Skip to main content
TrustThis
Volver al inicio

Transparencia de IA - TrustThis

Cómo funciona nuestra Inteligencia Artificial

Última actualización: 15/10/2025

TrustThis utiliza Inteligencia Artificial para automatizar análisis de privacidad y seguridad. Esta página documenta cómo funciona nuestra IA, sus límites y cómo garantizamos gobernanza responsable. La transparencia algorítmica es parte esencial de nuestra misión.

1. Visión General: Cómo Funciona Nuestra IA

Nuestro sistema de auditoría automatizada sigue un pipeline de 5 etapas con revisión humana obligatoria:

1

Recolección de Datos Públicos

Scraping automatizado de políticas de privacidad, términos de uso y documentación pública de empresas. Ningún dato personal de usuarios es enviado a IA.

2

Preprocesamiento

Limpieza de HTML, normalización de texto, eliminación de scripts. Reduce 30-40% del tamaño sin pérdida de información.

3

Mapeo de Evidencias (opcional)

IA identifica secciones relevantes para cada criterio antes de la auditoría completa. Mejora precisión en 20-30%.

4

Auditoría Dual (Gemini + DeepSeek)

Dos modelos de IA analizan independientemente 90 criterios ISO 27001/27701. Sistema AITS v3 combina resultados vía unión lógica (reduce falsos negativos).

5

Revisión Humana Obligatoria

Especialista en privacidad revisa todos los resultados antes de publicación. IA sugiere, humano decide.

💡 Principio Fundamental:

IA es una herramienta de apoyo, no un oráculo. Las decisiones finales sobre scores y recomendaciones siempre pasan por revisión humana calificada.

2. Principios y Referencias

Nuestro sistema de IA se desarrolla siguiendo los siguientes frameworks y principios internacionales:

📘 ISO 27001/27701/42001

  • ISO 27001: Seguridad de la información (baseline)
  • ISO 27701: Privacidad (90 criterios AITS derivados de aquí)
  • ISO 42001: Management System for AI (gobernanza)

🇺🇸 NIST AI Risk Management Framework

  • Govern: Políticas y responsabilidades definidas
  • Map: Riesgos de IA identificados y documentados
  • Measure: Métricas de performance y fairness
  • Manage: Mitigación continua de riesgos

🇪🇺 EU AI Act

  • High-Risk System (Annex III, 5b):
  • Obligatoria para usuarios: Obligatoria para usuarios
  • Human Oversight: Revisión humana implementada
  • Contestation Rights: Derecho de contestar decisiones

🇧🇷 LGPD / 🇪🇺 GDPR

  • LGPD Art. 20: Derecho de revisión de decisiones automatizadas
  • GDPR Art. 22: Derecho de no ser sujeto a decisiones automatizadas
  • Justificaciones claras para scores: Justificaciones claras para scores
→ ANPD (Autoridad Nacional de Protección de Datos) | → Guía LGPD (gov.br)

🎯 Framework AITS (Propiedad TrustThis)

Sistema de 90 criterios derivados de ISO 27701, NIST Privacy Framework y GDPR. Evalúa conformidad en privacidad y seguridad de forma estructurada y auditable.

3. Dónde Usamos IA

IA es utilizada en tareas específicas donde demostramos mayor beneficio vs. riesgo:

✅ Clasificación de Criterios de Privacidad

Qué hace: Analiza políticas de privacidad y clasifica conformidad con 90 criterios ISO 27701.

Por qué IA aquí: Volumen de texto grande (10k-50k tokens), patrones complejos, múltiples interpretaciones posibles. Humano solo llevaría 8-12 horas/auditoría. IA + humano: 30-60 minutos.

Revisión humana: ✅ Obligatoria antes de publicación

✅ Detección de Cambios en Políticas

Qué hace: Compara versiones de políticas e identifica cambios significativos (nuevas recolecciones de datos, alteraciones en bases legales).

