AI Código Ético del Grupo LEGIER y „SANDIC by LEGIER

Índice

Nota: Si el directorio automático aparece vacío, haga clic con el botón derecho del ratón en Word → „Actualizar campo“.

1. preámbulo y ámbito de aplicación

El presente Código establece principios, procesos y controles vinculantes para el desarrollo, la adquisición, el funcionamiento y el uso de la IA en el Grupo LEGIER. Se aplica en todo el Grupo a empleados, directivos, procesadores contratados, proveedores y socios. Integra las directrices existentes del Grupo (protección de datos, procesos de servicios digitales, gobierno corporativo, sostenibilidad, política de derechos humanos, declaración sobre esclavitud moderna) y las amplía para incluir requisitos específicos de la IA. Objetivo es posibilitar los beneficios y la innovación, hacer que los riesgos sean gestionables y proteger los derechos de los usuarios, los clientes y el público en general. 2. valores básicos y principios rectores  
  • Dignidad humana y derechos fundamentales están por encima de la eficiencia económica. La IA está al servicio de las personas, nunca al revés.
  • Conformidad jurídica: Cumplimiento de Ley de AI de la UEGDPRDSA y normas específicas del sector. No utilización de prácticas prohibidas.
  • Responsabilidad y rendición de cuentas: Se designa un propietario responsable para cada sistema de IA; las decisiones son trazables e impugnables.
  • Proporcionalidad: Equilibrio entre la finalidad, el riesgo, la intensidad de la intervención y el impacto social.
  • Transparencia y explicabilidad: Información, documentación y canales de comunicación adecuados sobre la funcionalidad, la situación de los datos y sus limitaciones.
  • Equidad e inclusión: Pruebas sistemáticas de sesgo, protección de grupos vulnerables, accesibilidad y multilingüismo.
  • Seguridad y resistencia: 1TP63Seguridad por diseño, defensa en profundidad, refuerzo y supervisión continuos.
  • Sostenibilidad: Eficiencia de modelos y centros de datos (energía, PUE/CFE), visión del ciclo de vida de los datos/modelos.

3. gobernanza y responsabilidades (Comité de Ética de AI, RACI)

Comité de Ética de la IA (AIEB): Interdisciplinar (tecnología, jurídico/cumplimiento, protección de datos, seguridad, redacción/producto, personas). Tareas: Actualización de políticas, emisión de autorizaciones (especialmente de alto riesgo), decisión sobre conflictos, seguimiento de informes. Funciones: Propietario del caso de uso, Propietario del modelo, Administrador Data, RPD, Jefe de seguridad 1TP63, Redactor responsable, Propietario del servicio, Jefe de aprovisionamiento. Comités y Pasarelas: Aprobación de la AIIA antes de la puesta en marcha; junta consultiva para cambios sustanciales; revisiones anuales de la gestión. Principio RACI: Asignación clara de responsabilidades para cada actividad (Responsable, Contable, Consultado, Informado).

4. marco jurídico y de normalización (Ley de AI de la UE, GDPR, DSA, derechos de autor, derecho mercantil)

  • Ley EU-AI: Marco basado en el riesgo con prohibiciones, obligaciones para los sistemas de alto riesgo, documentación, registro, gobernanza, obligaciones de transparencia; aplicabilidad escalonada a partir de 2025/2026.
  • GDPR: Bases jurídicas (Art. 6/9), derechos de los interesados, privacidad desde el diseño/por defecto, evaluación de impacto de la protección de datos (EIPD), transferencias a terceros países (Art. 44 y siguientes).
  • DSA: Procesos de las plataformas en materia de notificación, reclamaciones, informes de transparencia y evaluación de riesgos de las grandes plataformas.
  • Derechos de autor y derechos afines / derechos personales: Cadenas de licencias claras, derechos de imagen/nombre, derechos domiciliarios de terceros.
  • Requisitos específicos del sector (por ejemplo, legislación aeronáutica/marítima/Health).

5. clasificación de riesgos y evaluación del impacto de la IA (AIIA)

Clasificación:
  1. Prácticas prohibidas (no permitidas)
  2. Sistemas de alto riesgo (obligaciones estrictas)
  3. Riesgo limitado (transparencia)
  4. Riesgo minimizado
Procedimiento AIIA: Descripción Finalidad/ámbito, partes interesadas, base jurídica, fuentes de datos; análisis de riesgos (jurídicos, éticos, de seguridad, de sesgo, impacto medioambiental); plan de mitigación; decisión (aprobación AIEB). Reevaluaciones: Para cambios materiales, anualmente para alto riesgo; documentación en el registro central.

6. ética y protección de datos (base jurídica, DPIA, cookies, terceros países)

  • Minimización de datos y limitación de su finalidad; Preferiblemente seudonimización/anonimización.
  • Transparencia: Información sobre protección de datos, canales de información y supresión; portabilidad; opciones de oposición.
  • Cookies/Tracking: Gestión del consentimiento; revocación; anonimización de IP; sólo herramientas aprobadas.
  • Transferencias de terceros países: Sólo con garantías adecuadas (SCC/adecuación); pruebas periódicas de los subprocesadores.
  • DPIA: Obligatorio para el tratamiento de alto riesgo; documentar las medidas técnicas/organizativas (MTO).

