Cuando se afirma que la ETSI TS 119 511 contempla la renovación de evidencias, el refuerzo criptográfico progresivo y la gestión de riesgos asociados a la obsolescencia, no se está hablando de principios abstractos, sino de un conjunto muy concreto de medidas técnicas y organizativas diseñadas para garantizar que una evidencia electrónica siga siendo jurídicamente defendible aunque el contexto tecnológico haya cambiado por completo. Este enfoque resulta especialmente relevante en decisiones automatizadas tomadas por sistemas de inteligencia artificial, donde la vida útil de los modelos, de los algoritmos criptográficos o incluso de las plataformas es mucho más corta que los plazos legales de conservación, auditoría o reclamación.
Renovación periódica de evidencias
Una primera medida clave es la renovación periódica de evidencias mediante sellado temporal cualificado encadenado. En la práctica, esto implica que la evidencia original de la decisión automatizada —por ejemplo, un conjunto estructurado que recoge la identidad del decisor humano o delegado, los datos de entrada relevantes, el resultado de la decisión y su contexto— se protege inicialmente con un sello de tiempo cualificado. Antes de que los algoritmos criptográficos utilizados pierdan su fortaleza o se acerquen a su obsolescencia, el sistema de preservación genera nuevos sellos de tiempo sobre la evidencia ya sellada, creando una cadena cronológica de protección. De este modo, incluso si dentro de diez o quince años el algoritmo original dejara de considerarse seguro, la evidencia seguiría estando protegida por capas posteriores de sellado, manteniendo su validez probatoria sin necesidad de reconstruir el pasado.
Relacionado con lo anterior, la norma impulsa el refuerzo criptográfico progresivo como medida estructural de defensa frente al paso del tiempo. Esto se traduce en la posibilidad de migrar de forma controlada a algoritmos más robustos, longitudes de clave superiores o esquemas criptográficos actualizados sin romper la continuidad de la evidencia. En el contexto de la IA, esto es fundamental: una decisión tomada hoy puede haber sido protegida con algoritmos plenamente válidos en la actualidad, pero que en el futuro ya no ofrezcan garantías suficientes frente a ataques criptográficos. El refuerzo progresivo permite que la evidencia se “re-fortifique” periódicamente, manteniendo una cadena de confianza continua que puede ser explicada y defendida ante un auditor o un tribunal.
Separación estricta entre el sistema que toma la decisión y el sistema
Otra medida técnica esencial es la separación estricta entre el sistema que toma la decisión y el sistema que preserva la evidencia. La ETSI TS 119 511 exige que la preservación no dependa de los sistemas productivos que generan la información. En la práctica, esto significa que la IA puede seguir evolucionando, ser sustituida o incluso desmantelada, mientras que la evidencia de las decisiones relevantes se conserva en un entorno independiente, controlado y sometido a políticas específicas de preservación. Esta separación reduce drásticamente el riesgo de manipulación, conflicto de intereses o pérdida de información, y refuerza la credibilidad de la prueba en escenarios de conflicto.
La gestión de la obsolescencia tecnológica es otro de los pilares prácticos de la norma. No se limita a algoritmos criptográficos, sino que abarca formatos de datos, estructuras de evidencias y dependencias técnicas. En términos operativos, esto implica que las evidencias deben almacenarse en formatos estables, documentados y verificables, acompañados de la información necesaria para su interpretación futura. En un caso de IA, no basta con conservar un resultado numérico o una etiqueta de clasificación; es necesario preservar el contexto mínimo que permita entender qué se decidió, en qué condiciones y con qué alcance, incluso cuando los sistemas originales ya no existen.
La ETSI TS 119 511 también exige políticas formales de evaluación de riesgos de preservación. Esto se traduce en análisis periódicos sobre amenazas como la pérdida de integridad, la obsolescencia criptográfica, los fallos de custodia o los riesgos organizativos. En la práctica, un prestador de servicios de preservación debe demostrar que identifica estos riesgos, que aplica contramedidas técnicas y organizativas, y que revisa regularmente su estrategia de preservación. En el ámbito de la IA, este enfoque es especialmente valioso porque permite anticipar escenarios en los que una decisión automatizada pueda ser cuestionada cuando ya no existe el equipo técnico original o cuando la tecnología utilizada ha quedado completamente superada.
Trazabilidad completa de las operaciones de preservación
Otra medida técnica relevante es la trazabilidad completa de las operaciones de preservación. Cada acción realizada sobre la evidencia —desde su incorporación inicial hasta cada refuerzo criptográfico o renovación— debe quedar registrada y protegida. Esto permite demostrar no solo que la decisión original es íntegra, sino que todo el proceso de conservación ha sido continuo, controlado y conforme a una política definida. En un litigio relacionado con decisiones automatizadas, esta trazabilidad convierte la preservación en un proceso demostrable, no en una simple afirmación del operador.
En conjunto, estas medidas técnicas convierten la preservación conforme a ETSI TS 119 511 en algo radicalmente distinto a un archivo electrónico tradicional. No se trata de almacenar datos, sino de mantener viva la validez jurídica de una decisión a lo largo del tiempo, incluso cuando todo lo demás ha cambiado. Aplicadas a la inteligencia artificial, estas prácticas permiten que una decisión automatizada siga siendo defendible muchos años después, sin depender de la memoria técnica de la organización ni de sistemas ya inexistentes.
Conclusión
Así, la renovación de evidencias, el refuerzo criptográfico progresivo y la gestión activa de la obsolescencia no son detalles técnicos secundarios, sino los mecanismos que hacen posible que la IA tenga una memoria legal sólida. Gracias a ellos, Europa no solo permite automatizar decisiones, sino también responder jurídicamente por ellas en el futuro, dotando a la inteligencia artificial de algo imprescindible para su madurez: la capacidad de rendir cuentas al pasado.
Cuenta con nosotros, como auditores iso42001 en IA, para cualquier cuestión relacionado con la auditoría y certificación de vuestros sistemas IA.
