Política de IA Responsable

En GuruMood construimos sistemas de IA con un enfoque responsable. Nuestros principios rectores son:

• Utilidad: los sistemas deben producir resultados útiles y medibles para el cliente y sus usuarios.
• Seguridad: minimizamos riesgos mediante guardrails, pruebas, monitoreo y controles de contenido.
• Transparencia: informamos cuando un usuario interactúa con un sistema automatizado y explicamos las capacidades y limitaciones de nuestros agentes.
• Supervisión humana: mantenemos revisión humana en decisiones de alto impacto y en iteraciones del producto.
• Privacidad y protección de datos: aplicamos minimización, propósito limitado y controles técnicos adecuados.
• Equidad y no discriminación: evaluamos sesgos e impactos en poblaciones vulnerables cuando procede.
• Responsabilidad: mantenemos trazabilidad de decisiones, registros de auditoría y un proceso de incidentes.

Integramos modelos de varios proveedores según el caso de uso, incluyendo (sin limitación): OpenAI, Anthropic, Google, Meta (open weights) y modelos open-source auto-alojados. La selección del modelo considera calidad, seguridad, cumplimiento, coste, latencia, soporte de idiomas y condiciones contractuales (incluidos los términos de no entrenamiento y las políticas de tratamiento de datos).

• No utilizamos datos de clientes ni datos de usuarios finales para entrenar modelos fundacionales propios ni de terceros. Empleamos las variantes de API de los proveedores que excluyen el entrenamiento con los datos enviados.
• Los prompts y contextos se envían a los proveedores de modelos únicamente en la medida necesaria para producir la respuesta solicitada, y están sujetos a las políticas de tratamiento de datos del proveedor (que analizamos antes de seleccionarlo).
• Los datos de clientes se pueden usar para ajustar configuraciones específicas del cliente (por ejemplo, prompts, plantillas, conjuntos de recuperación) únicamente para ese cliente.
• Cuando un cliente solicita explícitamente fine-tuning con sus propios datos, lo realizamos en entornos segregados, con contratos específicos y medidas de aislamiento.
• No venderemos ni cederemos datos de clientes a terceros con fines de entrenamiento o enriquecimiento.

Antes de desplegar un agente, realizamos evaluaciones funcionales y de seguridad, incluidas pruebas de prompt injection, fuga de información, respuestas tóxicas, alucinaciones y cumplimiento de las reglas del cliente. Mantenemos conjuntos de evaluación internos y monitoreamos la calidad en producción.

• Prompts de sistema versionados, con controles de acceso para su modificación.
• Filtros de contenido en entrada y salida (p. ej., toxicidad, PII, contenido sensible).
• Defensas contra prompt injection (delimitadores, recuperación aislada, sanitización de fuentes externas).
• Rate limits, cuotas y circuit breakers por cliente e integración.
• Lista de dominios y herramientas permitidas cuando los agentes utilizan herramientas externas.
• Monitorización centralizada con alertas ante comportamientos anómalos.

Cuando un usuario final interactúa con un sistema automatizado (por ejemplo, un chatbot o un agente de voz), proporcionamos una divulgación clara al inicio de la interacción o en un punto visible, según lo requiera la normativa aplicable (incluido el Art. 50 del Reglamento de IA de la UE y leyes similares en EE. UU. como la California SB 1001). Los clientes son responsables de configurar los avisos conforme a sus obligaciones legales y a la cultura local.

Para contenido sintético (imágenes, vídeos, voces clonadas), aplicaremos marcas o metadatos cuando la normativa lo exija, y desalentamos el uso con fines engañosos conforme a la Política de Uso Aceptable.

En casos de uso con impacto legal o similarmente significativo (empleo, crédito, salud, vivienda, educación, aplicación de la ley), mantenemos supervisión humana significativa y ofrecemos mecanismos para que los usuarios soliciten revisión humana, impugnen decisiones y reciban explicaciones claras. Respetamos los derechos del GDPR Art. 22 y los requisitos equivalentes en otras jurisdicciones.

Diseñamos nuestros servicios considerando las obligaciones del Reglamento (UE) 2024/1689 (Ley de IA). Evaluamos el nivel de riesgo de cada caso de uso, evitamos prácticas prohibidas (por ejemplo, social scoring, manipulación subliminal, identificación biométrica remota en tiempo real en espacios públicos para aplicación de la ley fuera de excepciones), y aplicamos salvaguardas adicionales para sistemas considerados de alto riesgo.

Como proveedor o implementador (según el rol) de modelos fundacionales, facilitaremos la documentación técnica necesaria a los clientes para que puedan cumplir sus propias obligaciones bajo la Ley de IA.

Realizamos pruebas para detectar sesgos en casos de uso sensibles y trabajamos con los clientes para mitigar impactos desproporcionados. Reconocemos que los modelos fundacionales pueden reflejar sesgos de sus datos de entrenamiento; aplicamos prompts, filtros y diseño de producto para mitigar el riesgo.

Consulta nuestra Política de Uso Aceptable para la lista completa. En resumen, GuruMood no permite el uso de sus servicios para prácticas prohibidas por la Ley de IA, generación de contenido ilegal o engañoso, impersonación no autorizada, manipulación dañina, vigilancia masiva, o cualquier uso que viole las leyes aplicables o los derechos de terceros.

Mantenemos registros de acceso, configuraciones, cambios de prompt, invocaciones y resultados (según el nivel de sensibilidad y la configuración acordada con el cliente) para soportar auditoría, depuración, seguridad y cumplimiento. Los logs se protegen con los mismos controles aplicados a los datos de producción y están sujetos a la Política de Retención de Datos.

Si detectamos un incidente de IA (por ejemplo, una fuga de información, una respuesta dañina, un fallo de guardrails), activamos nuestro plan de respuesta: contención, análisis de impacto, notificación al cliente, remediación y análisis post mortem. Los incidentes que afecten datos personales se tratan según el DPA y las leyes de protección de datos aplicables.

Cuando es técnicamente posible, ofrecemos a los usuarios y clientes mecanismos para opt-out del procesamiento por IA, solicitar intervención humana, ver qué datos se utilizan y solicitar la eliminación de datos de interacciones previas.

Para preguntas sobre esta política o para reportar un problema relacionado con IA, contacta con ai@gurumood.com o privacy@gurumood.com.