¿Qué es AITS? Cómo el índice de transparencia de privacidad ayuda a las empresas a evaluar proveedores bajo la Ley de IA de la UE

¿Qué es el AITS y por qué fue creado?

Las empresas que contratan software corporativo enfrentan un desafío crítico: ¿cómo evaluar la privacidad de decenas de proveedores de forma rápida, estandarizada y auditable? El análisis manual de políticas de privacidad consume tiempo, es inconsistente entre evaluadores y raramente permite comparaciones justas.

La metodología AITS (AI Trust Score) fue desarrollada por Trust This para resolver exactamente este problema. Se trata de un índice que mide el grado de transparencia y comunicación pública de prácticas de privacidad de software y servicios digitales, con énfasis especial en sistemas que utilizan inteligencia artificial bajo el marco de la Ley de IA de la UE.

A diferencia de certificaciones o auditorías técnicas que requieren acceso interno a las empresas, el AITS trabaja exclusivamente con evidencias públicas: políticas de privacidad, términos de uso, documentación oficial y declaraciones sobre uso de IA. Cada evaluación se basa en URLs, versiones y fechas específicas, creando una pista de auditoría completa y reproducible.

¿Cómo funciona la metodología AITS en la práctica?

La metodología AITS evalúa software a través de 20 criterios inspirados en las principales legislaciones globales (Ley de IA de la UE, GDPR) y normas internacionales de IA (ISO/IEC 42001, ISO/IEC 23894 e ISO/IEC 42005).

La estructura se divide en dos capas:

• Criterios 1-8: gobernanza y transparencia de IA
• Criterios 9-20: privacidad tradicional

¿Cómo evalúa el AITS la transparencia en sistemas de IA?

Cuando un software declara uso de IA (criterio 71), se aplican 16 criterios adicionales específicos de gobernanza algorítmica alineados con la Ley de IA de la UE:

• Declaración explícita de uso de IA en las funcionalidades
• Política de gobernanza de IA documentada públicamente
• Transparencia sobre funcionalidades específicas que utilizan IA
• Explicabilidad de decisiones automatizadas por sistemas de IA
• Derecho de impugnación de decisiones tomadas por IA
• Evaluación de riesgos específicos (sesgo algorítmico, discriminación)
• Monitoreo de sesgo en sistemas de IA implementado
• Calidad y origen de los datos de entrenamiento descritos
• Evaluación de impacto de sistemas de IA realizada
• Supervisión humana en sistemas de alto riesgo garantizada
• Notificación de interacción con IA (chatbots, asistentes virtuales)
• Limitaciones y contextos apropiados de uso de la IA descritos
• Procedencia de datos utilizados en IA rastreable
• Principios éticos en el desarrollo y uso de IA declarados
• Canal específico para cuestiones relacionadas con la IA disponible
• Actualizaciones y reentrenamiento de modelos de IA documentados

¿Qué criterios de privacidad tradicional evalúa el AITS?

La segunda capa de 12 criterios cubre los aspectos fundamentales de transparencia en privacidad:

• Identificación clara del DPO (Delegado de Protección de Datos) o canal de contacto
• Política de cookies y tecnologías de rastreo detallada
• Base legal para tratamiento de datos personales especificada
• Compartición con terceros y subprocesadores listados
• Derechos de los titulares y procedimientos para ejercerlos
• Transferencias internacionales de datos documentadas
• Retención y eliminación de datos con plazos definidos
• Notificación de violaciones y procedimientos de respuesta a incidentes
• Consentimiento y revocación de permisos explicados
• Transparencia en la recolección y finalidades detalladas

Cada criterio recibe una respuesta con tres puntuaciones: 3 (información clara y disponible), 1 (información genérica sin tangibilidad) o 0 (información ausente). Esta simplicidad permite comparaciones objetivas entre proveedores.

¿Por qué el AITS se basa únicamente en evidencias públicas?

La elección de trabajar exclusivamente con información pública es estratégica y aporta beneficios únicos:

Escalabilidad: es posible analizar cientos de proveedores sin depender de cuestionarios, auditorías presenciales o acceso a sistemas internos. Esto reduce drásticamente el tiempo de evaluación.

Auditabilidad: cada puntuación viene acompañada de URLs específicas, versiones de documentos y fechas de acceso. Cualquier persona puede validar las evidencias que sustentan el análisis.

Comparabilidad: al usar los mismos criterios y fuentes públicas para todos los proveedores, el AITS permite comparaciones justas y objetivas, eliminando sesgos de evaluadores individuales.

Reproducibilidad: la metodología puede aplicarse de forma consistente a lo largo del tiempo, permitiendo monitoreo continuo y detección de cambios en las prácticas de transparencia de los proveedores.

Democratización: empresas de cualquier tamaño pueden acceder a la misma información y realizar evaluaciones comparables, sin necesidad de recursos para auditorías técnicas profundas.

¿Qué limitaciones reconoce explícitamente el AITS?

La transparencia sobre limitaciones es parte fundamental de la metodología AITS. El índice NO evalúa:

• Implementación técnica real de controles de privacidad o sistemas de IA
• Prácticas internas no documentadas públicamente
• Conformidad regulatoria completa o compliance técnico con la Ley de IA de la UE
• Seguridad técnica de sistemas o robustez de modelos de IA
• Procesos internos de gobernanza o auditoría de algoritmos
• Rendimiento, precisión o sesgo real de los sistemas de IA en producción

El AITS es una herramienta de cribado basada en comunicación pública, no una certificación o sustituto para auditorías técnicas profundas. Responde a la pregunta: "¿Cómo comunica este proveedor sus prácticas de privacidad?" y no "¿Este proveedor está 100% conforme?"

