OECD Due Diligence Guidance for Responsible AI: Análisis jurídico e implementación

---

Resumen ejecutivo

La Guía de Debida Diligencia de la OCDE para IA Responsable (OECD Due Diligence Guidance for Responsible AI) proporciona un framework práctico para que empresas en toda la cadena de valor de IA identifiquen, evalúen y gestionen riesgos de impactos adversos.

Estructura fundamental: 6 pasos iterativos que integran responsabilidad empresarial (RBC) con los Principios de IA de la OCDE (2024), alineados con las Directrices para Empresas Multinacionales (MNE Guidelines).

Alcance: Aplicable a proveedores de inputs de IA (Grupo 1), desarrolladores/desplegadores (Grupo 2) y usuarios de sistemas IA (Grupo 3).

Relevancia: Soft law internacional que sirve de puente entre frameworks regulatorios divergentes (RGPD europeo, AI Act, legislación nacional).

---

I. CONTEXTO NORMATIVO Y POSICIONAMIENTO JURÍDICO

A. Marco normativo de referencia

La Guía OECD se articula sobre tres pilares:

1. OECD Guidelines for Multinational Enterprises (MNE Guidelines, 2023)

• Principios voluntarios de RBC (Responsible Business Conduct)
• Aplicables a empresas multinacionales
• Cubren 10 áreas de impacto (DDHH, trabajadores, medioambiente, corrupción, consumidores, fiscalidad, ciencia/tecnología, competencia, disclosure)

2. OECD Recommendation on Artificial Intelligence (AI Principles, 2024)

• 5 principios valores-basados (human-centred, fair, transparent, explainable, robust/secure/safe/accountable)
• 5 recomendaciones a policymakers
• Cobertura integral del ciclo de vida de sistemas IA

3. UN Guiding Principles on Business and Human Rights (UNGPs)

• Alineación con "Protect-Respect-Remedy" framework
• Obligación de due diligence como estándar internacional mínimo
• Acceso a remediación para personas afectadas

Implicación jurídica: La OCDE posiciona la debida diligencia no como obligación legal vinculante (no es jurídicamente vinculante), sino como estándar de responsabilidad que gobiernos promueven activamente. Sin embargo, este soft law está siendo incorporado cada vez más en regulaciones vinculantes (CSDDD europea, regulaciones nacionales).

B. Relación con marcos regulatorios existentes

Marco	Año	Estatus	Relación con OECD
RGPD	2018	Vinculante (UE)	OECD complementa con due diligence integral
EU AI Act	2024	Vinculante (UE)	OECD alinea con requisitos de riesgo alto
EU CSDDD	2024	Vinculante (UE)	Incorpora due diligence OECD en obligaciones de diligencia debida
NIST AI RMF	2023	Voluntario (US)	Parcialmente alineado en gestión de riesgos
ISO/IEC 42001	2023	Estándar técnico	Complementario a OECD para gobernanza técnica

---

II. FRAMEWORK OECD: ANÁLISIS ESTRUCTURAL DE LOS 6 PASOS

PASO 1: Embed RBC into policies and management systems

ISSUE: ¿Cómo debe estructurarse la gobernanza interna para implementar due diligence en IA?

RULE: Estándares OECD + MNE Guidelines

La Guía requiere que empresas:

1. Adopten políticas RBC explícitas que incluyan compromisos con Principios OECD AI
2. Asignen responsabilidades a senior management y board level
3. Integren sistemas de gestión que operacionalicen la due diligence
4. Comuniquen expectativas a business relationships

APPLICATION: Interpretación jurídica crítica

Debilidad identificada: La Guía no especifica qué constituyee "senior management" ni establece umbrales de responsabilidad. En contexto europeo:

• EU CSDDD (Art. 3.1) exige que directivos implementen due diligence
• EU AI Act (Art. 9) requiere risk management systems documentados
• LOPDGDD español exige designación de Data Protection Officer

Recomendación de conformidad: Designar explícitamente:

• Chief AI Officer o equivalente para gobierno de IA
• AI Risk Committee con representación cross-functional (legal, técnica, ética)
• Documentación clara de roles y cadena de responsabilidad

CONCLUSION

El Paso 1 requiere traducción a estructuras concretas de gobernanza. La Guía OECD es relativamente flexible, lo que permite adaptación a diferentes tamaños empresariales, pero crea riesgo de insuficiencia en cumplimiento cuando regulaciones vinculantes requieren medidas más específicas.

