1. Principios de IA responsable
DGA IA aplica un enfoque de inteligencia artificial útil, segura y responsable basado en privacidad desde el diseño, minimización de datos, transparencia, supervisión humana, seguridad, trazabilidad, gestión de riesgos y revisión proporcional al impacto del sistema.
2. Usos no permitidos
No diseñamos ni implantamos sistemas destinados a manipulación, discriminación, vulneración de derechos fundamentales, explotación de vulnerabilidades, vigilancia abusiva, puntuación social, usos ilícitos o finalidades prohibidas por la normativa aplicable.
3. Evaluación de riesgos
Antes de implantar soluciones de IA se valorará su finalidad, usuarios afectados, datos tratados, autonomía del sistema, conexión con herramientas externas, impacto en personas, nivel de supervisión humana, seguridad y posibles errores o sesgos.
4. Transparencia ante usuarios
Cuando una persona interactúe con sistemas de IA, chatbots o asistentes, se informará de forma clara de que está interactuando con inteligencia artificial cuando proceda. También se explicarán capacidades, limitaciones, finalidad, datos utilizados, nivel de intervención humana y canales de contacto o revisión.
Los contenidos generados o asistidos por IA que puedan inducir a error deberán identificarse de forma adecuada cuando la normativa lo exija. Las soluciones no deberán presentarse como humanas si el usuario está interactuando con un sistema automatizado.
5. Supervisión humana
Las automatizaciones críticas deben mantener intervención, validación o posibilidad de revisión humana. Los resultados de IA no sustituyen asesoramiento jurídico, médico, financiero, técnico ni profesional especializado.
6. Sistemas de alto riesgo y evaluación previa
No se desplegarán sistemas de IA en ámbitos sensibles como empleo, educación, salud, crédito, servicios esenciales, biometría, justicia, seguridad, acceso a prestaciones o decisiones con impacto significativo sobre personas sin una evaluación previa de riesgo, base legal, documentación, transparencia, supervisión humana y medidas de cumplimiento específicas.
7. IA agéntica y autonomía
Cuando una solución de IA pueda ejecutar acciones, conectar con herramientas, modificar información, enviar comunicaciones, crear tareas, actualizar CRM o actuar con autonomía, deberán definirse límites de actuación, permisos, acciones prohibidas, registros, supervisión humana, mecanismo de parada y validación previa para acciones sensibles.
8. Datos, registros y documentación
En proyectos que lo requieran se documentarán finalidad, fuentes de datos, instrucciones, proveedores, medidas de seguridad, registros relevantes, controles de calidad, evaluación de riesgos, incidencias, cambios y criterios de conservación.
9. Ciberseguridad
Las soluciones se diseñarán con medidas razonables de seguridad: control de accesos, separación de permisos, protección de credenciales, copias de seguridad, revisión de integraciones, actualización de componentes, registro de actividad y prevención de fugas de información.
10. Incidentes y mejora continua
Si se detecta un comportamiento anómalo, error relevante, fuga de información o riesgo para derechos de personas, deberá revisarse el sistema, documentar el incidente, aplicar medidas correctoras y, cuando proceda, notificar a clientes, proveedores o autoridades competentes.