1. Aviso de transparencia (Art. 50 AI Act)
Estás interactuando con un sistema de Inteligencia Artificial.
Cuando uses determinadas funcionalidades de la plataforma Academia Hoilab podrás recibir contenidos generados o asistidos por sistemas de IA. Estas interacciones se identifican expresamente en la interfaz mediante:
- Un indicador visual permanente («IA») junto a los componentes asistidos.
- Un aviso modal antes del primer uso de la sesión.
- Marcaje en respuestas del Profesor IA con disclaimer «Esta respuesta ha sido generada con asistencia de IA…».
Esta política da cumplimiento al art. 50 del Reglamento (UE) 2024/1689 (AI Act), al art. 14 del RGPD (información en supuestos de tratamiento automatizado) y a la Ley 15/2022 de igualdad y no discriminación.
2. Modelos de IA utilizados
La plataforma utiliza los siguientes modelos, todos ellos prestados por Anthropic PBC (EE.UU.) a través de su API oficial:
| Modelo | Uso principal | Volumen estimado |
|---|---|---|
| Claude Sonnet 4.5/4.6/4.7 | Generación de contenidos didácticos asistida, revisión de prácticas, asistencia a tutores | Alto |
| Claude Opus 4.5/4.6/4.7 | Tareas complejas: validación reflexiva (Q1/Q2/Q3) de auditorías FUNDAE, arquitectura | Medio |
| Claude Haiku 4.5 | Tareas rápidas: clasificación, resumen, sanitización de PII previa | Alto |
Los modelos se invocan mediante el SDK oficial @anthropic-ai/sdk. Adicionalmente utilizamos OpenRouter como pasarela de proveedor para tareas no críticas (clasificación de documentos) con modelos de la misma familia Claude. No se utilizan modelos de proveedores distintos a Anthropic para tareas que afecten al expediente formativo o a evaluaciones. Cualquier cambio futuro de proveedor o modelo se reflejará en una nueva versión de esta política, comunicada con 15 días de antelación.
3. Datos enviados a los modelos de IA
3.1 Principio de minimización (Art. 5.1.c RGPD)
Antes de cualquier envío a los modelos de IA, los datos son procesados por el módulo de sanitización PII (lib/ai/sanitizer.ts, conforme a ADR-0013), que:
- Elimina identificadores directos: nombres y apellidos, NIF/NIE, direcciones de correo, teléfonos, direcciones postales.
- Sustituye datos por marcadores genéricos del tipo
[USUARIO_123],[EMAIL_REDACTED],[NIF_MASKED]. - Bloquea el envío si detecta datos de categorías especiales del art. 9 RGPD (datos de salud, ideología, afiliación sindical, etc.).
- Registra cada invocación en el sistema de auditoría inmutable (AccessLog hash-chain, ADR-0012).
3.2 Datos que NO se envían a IA bajo ninguna circunstancia
- Datos financieros, bancarios, fiscales o de cotización.
- Datos de menores de edad.
- Datos de categorías especiales del art. 9 RGPD.
- Datos identificativos directos sin sanitización previa.
- Documentos legales firmados (contratos, DPA, diplomas emitidos).
- Información proporcionada por la RLT.
4. Separación entre decisiones humanas y asistidas por IA
| Tipo de decisión | Quién decide |
|---|---|
| Calificación final de un participante | Tutor/a humano/a (la IA puede pre-evaluar, el tutor revisa y firma). |
| Emisión del diploma | Tutor/a humano/a (firma electrónica avanzada). |
| Validación FUNDAE de un grupo formativo (publicación) | Validador determinista (lib/fundae/validator.ts, rules-as-code, sin IA). |
| Generación de XML INICIO / FINALIZACION | Validador determinista (sin IA). |
| Detección y notificación de brechas de seguridad | Sistema determinista + revisión humana (no IA). |
| Sugerencia de mejora de contenidos pedagógicos | IA asistente, ratificación del/de la autor/a (humano). |
| Borrador inicial de resumen de lección | IA, edición y firma final por humano. |
| Asistencia al tutor en revisión de prácticas | IA sugiere observaciones; el tutor decide la calificación. |
Ninguna decisión con efecto jurídico para el participante (calificación, emisión de diploma, exclusión, sanción) se adopta de forma exclusivamente automatizada en el sentido del art. 22 RGPD.
5. Derechos de los interesados
Como participante o usuario/a de la plataforma, tienes derecho a:
- Conocer si una respuesta o contenido ha sido generado o asistido por IA (siempre identificado en la interfaz).
- Obtener intervención humana ante cualquier decisión asistida por IA que te afecte (contactando con tu tutor/a o con el correo de soporte).
- Expresar tu opinión, impugnar la decisión y solicitar revisión humana adicional.
- Acceder a los logs de invocaciones de IA que te conciernan, en formato estructurado.
Para ejercer estos derechos: dirígete al delegado/a de protección de datos de tu empresa o a rgpd@hoilab.com.
6. Retención de logs de invocaciones a IA
| Tipo de log | Plazo de conservación |
|---|---|
| AccessLog hash-chain de invocaciones IA (metadatos: timestamp, modelo, hash del prompt sanitizado) | 5 años post-publicación del contenido generado, conforme al art. 12 AI Act |
| Prompts sanitizados completos (debug + reentrenamiento interno) | 6 meses (rotación automática) |
| Respuestas brutas de la IA antes de revisión humana | 30 días salvo que se incorporen a contenido publicado, en cuyo caso pasan a custodia 4 años |
7. Decisiones del proveedor y compromisos
- Los datos enviados a Anthropic NO se utilizan para entrenamiento de modelos (cláusula de servicio empresarial).
- Las transferencias internacionales se amparan en Cláusulas Contractuales Tipo (SCC 2021/914/UE) y en la sanitización PII previa descrita en §3.
- Hoilab Academy publica un registro público de incidentes relevantes relacionados con el uso de IA en
/ai-incidents. - Evaluación de impacto algorítmico (AIA) disponible bajo solicitud al DPO para sistemas que afectan a derechos fundamentales (decisiones sobre el itinerario formativo, segmentación de cohortes).
8. Clasificación AI Act
Conforme al Anexo III del Reglamento (UE) 2024/1689, los sistemas de IA en uso se clasifican como sigue:
- Profesor IA conversacional: sistema de IA de propósito general (GPAI) integrado, sujeto al art. 50 (transparencia). NO se clasifica como alto riesgo porque NO toma decisiones automatizadas sobre acceso, evaluación o sanción del participante.
- Pre-evaluación asistida de prácticas: sistema potencialmente clasificable como alto riesgo conforme al Anexo III §3 (educación y formación profesional). Adoptamos las medidas de mitigación correspondientes: gobernanza de datos (sanitización + auditoría), registro de actividad (AccessLog 5 años), supervisión humana (calificación final humana), transparencia para el usuario (marcaje y derecho a intervención).
- Sanitizador PII y clasificador de documentos: sistemas de IA de riesgo limitado sujetos a obligaciones de transparencia (art. 50).
9. Actualizaciones de esta política
Cualquier cambio sustancial en los modelos utilizados, en las garantías técnicas o en las finalidades del uso de IA dará lugar a una nueva versión de esta política, comunicada con 15 días de antelación a las empresas Responsables del Tratamiento.
Última actualización: 19/05/2026 · Versión: v2026.05.1 Contacto IA / DPO: rgpd@hoilab.com · Responsable: Adrián Barcojo Madrid (NIF 31017423Z)