AI Código Ético del Grupo LEGIER y "SANDIC by LEGIER

Índice

Nota: Si el directorio automático aparece vacío, haga clic con el botón derecho del ratón en Word → "Actualizar campo".

1. preámbulo y ámbito de aplicación

El presente Código establece principios, procesos y controles vinculantes para el desarrollo, la adquisición, el funcionamiento y el uso de la IA en el Grupo LEGIER. Se aplica en todo el Grupo a empleados, directivos, procesadores contractuales, proveedores y socios.

Integra las directrices existentes del Grupo (protección de datos, procesos de servicios digitales, gobierno corporativo, sostenibilidad, política de derechos humanos, declaración sobre esclavitud moderna) y las amplía para incluir requisitos específicos de la IA.

Objetivo es posibilitar los beneficios y la innovación, hacer que los riesgos sean gestionables y proteger los derechos de los usuarios, los clientes y el público en general.

2. valores básicos y principios rectores

Dignidad humana y derechos fundamentales están por encima de la eficiencia económica. La IA está al servicio de las personas, nunca al revés.
Conformidad jurídica: Cumplimiento de Ley de AI de la UE, GDPR, DSA y normas específicas del sector. No utilización de prácticas prohibidas.
Responsabilidad y rendición de cuentas: Se designa un propietario responsable para cada sistema de IA; las decisiones son trazables e impugnables.
Proporcionalidad: Equilibrio entre la finalidad, el riesgo, la intensidad de la intervención y el impacto social.
Transparencia y explicabilidad: Información, documentación y canales de comunicación adecuados sobre la funcionalidad, la situación de los datos y sus limitaciones.
Equidad e inclusión: Pruebas sistemáticas de sesgo, protección de grupos vulnerables, accesibilidad y multilingüismo.
Seguridad y resistencia: Seguridad por diseño, defensa en profundidad, refuerzo y supervisión continuos.
Sostenibilidad: Eficiencia de modelos y centros de datos (energía, PUE/CFE), visión del ciclo de vida de los datos/modelos.

3. gobernanza y responsabilidades (Comité de Ética de AI, RACI)

Comité de Ética de la IA (AIEB): Interdisciplinar (tecnología, jurídico/cumplimiento, protección de datos, seguridad, redacción/producto, personas). Tareas: Actualización de políticas, emisión de autorizaciones (especialmente de alto riesgo), decisión sobre conflictos, seguimiento de informes.

Funciones: Propietario del caso de uso, propietario del modelo, administrador de datos, RPD, responsable de seguridad, redactor responsable, propietario del servicio, responsable de aprovisionamiento.

Comités y Pasarelas: Aprobación de la AIIA antes de la puesta en marcha; consejo asesor para cambios sustanciales; revisiones anuales de la gestión.

Principio RACI: Asignación clara de responsabilidades para cada actividad (Responsable, Contable, Consultado, Informado).

4. marco jurídico y de normalización (Ley de AI de la UE, GDPR, DSA, derechos de autor, derecho mercantil)

Ley EU-AI: Marco basado en el riesgo con prohibiciones, obligaciones para los sistemas de alto riesgo, documentación, registro, gobernanza, obligaciones de transparencia; aplicabilidad escalonada a partir de 2025/2026.
GDPR: Bases jurídicas (Art. 6/9), derechos de los interesados, privacidad desde el diseño/por defecto, evaluación de impacto de la protección de datos (EIPD), transferencias a terceros países (Art. 44 y siguientes).
DSA: Procesos de las plataformas en materia de notificación, reclamaciones, informes de transparencia y evaluación de riesgos de las grandes plataformas.
Derechos de autor y derechos afines / derechos personales: Cadenas de licencias claras, derechos de imagen/nombre, derechos domiciliarios de terceros.
Requisitos específicos del sector (por ejemplo, legislación aeronáutica/marítima/sanitaria).

5. clasificación de riesgos y evaluación del impacto de la IA (AIIA)

Clasificación:

Prácticas prohibidas (no permitidas)
Sistemas de alto riesgo (obligaciones estrictas)
Riesgo limitado (transparencia)
Riesgo minimizado

Procedimiento AIIA: Descripción Finalidad/ámbito, partes interesadas, base jurídica, fuentes de datos; análisis de riesgos (jurídicos, éticos, de seguridad, de sesgo, impacto medioambiental); plan de mitigación; decisión (aprobación AIEB).

Reevaluaciones: Para cambios materiales, anualmente para alto riesgo; documentación en el registro central.

6. ética y protección de datos (base jurídica, DPIA, cookies, terceros países)

Minimización de datos y limitación de su finalidad; Preferiblemente seudonimización/anonimización.
Transparencia: Información sobre protección de datos, canales de información y supresión; portabilidad; opciones de oposición.
Cookies/Tracking: Gestión del consentimiento; revocación; anonimización de IP; sólo herramientas aprobadas.
Transferencias de terceros países: Sólo con garantías adecuadas (SCC/adecuación); pruebas periódicas de los subprocesadores.
DPIA: Obligatorio para el tratamiento de alto riesgo; documentar las medidas técnicas/organizativas (MTO).

