GUÍA DE CONTROLES IA DE SIGEN

 

La Guía de Controles para el uso de Inteligencia Artificial en el Sector Público Nacional (IF-2026-53068261-APN-GPNYPT#SIGEN), publicada por la Sindicatura General de la Nación (SIGEN) se aplica a todo el Sector Público Nacional en los términos de la Ley 24156.00 Se trata de una guía técnica de auditoría interna que establece objetivos de control y riesgos a mitigar. Tiene gran relevancia práctica pues será el msarco que utilicen SIGEN, las Unidades de Auditoría Interna (UAI) y la AGN al auditar cualquier organismo del Sector Público Nacional que use IA.

En cuanto a su estructura, podemos distinguir dos escenarios, con controles distintos para cada uno.

Escenario 1 — Uso individual de IA generativa (ChatGPT, Copilot, Gemini, etc. como apoyo al agente público, sin integración institucional). Los controles se centran en tres ejes: que haya una política institucional aprobada para el uso de esas herramientas, que el uso quede documentado en los procedimientos, y que se instrumenten cuidados específicos sobre los datos que se ingresan a esas plataformas.

Escenario 2 — Sistemas IA institucionales (IA incorporada a procesos, aplicaciones o decisiones organizacionales, con entrenamiento de datos). Desarrolla catorce objetivos de control que cubren todo el ciclo de vida: planificación, responsables, desarrollo, seguridad, datos de entrenamiento, pruebas, puesta en producción, trazabilidad, operaciones y tratamiento de incidentes. Además, la Guía no solo se enfoca en errores comunes, sino en riesgos técnicos avanzados como el “envenenamiento de datos” (poisoning) y los ataques de '”Adversarial Machine Learning”, factores críticos para asegurar que los algoritmos de detección de fraude no sean manipulados externamente

Los ejes conceptuales que atraviesan toda la Guía son tres, a saber:

1. La responsabilidad no se delega en la IA, sólo se traslada la ejecución, no la responsabilidad. Los funcionarios siguen siendo responsables de las decisiones, aunque estén asistidas o generadas por IA. Esto tiene implicancias directas en materia de responsabilidad administrativa y eventual responsabilidad civil del Estado.

2. Transparencia y explicabilidad como requisitos operativos. Los resultados deben poder ser comprendidos por quienes los utilizan, y también explicados a los afectados o a terceros. Si el acto administrativo fue asistido por IA y no se puede explicar el razonamiento, la motivación es cuando menos cuestionable. La Guía operativiza este principio en su Objetivo de Control 2.9, exigiendo explícitamente que los resultados sean comprensibles para que los operadores puedan 'explicar a las personas afectadas o a terceros' las decisiones tomadas

En consecuencia, la explicabilidad se transforma en una salvaguarda del derecho de defensa.

3. Protección de datos personales como condición de validez. La Ley N° 25.326 (Protección de Datos Personales) es el marco obligatorio en el uso de herramientas IA, tanto en el escenario individual como en el de sistemas institucionales.

Los organismos de recaudación nacional y provinciales utilizan o están evaluando usar herramientas de IA para fiscalización, detección de inconsistencias, cruce de datos y análisis de riesgo. La Guía SIGEN define el marco de control interno bajo el cual esos sistemas deberían auditarse.

Desde la perspectiva del contribuyente importa conocer cuál es el método con el que se ha realizado una selección para fiscalización o una retención aduanera fue generada o asistida por IA. Ello atento a que el contribuyente tiene derecho a que eso sea transparente y explicable. Es además una condición de validez del acto administrativo.

Por otra parte, el sesgo es un riesgo para mitigar en el diseño de los datos de entrenamiento. Un sistema de scoring tributario entrenado con datos no representativos puede generar selecciones discriminatorias. Esto abre líneas de impugnación que debieran ser tenidas en cuenta.

La exigencia de trazabilidad es tanto un requisito técnico como una condición que hace posible el control jurisdiccional posterior. Sin trazabilidad, no hay posibilidad real de impugnar lo que el sistema decidió.

En cuanto a los servicios tercerizados, la Guía requiere que los contratos con proveedores de nube o servicios de IA contemplen medidas de seguridad, auditabilidad y control. Esto es relevante cuando el organismo usa plataformas externas para procesar datos de contribuyentes pues los términos y condiciones del proveedor deben ser compatibles con el marco jurídico argentino, incluyendo la Ley 25.326.

En conclusión, la Guía se basa en sólidos estándares internacionales (OCDE, UNESCO, NIST, COSO, entre otros). Sin embargo, presenta una limitación importante para el contexto tributario y aduanero. Ello por cuanto no aborda específicamente el uso de IA en funciones de fiscalización ni en decisiones que afectan directamente derechos de los administrados. Aunque la Guía nace desde la óptica del control interno organizacional, sus estándares de trazabilidad de decisiones automatizadas (Objetivo 2.10) y supervisión humana efectiva proporcionan el andamiaje técnico necesario para dar cumplimiento a las garantías del debido proceso administrativo en el ámbito tributario y aduanero