Por qué IA aquí: Diff semántico es superior a diff textual. IA detecta "ahora recolectamos biometría" aunque la redacción haya cambiado completamente.

Revisión humana: ✅ Obligatoria para cambios de alto impacto

✅ Resúmenes Explicativos

Qué hace: Genera resúmenes en lenguaje simple de hallazgos técnicos (ej: "Esta empresa no especifica por cuánto tiempo mantiene sus datos").

Por qué IA aquí: Traducción de jerga técnica a lenguaje accesible. Mejora UX sin comprometer precisión.

Revisión humana: ✅ Siempre revisado para evitar simplificación excesiva

❌ Lo Que NO Hacemos con IA:

  • Decisiones finales sin humano: IA sugiere, especialista decide
  • Scoring de personas: Solo empresas/sistemas son auditados, nunca individuos
  • Entrenamiento con datos de clientes: Modelos son externos (OpenAI, Google, DeepSeek). No entrenamos modelos propios.
  • Decisiones de contratación/crédito: Nuestros scores no deben ser usados para decisiones sobre personas
  • Análisis de sentimientos: No hacemos análisis emocional o psicográfico

4. Modelos y Proveedores

Utilizamos enrutamiento vía OpenRouter, que permite flexibilidad para elegir los mejores modelos por tarea.

🤖 Modelos Principales (Sistema AITS v3):

Modelo Primario: Google Gemini 2.0 Flash Thinking

  • Proveedor: Google LLC (vía OpenRouter)
  • Context Window: 1M tokens (permite procesar políticas extensas)
  • Por qué lo elegimos: Excelente en razonamiento legal/compliance, soporta thinking mode (muestra cadena de pensamiento)
  • Tasa de aprobación: ~38-46% de los 90 criterios (conservador, reduce falsos positivos)

Modelo Secundario: DeepSeek R1

  • Proveedor: DeepSeek (vía OpenRouter)
  • Context Window: 32k tokens
  • Por qué lo elegimos: Perspectiva diferente (entrenamiento diferente), ayuda a detectar falsos negativos del Gemini
  • Sistema Dual: Unión lógica (OR) - criterio aprobado si cualquier modelo aprueba

🔒 Garantías de Privacidad:

  • Sin datos personales de usuarios enviados: Solo políticas públicas son procesadas
  • Cache desactivado: Ningún dato es almacenado en servidores de proveedores de IA
  • Región de procesamiento: Estados Unidos (OpenRouter)
  • Salvaguardas contractuales: DPAs firmados, SCCs en vigor
  • No usamos datos para entrenar modelos: Modelos son externos y preentrenados

Historial de cambios en modelos: Ver changelog completo de IA

5. Limitaciones y Riesgos Conocidos

IA no es perfecta. Documentamos a continuación los principales riesgos conocidos y cómo los mitigamos:

⚠️ Alucinación (Hallucination)

Qué es: IA "inventa" hechos que no existen en el documento.

Ejemplo: Afirmar que empresa tiene certificación ISO 27001 cuando no hay evidencia de eso en la política.

Mitigación:

  • Dual audit (dos modelos necesitan concordar o aprobamos si al menos 1 aprueba)
  • Revisión humana obligatoria verifica evidencias citadas
  • Sistema de contestación permite usuarios reportar inconsistencias

⚠️ Desactualización

Qué es: Modelos de IA son entrenados hasta una fecha de corte. Cambios legales recientes pueden no ser conocidos.

Ejemplo: Ley aprobada en 2025, pero modelo entrenado hasta 2024.

Mitigación:

  • Criterios ISO son estables (cambios graduales)
  • Revisores humanos son actualizados continuamente sobre cambios legales
  • Sistema de actualización de criterios vía código (no depende solo del modelo)

⚠️ Ambigüedad Documental

Qué es: Políticas de privacidad vagas o contradictorias llevan a análisis inciertos.

Ejemplo: "Podemos compartir datos con socios" - ¿cuáles socios? ¿Para cuáles fines?

