Cumplimiento, transparencia e IA (UE)
Resumen orientativo para titulares de datos y equipos legales: qué registramos en el alta y cómo documentamos el uso de sistemas de IA a alto nivel (sin almacenar el contenido de tus conversaciones en esta vista).
Texto informativo. No sustituye asesoramiento jurídico. Adapta políticas internas, DPIA y contratos a tu despacho y jurisdicción.
Guía breve: usabilidad, seguridad y trazabilidad
Resumen práctico alineado con expectativas de transparencia (UE): véase Documentación → Confianza y cumplimiento (UE). /documentation
Juxa Red: próximamente ampliaremos esta sección con orientación específica para la red profesional y la comunidad (mismos principios de confianza; notas por superficie).
Seguridad de la información (ISO/IEC 27001:2022) — controles en producto
Medidas en JUXA: AES-256-GCM en reposo, RBAC, trazabilidad de seguridad, límites de tasa y bloqueo de identidad en canales de cobranza.
| Referencia | Obligación / tema | Estado | Ámbito | En el sistema / plan u organización |
|---|---|---|---|---|
| A.5.1 — Políticas de seguridad | Política de seguridad de la información documentada y comunicada. | Parcial | Compartido (producto + org.) | SECURITY.md y plantilla corporativa en docs/compliance; el cliente completa su ISMS. |
| A.5.2 — Roles y responsabilidades | Roles de seguridad definidos y asignados. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | RBAC workspace + platform staff; RACI organizacional en plantilla ISMS. |
| A.5.9 — Inventario de activos | Inventario de activos de información y otros activos asociados. | Parcial | Compartido (producto + org.) | Aislamiento por workspace; plantilla de inventario en docs/compliance. |
| A.5.10 — Uso aceptable | Reglas para el uso aceptable de información y activos. | Parcial | Compartido (producto + org.) | Términos del servicio y política de seguridad; capacitación organizacional pendiente. |
| A.5.15 — Control de acceso | Reglas de control de acceso basadas en requisitos de negocio y seguridad. | Cumple (en lo medido) | Producto / código | Sesión Better Auth, permisos workspace, APIs con requireAuthContext. |
| A.5.16 — Gestión de identidades | Ciclo de vida completo de identidades. | Parcial | Compartido (producto + org.) | Alta/baja miembros workspace; plantilla revisión accesos trimestral. |
| A.5.17 — Información de autenticación | Asignación y gestión segura de información de autenticación. | Cumple (en lo medido) | Producto / código | MFA TOTP, tokens API hasheados SHA-256, OAuth refresh en vault. |
| A.5.18 — Derechos de acceso | Provisionamiento, revisión y revocación de derechos de acceso. | Parcial | Producto / código | RBAC granular, rol auditor externo acotado, IP allowlist enterprise. |
| A.8.1 — Clasificación de información | Información clasificada según necesidades de protección. | Parcial | Producto / código | Etiquetas sensibles en agente cobranza; minimización portales públicos. |
| A.8.2 — Etiquetado | Procedimiento de etiquetado acorde a esquema de clasificación. | Parcial | Producto / código | Cabeceras data-protection en superficies sensibles. |
| A.8.9 — Gestión de configuración | Configuraciones documentadas y controladas. | Parcial | Compartido (producto + org.) | platform_governance, env-feature-matrix, checklist IF automatizado. |
| A.8.10 — Borrado de información | Información borrada cuando ya no se requiere. | Parcial | Producto / código | Retención configurable en gobernanza; purga audit logs; legal hold. |
| A.8.24 — Criptografía | Uso efectivo de criptografía para proteger confidencialidad e integridad. | Parcial | Producto / código | TLS en tránsito; AES-256-GCM en reposo (JUXA_*_VAULT_KEY). |
| A.8.25 — Ciclo de vida seguro | Principios de ingeniería segura en ciclo de vida del desarrollo. | Proceso organizativo | Compartido (producto + org.) | Dependabot, OSV-Scanner, prompt-injection-guard, ClamAV uploads. |
