Cumplimiento, transparencia e IA (UE)
Resumen orientativo para titulares de datos y equipos legales: qué registramos en el alta y cómo documentamos el uso de sistemas de IA a alto nivel (sin almacenar el contenido de tus conversaciones en esta vista).
Texto informativo. No sustituye asesoramiento jurídico. Adapta políticas internas, DPIA y contratos a tu despacho y jurisdicción.
Guía breve: usabilidad, seguridad y trazabilidad
Resumen práctico alineado con expectativas de transparencia (UE): véase Documentación → Confianza y cumplimiento (UE). /documentation
Juxa Red: próximamente ampliaremos esta sección con orientación específica para la red profesional y la comunidad (mismos principios de confianza; notas por superficie).
Cuadro de cumplimiento — Unión Europea (AI Act y marco complementario)
Referencia: Reglamento (UE) 2024/1689 y puntos de contacto con RGPD. Estado orientativo respecto a lo implementado en el producto y a lo que corresponde al responsable del tratamiento o desplegador. Actualice este listado con su asesor legal.
| Referencia | Obligación / tema | Estado | Ámbito | En el sistema / plan u organización |
|---|---|---|---|---|
| AI Act — Ámbito (Título I) | Clasificar el papel del operador (proveedor, desplegador, importador, distribuidor) y si el sistema encaja en categorías restringidas o de alto riesgo. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Evaluación jurídica externa al código. El producto es software multi-tenant; cada cliente puede ser desplegador. |
| Art. 5 — Prácticas prohibidas | No subliminar, explotación de vulnerabilidades, puntuación social ilegal, identificación remota biométrica en espacio público salvo excepciones, inferencia de sensibles, compilación ilícita de BD faciales. | Cumple (en lo medido) | Producto / código | Diseño orientado a CRM/legal/recovery; sin puntuación social ni biometría como función; prompts y reglas internas contra autotutela y abuso. |
| Art. 9 ss. — Sistemas de alto riesgo | Si el uso califica como alto riesgo (Anexo III): gestión de riesgos, datos de entrenamiento, documentación, registro, vigilancia post-comercialización. | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Muchos despliegues de asistente genérico no son alto riesgo; depende del caso de uso concreto. Plan: dictamen + registro si aplica. |
| Art. 13 — Transparencia (proveedor → desplegador) | Instrucciones de uso, capacidades, límites y información necesaria para cumplir obligaciones del desplegador. | Parcial | Compartido (producto + org.) | Documentación del producto y términos; obtener fichas técnicas de proveedores de modelo (OpenRouter, Google, proxy JUXA) en contrato/DPA. |
| Art. 14 — Supervisión humana (alto riesgo) | Medidas para que personas puedan supervisar, intervenir y anular; comprensión de limitaciones. | Parcial | Compartido (producto + org.) | En producto: avisos, identidad IA, sugerencia de abogado en temas graves. Completo si se clasifica alto riesgo: procedimiento organizativo. |
| Art. 15 — Exactitud, robustez, ciberseguridad (alto riesgo) | Niveles apropiados de exactitud, resiliencia y seguridad técnica durante el ciclo de vida. | Parcial | Compartido (producto + org.) | Pruebas manuales (QA prompts), parámetros de modelo opcionales, filtro de URLs en legal; red team y pentest = proceso organizativo/hosting. |
| Art. 50 — Transparencia (interacción con personas) | Informar a la persona de que interactúa con un sistema de IA, salvo que sea evidente; contenido sintético cuando aplique. | Parcial | Producto / código | Chat: bloque de identidad JUXA/IA al inicio; prompts de sistema. Mejorar: coherencia en todas las superficies y documentación de evidencias. |
| Art. 52 — Transparencia (interacción con sistemas de IA) | En interacciones, las personas deben saber que hablan con una IA (coherente con despliegue). | Parcial | Producto / código | Alineado con núcleo normativo JUXA y UI de cumplimiento; revisar mini-apps y flujos sin burbuja inicial. |
| Art. 53–55 — GPAI / modelo de propósito general | Documentación técnica, política de derechos de autor, resumen del contenido de entrenamiento (proveedores de GPAI). | Proceso organizativo | Compartido (producto + org.) | Obligación principal del proveedor del modelo (p. ej. Google, Anthropic). Desplegador: contratos, DPIA y trazabilidad del modelo usado. |