---

PASO 2: Identify and assess actual and potential adverse impacts

ISSUE: ¿Qué riesgos debe evaluar una empresa en su cadena de valor de IA y cómo priorizarlos?

RULE: Framework de severidad + likelihood

La Guía utiliza matriz de riesgo clásica:

Severidad = f(Scale, Scope, Irremediability)

• Scale: Gravedad del impacto individual
• Scope: Número de personas afectadas
• Irremediability: Capacidad de restauración post-daño

Likelihood/Foreseeability: Probabilidad estimada basada en:

• Reportes de sistemas similares
• Uso razonablemente previsible e impropio
• Contexto geográfico y político

APPLICATION: Análisis crítico de categorización

Box 2.1 - High-Risk Uses: La Guía identifica usos potencialmente alto riesgo:

• Sistemas de scoring crediticio (Art. 6 AI Act: alto riesgo)
• Monitoreo de trabajadores (intersección RGPD Art. 22)
• Reconocimiento facial en tiempo real (prohibido Art. 5.1.d AI Act)
• Decisiones en migración/asilo (Art. 6 + Anexo III AI Act)

Tensión identificada: ¿Qué ocurre cuando la Guía OECD (soft law) y AI Act europeo (hard law) establecen diferentes niveles de riesgo?

Ejemplo: Un sistema de análisis de riesgos de crédito que utiliza IA general:

• Según OECD: Podría ser "high-risk" basado en severidad potencial
• Según AI Act: Definitivamente "high-risk" (Anexo III)
• Según RGPD: Requiere DPIA por Art. 35 si procesa datos sensibles

La Guía OECD no resuelve estas tensiones. Una empresa debe cumplir con el framework más exigente.

CONCLUSION

El Paso 2 es conceptualmente sólido pero requiere complementarse con:

1. Análisis regulatorio específico de jurisdicción
2. Consulta con expertos de dominio (no solo RBC)
3. Mecanismos de escalado claro cuando hay incertidumbre

---

PASO 3: Cease, prevent and mitigate adverse impacts

ISSUE: ¿Qué acciones concretas debe tomar una empresa cuando identifica riesgos?

RULE: Matriz de responsabilidad según nivel de implicación

La Guía establece tres categorías de responsabilidad (Boxes 2.4-2.5):

Categoría	Definición	Acciones requeridas
CAUSED	Empresa causa directamente el impacto	Cesar, remediar
CONTRIBUTED	Empresa sustancialmente facilita/incentiva el impacto	Cesar contribución, mitigar, leverage con business relationships
DIRECTLY LINKED	Empresa vinculada a través de business relationship	Usar leverage para prevenir/mitigar

Ejemplo práctico (Scenario Box 2.5):

Company X desarrolla sistema de vigilancia de trabajadores. Company A lo usa para detectar y despedir activistas sindicales.

• Implicación de Company X: CONTRIBUTED si:

  • El sistema fue diseñado para ese uso
  • Company X conocía el riesgo
  • No implementó salvaguardas adecuadas

• Si Company X hubiera hecho due diligence: Podría haber evitado la contribución mediante:

  • Cláusulas contractuales restrictivas
  • Restricción de acceso a clientes high-risk
  • Auditoría de uso post-deployment

APPLICATION: Medidas concretas para mitigación

Para Grupo 2 (Desarrolladores/Desplegadores):

Box 2.8-2.13 proporciona acciones técnicas concretas:

1. Transparency & Explainability:

   • Model cards, data sheets
   • Disclosure de limitaciones
   • Mecanismos de apelación

2. Security & Robustness:

   • Red teaming (pruebas de adversariedad)
   • Monitoreo de drift (cambios no autorizados)
   • Protocolos de suspensión (Box 2.13)

3. Deployment Safeguards:

   • Gradient of release (closed → open)
   • Rate limiting, content filters
   • KYC (Know Your Customer) checks

Tensión jurídica identificada: ¿Puede una empresa negarse a servir a ciertos clientes basado en riesgo potencial de mal uso?