7. ciclo de vida de modelos y datos (ML-Lifecycle, Tarjetas Data, Tarjetas de Modelo)

Data Ciclo de vida: Adquisición → Conservación → Etiquetado → Puertas de calidad → Versionado → Conservación/eliminación. Ciclo de vida del modelo: Definición del problema → Selección de la arquitectura → Formación/ajuste → Evaluación (offline/online) → Puesta en marcha → Funcionamiento → Supervisión → Formación/retirada. Tarjetas Data: Origen, representatividad, calidad, resultados sesgados, restricciones de uso. Tarjetas modelo: Finalidad, datos de formación, puntos de referencia, métricas, limitaciones, patrones de error esperados, qué hacer y qué no hacer. Procedencia y reproducibilidad: Hashes, versiones de datos/modelos, verificaciones de canalizaciones.

8. transparencia, explicabilidad e instrucciones de uso

  • Etiquetado para la interacción con la IA y los contenidos generados por la IA.
  • Explicabilidad: Utilice explicaciones adaptadas a cada caso y de fácil comprensión (local/global).
  • Instrucciones de uso: Finalidad, principales factores de influencia, límites; métodos de retroalimentación y corrección.

9. human-in-the-loop y funciones de supervisión

  • Supervisión humana como norma para las decisiones relevantes (especialmente las de alto riesgo).
  • Principio de los cuatro ojos para encargos sensibles desde el punto de vista editorial o social.
  • Funciones de anulación/cancelación; vías de escalado; documentación.

10. seguridad, robustez y red-teaming (prompt injection, jailbreaks)

  • Modelización de amenazas (STRIDE + AI específica): Inyección de prompt, envenenamiento de datos de entrenamiento, robo de modelos, fuga de protección de datos.
  • Red teaming y pruebas de adversarios; prevención de jailbreak; limitación de velocidad; filtrado de salida; escaneado de bandas de rodadura 1TP63.
  • Robustez: Avisos de retroceso, guardarraíles, planes de retroceso; lanzamientos canarios; pruebas de caos para la seguridad.

11. cadena de suministro, derechos humanos y trabajo justo (esclavitud moderna, LkSG-análogo)

  • Diligencia debida en materia de derechos humanos: Análisis de riesgos, código de conducta del proveedor, compromisos contractuales, auditorías, medidas correctoras.
  • Esclavitud moderna: Declaración anual, sensibilización, canales de notificación.
  • Normas laborales: Salario justo, horario laboral, protección de la salud; protección de los denunciantes.

12. gestión de prejuicios, equidad e inclusión (clientes vulnerables, accesibilidad)

  • Controles de parcialidad: Análisis de conjuntos de datos, equilibrado, varios grupos de pruebas, métricas de equidad; mitigación documentada.
  • Clientes en peligro: Objetivos de protección, canales alternativos, lenguaje claro; sin explotar las debilidades cognitivas.
  • Accesibilidad: WCAG-Conformismo; multilingüismo; enfoque integrador.

13. IA generativa, prueba de origen y etiquetado (C2PA, marca de agua)

  • Etiquetado: Etiquetas/metadatos visibles para el contenido de la IA; pista para las interacciones.
  • Garantías de origen: C2PA-contexto, firmas/marcas de agua en la medida en que sea técnicamente posible.
  • Derechos de autor/protección de servicios: Aclarar las licencias; formación sobre el cumplimiento de los datos; documentar la cadena de derechos.

14. contenido, moderación y procesos de DSA (informes, quejas, transparencia)

  • Canales de información: Notificación de usuarios de bajo umbral; tratamiento prioritario de contenidos ilegales.
  • Procesos de reclamación: Justificación transparente, objeción, escalada.
  • Informes de transparencia: Publicación periódica de cifras y medidas clave relevantes.

15. uso específico de dominio (Noticias, Data, Health, Aviación, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

  • Noticias/Publicaciones: Asistencia en la investigación, traducción, moderación; etiquetado claro del contenido generativo.
  • SCANDIC DATA: Infraestructura AI/HPC segura, separación de clientes, HSM/KMS, observabilidad, artefactos de cumplimiento.
  • Health: Uso basado en la evidencia, decisión final humana, sin diagnósticos no probados.
  • Aviación/Yachts: Procesos de seguridad, supervisión humana, procedimientos de emergencia.
  • Estate: Modelos de valoración con controles de equidad; integración de ESG.
  • Pay/Trade/Trust/Coin: Prevención del fraude, KYC/AML, vigilancia del mercado, decisiones explicables.
  • Cars: Servicios personalizados con una estricta protección de datos.

