AITS Framework
AITS — AI Trust Score Framework — 20 criterios de privacidad y gobernanza de IA (ISO / LGPD)
Criterios AITS
20 criterios de privacidad y gobernanza de IA
Esta tabla presenta los 20 criterios del AITS (AI Trusty Score), siendo 12 de privacidad tradicional y 8 específicos para software que utiliza IA.
Todos los criterios están basados en normas ISO internacionales de privacidad y gobernanza de IA.
AI Data Use
¿La organización informa claramente por cuánto tiempo se retienen los datos de entrada (inputs, prompts) y salida (outputs, respuestas) de sistemas de IA, y si pueden ser eliminados por el usuario?
ISO/IEC 42001 (8.2) + ISO/IEC 27701 (7.4.6)
AI Data Use
¿La organización declara claramente si los datos ingresados por los usuarios (inputs, prompts, contenido) se utilizan para entrenar, mejorar o desarrollar modelos de IA?
ISO/IEC 42001 (8.2) + ISO/IEC 23894 + EU AI Act
AI Data Use
¿El usuario puede optar por no tener sus datos utilizados para entrenamiento de modelos de IA (opt-out)? ¿El proceso es claro y accesible?
ISO/IEC 42001 (8.3) + ISO/IEC 29100 + EU AI Act
Transparencia Fundamental
¿El software declara claramente si utiliza inteligencia artificial en sus funcionalidades?
ISO/IEC 42001 (7.4)
Gobernanza de IA
¿La organización declara compromisos con uso ético de IA, incluyendo medidas contra sesgo, discriminación o daños sociales en sus sistemas automatizados?
ISO/IEC 42001 (6.1) + ISO/IEC TR 24028 + EU AI Act (Art. 9)
Transparencia de IA
¿La política informa claramente cuáles funcionalidades del software utilizan IA y para qué finalidades?
ISO/IEC 42001 (7.5)
Derechos y Control del Titular
¿Para decisiones automatizadas por IA que impacten significativamente al usuario, hay explicación clara de cómo se tomó la decisión?
ISO/IEC TR 24028
Derechos y Control del Titular
¿El usuario puede impugnar o solicitar revisión humana de decisiones automatizadas por IA?
ISO/IEC 42001 (8.3)
Transparencia Fundamental
¿El alcance y roles están claros (controlador/operador) y para cuáles productos/servicios?
ISO/IEC 27701 (7.3)
Transparencia Fundamental
¿La identidad y datos de contacto del controlador están claramente informados?
ISO/IEC 27701 (7.3)
Derechos y Control del Titular
¿Hay un canal de contacto disponible para cuestiones de privacidad o protección de datos?
ISO/IEC 27701 (7.3)
Transparencia Fundamental
¿Las finalidades del tratamiento están listadas para las principales categorías de datos?
ISO/IEC 27701 (7.3)
Transparencia Fundamental
¿La política informa por cuánto tiempo se retienen los datos personales o los criterios para determinar ese período?
ISO/IEC 27701 (7.4.6)
Transparencia Fundamental
¿Los destinatarios (o categorías) de los datos están identificados?
ISO/IEC 27701 (7.3)
Buenas Prácticas y Detalle
¿La política informa sobre la transferencia internacional de datos?
ISO/IEC 27701 (7.3)
Buenas Prácticas y Detalle
¿Si hay transferencia internacional, se mencionan las salvaguardas?
ISO/IEC 27701 (7.3)
Buenas Prácticas y Detalle
¿La base legal 'Ejecución de Contrato' se menciona para datos esenciales?
ISO/IEC 27701 (7.2.2)
Madurez y Excelencia
¿Si usa 'Interés Legítimo', la política explica el interés y el balance de derechos?
ISO/IEC 27701 (7.2.2)
Buenas Prácticas y Detalle
¿El tratamiento de datos sensibles está explicitado con salvaguardas adicionales?
ISO/IEC 29100
Buenas Prácticas y Detalle
¿La política indica disponibilidad de Acuerdo de Procesamiento de Datos (DPA) o términos de procesamiento para clientes empresariales, conforme LGPD Art. 39 y GDPR Art. 28?