7. ciclo de vida de modelos y datos (ciclo de vida de ML, tarjetas de datos, tarjetas de modelos)

Ciclo de vida de los datos: Adquisición → Conservación → Etiquetado → Puertas de calidad → Versionado → Conservación/eliminación.

Ciclo de vida del modelo: Definición del problema → Selección de la arquitectura → Formación/ajuste → Evaluación (offline/online) → Puesta en marcha → Funcionamiento → Supervisión → Formación/retirada.

Tarjetas de datos: Origen, representatividad, calidad, resultados sesgados, restricciones de uso.

Tarjetas modelo: Finalidad, datos de formación, puntos de referencia, métricas, limitaciones, patrones de error esperados, qué hacer y qué no hacer.

Procedencia y reproducibilidad: Hashes, versiones de datos/modelos, verificaciones de canalizaciones.

8. transparencia, explicabilidad e instrucciones de uso

Etiquetado para la interacción con la IA y los contenidos generados por la IA.
Explicabilidad: Utilice explicaciones adaptadas a cada caso y de fácil comprensión (local/global).
Instrucciones de uso: Finalidad, principales factores de influencia, límites; métodos de retroalimentación y corrección.

9. human-in-the-loop y funciones de supervisión

Supervisión humana como norma para las decisiones relevantes (especialmente las de alto riesgo).
Principio de los cuatro ojos para encargos sensibles desde el punto de vista editorial o social.
Funciones de anulación/cancelación; vías de escalado; documentación.

10. seguridad, robustez y red-teaming (prompt injection, jailbreaks)

Modelización de amenazas (STRIDE + AI específica): Inyección de prompt, envenenamiento de datos de entrenamiento, robo de modelos, fuga de protección de datos.
Red teaming y pruebas de adversarios; prevención de jailbreak; limitación de velocidad; filtrado de salida; escaneo secreto.
Robustez: Avisos de retroceso, guardarraíles, planes de retroceso; lanzamientos canarios; pruebas de caos para la seguridad.

11. cadena de suministro, derechos humanos y trabajo justo (esclavitud moderna, LkSG-análogo)

Diligencia debida en materia de derechos humanos: Análisis de riesgos, código de conducta del proveedor, compromisos contractuales, auditorías, medidas correctoras.
Esclavitud moderna: Declaración anual, sensibilización, canales de notificación.
Normas laborales: Salario justo, horario laboral, protección de la salud; protección de los denunciantes.

12. gestión de prejuicios, equidad e inclusión (clientes vulnerables, accesibilidad)

Controles de parcialidad: Análisis de conjuntos de datos, equilibrado, varios grupos de pruebas, métricas de equidad; mitigación documentada.
Clientes en peligro: Objetivos de protección, canales alternativos, lenguaje claro; sin explotar las debilidades cognitivas.
Accesibilidad: WCAG-Conformismo; multilingüismo; enfoque integrador.

13. IA generativa, prueba de origen y etiquetado (C2PA, marca de agua)

Etiquetado: Etiquetas/metadatos visibles para el contenido de la IA; pista para las interacciones.
Garantías de origen: C2PA-contexto, firmas/marcas de agua en la medida en que sea técnicamente posible.
Derechos de autor/protección de servicios: Aclarar las licencias; formación sobre el cumplimiento de los datos; documentar la cadena de derechos.

14. contenido, moderación y procesos de DSA (informes, quejas, transparencia)

Canales de información: Notificación de usuarios de bajo umbral; tratamiento prioritario de contenidos ilegales.
Procesos de reclamación: Justificación transparente, objeción, escalada.
Informes de transparencia: Publicación periódica de cifras y medidas clave relevantes.

15. uso específico de un dominio (noticias, datos, salud, aviación, yates, patrimonio, pago/comercio/fideicomiso/moneda, coches)

Noticias/Publicaciones: Asistencia en la investigación, traducción, moderación; etiquetado claro del contenido generativo.
DATOS ESCANDALOSOS: Infraestructura AI/HPC segura, separación de clientes, HSM/KMS, observabilidad, artefactos de cumplimiento.
Salud: Uso basado en la evidencia, decisión final humana, sin diagnósticos no probados.
Aviación/yates: Procesos de seguridad, supervisión humana, procedimientos de emergencia.
Estado: Modelos de valoración con controles de equidad; integración de ESG.
Pago/comercio/fideicomiso/moneda: Prevención del fraude, KYC/AML, vigilancia del mercado, decisiones explicables.
Coches: Servicios personalizados con una estricta protección de datos.

16. gestión de riesgos de terceros, adquisiciones y proveedores

Diligencia debida antes de la incorporación: Seguridad/nivel de protección de los datos, localización de los datos, subprocesadores, certificados.
Contratos: Derechos de auditoría, cláusulas de transparencia y reparación, métricas SLA/OLA.
Supervisión: Indicadores clave de rendimiento, intercambio de hallazgos/incidentes, planes de salida.