| CRM — Anthropic directo vs enrutador | Registrar en analítica el proveedor efectivo del chat (OpenRouter, Vertex, Anthropic nativo, etc.). | Cumple (en lo medido) | Producto / código | El modo Anthropic directo (`anthropic_native`, solo si `JUXA_CRM_ANTHROPIC_DIRECT_ENABLED=true`) usa la API Messages; por defecto el chat usa OpenRouter u otros upstreams. Ver mapa. |
| Art. 62 — Vigilancia post-comercialización (alto riesgo) | Vigilar funcionamiento y reportar incidentes graves al mercado o autoridad. | Plan de trabajo | Fuera del producto (org., hosting, contratos) | Plan: proceso de tickets, registro de incidencias y revisión periódica si el uso es alto riesgo. |
| Art. 71 — Autoridades notificadas / sandbox | Cooperación con autoridades donde proceda (innovación regulada, pruebas). | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Fuera del código; según sede del responsable y del despliegue. |
| Art. 72 ss. — Sistema de gobernanza UE | Órgano de IA europeo, referencia a normas harmonizadas y cooperación. | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Seguimiento normativo por legal/compliance de la organización. |
| RGPD — Bases jurídicas y transparencia (Arts. 5–14) | Tratamiento lícito, información al interesado, minimización y finalidad determinada. | Parcial | Compartido (producto + org.) | Aviso de privacidad, consentimiento en registro auditado; completar DPA/encargados y transferencias internacionales según despliegue. |
| RGPD — Derechos del interesado (Arts. 15–22) | Acceso, rectificación, supresión, limitación, portabilidad, oposición; automatizada con explicación cuando aplique. | Parcial | Producto / código | Borrado de conversaciones; solicitudes ARCO/DSAR vía Ajustes → Privacidad y datos; export JSON mínimo (portabilidad) y APIs bajo /api/v1/account/privacy-*; cola en superadmin. |
| RGPD — Seguridad del tratamiento (Art. 32) | Medidas técnicas y organizativas apropiadas (cifrado, integridad, disponibilidad). | Parcial | Compartido (producto + org.) | TLS, buenas prácticas en SECURITY.md; cifrado en reposo y backups según hosting del cliente (self-hosted vs nube). |
| RGPD — DPIA (Art. 35) | Evaluación de impacto cuando el tratamiento genere alto riesgo (p. ej. evaluación sistemática, datos sensibles a escala). | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Elaborar DPIA por cada despliegue que trate datos personales con IA; no sustituye esta pantalla. |
| Directiva derechos de autor DSM / transparencia IA | Respeto a obras; transparencia sobre uso de contenido protegido en entrenamiento (marco UE nacional). | Parcial | Fuera del producto (org., hosting, contratos) | RAG limitado a leyes/dominio público según política del despacho; acuerdos con proveedores de modelo. |
| Registro / documentación interna (desplegador) | Mantener registro de uso de IA, versiones de modelo y decisiones de configuración para auditoría. | Parcial | Producto / código | Eventos `ai_transparency_events` (superficie, categoría, familia de modelo); ampliar según política interna. |
| Contratos y encargados (proveedores de IA) | Cláusulas Art. 28 RGPD con subencargados; DPA con hiperscalers y APIs de modelo. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Plantillas legales y revisión externa; fuera del repositorio de producto. |
| DSA — Ley de Servicios Digitales (Regl. 2022/2065) | Procedimientos de notificación de contenidos ilícitos, transparencia de publicidad, informes de transparencia (según calificación de intermediario). | Parcial | Fuera del producto (org., hosting, contratos) | Cookie banner / términos en front; políticas de moderación y puntos de contacto legales = responsabilidad del operador del sitio. |
| Carta de Derechos Fundamentales UE | Respeto a derechos fundamentales en el diseño y despliegue de sistemas de IA (proporcionalidad, no discriminación). | Parcial | Compartido (producto + org.) | Prompts y reglas JUXA (sesgo, tono); auditorías de equidad y políticas RH = organización. |
| Directiva NIS2 / ciberseguridad sectorial | Gestión de riesgos de seguridad de red e información para operadores esenciales/importantes (transposición nacional). | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Aplicable según sector y tamaño del desplegador; no codificable en el CRM genérico. |
AI Act — Ámbito (Título I)
Clasificar el papel del operador (proveedor, desplegador, importador, distribuidor) y si el sistema encaja en categorías restringidas o de alto riesgo.