| A.8.26 — Requisitos de seguridad de aplicaciones | Requisitos de seguridad identificados y aplicados. | Parcial | Producto / código | SIG Lite, matriz ISO producto, if:go-live-check para perfil IF. |
| A.8.28 — Codificación segura | Principios de codificación segura aplicados. | Parcial | Compartido (producto + org.) | SECURITY.md XSS policy, server-only prompts, workspace_id obligatorio. |
| A.8.29 — Pruebas de seguridad | Pruebas de seguridad en desarrollo y aceptación. | Proceso organizativo | Compartido (producto + org.) | Pentest matrix Q1; smoke security:pentest-smoke; pentest externo organizacional. |
| A.8.31 — Separación de entornos | Entornos de desarrollo, prueba y producción separados. | Parcial | Fuera del producto (org., hosting, contratos) | JUXA_SERVER=testing, DATABASE_URL separado; documentar en runbook instancias. |
| A.8.32 — Gestión de cambios | Cambios en infraestructura y software controlados. | Proceso organizativo | Compartido (producto + org.) | Git PR + CI web-quality; auditoría plataforma en cambios sensibles. |
| A.8.33 — Información de prueba | Datos de prueba seleccionados, protegidos y gestionados. | Parcial | Compartido (producto + org.) | Seed test personas con acuerdo; sandbox CONDUSEF para IF. |
| A.8.34 — Protección en auditoría | Herramientas de auditoría protegidas contra acceso no autorizado. | Cumple (en lo medido) | Producto / código | Platform ops gate, external_auditor role acotado, audit export IF. |
| A.5.23 — Seguridad en la nube | Procesos de adquisición, uso y salida de servicios cloud. | Parcial | Compartido (producto + org.) | Modelo responsabilidad compartida GCP; checklist hardening. |
| A.5.24 — Planificación de continuidad | Continuidad del SGSI planificada. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Cloud SQL PITR (operador); RTO/RPO contractual; DR multi-región roadmap. |
| A.5.25 — Eventos de seguridad | Eventos evaluados y clasificados. | Parcial | Producto / código | product_usage_events surface security; runbook incidentes. |
| A.5.26 — Respuesta a incidentes | Incidentes de seguridad respondidos según procedimientos. | Parcial | Compartido (producto + org.) | Runbook + security@juxa.io; simulacro en plantilla ISMS. |
| A.5.19 — Proveedores | Seguridad en relaciones con proveedores. | Parcial | Compartido (producto + org.) | Subprocesadores publicados; plantilla evaluación vendor. |
| A.5.33 — Registros de protección | Registros de eventos generados y protegidos. | Parcial | Producto / código | audit_logs, platform_audit_logs, retención gobernanza. |
| A.5.34 — Privacidad / PII | Cumplimiento de requisitos legales de privacidad y PII. | Parcial | Compartido (producto + org.) | LFPDPPP aviso, consentimiento alta, DSAR, anti-enumeración cobranza. |
| Estándar bancario (referencia) | Controles alineados a prácticas de instituciones financieras. | Parcial | Producto / código | Verificación contrato→RFC/CURP→dirección, CONDUSEF, RLS IF/recovery. |
A.5.1 — Políticas de seguridad
Política de seguridad de la información documentada y comunicada.
SECURITY.md y plantilla corporativa en docs/compliance; el cliente completa su ISMS.
A.5.2 — Roles y responsabilidades
Roles de seguridad definidos y asignados.
RBAC workspace + platform staff; RACI organizacional en plantilla ISMS.
A.5.9 — Inventario de activos
Inventario de activos de información y otros activos asociados.
Aislamiento por workspace; plantilla de inventario en docs/compliance.
A.5.10 — Uso aceptable
Reglas para el uso aceptable de información y activos.
Términos del servicio y política de seguridad; capacitación organizacional pendiente.
A.5.15 — Control de acceso
Reglas de control de acceso basadas en requisitos de negocio y seguridad.
