Govern, Risc i Compliment (GRC) de la IA a entitats públiques i privades
DIA I HORA
9 i 10 de juny, de 9h30 a 13h30
OBJECTIUS
– Donar una visió directiva clara de què implica adoptar IA (i IA generativa) i com decidir usos amb criteri.
– Entendre les obligacions i impactes normatius per anticipar riscos legals i reputacionals.
– Aprendre a identificar i gestionar riscos clau (biaix, transparència, dades, seguretat) amb criteris de tolerància al risc.
– Definir un model de governança i controls mínims aplicables a l’organització (rols, processos, evidències, monitoratge).
– Sortir amb un esquema pràctic per aprovar i controlar casos d’ús d’IA dins l’àmbit de responsabilitat.
DIRIGIT A:
Administradors, directius i comandaments intermedis d’entitats privades i públiques de tota mida i sector que vulguin controlar l’ús de la intel·ligència artificial en el seu àmbit de responsabilitat.
METODOLOGIA:
– Enfocament molt pràctic i orientat a la presa de decisions: de la teoria essencial a l’aplicació immediata.
– Sessions estructurades amb marcs i bones pràctiques, aterrades a exemples i situacions reals del sector públic i privat.
– Taller guiat per treballar un cas d’ús i definir riscos, controls, rols i criteris “go/no-go”.
– Ús de checklists i plantilles reutilitzables per estandarditzar l’avaluació i el control de la IA.
– Tancament amb un resultat accionable que es pugui replicar internament per a futurs projectes d’IA.
FORMADOR/S:
Miguel Ángel Rodriguez (Parlarà en castellà): Stanford University – DeepLearningAI / Supervised Machine Learning: Regression and Classification, AI Specialist; Universidad Carlos III de Madrid – Màster en Propietat Intel·ctual i Dret; Jurista a PI Advocats.
Jaume Diez: Delegat de protecció de dades acreditat per l’Autoritat Espanyola de Protecció de Dades (AEPD); DPD a Win2Win amb més de 7 anys d’experiència en el sector.
Andrés López: Delegat de protecció de dades acreditat per l’AEPD; Enginyer de solucions de privacitat acreditat per ISACA; Enginyer Superior de Telecomunicacions acreditat per l’ETSIT-UPM; Master en telecomunicacions acreditat per l’ETSIT-UPM; Project Manager Professional acreditat pel Project Management Institute; Màster en màrqueting per les telecomunicacions acreditat per INSEAD; i Administrador únic de Win2Win i DPD de diverses entitats públiques i privades d’Andorra, Suïssa, Espanya i EAU.
PROGRAMA:
1. Fonaments pràctics d’IA per a decisors
Definicions operatives d’IA (sistemes que infereixen/decideixen/recomanen) i límits reals d’ús
Tipologies bàsiques: IA simbòlica (regles) vs IA estadística (ML)
Cicle de vida (visió directiva): disseny → dades → entrenament → validació/proves → desplegament → monitoratge → retirada
Checklist de preguntes clau per aprovar un cas d’ús (què decideix, amb quines dades, amb quins impactes)
2. Marc normatiu i obligacions executives
AI Act (UE): enfocament basat en risc (prohibicions, alt risc, transparència, GPAI) i implicacions de governança.
Protecció de dades: RGPD i LQPD (principis, bases de licitud, decisions automatitzades, AIPD/DPIA, encàrrecs i transferències).
Ciberseguretat i resiliència: NIS2 i marcs NIST; DORA (quan aplica).
Propietat intel·lectual i drets d’autor: dades d’entrenament, outputs, llicències, secrets empresarials.
3. Riscos GRC associats a IA i criteris de tolerància al risc
Biaix i discriminació: fonts, efectes i controls de mitigació.
Opacitat/explicabilitat: traçabilitat, evidència i auditories.
Errors i “al·lucinacions” (IA generativa): riscos operacionals i de qualitat.
Risc reputacional: continguts ofensius, fuga d’informació, crisis comunicacionals.
Risc de seguretat: prompt injection, data leakage, inversió del model.
Risc legal: incompliments reguladors, responsabilitat civil/administrativa i contractual.
4. Estàndards i sistemes de gestió per governar IA
ISO/IEC 23894 i NIST AI RMF: com estructuren la gestió del risc d’IA.
ISO/IEC 42001: components d’un sistema de gestió d’IA (política, rols, competència, inventari, control de canvis, monitoratge i millora).
Integració amb ISO/IEC 27001/27002 (seguretat) i ISO 27701 (privacitat).
PDCA i millora contínua: com portar-ho a comitès, KPI/KRI i revisió periòdica.
5. Privacitat, dades i tercers: controls mínims exigibles
Dades personals vs anonimitzades/pseudonimitzades; inferències i dades derivades (scores).
Categories especials i dades d’alt risc: condicions, salvaguardes i limitacions en entrenament/inputs.
AIPD/DPIA: quan escau (alt risc, perfilat, gran escala, categories especials) i criteris de “go/no-go”.
Transparència i informació per capes; automatització i perfils; gestió de drets.
Encàrrec de tractament (DPA): instruccions, subencarregats, ubicació, seguretat, assistència i supressió.
Gestió de tercers i cadena de responsabilitat (subencarregats).
6. Arquitectura, seguretat i operació responsable
RAG (recuperació + generació): riscos d’accés, filtratge i prompt injection; bones pràctiques de disseny.
Ciberseguretat aplicada a IA: threat modeling i controls (IAM, DLP, secrets management, logging segur).
Avaluacions d’impacte en IA (més enllà de DPIA): estructura, riscos, mesures, i consulta prèvia si risc no mitigable.
Monitoratge postdesplegament: drift, biaix, errors; llindars d’actuació i govern del canvi.
Incidents i continuïtat: detecció, contenció, erradicació, recuperació, lliçons apreses; BCP/DRP.
Model de tres línies de defensa: operació, risc/compliance, auditoria (i què s’espera de direcció).
7. Taller integrat (inclòs dins els mòduls 3–6)
Cas pràctic per equips (sector públic/privat): decisió d’aprovació d’un cas d’ús, mapa de riscos, controls mínims, rols i evidències requerides.
Sortida: “pack” d’aprovació (1 pàgina): finalitat, dades, base legal, riscos, mesures, governança i monitoratge.
MATERIAL NECESSARI:
MÉS INFORMACIÓ: