su información en las principales superficies de búsqueda con IA, pruebe un piloto de monitorización con una plataforma especializada como Geneo: seguimiento de menciones y enlaces citados en ChatGPT, Perplexity y Google AI Overview, análisis de sentimiento y recomendaciones para mejorar la encontrabilidad y claridad de sus contenidos oficiales.

—

Referencias sugeridas y citadas en el texto: AI Act (UE, 2024); Comisión Europea (2024); AEPD (2025); RD 1112/2018 y EN 301 549; NIST AI RMF (2023); OGP (2021); AEAT (2023–2025); Seguridad Social (2023); Países Bajos/Ámsterdam/Helsinki (2019–2024); Buenos Aires (2025).