• Según OECD: Sí, es parte del due diligence ("use-based restrictions")
• Según derecho competencia: Potencial violación de competition law
• Según RGPD: No es discriminación si se basa en riesgo objetivo

Recomendación jurídica: Documentar explícitamente el criterio de riesgo utilizado (objective, non-discriminatory, proportionate).

CONCLUSION

El Paso 3 proporciona herramientas útiles pero requiere análisis caso-por-caso de:

1. Capacidad técnica para implementar medidas
2. Proporcionality respecto a riesgos identificados
3. Compatibilidad con other legal obligations (competition, consumer protection)

---

PASO 4: Track implementation and results

ISSUE: ¿Cómo debe una empresa monitorear la efectividad de sus medidas de due diligence?

RULE: Monitoreo continuo + Auditorías periódicas

La Guía requiere:

• Métricas cuantificables de desempeño del sistema
• Documentación de test sets, evaluaciones, validaciones (TEVV)
• Reporting de incidents a stakeholders
• Auditorías internas/externas periódicas

APPLICATION: Implementación práctica

Desafío identificado: La Guía no proporciona métricas específicas. En contexto europeo:

• EU AI Act, Art. 72: Post-market monitoring obligatorio
• ISO/IEC 42001, Annex A.6: Especifica métricas de gobernanza IA
• NIST RMF: Proporciona ejemplos de métricas de riesgo

Recomendación: Desarrollar dashboard de conformidad con:

1. KPIs de seguridad/robustez (e.g., adversarial robustness score)
2. KPIs de fairness (e.g., disparate impact analysis)
3. KPIs de gobernanza (e.g., % incidents identificados vs. total)

CONCLUSION

Paso 4 es crítico pero requiere complementación técnica. La Guía OECD proporciona marco conceptual; implementación requiere expertise en ML monitoring y governance.

---

PASO 5: Communicate actions to address impacts

ISSUE: ¿Qué información debe comunicar públicamente una empresa sobre due diligence en IA?

RULE: Transparency requirements (OECD + AI Act)

OECD requiere disclosure de:

• Políticas RBC y comitimientos
• Procesos de identificación de riesgos
• Criterios de priorización
• Acciones tomadas/planeadas
• Timelines y benchmarks de mejora
• Capacidades y limitaciones del sistema

EU AI Act (Art. 13, 53, 55): Requiere información técnica específica:

• Propósito e información sobre training
• Decisiones significativas en desarrollo
• Información sobre incident reporting

APPLICATION: Tensión OECD vs. AI Act

La OECD enfatiza "commercially sensitive information" puede ser protegida (con confidentiality concerns). Pero EU AI Act requiere disclosure "sufficient detail" para que reguladores verifiquen cumplimiento.

Riesgo de discordancia: Una empresa podría argumentar que no puede divulgar ciertos detalles técnicos por secreto comercial, pero esto podría violar AI Act.

Solución: Disclosure escalonado:

• Público: Políticas, principios, criterios de riesgo
• Confidencial (a reguladores/auditores): Detalles técnicos protegidos bajo NDA

CONCLUSION

Paso 5 requiere balance entre transparencia (OECD) y protección de secretos comerciales. La práctica emergente es disclosure a través de trusted third parties (auditores) más que publicación completa.

---

PASO 6: Provide for or cooperate in remediation

ISSUE: ¿Cómo remediar daños causados o contribuidos por sistemas de IA?

RULE: Mecanismos múltiples de remediación (Box 2.17)

La Guía identifica opciones:

Tipo	Descripción	Ejemplo
Restitution	Restaurar situación previa al daño	Si IA discriminó en crédito: aprobación + intereses
Compensation	Compensación financiera	Daños económicos cuantificables
Rehabilitation	Servicios de apoyo	Counseling, servicios legales
Satisfaction	Reconocimiento de derechos violados	Disculpa pública, cambio de políticas
Non-repetition	Garantías futuras	Decommissioning del sistema, cambios sistémicos

