Volver a plantillas de polĂ­ticas
PolĂ­tica 02 de 15

Politica de uso de datos en IA

Establece las normas sobre como se recopilan, procesan, almacenan y comparten los datos en el contexto de los sistemas de IA.

1. Proposito

Esta politica define como [Nombre de la organizacion] recopila, procesa, almacena y comparte datos en relacion con los sistemas de IA. Confirma que todo uso de datos relacionado con IA cumple con las leyes de proteccion de datos aplicables, respeta los derechos individuales y mantiene la confianza de clientes, empleados y socios.

2. Alcance

Esta politica se aplica a:

  • Todos los datos utilizados para entrenar, ajustar, validar, probar u operar sistemas de IA.
  • Todos los datos generados por sistemas de IA (predicciones, recomendaciones, contenido, decisiones).
  • Todos los datos transmitidos a o recibidos de servicios de IA de terceros.
  • Todos los empleados, contratistas y socios que manejen datos en relacion con la IA.

3. Definiciones

  • Datos personales: Cualquier informacion relativa a una persona fisica identificada o identificable, segun la definicion del articulo 4(1) del RGPD.
  • Datos de categoria especial: Datos que revelen el origen racial o etnico, opiniones politicas, creencias religiosas, afiliacion sindical, datos geneticos, datos biometricos, datos de salud o datos relativos a la vida sexual u orientacion sexual (RGPD Articulo 9).
  • Datos de entrenamiento: Datos utilizados para construir, entrenar o ajustar un modelo de IA.
  • Datos de inferencia: Datos procesados por un sistema de IA en tiempo de ejecucion para producir resultados.
  • Datos sinteticos: Datos generados artificialmente que imitan patrones de datos del mundo real sin contener informacion personal real.
  • Base legal: El fundamento juridico bajo el cual se procesan los datos personales (consentimiento, contrato, obligacion legal, intereses vitales, interes publico o intereses legitimos).

4. Base legal para el tratamiento de datos de IA

Antes de que se utilicen datos personales en un sistema de IA, la base legal debe ser identificada y documentada. No todo uso de IA requiere consentimiento — el RGPD permite varias bases legales. Sin embargo, cada una debe evaluarse caso por caso.

Base legalCuando es aplicable a la IARequisitos clave
Consentimiento (Art. 6(1)(a))Los interesados aceptan explicitamente el tratamiento por IADebe ser libre, especifico, informado e inequivoco. Puede ser retirado.
Contrato (Art. 6(1)(b))El tratamiento por IA es necesario para prestar un servicio contratadoDebe ser genuinamente necesario, no solo conveniente.
Intereses legitimos (Art. 6(1)(f))El tratamiento por IA sirve a un interes comercial legitimo que no prevalece sobre los derechos individualesRequiere una Evaluacion de intereses legitimos (LIA) documentada.
Obligacion legal (Art. 6(1)(c))El tratamiento por IA es requerido por ley (p. ej., mandatos de deteccion de fraude)Debe identificar la obligacion legal especifica.

Los datos de categoria especial requieren una condicion adicional conforme al articulo 9(2) del RGPD y nunca deben utilizarse para el entrenamiento de IA sin una revision legal explicita.

5. Recopilacion y obtencion de datos

  • Los datos deben recopilarse con fines determinados, explicitos y legitimos (limitacion de la finalidad).
  • Solo se podran recopilar datos que sean adecuados, pertinentes y limitados a lo necesario (minimizacion de datos).
  • La fuente y procedencia de todos los datos utilizados en IA deben documentarse.
  • Los datos adquiridos o licenciados deben contar con terminos claros que permitan su uso en el entrenamiento e inferencia de IA.
  • Los datos obtenidos por web scraping deben revisarse en cuanto a derechos de autor, terminos de servicio y contenido de datos personales antes de su uso.
  • Se prefieren los datos sinteticos cuando los datos reales no son necesarios o cuando los riesgos de privacidad son altos.

6. Calidad y exactitud de los datos

El articulo 10 del Reglamento Europeo de IA exige que los datos de entrenamiento para sistemas de alto riesgo sean "pertinentes, representativos, libres de errores y completos". Todos los datos de IA deben cumplir los siguientes estandares:

  • Los datos deben revisarse en cuanto a exactitud, integridad y oportunidad antes de su uso.
  • Los problemas conocidos de calidad de datos deben documentarse y evaluarse su impacto en el rendimiento del modelo.
  • Debe realizarse una evaluacion de sesgos en los conjuntos de datos de entrenamiento y evaluacion.
  • Las metricas de calidad de datos deben rastrearse e informarse al titular del modelo.

