Paquete de evidencias

Un paquete de evidencias es una colección estructurada y verificable de documentación, logs de ejecución, registros de aprobación y artefactos de integridad que, en conjunto, demuestran la conformidad de un sistema de IA con requisitos regulatorios. A diferencia de documentación estática que describe procesos previstos, un paquete de evidencias contiene prueba de que esos procesos ocurrieron: rastros de auditoría que muestran aprobaciones humanas, logs que demuestran la aplicación de políticas y checksums que permiten verificar que los registros no han sido manipulados.

El EU AI Act exige no solo implementar medidas, sino poder demostrarlas a autoridades de vigilancia del mercado y auditores. El artículo 18 obliga a proveedores a mantener documentación y logs a disposición de autoridades competentes durante diez años. El artículo 26 obliga a entidades usuarias a conservar logs generados automáticamente. A lo largo del reglamento, el énfasis está en una conformidad demostrable y documentada, no en afirmaciones. Cuando llegan los auditores, piden evidencia: ¿puede probar que su sistema de gestión de riesgos opera? muestre el rastro de auditoría. ¿puede demostrar supervisión humana? muestre los registros de aprobación. ¿puede verificar que no se alteraron? muestre las pruebas de integridad.

Un paquete completo suele incluir: documentación técnica del Anexo IV, rastros de auditoría, registros de aprobación (aprobaciones, rechazos, escalados y excepciones), informes de monitorización (métricas, deriva e incidentes) y artefactos de integridad (manifiestos con hashes criptográficos).

La diferencia clave entre documentación de cumplimiento y paquete de evidencias es la verificabilidad. Un paquete de evidencias incorpora mecanismos de verificación de integridad: manifiestos con hashes, marcas de tiempo de fuentes confiables y pruebas de almacenamiento append-only, permitiendo que un auditor confirme de forma independiente que la evidencia no se modificó después.