APPLICATION: Análisis de viabilidad jurídica

Ejemplo: Sistema de scoring crediticio discriminatorio

Impacto identificado: Mujeres sistemáticamente rechazan (disparate impact)

Opción 1: Restitution

• Juridicamente viable en teoría
• Prácticamente compleja: ¿Cuántas mujeres, qué período?
• Requiere identificación y contacto

Opción 2: Compensation

• Europeo: Marco claro bajo RGPD + responsabilidad civil
• Cuantificación: ¿Loss of opportunity? ¿Intereses?
• CJUE jurisprudencia en discriminación (Cf. Defrenne v. Sabena)

Opción 3: Satisfaction + Non-repetition

• Requirement en RGPD Art. 82: Reparación "efectiva"
• Implica cambio sistémico del algoritmo
• Monitoreo post-remediación

Desafío jurídico: ¿Quién carga con la responsabilidad?

• Proveedor del sistema: Causation/Contribution
• Usuario de IA (e.g., banco): Responsibility para medidas técnicas
• Ambos: Co-responsabilidad (Cf. EU CSDDD)

CONCLUSION

Paso 6 es donde OECD soft law debe conectar con frameworks legales vinculantes. La Guía reconoce mecanismos múltiples pero no establece prioridades o criterios de suficiencia de remediación. Esto requiere análisis caso-por-caso bajo legislación aplicable.

---

III. APLICABILIDAD A DIFERENTES ACTORES (GRUPOS 1-3)

Grupo 1: Proveedores de Inputs de IA

Incluye:

• Proveedores de datos/anotación
• Proveedores de infraestructura (cloud, compute)
• Fabricantes de hardware (semiconductores)
• Proveedores de capital (inversores VC)

Responsabilidades específicas:

1. Data providers:

   • Due diligence sobre origen y privacidad de datos
   • Verificar que datos fueron obtenidos legalmente
   • Risk assessment sobre sesgos en datasets

2. Compute/Cloud providers:

   • Seguridad y disponibilidad de infraestructura
   • Compliance con RGPD (Data Processing Agreements)
   • No facilitación de usos prohibidos

3. Inversores:

   • Portfolio risk assessment
   • Engagement bilateral con investees
   • Escalation a divesting si RBC inadequate (Box 2.16)

Conformidad RGPD/AI Act:

• Data providers = procesadores de datos (RGPD Art. 4.8)
• Compute providers = sub-procesadores (RGPD Art. 28)
• Responsabilidad limitada por cadena de control

Grupo 2: Desarrolladores y Desplegadores

Responsabilidades máximas:

1. Ciclo de vida completo (design → deployment → monitoring)
2. Implementación de todas las medidas de Paso 3
3. Post-market monitoring permanente
4. Responsabilidad por misuso previsible

Conformidad AI Act (más exigente):

• Documentación exhaustiva de gestión de riesgos
• DPIA antes de deployment
• Conformidad assessment (Art. 43-48)
• Registro en bases de datos nacionales

Vulnerabilidad jurídica:

• Responsabilidad malpractice amplia
• Liability para daños causados "foreseeable"
• Regulatory audit risk (AEPD, autoridades AI nacionales)

Grupo 3: Usuarios de Sistemas de IA

Responsabilidades moderadas pero crecientes:

1. Evaluar riesgos de sistemas que usan
2. Implementar safeguards en workplace (si aplica)
3. Engagement con workers sobre monitoreo
4. Responsibility para misuso

Ejemplo práctico: Si empresa financiera usa sistema de scoring de IA:

• Due diligence sobre sistema (¿Grupo 2 cumplió?)
• Implementación de controles sobre decisiones (human oversight)
• Comunicación a clientes sobre uso de IA
• Mecanismos de apelación

---

IV. CONFORMIDAD CON MARCOS REGULATORIOS CLAVE

A. RGPD (2018)

Requerimiento RGPD	Relación con OECD	Gap
Art. 5: Principios (licit., transparency, minimización)	Alineado	Ninguno
Art. 22: Decisiones automatizadas	Complementario	OECD no especifica qué es "decisión única"
Art. 35: DPIA	Equivalente a riesgo assessment	OECD más amplio (no solo privacidad)
Art. 28: DPA	Cubierto por Paso 1 (management systems)	Implementación específica requerida