Sesión Better Auth, permisos workspace, APIs con requireAuthContext.
A.5.16 — Gestión de identidades
Ciclo de vida completo de identidades.
Alta/baja miembros workspace; plantilla revisión accesos trimestral.
A.5.17 — Información de autenticación
Asignación y gestión segura de información de autenticación.
MFA TOTP, tokens API hasheados SHA-256, OAuth refresh en vault.
A.5.18 — Derechos de acceso
Provisionamiento, revisión y revocación de derechos de acceso.
RBAC granular, rol auditor externo acotado, IP allowlist enterprise.
A.8.1 — Clasificación de información
Información clasificada según necesidades de protección.
Etiquetas sensibles en agente cobranza; minimización portales públicos.
A.8.2 — Etiquetado
Procedimiento de etiquetado acorde a esquema de clasificación.
Cabeceras data-protection en superficies sensibles.
A.8.9 — Gestión de configuración
Configuraciones documentadas y controladas.
platform_governance, env-feature-matrix, checklist IF automatizado.
A.8.10 — Borrado de información
Información borrada cuando ya no se requiere.
Retención configurable en gobernanza; purga audit logs; legal hold.
A.8.24 — Criptografía
Uso efectivo de criptografía para proteger confidencialidad e integridad.
TLS en tránsito; AES-256-GCM en reposo (JUXA_*_VAULT_KEY).
A.8.25 — Ciclo de vida seguro
Principios de ingeniería segura en ciclo de vida del desarrollo.
Dependabot, OSV-Scanner, prompt-injection-guard, ClamAV uploads.
A.8.26 — Requisitos de seguridad de aplicaciones
Requisitos de seguridad identificados y aplicados.
SIG Lite, matriz ISO producto, if:go-live-check para perfil IF.
A.8.28 — Codificación segura
Principios de codificación segura aplicados.
SECURITY.md XSS policy, server-only prompts, workspace_id obligatorio.
A.8.29 — Pruebas de seguridad
Pruebas de seguridad en desarrollo y aceptación.
Pentest matrix Q1; smoke security:pentest-smoke; pentest externo organizacional.
A.8.31 — Separación de entornos
Entornos de desarrollo, prueba y producción separados.
JUXA_SERVER=testing, DATABASE_URL separado; documentar en runbook instancias.
A.8.32 — Gestión de cambios
Cambios en infraestructura y software controlados.
Git PR + CI web-quality; auditoría plataforma en cambios sensibles.
A.8.33 — Información de prueba
Datos de prueba seleccionados, protegidos y gestionados.
Seed test personas con acuerdo; sandbox CONDUSEF para IF.
A.8.34 — Protección en auditoría
Herramientas de auditoría protegidas contra acceso no autorizado.
Platform ops gate, external_auditor role acotado, audit export IF.
A.5.23 — Seguridad en la nube
Procesos de adquisición, uso y salida de servicios cloud.
Modelo responsabilidad compartida GCP; checklist hardening.
A.5.24 — Planificación de continuidad
Continuidad del SGSI planificada.
Cloud SQL PITR (operador); RTO/RPO contractual; DR multi-región roadmap.
A.5.25 — Eventos de seguridad
Eventos evaluados y clasificados.
product_usage_events surface security; runbook incidentes.
A.5.26 — Respuesta a incidentes
Incidentes de seguridad respondidos según procedimientos.
Runbook + security@juxa.io; simulacro en plantilla ISMS.
A.5.19 — Proveedores
Seguridad en relaciones con proveedores.
Subprocesadores publicados; plantilla evaluación vendor.
A.5.33 — Registros de protección
Registros de eventos generados y protegidos.
audit_logs, platform_audit_logs, retención gobernanza.
A.5.34 — Privacidad / PII
Cumplimiento de requisitos legales de privacidad y PII.
LFPDPPP aviso, consentimiento alta, DSAR, anti-enumeración cobranza.
Estándar bancario (referencia)
Controles alineados a prácticas de instituciones financieras.