16. gestión de riesgos de terceros, adquisiciones y proveedores

  • Diligencia debida antes de la incorporación: Seguridad/nivel de protección de los datos, localización de los datos, subprocesadores, certificados.
  • Contratos: Derechos de auditoría, cláusulas de transparencia y reparación, métricas SLA/OLA.
  • Supervisión: Indicadores clave de rendimiento, intercambio de hallazgos/incidentes, planes de salida.

17. planes de funcionamiento, observabilidad, emergencia y reinicio

  • Operación: Observabilidad (registros, métricas, trazas), gestión SLO/SLI, planificación de la capacidad.
  • Emergencia: Runbooks, pruebas de DR, tiempos de recuperación, planes de comunicación.
  • Configuración/gestión de secretos: Menos privilegios, rotaciones, endurecimiento.

18. incidentes y soluciones (ética, protección de datos, seguridad)

  • Incidentes éticos: Discriminación no deseada, desinformación, origen poco claro: medidas inmediatas y revisión del AIEB.
  • Incidentes relacionados con la protección de datos: Procesos de notificación al RPD/supervisión; información a las partes afectadas; análisis de las causas profundas.
  • Incidentes de seguridad: Procedimientos CSIRT, análisis forense, lecciones aprendidas, medidas preventivas.

19. métricas, KPI y garantía (interna/externa)

  • KPI obligatorios: 100 % cobertura AIIA de casos de uso productivos de IA; 95 % tasa de formación; 0 hallazgos críticos de auditoría abiertos.
  • Métricas de equidad: Disparate impact, equalised odds (use case-specific).
  • Sostenibilidad: Cifras de energía/PUE/carbono de los centros de datos; eficiencia de los modelos.

20. formación, sensibilización y cambio cultural

  • Formación obligatoria (anualmente): Ética de la IA, protección de datos, seguridad, ética de los medios de comunicación; módulos específicos para grupos destinatarios.
  • Campañas de sensibilización: Guías, sesiones "brown-bag", horas de consulta; comunidades internas de práctica.
  • La cultura: Liderazgo como modelo de conducta, cultura del error, recompensa del comportamiento responsable.

21. implantación y hoja de ruta (0-6 / 6-12 / 12-24 meses)

  • 0-6 meses: Inventario de casos de uso de IA; proceso AIIA; controles mínimos; ola de formación; selección de proveedores.
  • 6-12 meses: Puesta en marcha del "red teaming"; primeros informes de transparencia; programa energético; finalización de RACI.
  • 12-24 meses: Alineación ISO/IEC-42001; garantía limitada; mejora continua; preparación CSRD/ESRS (si procede).

22. rollos y matriz RACI

  • Propietario del caso de uso (A): Finalidad, beneficios, indicadores clave de rendimiento, presupuesto, reevaluaciones.
  • Modelo-Propietario (R): Datos/Formación/Evaluación, Tarjeta Modelo, Control de Deriva.
  • RPD (C/A para la protección de datos): Base jurídica, DPIA, derechos de los interesados.
  • 1TP63Plomo de madurez (C): Modelización de amenazas, red teaming, TOMs.
  • Redactor responsable (C): Ética de los medios de comunicación, etiquetado, registro de correcciones.
  • Propietario del servicio (R): Operación, SLO, gestión de incidentes.
  • Jefe de Adquisiciones (R/C): Terceros, contratos, planes de salida.

23. listas de control (AIIA breve, publicación de datos, puerta de entrada en funcionamiento)

  • Comprobación rápida de la AIIA: ¿Finalidad? ¿Base jurídica? ¿Partes afectadas? ¿Riesgos (jurídicos/éticos/1TP63Seguridad/prejuicios/medio ambiente)? ¿Mitigación? ¿Controles HIL?
  • Publicación de datos: ¿Fuente lícita? ¿Minimización? ¿Conservación? ¿Acceso? ¿Tercer país?
  • Go-Live-Gate: ¿Se han completado los artefactos (Data/Fichas de Modelo, Registros)? ¿Se han abordado los resultados del Equipo Rojo? ¿Monitoreo/DR establecidos?

24. formularios y plantillas (Tarjeta Modelo, Tarjeta Data, Informe de Incidentes)

  • Modelo de tarjeta: Finalidad, datos, formación, puntos de referencia, limitaciones, riesgos, responsables, contacto.
  • Data-Tarjeta-Placa: Origen, licencia, calidad, representatividad, controles de sesgo, restricciones de uso.
  • Modelo de informe de incidencias: Incidente, efectos, personas afectadas, medidas inmediatas, causa raíz, remedio, lecciones aprendidas.

25 Glosario y referencias

Glosario: Sistema de IA, IA generativa, sistema de alto riesgo, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Referencias:
Nota: Este Código AI complementa las directrices LEGIER existentes, como, entre otras: (Protección de Datos, Servicios Digitales, Derechos Humanos/Cadena de Suministro, Gobierno Corporativo, Sostenibilidad, Esclavitud Moderna). Forma parte integrante del marco de cumplimiento del Grupo LEGIER (LEGIER Beteiligungs mbH).