7. Retencion y eliminacion de datos

  • Los datos no deben conservarse mas tiempo del necesario para su finalidad declarada (limitacion del almacenamiento).
  • Los periodos de retencion deben definirse y documentarse para cada conjunto de datos y sistema de IA.
  • Cuando se retire un modelo, los datos de entrenamiento e inferencia asociados deben revisarse para su eliminacion o anonimizacion.
  • Las personas tienen derecho a solicitar la eliminacion de sus datos. Cuando se reciba una solicitud de eliminacion, debe evaluarse el impacto en los sistemas de IA activos y cumplirse la solicitud cuando la ley lo requiera.
  • Los registros de auditoria y las pruebas de cumplimiento pueden conservarse durante mas tiempo conforme a los requisitos legales y regulatorios.

8. Intercambio de datos y transferencias a terceros

  • Los datos compartidos con proveedores de IA de terceros deben regirse por un Acuerdo de tratamiento de datos (DPA) que especifique la finalidad, las medidas de seguridad, los subencargados y los derechos del interesado.
  • Las transferencias transfronterizas deben cumplir con el Capitulo V del RGPD (decisiones de adecuacion, clausulas contractuales tipo o normas corporativas vinculantes).
  • Los requisitos de residencia de datos deben documentarse para cada sistema de IA.
  • Los proveedores de IA de terceros no deben utilizar los datos de los clientes para el entrenamiento de sus propios modelos a menos que se autorice explicitamente.

9. Toma de decisiones automatizada

Cuando los sistemas de IA toman o influyen significativamente en decisiones sobre personas:

  • Las personas deben ser informadas de que se esta realizando un tratamiento automatizado (RGPD Articulos 13/14).
  • Las personas tienen derecho a no ser objeto de decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o igualmente significativos (RGPD Articulo 22).
  • Debe estar disponible una revision humana significativa para las decisiones de alto impacto.
  • La logica empleada, la importancia y las consecuencias previstas deben explicarse a la persona afectada.

10. Evaluaciones de impacto en la proteccion de datos

Debe completarse una Evaluacion de impacto en la proteccion de datos (EIPD) antes de desplegar sistemas de IA que:

  • Procesen datos personales a gran escala.
  • Impliquen un seguimiento sistematico de personas.
  • Procesen datos de categoria especial.
  • Utilicen la toma de decisiones automatizada con efectos juridicos o significativos.
  • Combinen conjuntos de datos de multiples fuentes de maneras que las personas no esperarian razonablemente.

11. Roles y responsabilidades

RolResponsabilidades en el uso de datos
Titular de datosResponsable de la calidad, clasificacion y aprobaciones de acceso de sus conjuntos de datos, asi como de su cumplimiento.
Titular del modeloGarantiza que el uso de datos del sistema de IA este documentado, la base legal identificada y los periodos de retencion definidos.
Delegado de proteccion de datosRevisa las EIPD, asesora sobre la base legal, gestiona las solicitudes de los interesados, coordina con los reguladores.
JuridicoRevisa las licencias de datos, los DPA de proveedores y los mecanismos de transferencia transfronteriza.
Todos los empleadosManejan los datos segun su clasificacion, reportan problemas de calidad de datos, completan la formacion en privacidad.

12. Alineacion regulatoria

  • RGPD: Articulos 5 (principios), 6 (base legal), 9 (categorias especiales), 13-14 (transparencia), 17 (derecho de supresion), 22 (decisiones automatizadas), 25 (privacidad desde el diseno), 35 (EIPD).
  • Reglamento Europeo de IA: Articulo 10 (gobernanza de datos para sistemas de alto riesgo), Articulo 13 (transparencia).
  • ISO/IEC 42001: Anexo B (B.7 — datos para sistemas de IA).
  • NIST AI RMF: Funcion MAP (MP-3, riesgos de IA de datos de terceros).

13. Revision

Esta politica se revisa anualmente o antes si se desencadena por cambios regulatorios, violaciones de datos o cambios significativos en las actividades de tratamiento de datos de IA.

Control documental

CampoValor
Titular de la politica[Delegado de proteccion de datos]
Aprobado por[Comite de gobernanza de IA]
Fecha de vigencia[Fecha]
Proxima fecha de revision[Fecha + 12 meses]
Version1.0
ClasificacionInterna

ÂżListo para implementar esta polĂ­tica?

Use VerifyWise para personalizar esta plantilla de polĂ­tica, desplegarla y hacer seguimiento del cumplimiento.

Comenzar gratisExplorar todas las plantillas
Politica de uso de datos en IA | Plantillas de gobernanza de IA de VerifyWise