ISO/IEC 27701 (8.2) + LGPD Art. 39 + GDPR Art. 28
| ID | Grupo | Descripción | Norma ISO (LGPD, GDPR, CCPA y NIST) | Peso | IA |
|---|---|---|---|---|---|
| 1 | AI Data Use | ¿La organización informa claramente por cuánto tiempo se retienen los datos de entrada (inputs, prompts) y salida (outputs, respuestas) de sistemas de IA, y si pueden ser eliminados por el usuario? | ISO/IEC 42001 (8.2) + ISO/IEC 27701 (7.4.6) | 3 | |
| 2 | AI Data Use | ¿La organización declara claramente si los datos ingresados por los usuarios (inputs, prompts, contenido) se utilizan para entrenar, mejorar o desarrollar modelos de IA? | ISO/IEC 42001 (8.2) + ISO/IEC 23894 + EU AI Act | 3 | |
| 3 | AI Data Use | ¿El usuario puede optar por no tener sus datos utilizados para entrenamiento de modelos de IA (opt-out)? ¿El proceso es claro y accesible? | ISO/IEC 42001 (8.3) + ISO/IEC 29100 + EU AI Act | 3 | |
| 4 | Transparencia Fundamental | ¿El software declara claramente si utiliza inteligencia artificial en sus funcionalidades? | ISO/IEC 42001 (7.4) | 3 | |
| 5 | Gobernanza de IA | ¿La organización declara compromisos con uso ético de IA, incluyendo medidas contra sesgo, discriminación o daños sociales en sus sistemas automatizados? | ISO/IEC 42001 (6.1) + ISO/IEC TR 24028 + EU AI Act (Art. 9) | 3 | |
| 6 | Transparencia de IA | ¿La política informa claramente cuáles funcionalidades del software utilizan IA y para qué finalidades? | ISO/IEC 42001 (7.5) | 3 | |
| 7 | Derechos y Control del Titular | ¿Para decisiones automatizadas por IA que impacten significativamente al usuario, hay explicación clara de cómo se tomó la decisión? | ISO/IEC TR 24028 | 3 | |
| 8 | Derechos y Control del Titular | ¿El usuario puede impugnar o solicitar revisión humana de decisiones automatizadas por IA? | ISO/IEC 42001 (8.3) | 3 | |
| 9 | Transparencia Fundamental | ¿El alcance y roles están claros (controlador/operador) y para cuáles productos/servicios? | ISO/IEC 27701 (7.3) | 3 | |
| 10 | Transparencia Fundamental | ¿La identidad y datos de contacto del controlador están claramente informados? | ISO/IEC 27701 (7.3) | 3 | |
| 11 | Derechos y Control del Titular | ¿Hay un canal de contacto disponible para cuestiones de privacidad o protección de datos? | ISO/IEC 27701 (7.3) | 3 | |
| 12 | Transparencia Fundamental | ¿Las finalidades del tratamiento están listadas para las principales categorías de datos? | ISO/IEC 27701 (7.3) | 3 | |
| 13 | Transparencia Fundamental | ¿La política informa por cuánto tiempo se retienen los datos personales o los criterios para determinar ese período? | ISO/IEC 27701 (7.4.6) | 3 | |
| 14 | Transparencia Fundamental | ¿Los destinatarios (o categorías) de los datos están identificados? | ISO/IEC 27701 (7.3) | 3 | |
| 15 | Buenas Prácticas y Detalle | ¿La política informa sobre la transferencia internacional de datos? | ISO/IEC 27701 (7.3) | 3 | |
| 16 | Buenas Prácticas y Detalle | ¿Si hay transferencia internacional, se mencionan las salvaguardas? | ISO/IEC 27701 (7.3) | 3 | |
| 17 | Buenas Prácticas y Detalle | ¿La base legal 'Ejecución de Contrato' se menciona para datos esenciales? | ISO/IEC 27701 (7.2.2) | 3 | |
| 18 | Madurez y Excelencia | ¿Si usa 'Interés Legítimo', la política explica el interés y el balance de derechos? | ISO/IEC 27701 (7.2.2) | 3 | |
| 19 | Buenas Prácticas y Detalle | ¿El tratamiento de datos sensibles está explicitado con salvaguardas adicionales? | ISO/IEC 29100 | 3 | |
| 20 | Buenas Prácticas y Detalle | ¿La política indica disponibilidad de Acuerdo de Procesamiento de Datos (DPA) o términos de procesamiento para clientes empresariales, conforme LGPD Art. 39 y GDPR Art. 28? | ISO/IEC 27701 (8.2) + LGPD Art. 39 + GDPR Art. 28 | 3 |