Recomendación de conformidad integral:

• Ejecutar DPIA (RGPD) dentro del framework OECD
• Due diligence OECD es contexto más amplio para DPIA

B. EU AI Act (2024)

Requerimiento AI Act	Relación con OECD	Compatibilidad
Art. 6-7: High-risk classification	Equiv. a Step 2 risk assessment	✅ Compatible
Art. 9: Risk management system	Equiv. a Paso 1-4	✅ Compatible
Art. 13: Transparency	Equiv. a Paso 5	✅ Compatible
Art. 43-48: Conformity assessment	Complementario	⚠️ OECD no especifica auditoría
Art. 55: Supervisión post-market	Equiv. a Paso 4	✅ Compatible
Art. 5: Sistemas prohibidos	Parcialmente cubierto	❌ OECD no trata prohibiciones

Análisis crítico: El AI Act europeo es más prescriptivo que OECD. Empresa que cumple completamente AI Act cumplirá la mayoría de OECD, pero no necesariamente a la inversa.

Recomendación para empresas europeas:

• Usar AI Act como "minimum standard"
• OECD como "best practices framework" adicional
• Particularmente importante para Paso 6 (remediación)

C. LOPDGDD Español (2018, reformado 2023)

Articulo	Requerimiento	Relación OECD
Art. 5-7	Derechos de personas afectadas	Cubierto por Paso 6 (remediation)
Art. 17	Evaluación de impacto	Equiv. a Step 2
Art. 35	Delegado de protección de datos	Complementario con Due Diligence Officer

---

V. DESAFÍOS CRÍTICOS DE IMPLEMENTACIÓN

1. Proporcionality vs. Standardization

Problema: La Guía enfatiza que due diligence debe ser "proportionate" al tamaño empresarial y severidad de riesgo (Box 2.6). Pero:

• SMEs tienen recursos limitados
• Regulaciones europeas requieren estándares mínimos sin flexibilidad
• ¿Cómo conciliar?

Solución emergente: Collaborative approaches

• Industry coalitions para shared standards
• Collective risk assessments
• OECD explícitamente reconoce esto (Paso 1.3, business relationships)

2. Accountability Gap en Supply Chains Complejas

Problema: En sistemas de IA generativa:

• Múltiples proveedores de datos
• Terceros hacen fine-tuning
• Usuarios finales hacen adaptaciones

¿Quién es responsable de qué?

La Guía responde parcialmente:

• Involucramiento = responsabilidad (Boxes 2.4-2.5)
• Pero en práctica, causa/contribución es difícil de probar

Recomendación: Documentación exhaustiva de contribuciones en cada etapa del ciclo de vida.

3. Remediación en Contextos Cross-Border

Problema: Un daño causado por IA en EU usuario por empresa US con datos de terceros países.

Bajo OECD:

• Responsabilidad distribuida
• Leverage approach (persuadir vs. obligar)

Bajo RGPD + AI Act:

• Jurisdicción territorial clara
• Pero enforcement complejo si actores internacionales

Solución: Mecanismos de dispute resolution:

• Arbitraje internacional
• National Contact Points (OECD) como mediadores
• Regulatory authorities cooperation

4. General-Purpose AI Models (GAI)

Problema único: Modelos base pueden ser usados para cientos de aplicaciones, muchas impredecibles en entrenamiento.

Posición OECD:

• Due diligence debe considerar "reasonably foreseeable" uses and misuses
• Incluye usos potencialmente adversos
• Requiere safeguards en deployment

Tensión práctica:

• ¿Cuán específica debe ser la evaluación de riesgos?
• ¿Quién carga con responsabilidad por usos no contemplados?