¿Cómo usar el AITS para comparar proveedores?

La metodología AITS fue diseñada para apoyar diferentes momentos de la gobernanza de proveedores:

En el cribado inicial de RFPs

Usa el AITS - AI Trust Score para filtrar decenas de candidatos rápidamente, identificando aquellos con mejor transparencia pública. Esto permite enfocar esfuerzos de due diligence profunda en los proveedores más prometedores.

En el proceso de decisión de compra

Compara puntuaciones y criterios específicos entre finalistas. Por ejemplo, si dos proveedores tienen funcionalidades similares pero puntuaciones AITS muy diferentes, esto indica que uno de ellos comunica mejor sus prácticas — una señal importante de madurez en gobernanza.

En la negociación de contratos

Identifica brechas específicas (criterios marcados como "NO") y usa esta información para exigir cláusulas contractuales compensatorias. Si un proveedor no documenta retención de datos, incluye en el contrato obligaciones explícitas sobre este punto.

En el monitoreo continuo

Sigue cambios en las puntuaciones y en las políticas públicas de los proveedores ya contratados. Alteraciones significativas pueden indicar necesidad de revisión de contratos o reevaluación de riesgos.

¿Cuál es el proceso técnico detrás del AITS?

Trust This utiliza un pipeline avanzado de IA para operacionalizar la metodología AITS a escala:

Recolección automatizada: web scraping identifica y captura políticas de privacidad, términos de uso, FAQs, documentación técnica y declaraciones sobre IA de cada software evaluado.

Análisis por IA: modelos especializados (Gemini Pro 2.5, Claude 3.5 Sonnet, DeepSeek V3.1) procesan los documentos, identifican evidencias relacionadas con los 86 criterios y generan análisis en lenguaje ejecutivo.

Validación cruzada: múltiples modelos verifican consistencia en los análisis, reduciendo posibilidades de falsos positivos o interpretaciones incorrectas.

Versionado: todos los análisis están fechados y referenciados a versiones específicas de documentos públicos, permitiendo rastreo histórico y detección de cambios.

Generación de insights: además de la puntuación numérica, el sistema identifica patrones, mejores prácticas de mercado y tendencias en transparencia por categoría de software.

¿Quién se beneficia de la metodología AITS?

La metodología AITS fue desarrollada para atender diferentes perfiles dentro de organizaciones:

DPOs y profesionales de privacidad usan el AITS para cribado rápido de proveedores, sustituyendo análisis manual que tomaría días por evaluación estandarizada en minutos. La puntuación auditable facilita justificaciones en dictámenes.

CISOs y gestores de TI identifican riesgos de privacidad en herramientas adoptadas por shadow IT y priorizan qué proveedores merecen análisis de seguridad técnica profunda, optimizando recursos limitados.

Equipos de Compras y Procurement encuentran en el AITS un criterio objetivo para desempate entre proveedores similares y documentación defendible para procesos de auditoría interna y comités de aprobación.

Legal y Compliance aceleran análisis de contratos usando brechas identificadas por el AITS para exigir cláusulas específicas, reduciendo retrabajo y excepciones contractuales.

Consultores de Ley de IA de la UE ofrecen diagnósticos rápidos a clientes, justifican necesidad de análisis profundos y crean servicios recurrentes de monitoreo de proveedores.

¿Cómo apoya el AITS las decisiones sin sustituir la experiencia humana?

La metodología AITS no busca automatizar totalmente la gobernanza de privacidad, sino potenciar decisiones humanas:

Los profesionales mantienen responsabilidad final por evaluaciones y decisiones de contratación. El AITS proporciona el diagnóstico estandarizado y comparable que sirve de base para análisis contextual y estratégico.

El índice identifica dónde profundizar. Las brechas críticas señalizadas por el AITS indican puntos que merecen cuestionamiento directo al proveedor, análisis jurídico detallado o exigencias contractuales específicas.

La pista de evidencias con URLs y versiones permite que equipos validen hallazgos, verifiquen contexto original y tomen decisiones informadas — no solo basadas en un número, sino en hechos documentados y auditables.

¿Qué impacto genera el AITS en el mercado de software?

Al hacer la transparencia de privacidad medible y comparable, la metodología AITS crea incentivos de mercado:

Los proveedores son motivados a mejorar comunicación pública sobre privacidad e IA, pues puntuaciones bajas se vuelven desventajas competitivas visibles en procesos de compra.

Los compradores ganan poder de negociación basado en datos objetivos, acelerando cribado y reduciendo riesgos regulatorios a través de decisiones más informadas.

El mercado evoluciona hacia estándares más altos de transparencia, preparándose mejor para regulaciones emergentes de IA como la Ley de IA de la UE y creando diferenciación competitiva a través de buenas prácticas.

La metodología AITS no sustituye auditorías o certificaciones formales, pero llena una brecha crítica: la necesidad de cribado rápido, estandarizado y auditable de proveedores basado en evidencias públicas. En un mundo donde las empresas gestionan cientos de proveedores de software y la IA se vuelve omnipresente, tener una metodología clara para mapear y comparar transparencia de privacidad es esencial para gobernanza eficaz.

¿Quieres conocer las puntuaciones AITS de tus proveedores actuales? Explora nuestra plataforma y ve cómo la metodología puede apoyar tus decisiones de compra y monitoreo.