Verificación contrato→RFC/CURP→dirección, CONDUSEF, RLS IF/recovery.
Cuadro de cumplimiento — Unión Europea (AI Act y marco complementario)
Referencia: Reglamento (UE) 2024/1689 y puntos de contacto con RGPD. Estado orientativo respecto a lo implementado en el producto y a lo que corresponde al responsable del tratamiento o desplegador. Actualice este listado con su asesor legal.
| Referencia | Obligación / tema | Estado | Ámbito | En el sistema / plan u organización |
|---|---|---|---|---|
| AI Act — Ámbito (Título I) | Clasificar el papel del operador (proveedor, desplegador, importador, distribuidor) y si el sistema encaja en categorías restringidas o de alto riesgo. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Evaluación jurídica externa al código. El producto es software multi-tenant; cada cliente puede ser desplegador. |
| Art. 5 — Prácticas prohibidas | No subliminar, explotación de vulnerabilidades, puntuación social ilegal, identificación remota biométrica en espacio público salvo excepciones, inferencia de sensibles, compilación ilícita de BD faciales. | Cumple (en lo medido) | Producto / código | Diseño orientado a CRM/legal/recovery; sin puntuación social ni biometría como función; prompts y reglas internas contra autotutela y abuso. |
| Art. 9 ss. — Sistemas de alto riesgo | Si el uso califica como alto riesgo (Anexo III): gestión de riesgos, datos de entrenamiento, documentación, registro, vigilancia post-comercialización. | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Muchos despliegues de asistente genérico no son alto riesgo; depende del caso de uso concreto. Plan: dictamen + registro si aplica. |
| Art. 13 — Transparencia (proveedor → desplegador) | Instrucciones de uso, capacidades, límites y información necesaria para cumplir obligaciones del desplegador. | Parcial | Compartido (producto + org.) | Trazabilidad v2 con generalTraceV1 (modo general) y normativeTraceV1 con fundamentación/motivación por artículo (modo jurídico). Panel UI oculto en auto_general. |
| Art. 14 — Supervisión humana (alto riesgo) | Medidas para que personas puedan supervisar, intervenir y anular; comprensión de limitaciones. | Parcial | Compartido (producto + org.) | En producto: avisos, identidad IA, sugerencia de abogado en temas graves. Completo si se clasifica alto riesgo: procedimiento organizativo. |
| Art. 15 — Exactitud, robustez, ciberseguridad (alto riesgo) | Niveles apropiados de exactitud, resiliencia y seguridad técnica durante el ciclo de vida. | Parcial | Compartido (producto + org.) | Pruebas manuales (QA prompts), parámetros de modelo opcionales, filtro de URLs en legal; red team y pentest = proceso organizativo/hosting. |
| Art. 50 — Transparencia (interacción con personas) | Informar a la persona de que interactúa con un sistema de IA, salvo que sea evidente; contenido sintético cuando aplique. | Parcial | Producto / código | Chat: bloque de identidad JUXA/IA al inicio; prompts de sistema. Mejorar: coherencia en todas las superficies y documentación de evidencias. |
| Art. 52 — Transparencia (interacción con sistemas de IA) | En interacciones, las personas deben saber que hablan con una IA (coherente con despliegue). | Parcial | Producto / código | Alineado con núcleo normativo JUXA y UI de cumplimiento; revisar mini-apps y flujos sin burbuja inicial. |
| Art. 53–55 — GPAI / modelo de propósito general | Documentación técnica, política de derechos de autor, resumen del contenido de entrenamiento (proveedores de GPAI). | Proceso organizativo | Compartido (producto + org.) | Obligación principal del proveedor del modelo (p. ej. Google, Anthropic). Desplegador: contratos, DPIA y trazabilidad del modelo usado. |
| CRM — Anthropic directo vs enrutador | Registrar en analítica el proveedor efectivo del chat (OpenRouter, Vertex, Anthropic nativo, etc.). | Cumple (en lo medido) | Producto / código | El modo Anthropic directo (`anthropic_native`, solo si `JUXA_CRM_ANTHROPIC_DIRECT_ENABLED=true`) usa la API Messages; por defecto el chat usa OpenRouter u otros upstreams. Ver mapa. |