Recomendación:

• Developer de GAI: Due diligence sobre riesgos inherentes
• Deployer: Due diligence sobre aplicación específica
• Shared responsibility model

---

VI. GUÍA PRÁCTICA DE IMPLEMENTACIÓN POR FASE

Fase 1: Diagnóstico inicial (Semanas 1-4)

Checklist:

• Mapear todos los sistemas de IA usados/desarrollados/suministrados
• Identificar qué "Grupo" aplica (1, 2, o 3)
• Revisar políticas RBC existentes
• Identificar gaps frente a Principios OCDE AI
• Asignar responsabilidades de governance

Recursos necesarios:

• Legal review (especialista RBC)
• Technical audit (ML/AI expertise)
• Stakeholder consultation plan

Fase 2: Desarrollo de políticas (Semanas 5-12)

Acciones clave (Paso 1):

1. Adoptar/actualizar AI Principles statement
2. Documentar risk governance framework
3. Establecer AI Risk Committee
4. Desarrollar escalation procedures

Documentos a producir:

• AI Governance Policy
• Risk Management Framework
• Business Relationship Standards
• Stakeholder Engagement Plan

Fase 3: Risk Assessment & Scoping (Semanas 13-24)

Acciones clave (Paso 2):

1. Ejecutar risk assessment para cada sistema
2. Categorizar como high/medium/low risk
3. Priorizar basado en severidad + likelihood
4. Documentar criteria de priorización

Deliverables:

• Risk Register (todas las IA)
• Risk prioritization matrix
• Roadmap de acciones

Fase 4: Mitigation Planning (Semanas 25-36)

Acciones clave (Paso 3):

1. Para high-risk systems: Develop mitigation plans
2. Identificar medidas técnicas requeridas
3. Implementar controles de deployment
4. Establecer monitoring protocols

Por tipo de sistema:

• Data: Data governance, quality reviews
• Model: Bias audits, robustness testing
• Deployment: Access controls, usage restrictions
• Operation: Incident monitoring, feedback loops

Fase 5: Monitoring & Reporting (Ongoing)

Acciones clave (Pasos 4-5):

1. Establecer KPIs y dashboards
2. Ejecutar auditorías periódicas
3. Documentar incidents
4. Comunicar progreso internamente
5. Reportar públicamente (transparency)

Cadencia recomendada:

• Quarterly: Risk reviews
• Semi-annual: Audit assessments
• Annual: Public disclosure

Fase 6: Remediation Mechanisms (As needed, Paso 6)

1. Establecer grievance mechanisms
2. Definir escalation procedures
3. Desarrollar remediation playbooks
4. Entrenar staff sobre opciones de remediación

---

VII. CONFORMIDAD Y VERIFICACIÓN

Checklist de Implementación Completa

PASO 1: Governance

• Policies documentadas y comunicadas
• Responsible parties identificados
• Management systems integrados
• Expectations comunicadas a business relationships

PASO 2: Assessment

• Risk register completo
• Riesgos categorizados por severidad/likelihood
• Priorización documentada con criterios objetivos
• Stakeholder input incorporado

PASO 3: Mitigation

• Mitigation plans para high-risk systems
• Medidas técnicas especificadas
• Deployment safeguards implementados
• Leverage strategy para business relationships definida

PASO 4: Monitoring

• KPIs establecidos
• Audit schedule definido
• Incident response procedures documentados
• Reporting mechanism operativo

PASO 5: Communication

• Public disclosure of policies
• Transparency reports publicados
• Stakeholder engagement documented
• Incident communication protocol establecido

PASO 6: Remediation

• Grievance mechanisms operativos
• Remediation procedures documentadas
• Coordination con legal/compliance team
• Tracking de remediation cases

Indicadores de Madurez OECD Compliance

Nivel	Caracterización	Evidencia
1. Ad-hoc	Políticas informales, sin governance	Documentación limitada
2. Developing	Políticas formales, governance parcial	Algunos sistemas evaluados
3. Standardized	Procesos definidos, governance clara	Evaluaciones regulares
4. Optimized	Continuous improvement, integration sistémica	Audits anuales, public reporting

---

VIII. CONFLICTOS Y DISCORDANCIAS CON OTROS MARCOS

Tabla Comparativa: OECD vs. Regulaciones Vinculantes

Aspecto	OECD	RGPD	AI Act	Resolución
Scope	Todos los riesgos RBC	Solo privacidad/datos	Solo AI alto riesgo	Aplicar todas; OECD es más amplio
Binding	Voluntario (soft law)	Vinculante	Vinculante	Cumplir vinculantes como mínimo
Assessment method	Severity + Likelihood	Severity alone	Risk (probability × severity)	Usar método más riguroso
Oversight	Self-regulation	Regulatory authority	National authorities + Regulators	Asumir regulatory oversight
Remediation	Flexible	Damages + compensation	Penalty + prohibition	Remediation más amplia

Conclusión: Para empresas europeas, cumplir AI Act y RGPD generalmente implica cumplir OECD, pero no necesariamente a la inversa. Siempre aplicar estándar más exigente.