17. planes de funcionamiento, observabilidad, emergencia y reinicio

Operación: Observabilidad (registros, métricas, trazas), gestión SLO/SLI, planificación de la capacidad.
Emergencia: Runbooks, pruebas de DR, tiempos de recuperación, planes de comunicación.
Configuración/gestión de secretos: Menos privilegios, rotaciones, endurecimiento.

18. incidentes y soluciones (ética, protección de datos, seguridad)

Incidentes éticos: Discriminación no deseada, desinformación, origen poco claro: medidas inmediatas y revisión del AIEB.
Incidentes relacionados con la protección de datos: Procesos de notificación al RPD/supervisión; información a las partes afectadas; análisis de las causas profundas.
Incidentes de seguridad: Procedimientos CSIRT, análisis forense, lecciones aprendidas, medidas preventivas.

19. métricas, indicadores clave de rendimiento y garantía (interna/externa)

KPI obligatorios: 100 % de cobertura AIIA de casos de uso productivos de IA; 95 tasa de formación %; 0 hallazgos críticos de auditoría abiertos.
Métricas de equidad: Disparate impact, equalised odds (use case-specific).
Sostenibilidad: Cifras de energía/PUE/carbono de los centros de datos; eficiencia de los modelos.

20. formación, sensibilización y cambio cultural

Formación obligatoria (anual): Ética de la IA, protección de datos, seguridad, ética de los medios de comunicación; módulos específicos para grupos destinatarios.
Campañas de sensibilización: Guías, sesiones "brown-bag", horas de consulta; comunidades internas de práctica.
La cultura: Liderazgo como modelo de conducta, cultura del error, recompensa del comportamiento responsable.

21. implantación y hoja de ruta (0-6 / 6-12 / 12-24 meses)

0-6 meses: Inventario de casos de uso de IA; proceso AIIA; controles mínimos; ola de formación; selección de proveedores.
6-12 meses: Puesta en marcha del "red teaming"; primeros informes de transparencia; programa energético; finalización de RACI.
12-24 meses: Alineación ISO/IEC-42001; garantía limitada; mejora continua; preparación CSRD/ESRS (si procede).

22. rollos y matriz RACI

Propietario del caso de uso (A): Finalidad, beneficios, indicadores clave de rendimiento, presupuesto, reevaluaciones.
Modelo-Propietario (R): Datos/Formación/Evaluación, Tarjeta Modelo, Control de Deriva.
RPD (C/A para la protección de datos): Base jurídica, DPIA, derechos de los interesados.
Jefe de seguridad (C): Modelización de amenazas, red teaming, TOMs.
Redactor responsable (C): Ética de los medios de comunicación, etiquetado, registro de correcciones.
Propietario del servicio (R): Operación, SLO, gestión de incidentes.
Jefe de Adquisiciones (R/C): Terceros, contratos, planes de salida.

23. listas de control (AIIA breve, publicación de datos, puerta de entrada en funcionamiento)

Comprobación rápida de la AIIA: ¿Finalidad? ¿Base jurídica? ¿Partes afectadas? ¿Riesgos (jurídicos/éticos/seguridad/prejuicios/medio ambiente)? ¿Mitigación? ¿Controles HIL?
Publicación de datos: ¿Fuente lícita? ¿Minimización? ¿Conservación? ¿Acceso? ¿Tercer país?
Go-Live-Gate: ¿Se han completado los artefactos (fichas de datos/modelos, registros)? ¿Se han abordado los resultados del Equipo Rojo? ¿Se ha establecido la supervisión/DR?

24. formularios y plantillas (ficha modelo, ficha de datos, informe de incidentes)

Modelo de tarjeta: Finalidad, datos, formación, puntos de referencia, limitaciones, riesgos, responsables, contacto.
Modelo de tarjeta de datos: Origen, licencia, calidad, representatividad, controles de sesgo, restricciones de uso.
Modelo de informe de incidencias: Incidente, efectos, personas afectadas, medidas inmediatas, causa raíz, remedio, lecciones aprendidas.

25 Glosario y referencias

Glosario: Sistema de IA, IA generativa, sistema de alto riesgo, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Referencias:

Ley de AI de la UE
GDPR
DSA
Principios de IA de la OCDE
NIST AI RMF
ISO/IEC 42001
Directrices internas (protección de datos, procesos DSA, esclavitud moderna, sostenibilidad)

Nota: Este Código de IA complementa las directrices LEGIER existentes, tales como, entre otras: (Protección de Datos, Servicios Digitales, Derechos Humanos/Cadena de Suministro, Gobierno Corporativo, Sostenibilidad, Esclavitud Moderna). Forma parte integrante del marco de cumplimiento del Grupo LEGIER (LEGIER Beteiligungs mbH).