| Art. 62 — Vigilancia post-comercialización (alto riesgo) | Vigilar funcionamiento y reportar incidentes graves al mercado o autoridad. | Plan de trabajo | Fuera del producto (org., hosting, contratos) | Plan: proceso de tickets, registro de incidencias y revisión periódica si el uso es alto riesgo. |
| Art. 71 — Autoridades notificadas / sandbox | Cooperación con autoridades donde proceda (innovación regulada, pruebas). | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Fuera del código; según sede del responsable y del despliegue. |
| Art. 72 ss. — Sistema de gobernanza UE | Órgano de IA europeo, referencia a normas harmonizadas y cooperación. | N/A o evaluación pendiente | Fuera del producto (org., hosting, contratos) | Seguimiento normativo por legal/compliance de la organización. |
| RGPD — Bases jurídicas y transparencia (Arts. 5–14) | Tratamiento lícito, información al interesado, minimización y finalidad determinada. | Parcial | Compartido (producto + org.) | Aviso de privacidad, consentimiento en registro auditado; completar DPA/encargados y transferencias internacionales según despliegue. |
| RGPD — Derechos del interesado (Arts. 15–22) | Acceso, rectificación, supresión, limitación, portabilidad, oposición; automatizada con explicación cuando aplique. | Parcial | Producto / código | Borrado de conversaciones; solicitudes ARCO/DSAR vía Ajustes → Privacidad y datos; export JSON mínimo (portabilidad) y APIs bajo /api/v1/account/privacy-*; cola en superadmin. |
| RGPD — Seguridad del tratamiento (Art. 32) | Medidas técnicas y organizativas apropiadas (cifrado, integridad, disponibilidad). | Parcial | Compartido (producto + org.) | TLS, buenas prácticas en SECURITY.md; cifrado en reposo y backups según hosting del cliente (self-hosted vs nube). |
| RGPD — DPIA (Art. 35) | Evaluación de impacto cuando el tratamiento genere alto riesgo (p. ej. evaluación sistemática, datos sensibles a escala). | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Elaborar DPIA por cada despliegue que trate datos personales con IA; no sustituye esta pantalla. |
| Directiva derechos de autor DSM / transparencia IA | Respeto a obras; transparencia sobre uso de contenido protegido en entrenamiento (marco UE nacional). | Parcial | Fuera del producto (org., hosting, contratos) | RAG limitado a leyes/dominio público según política del despacho; acuerdos con proveedores de modelo. |
| Registro / documentación interna (desplegador) | Mantener registro de uso de IA, versiones de modelo y decisiones de configuración para auditoría. | Parcial | Producto / código | Eventos `ai_transparency_events` (superficie, categoría, familia de modelo); ampliar según política interna. |
| Contratos y encargados (proveedores de IA) | Cláusulas Art. 28 RGPD con subencargados; DPA con hiperscalers y APIs de modelo. | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Plantillas legales y revisión externa; fuera del repositorio de producto. |
| DSA — Ley de Servicios Digitales (Regl. 2022/2065) | Procedimientos de notificación de contenidos ilícitos, transparencia de publicidad, informes de transparencia (según calificación de intermediario). | Parcial | Fuera del producto (org., hosting, contratos) | Cookie banner / términos en front; políticas de moderación y puntos de contacto legales = responsabilidad del operador del sitio. |
| Carta de Derechos Fundamentales UE | Respeto a derechos fundamentales en el diseño y despliegue de sistemas de IA (proporcionalidad, no discriminación). | Parcial | Compartido (producto + org.) | Prompts y reglas JUXA (sesgo, tono); auditorías de equidad y políticas RH = organización. |
| Directiva NIS2 / ciberseguridad sectorial | Gestión de riesgos de seguridad de red e información para operadores esenciales/importantes (transposición nacional). | Proceso organizativo | Fuera del producto (org., hosting, contratos) | Aplicable según sector y tamaño del desplegador; no codificable en el CRM genérico. |
AI Act — Ámbito (Título I)
Clasificar el papel del operador (proveedor, desplegador, importador, distribuidor) y si el sistema encaja en categorías restringidas o de alto riesgo.