Mitigación:

  • IA señaliza cuando texto es ambiguo ("evidencia insuficiente")
  • Score refleja incertidumbre (criterio no aprobado si no hay claridad)
  • Recomendaciones incluyen sugerencia de clarificación para la empresa

🛡️ Sistema de Calidad (QA):

  • Auditorías de auditorías: 10% de las auditorías son revisadas por segundo especialista
  • Métricas de performance: Tasa de falsos positivos, falsos negativos monitoreadas
  • Feedback loop: Contestaciones de usuarios alimentan mejoras
  • Tests en casos conocidos: Suite de 50 políticas con resultados esperados

6. Revisión Humana y Contestación

Revisión humana es obligatoria antes de cualquier resultado de auditoría ser publicado. IA acelera el proceso, pero decisión final es siempre humana.

✅ Proceso de Revisión Humana:

  1. Análisis inicial por IA: Gemini + DeepSeek procesan 90 criterios (30-60min)
  2. Validación técnica: Especialista en privacidad revisa evidencias citadas por la IA (1-2h)
  3. Verificación de consistencia: ¿Score final refleja hallazgos? ¿Recomendaciones tienen sentido? (30min)
  4. Aprobación para publicación: Solo después de aprobación humana, resultado es visible

📝 Cómo Contestar un Análisis:

Si no está de acuerdo con un resultado de auditoría o cree que hay error, puede solicitar revisión:

1. Entre en Contacto:

Email: privacy@trustthis.org

2. Proporcione Detalles:

  • Nombre de la empresa auditada
  • Criterio(s) específico(s) contestado(s)
  • Evidencia que soporta su posición (link para sección de la política, etc.)
  • Por qué cree que el análisis está incorrecto

3. Revisión Independiente:

Segundo especialista (no involucrado en el análisis original) revisa el caso con evidencias de ambas partes.

4. SLA de Respuesta:

  • Confirmación de recepción: 2 días útiles
  • Análisis preliminar: 5 días útiles
  • Revisión completa + respuesta: 10 días útiles

5. Resolución:

Si revisión concluye que análisis estaba incorrecto, score es actualizado y notificación es enviada. Si análisis estaba correcto, proporcionamos justificativa detallada.

🔄 Auditoría 100% Humana (Opcional):

Para clientes enterprise, ofrecemos flujo de auditoría totalmente manual (sin IA) mediante solicitud. Tiempo de entrega: 2-3 semanas. Costo adicional aplicable. Entre en contacto: compliance@trustthis.org

7. Evaluaciones de Impacto de IA (AIA)

Realizamos Evaluaciones de Impacto de IA periódicamente para identificar y mitigar riesgos de sesgo, discriminación y otros impactos adversos.

📊 Cuándo Realizamos AIAs:

  • Antes del lanzamiento de nuevo sistema de IA (baseline)
  • Cada 6 meses (revisión periódica)
  • Después de cambios significativos en modelos o criterios
  • Cuando identificamos comportamiento inesperado
  • Mediante solicitud de autoridades regulatorias

📈 Métricas de Fairness (Resumen Público):

Última AIA: Octubre 2025 (baseline)

Tasa de Aprobación por Categoría:

  • Empresas pequeñas (<50 func.): 32% criterios aprobados
  • Empresas medianas (50-500): 38% criterios aprobados
  • Empresas grandes (>500): 42% criterios aprobados
  • Análisis: Diferencia esperada (empresas mayores tienen más recursos para compliance)

Tasa de Falsos Positivos/Negativos:

  • Falsos positivos: ~8% (IA aprueba criterio, pero revisión humana reprueba)
  • Falsos negativos: ~12% (IA reprueba, pero dual audit + humano aprueba)
  • Meta: Reducir FN a <5% hasta Q2 2026

Informes completos de AIA: Disponibles mediante acuerdo de confidencialidad para investigadores y auditores. Contacto: compliance@trustthis.org

8. Auditabilidad

Entendemos que transparencia incluye permitir auditoría externa de nuestros sistemas de IA.