Evaluación jurídica externa al código. El producto es software multi-tenant; cada cliente puede ser desplegador.
Art. 5 — Prácticas prohibidas
No subliminar, explotación de vulnerabilidades, puntuación social ilegal, identificación remota biométrica en espacio público salvo excepciones, inferencia de sensibles, compilación ilícita de BD faciales.
Diseño orientado a CRM/legal/recovery; sin puntuación social ni biometría como función; prompts y reglas internas contra autotutela y abuso.
Art. 9 ss. — Sistemas de alto riesgo
Si el uso califica como alto riesgo (Anexo III): gestión de riesgos, datos de entrenamiento, documentación, registro, vigilancia post-comercialización.
Muchos despliegues de asistente genérico no son alto riesgo; depende del caso de uso concreto. Plan: dictamen + registro si aplica.
Art. 13 — Transparencia (proveedor → desplegador)
Instrucciones de uso, capacidades, límites y información necesaria para cumplir obligaciones del desplegador.
Documentación del producto y términos; obtener fichas técnicas de proveedores de modelo (OpenRouter, Google, proxy JUXA) en contrato/DPA.
Art. 14 — Supervisión humana (alto riesgo)
Medidas para que personas puedan supervisar, intervenir y anular; comprensión de limitaciones.
En producto: avisos, identidad IA, sugerencia de abogado en temas graves. Completo si se clasifica alto riesgo: procedimiento organizativo.
Art. 15 — Exactitud, robustez, ciberseguridad (alto riesgo)
Niveles apropiados de exactitud, resiliencia y seguridad técnica durante el ciclo de vida.
Pruebas manuales (QA prompts), parámetros de modelo opcionales, filtro de URLs en legal; red team y pentest = proceso organizativo/hosting.
Art. 50 — Transparencia (interacción con personas)
Informar a la persona de que interactúa con un sistema de IA, salvo que sea evidente; contenido sintético cuando aplique.
Chat: bloque de identidad JUXA/IA al inicio; prompts de sistema. Mejorar: coherencia en todas las superficies y documentación de evidencias.
Art. 52 — Transparencia (interacción con sistemas de IA)
En interacciones, las personas deben saber que hablan con una IA (coherente con despliegue).
Alineado con núcleo normativo JUXA y UI de cumplimiento; revisar mini-apps y flujos sin burbuja inicial.
Art. 53–55 — GPAI / modelo de propósito general
Documentación técnica, política de derechos de autor, resumen del contenido de entrenamiento (proveedores de GPAI).
Obligación principal del proveedor del modelo (p. ej. Google, Anthropic). Desplegador: contratos, DPIA y trazabilidad del modelo usado.
CRM — Anthropic directo vs enrutador
Registrar en analítica el proveedor efectivo del chat (OpenRouter, Vertex, Anthropic nativo, etc.).
El modo Anthropic directo (`anthropic_native`, solo si `JUXA_CRM_ANTHROPIC_DIRECT_ENABLED=true`) usa la API Messages; por defecto el chat usa OpenRouter u otros upstreams. Ver mapa.
Art. 62 — Vigilancia post-comercialización (alto riesgo)
Vigilar funcionamiento y reportar incidentes graves al mercado o autoridad.
Plan: proceso de tickets, registro de incidencias y revisión periódica si el uso es alto riesgo.
Art. 71 — Autoridades notificadas / sandbox
Cooperación con autoridades donde proceda (innovación regulada, pruebas).
Fuera del código; según sede del responsable y del despliegue.
Art. 72 ss. — Sistema de gobernanza UE
Órgano de IA europeo, referencia a normas harmonizadas y cooperación.
Seguimiento normativo por legal/compliance de la organización.
RGPD — Bases jurídicas y transparencia (Arts. 5–14)
Tratamiento lícito, información al interesado, minimización y finalidad determinada.
Aviso de privacidad, consentimiento en registro auditado; completar DPA/encargados y transferencias internacionales según despliegue.
RGPD — Derechos del interesado (Arts. 15–22)
Acceso, rectificación, supresión, limitación, portabilidad, oposición; automatizada con explicación cuando aplique.
Borrado de conversaciones; solicitudes ARCO/DSAR vía Ajustes → Privacidad y datos; export JSON mínimo (portabilidad) y APIs bajo /api/v1/account/privacy-*; cola en superadmin.
RGPD — Seguridad del tratamiento (Art. 32)
Medidas técnicas y organizativas apropiadas (cifrado, integridad, disponibilidad).
TLS, buenas prácticas en SECURITY.md; cifrado en reposo y backups según hosting del cliente (self-hosted vs nube).
RGPD — DPIA (Art. 35)
Evaluación de impacto cuando el tratamiento genere alto riesgo (p. ej. evaluación sistemática, datos sensibles a escala).
Elaborar DPIA por cada despliegue que trate datos personales con IA; no sustituye esta pantalla.
Directiva derechos de autor DSM / transparencia IA
Respeto a obras; transparencia sobre uso de contenido protegido en entrenamiento (marco UE nacional).
RAG limitado a leyes/dominio público según política del despacho; acuerdos con proveedores de modelo.
Registro / documentación interna (desplegador)
Mantener registro de uso de IA, versiones de modelo y decisiones de configuración para auditoría.
Eventos `ai_transparency_events` (superficie, categoría, familia de modelo); ampliar según política interna.
Contratos y encargados (proveedores de IA)
Cláusulas Art. 28 RGPD con subencargados; DPA con hiperscalers y APIs de modelo.
Plantillas legales y revisión externa; fuera del repositorio de producto.
DSA — Ley de Servicios Digitales (Regl. 2022/2065)
Procedimientos de notificación de contenidos ilícitos, transparencia de publicidad, informes de transparencia (según calificación de intermediario).
Cookie banner / términos en front; políticas de moderación y puntos de contacto legales = responsabilidad del operador del sitio.
Carta de Derechos Fundamentales UE
Respeto a derechos fundamentales en el diseño y despliegue de sistemas de IA (proporcionalidad, no discriminación).
Prompts y reglas JUXA (sesgo, tono); auditorías de equidad y políticas RH = organización.
Directiva NIS2 / ciberseguridad sectorial
Gestión de riesgos de seguridad de red e información para operadores esenciales/importantes (transposición nacional).
Aplicable según sector y tamaño del desplegador; no codificable en el CRM genérico.
Documentación legal
México, UNESCO y marco de referencia
El núcleo normativo JUXA (identidad de IA, alcance México, RAG, fine-tuning supervisado, transparencia) forma parte del ADN del producto —junto al enfoque Legal Cloud y RecoveryTech. La referencia institucional complementaria está en el SIL de Gobernación (2025).
Derechos ARCO y privacidad
Puedes ejercer acceso, rectificación, cancelación u oposición según el aviso de privacidad integral y la normativa aplicable. El canal y plazos están descritos en el aviso publicado; para borrar conversaciones de chat usa «eliminar conversación» en el historial del chat.
Retención de datos
La conservación de mensajes y registros depende de la política del workspace y del despliegue (self-hosted o nube). Revisa la política de retención legal del sitio y el aviso de privacidad. Un borrado automático por inactividad puede configurarse a nivel de operación si tu organización lo implementa.
Pruebas de regresión (desarrollo)
Escenarios de QA documentados en código: apps/web/src/lib/juxa-normativa-qa-prompts.ts — ejecútelos manualmente contra el chat jurídico y registre resultados.
Registro y consentimientos
Cargando…