Evaluación jurídica externa al código. El producto es software multi-tenant; cada cliente puede ser desplegador.
Art. 5 — Prácticas prohibidas
No subliminar, explotación de vulnerabilidades, puntuación social ilegal, identificación remota biométrica en espacio público salvo excepciones, inferencia de sensibles, compilación ilícita de BD faciales.
Diseño orientado a CRM/legal/recovery; sin puntuación social ni biometría como función; prompts y reglas internas contra autotutela y abuso.
Art. 9 ss. — Sistemas de alto riesgo
Si el uso califica como alto riesgo (Anexo III): gestión de riesgos, datos de entrenamiento, documentación, registro, vigilancia post-comercialización.
Muchos despliegues de asistente genérico no son alto riesgo; depende del caso de uso concreto. Plan: dictamen + registro si aplica.
Art. 13 — Transparencia (proveedor → desplegador)
Instrucciones de uso, capacidades, límites y información necesaria para cumplir obligaciones del desplegador.
Trazabilidad v2 con generalTraceV1 (modo general) y normativeTraceV1 con fundamentación/motivación por artículo (modo jurídico). Panel UI oculto en auto_general.
Art. 14 — Supervisión humana (alto riesgo)
Medidas para que personas puedan supervisar, intervenir y anular; comprensión de limitaciones.
En producto: avisos, identidad IA, sugerencia de abogado en temas graves. Completo si se clasifica alto riesgo: procedimiento organizativo.
Art. 15 — Exactitud, robustez, ciberseguridad (alto riesgo)
Niveles apropiados de exactitud, resiliencia y seguridad técnica durante el ciclo de vida.
Pruebas manuales (QA prompts), parámetros de modelo opcionales, filtro de URLs en legal; red team y pentest = proceso organizativo/hosting.
Art. 50 — Transparencia (interacción con personas)
Informar a la persona de que interactúa con un sistema de IA, salvo que sea evidente; contenido sintético cuando aplique.
Chat: bloque de identidad JUXA/IA al inicio; prompts de sistema. Mejorar: coherencia en todas las superficies y documentación de evidencias.
Art. 52 — Transparencia (interacción con sistemas de IA)
En interacciones, las personas deben saber que hablan con una IA (coherente con despliegue).
Alineado con núcleo normativo JUXA y UI de cumplimiento; revisar mini-apps y flujos sin burbuja inicial.
Art. 53–55 — GPAI / modelo de propósito general
Documentación técnica, política de derechos de autor, resumen del contenido de entrenamiento (proveedores de GPAI).
Obligación principal del proveedor del modelo (p. ej. Google, Anthropic). Desplegador: contratos, DPIA y trazabilidad del modelo usado.
CRM — Anthropic directo vs enrutador
Registrar en analítica el proveedor efectivo del chat (OpenRouter, Vertex, Anthropic nativo, etc.).
El modo Anthropic directo (`anthropic_native`, solo si `JUXA_CRM_ANTHROPIC_DIRECT_ENABLED=true`) usa la API Messages; por defecto el chat usa OpenRouter u otros upstreams. Ver mapa.
Art. 62 — Vigilancia post-comercialización (alto riesgo)
Vigilar funcionamiento y reportar incidentes graves al mercado o autoridad.
Plan: proceso de tickets, registro de incidencias y revisión periódica si el uso es alto riesgo.
Art. 71 — Autoridades notificadas / sandbox
Cooperación con autoridades donde proceda (innovación regulada, pruebas).
Fuera del código; según sede del responsable y del despliegue.
Art. 72 ss. — Sistema de gobernanza UE
Órgano de IA europeo, referencia a normas harmonizadas y cooperación.