---

IX. CONCLUSIONES Y RECOMENDACIONES

Fortalezas de la Guía OECD

1. Flexibilidad: Permite adaptación a diferentes contextos y tamaños empresariales
2. Holismo: Cubre cadena de valor completa, no solo datos/privacidad
3. Practicidad: Proporciona ejemplos concretos y playbooks
4. Alineación: Integra múltiples marcos (RGPD, AI Act, UNGPs)
5. Stakeholder-centric: Enfatiza engagement con personas afectadas

Limitaciones identificadas

1. Falta de prescripción: No especifica qué constituye "mitigation suficiente"
2. Ambigüedad de responsabilidad: En cadenas complejas, accountability puede diluirse
3. Soft law sin enforcement: Cumplimiento depende de buena fe empresarial
4. Brecha GAI: Limitadas orientaciones para modelos de propósito general
5. Remediación subdesarrollada: Paso 6 es menos detallado que otros pasos

Recomendaciones para Implementación

Para desarrolladores/desplegadores de IA (Grupo 2):

1. Adoptar OECD como framework fundacional pero complementar con requisitos AI Act/RGPD
2. Establecer governance formal con responsabilidades claras
3. Ejecutar risk assessments completos no solo de privacidad sino de todos los principios OECD
4. Documentar exhaustivamente todas las decisiones de mitigation
5. Implementar post-market monitoring permanente con KPIs específicos
6. Establecer remediation mechanisms antes de que surjan daños

Para proveedores de inputs (Grupo 1):

1. Implementar due diligence proporcional al rol en cadena de valor
2. Proporcionar información transparente a business relationships sobre riesgos conocidos
3. Colaborar activamente en risk assessment de downstream actors
4. Monitorear evolución regulatoria en múltiples jurisdicciones

Para usuarios de IA (Grupo 3):

1. Procurar systems de proveedores comprometidos con OECD
2. Ejecutar risk assessment específico sobre aplicaciones propias
3. Implementar controles sobre decisiones (human oversight)
4. Comunicar a stakeholders sobre uso de IA

Para reguladores:

1. La Guía OECD proporciona base sólida para harmonización internacional
2. Recomendación: Incorporar explícitamente en regulaciones nacionales (e.g., reforma LOPDGDD)
3. Establecer mecanismo de supervisión coordinada (e.g., red de autoridades AI)

---

REFERENCIAS Y RECURSOS

Documentos Primarios

• OECD (2026). OECD Due Diligence Guidance for Responsible AI. DOI: https://doi.org/10.1787/41671712-en

• OECD (2023). Guidelines for Multinational Enterprises on Responsible Business Conduct. https://doi.org/10.1787/81f92357-en

• OECD (2024). Recommendation of the Council on Artificial Intelligence. https://legalinstruments.oecd.org/en/instruments/oecd-legal-0449

Marcos Regulatorios Relacionados

• EU (2024). Regulation (EU) 2024/1689 on Artificial Intelligence (AI Act). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

• EU (2018). RGPD - Reglamento (UE) 2016/679. https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016R0679

• NIST (2023). AI Risk Management Framework 1.0. https://doi.org/10.6028/NIST.AI.100-1

• ISO (2023). ISO/IEC 42001 - Artificial Intelligence Management System. https://www.iso.org/standard/81230.html

Soft Law y Orientaciones

• Hiroshima Process (2023). International Code of Conduct for Advanced AI Systems.

• UN (2011). UN Guiding Principles on Business and Human Rights.

• Partnership on AI. Responsible AI Resources & Frameworks. https://partnershiponai.org/

---

---

Descargo de responsabilidad: Este análisis es educativo. Para conformidad regulatoria específica en tu jurisdicción, consulta con asesores legales especializados en derecho de IA y regulatory compliance.