📂 Lo Que Disponibilizamos (bajo acuerdo de NDA):

  • Criterios de decisión: Código fuente de los 90 criterios ISO (ya públicos en /lib/audit/criteria-definitions-iso.ts)
  • Logs de procesamiento: Timestamps, modelos usados, versiones (anonimizados)
  • Métricas de performance: Latencia, tasa de aprobación, distribución de scores
  • Prompts (estructura): Template general de prompts (sin casos específicos)
  • Informes de AIA: Evaluaciones de impacto completas

🚫 Alcance y Límites:

  • No proporcionamos: Prompts palabra por palabra (evitar gaming), respuestas completas de modelos (propiedad intelectual)
  • No permitimos: Ingeniería inversa de modelos propietarios (limitación de proveedores como Google/DeepSeek)
  • Auditoría limitada a: Investigadores académicos, auditores certificados, autoridades regulatorias

📧 Cómo Solicitar Acceso para Auditoría:

Entre en contacto: compliance@trustthis.org

Informaciones necesarias:

  • Institución/Organización
  • Propósito de la auditoría (investigación, compliance, due diligence)
  • Alcance deseado (cuáles componentes del sistema)
  • Timeline (plazo para conclusión)

9. FAQ de IA

P: ¿Usan datos de mis auditorías para entrenar IA?

R: No. Utilizamos modelos externos preentrenados (Google Gemini, DeepSeek). No entrenamos modelos propios. Solo políticas de privacidad públicas son procesadas. Datos de usuarios nunca son enviados a IA.

P: ¿Puedo confiar 100% en los resultados de IA?

R: No. IA es una herramienta de apoyo, no un oráculo. Por eso tenemos revisión humana obligatoria y sistema de contestación. Siempre revise críticamente los resultados.

P: ¿Cómo garantizan que la IA no es sesgada?

R: Utilizamos dual audit (dos modelos con entrenamientos diferentes), métricas de fairness en AIAs periódicas y revisión humana. Monitoreamos tasa de aprobación por categoría de empresa para detectar sesgo.

P: ¿Qué sucede si la IA comete un error grave?

R: Tenemos proceso de incident response: (1) Corrección inmediata del score, (2) Notificación de usuarios afectados, (3) Análisis de causa raíz, (4) Registro público en changelog de IA, (5) Implementación de mitigaciones para prevenir recurrencia.

P: ¿Puedo optar por auditoría 100% humana (sin IA)?

R: Sí. Para clientes enterprise, ofrecemos flujo manual completo mediante solicitud. Tiempo de entrega: 2-3 semanas vs. 30-60min con IA. Costo adicional aplicable. Contacto: compliance@trustthis.org

P: Mi empresa fue mal evaluada. ¿Puedo contestar?

R: Absolutamente. Tenemos proceso formal de contestación con SLA de 10 días útiles. Vea sección "Revisión Humana y Contestación" arriba o entre en contacto: privacy@trustthis.org

P: ¿Cómo eligen cuáles modelos de IA usar?

R: Evaluamos modelos en suite de 50 casos conocidos. Criterios: precisión, latencia, costo, soporte a context window largo, capacidad de reasoning legal/compliance. Cambios son registrados en changelog.

P: ¿Comparten datos con Google/DeepSeek?

R: Solo políticas de privacidad públicas son enviadas para procesamiento (disponibles en internet). Cache es desactivado (datos no almacenados). DPAs y SCCs en vigor. Ningún dato personal de usuarios es compartido.

💜 Compromiso TrustThis

Transparencia sobre uso de IA es parte esencial de nuestra misión. Si tiene dudas no respondidas aquí, no está de acuerdo con un análisis o desea auditar nuestros sistemas, entre en contacto:

Esta página es parte de nuestro compromiso con gobernanza responsable de IA y compliance con EU AI Act, NIST AI RMF e ISO 42001.

📖 Documentos Relacionados: