En Argentina la Sindicatura General de la Nación mediante la Resolución 197/2026 del 22 de junio 2026 aprobó la “Guía de Controles Inteligencia Artificial – SIGEN”, la cual será de aplicación por todo el Sector Público Nacional.
OBJETIVOS
La guía establece un enfoque basado en riesgos para regular y supervisar la adopción de la Inteligencia Artificial (IA) en el Sector Público Nacional.
Su propósito es alinear el uso de estas tecnologías con los objetivos estratégicos de las instituciones, garantizando el cumplimiento normativo, la integridad, la transparencia y la seguridad.
El documento enfatiza que la incorporación de IA no traslada la responsabilidad a los sistemas automatizados.
Las decisiones y sus impactos siguen siendo competencia exclusiva de los funcionarios y las estructuras organizacionales.
Como marco de referencia para las auditorías, se toman las Normas Generales de Control Interno (Res. SIGEN N° 172/2014) y las Normas de Control Interno para TI (Res. SIGEN N° 87/2022), además de los principios de la OCDE y la UNESCO.
La guía clasifica el uso de la IA en dos grandes modalidades de control según se trate de uso individual o uso institucional.
CONTROL DEL USO INDIVIDUAL DE HERRAMIENTAS DE IA GENERATIVA
Se refiere al uso exploratorio o complementario de herramientas públicas o bajo licencia (como ChatGPT, Copilot, Gemini o Dalle) por parte de los agentes públicos, actuando como soporte individual sin integrarse formalmente a los sistemas de la institución.
El uso de IA debe estar definido por una política formal, aprobado por el área informática e intervenido por el área legal para analizar los términos y condiciones de las plataformas.
Esto evita brechas de ciberseguridad, el uso de herramientas no autorizadas, inversiones improductivas y la aceptación de cláusulas legales incompatibles (como la cesión de derechos o el uso comercial de datos públicos).
Si una tarea se realiza con asistencia de IA, debe registrarse formalmente en el procedimiento documentado, siendo una buena práctica informarlo en el resultado final. Las decisiones relevantes asistidas por IA requieren control y revisión humana obligatoria. Se debe capacitar al personal para detectar sesgos, alucinaciones y plagios, evitando la pérdida de transparencia o el cuestionamiento de actos administrativos.
Se deben implementar directrices de anonimización y capacitar al personal para impedir la filtración de información no pública, confidencial o protegida por la Ley de Protección de Datos Personales (Ley N° 25.326).
CONTROL DEL USO DE SISTEMAS DE IA INTEGRADOS A PROCESOS ORGANIZACIONALES
Aplica a los sistemas donde la IA se incorpora de forma interna en aplicaciones o decisiones del organismo, requiriendo un entrenamiento previo del algoritmo.
Antes del desarrollo, se debe realizar un análisis de factibilidad y conveniencia, evaluando costos ocultos (infraestructura, mantenimiento) y la disponibilidad de datos de entrenamiento adecuados.
El proyecto debe documentarse en un plan con objetivos, plazos y responsables definidos.
El equipo de desarrollo debe poseer competencias técnicas multidisciplinarias.
Se debe delimitar formalmente que el sistema realiza una ejecución reactiva y que la responsabilidad última es humana.
Es una práctica recomendada que los integrantes firmen un acta de compromiso ético.
Los sistemas deben sujetarse estrictamente a los controles de la Res. SIGEN N° 87/2022 (Punto 7) y deben documentarse todas las fases del ciclo de vida y realizar un análisis de riesgos funcionales y de seguridad previo a la implementación para evitar la alteración o pérdida de datos y los accesos no autorizados.
El conjunto de datos de entrenamiento debe basarse en las buenas prácticas de la ciencia de datos y los principios éticos de la UNESCO, considerando la diversidad de la ciudadanía.
CALIDAD DE LOS DATOS
Se debe documentar y auditar la calidad del set de datos bajo cinco criterios fundamentales:
-Representatividad: Que reflejen razonablemente los casos reales.
-Validez de las fuentes: Orígenes auténticos, autorizados y con control de acceso.
-Integridad y exactitud de la información.
-Protección y confidencialidad: Cumplimiento de políticas de seguridad, enmascaramiento y propiedad intelectual.
-Formato: Datos estructurados, sin errores de forma ni valores vacíos.
ESPACIOS DE PRUEBA Y CAPACITACIÓN
Se deben realizar pruebas previas en entornos seguros antes de la puesta en producción y, posteriormente, controles periódicos para verificar el funcionamiento no degradado de la IA.
Las pruebas deben tener un responsable asignado y estar formalmente documentadas para permitir la rendición de cuentas.
Asimismo capacitar a los operadores públicos para supervisar de forma crítica las respuestas de la IA, previniendo la aceptación automatizada de resultados erróneos, sesgados o con alucinaciones.
Se exigen medidas estrictas de la política de seguridad informática, tales como la separación de ambientes (desarrollo/producción), control de versiones, asignación de permisos, registros de transacciones (logs) y cortafuegos, con aprobación de responsabilidades bien definidas.
CONTROL HUMANO, TRANSPARENCIA Y EXPLICABILIDAD
Las decisiones críticas tomadas con asistencia de IA deben contar con supervisión humana.
El procesamiento algorítmico debe ser transparente y explicable para que los operadores puedan justificar los resultados ante terceros o afectados.
Se propone crear un registro exhaustivo de transacciones (logs) de administradores y usuarios para identificar responsables ante operaciones críticas.
Se deben implementar controles de seguridad continuos durante la fase operativa (backups de código y configuración, parches de seguridad, planes de contingencia y monitoreo).
Asimismo realizar controles periódicos frente a riesgos de “datos envenenados” o técnicas de Adversarial Machine Learning destinadas a desvirtuar el modelo.
Se debe auditar constantemente la validez, integridad, exactitud y representatividad de las fuentes de datos operacionales, documentando explícitamente si el sistema puede nutrirse de fuentes no previstas originalmente.
En contratos de servicios en la nube o proveedores externos, se deben incluir por cláusula las medidas corporativas de seguridad, control y auditabilidad.
Establecer canales formales para registrar y tratar fallas operativas e incidentes éticos, con el fin de corregir el sistema, mitigar riesgos legales y delimitar responsabilidades futuras.
Dr. Alfredo Collosa