Seguimiento normativo por legal/compliance de la organización.
RGPD — Bases jurídicas y transparencia (Arts. 5–14)
Tratamiento lícito, información al interesado, minimización y finalidad determinada.
Aviso de privacidad, consentimiento en registro auditado; completar DPA/encargados y transferencias internacionales según despliegue.
RGPD — Derechos del interesado (Arts. 15–22)
Acceso, rectificación, supresión, limitación, portabilidad, oposición; automatizada con explicación cuando aplique.
Borrado de conversaciones; solicitudes ARCO/DSAR vía Ajustes → Privacidad y datos; export JSON mínimo (portabilidad) y APIs bajo /api/v1/account/privacy-*; cola en superadmin.
RGPD — Seguridad del tratamiento (Art. 32)
Medidas técnicas y organizativas apropiadas (cifrado, integridad, disponibilidad).
TLS, buenas prácticas en SECURITY.md; cifrado en reposo y backups según hosting del cliente (self-hosted vs nube).
RGPD — DPIA (Art. 35)
Evaluación de impacto cuando el tratamiento genere alto riesgo (p. ej. evaluación sistemática, datos sensibles a escala).
Elaborar DPIA por cada despliegue que trate datos personales con IA; no sustituye esta pantalla.
Directiva derechos de autor DSM / transparencia IA
Respeto a obras; transparencia sobre uso de contenido protegido en entrenamiento (marco UE nacional).
RAG limitado a leyes/dominio público según política del despacho; acuerdos con proveedores de modelo.
Registro / documentación interna (desplegador)
Mantener registro de uso de IA, versiones de modelo y decisiones de configuración para auditoría.
Eventos `ai_transparency_events` (superficie, categoría, familia de modelo); ampliar según política interna.
Contratos y encargados (proveedores de IA)
Cláusulas Art. 28 RGPD con subencargados; DPA con hiperscalers y APIs de modelo.
Plantillas legales y revisión externa; fuera del repositorio de producto.
DSA — Ley de Servicios Digitales (Regl. 2022/2065)
Procedimientos de notificación de contenidos ilícitos, transparencia de publicidad, informes de transparencia (según calificación de intermediario).
Cookie banner / términos en front; políticas de moderación y puntos de contacto legales = responsabilidad del operador del sitio.
Carta de Derechos Fundamentales UE
Respeto a derechos fundamentales en el diseño y despliegue de sistemas de IA (proporcionalidad, no discriminación).
Prompts y reglas JUXA (sesgo, tono); auditorías de equidad y políticas RH = organización.
Directiva NIS2 / ciberseguridad sectorial
Gestión de riesgos de seguridad de red e información para operadores esenciales/importantes (transposición nacional).
Aplicable según sector y tamaño del desplegador; no codificable en el CRM genérico.
Documentación legal
México, UNESCO y marco de referencia
El núcleo normativo JUXA (identidad de IA, alcance México, RAG, fine-tuning supervisado, transparencia) forma parte del ADN del producto —junto al enfoque Legal Cloud y RecoveryTech. La referencia institucional complementaria está en el SIL de Gobernación (2025).
Derechos ARCO y privacidad
Puedes ejercer acceso, rectificación, cancelación u oposición según el aviso de privacidad integral y la normativa aplicable. El canal y plazos están descritos en el aviso publicado; para borrar conversaciones de chat usa «eliminar conversación» en el historial del chat.
Retención de datos
La conservación de mensajes y registros depende de la política del workspace y del despliegue (self-hosted o nube). Revisa la política de retención legal del sitio y el aviso de privacidad. Un borrado automático por inactividad puede configurarse a nivel de operación si tu organización lo implementa.
Pruebas de regresión (desarrollo)
Escenarios de QA documentados en código: apps/web/src/lib/juxa-normativa-qa-prompts.ts — ejecútelos manualmente contra el chat jurídico y registre resultados.
Registro y consentimientos
Cargando…