Question 1

¿Que es el EU AI Act y por que debo cumplirlo?

Accepted Answer

El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral sobre inteligencia artificial en el mundo, adoptada en marzo de 2024. Aplica a cualquier empresa que desarrolle, despliegue o use sistemas de IA en la Union Europea, independientemente de donde este registrada. La ley clasifica los sistemas IA por nivel de riesgo: inaceptable (prohibido), alto, limitado y minimo. Para la mayoria de PYMEs espanolas con chatbots o automatizaciones, aplica la categoria de riesgo limitado, que requiere informar al usuario de que interactua con IA (Art. 50). La fecha clave es 2 de agosto de 2026: ese dia entran en vigor las obligaciones principales (Art. 12-14: registros, transparencia, supervision). Las sanciones por incumplimiento pueden alcanzar 35 millones de euros o el 7% de la facturacion global.

Question 2

¿Como puedo cumplir con el EU AI Act si tengo un chatbot?

Accepted Answer

Para cumplir el EU AI Act con un chatbot de riesgo limitado, necesitas: (1) Informar claramente al usuario que esta interactuando con un sistema de IA antes de que comparta datos, normalmente en el primer mensaje del chatbot. (2) Documentar las capacidades y limitaciones del sistema en una ficha tecnica. (3) Designar formalmente a una persona responsable de supervisar el sistema. (4) Garantizar que exista un mecanismo para escalar a un humano cuando sea necesario. (5) Configurar registros automaticos de las conversaciones con politica de retencion de datos. SAPIENSDATAAI implementa todos estos puntos automaticamente en nuestros chatbots y proporciona un servicio de auditoria para verificar cumplimiento.

Question 3

¿Cual es la diferencia entre riesgo limitado y riesgo alto en el EU AI Act?

Accepted Answer

El EU AI Act define riesgo limitado para sistemas que interactuan con personas pero no toman decisiones que afecten significativamente derechos fundamentales. Ejemplos: chatbots, asistentes virtuales, sistemas de recomendacion. El riesgo alto cubre sistemas que toman decisiones en areas criticas: evaluacion de credito, seleccion de candidatos a empleo, diagnostico medico, acceso a servicios publicos esenciales. Los sistemas de riesgo limitado requieren principalmente transparencia (Art. 50). Los de riesgo alto requieren gobernanza de datos, documentacion tecnica completa, registros de actividad, supervisin humana continua y registro en una base de datos nacional. La mayoria de chatbots y sistemas que desarrollamos en SAPIENSDATAAI caen en la categoria de riesgo limitado.

Question 4

¿Que datos puedo subir a un agente IA? ¿Y datos sensibles?

Accepted Answer

Puedes subir datos generales del negocio: catalogos, horarios, precios, FAQs, politicas, procedimientos. Los datos sensibles —especialmente datos de salud (Art. 9 RGPD)— requieren medidas adicionales. Si es una clinica dental, cualquier dato que revele informacion de salud del paciente (sintomas, tratamientos, historiales) es una categoria especial bajo el RGPD y necesita consentimiento explico del paciente. Para evitar riesgos, SAPIENSDATAAI implementa una capa de anonimizacion inteligente (mediante Presidio + GLiNER) que detecta automaticamente datos sensibles (nombres, NIF, datos economicos, salud) y los reemplaza con tokens cifrados antes de que ningun LLM procese el dato. Los datos reales se guardan en un vault separado, accesible solo a personal autorizado. Esta capa es obligatoria en sectores regulados: salud, legal, finanzas.

Question 5

¿Que es una DPIA (Evaluacion de Impacto) y cuando la necesito?

Accepted Answer

Una DPIA (Data Protection Impact Assessment) es un documento obligatorio bajo el RGPD cuando el tratamiento de datos es probable que entrañe riesgo alto para los derechos y libertades de las personas. Para sistemas de IA, una DPIA es obligatoria cuando: (1) el sistema evalua o perfila sistematicamente a personas, (2) procesa datos de salud o categorias especiales a gran escala, (3) realiza vigilancia sistematica. Para una clinica dental con chatbot, una DPIA es muy recomendable si el chatbot recibe datos de sintomas o historiales de pacientes. El contenido minimo es: descripcion del tratamiento, evaluacion de riesgos, medidas para mitigiarlos, y consideracion de derechos de los afectados. SAPIENSDATAAI proporciona templates de DPIA simplificadas para PYMEs y puede ayudarte a documentarla.

Question 6

¿Cual es la diferencia entre RGPD y EU AI Act?

Accepted Answer

El RGPD (Reglamento General de Proteccion de Datos) de 2016 se enfoca en proteger datos personales: quien puede acceder, como se procesan, cuantos tiempo se guardan, derechos del usuario (acceso, rectificacion, olvido). El EU AI Act de 2024 se enfoca en regular la tecnologia IA en si: transparencia, seguridad, no-discriminacion, supervision humana. Ambas normas aplican simultaneamente. Un chatbot dental debe cumplir RGPD (los mensajes del paciente son datos personales) Y EU AI Act (el sistema es IA y requiere transparencia). El RGPD protege "que se hace con tus datos". El EU AI Act protege "como la IA toma decisiones con tus datos".

Question 7

¿Que dice el RGPD Art. 22 sobre decisiones automatizadas?

Accepted Answer

El Art. 22 RGPD dice que ningun interesado puede ser objeto de una decision basada unicamente en tratamiento automatizado (incluida elaboracion de perfiles) si esa decision produce efectos juridicos o le afecta significativamente. Ejemplos de decisiones que SI aplican Art. 22: un sistema automatico que rechaza un credito, que prioriza un candidato para un empleo, que cancela una reserva. Ejemplos que NO aplican: un chatbot que simplemente responde preguntas, un sistema de recomendacion de productos. Si tu sistema de IA toma decisiones con efectos juridicos, debes: informar al usuario, explicar la logica, y garantizar que pueda impugnar la decision y solicitar revision humana. Si es un chatbot de soporte conversacional puro sin toma de decisiones, Art. 22 no aplica.

Question 8

¿Necesito avisar explicitamente que estoy usando IA (Art. 50)?

Accepted Answer

Si, si tienes un chatbot. El Art. 50 del EU AI Act (entrada en vigor 2 de agosto de 2026) requiere que informes al usuario que esta interactuando con un sistema de inteligencia artificial antes de que comparta datos personales. La forma mas simple es un mensaje claro en el primer saludo, por ejemplo: "Hola, soy un asistente virtual impulsado por IA de [tu empresa]. ¿En que puedo ayudarte?". El aviso debe ser: comprensible (sin jerga tecnica), en el idioma del usuario, y visible antes de que escriba datos sensibles. No necesitas un documento legal separado si el aviso es directo. Los chatbots de SAPIENSDATAAI ya cumplen esto automaticamente.

Question 9

¿Como puedo implementar supervision humana en un agente IA?

Accepted Answer

El Art. 14 EU AI Act requiere que los sistemas de IA tengan mecanismos de supervision humana, especialmente los de riesgo alto. En sistemas de riesgo limitado como chatbots, la supervision significa: (1) Capacidad de escalar a un humano: cuando el cliente dice "quiero hablar con una persona" o el sistema detecta una urgencia, la conversacion se deriva inmediatamente. (2) Logs accesibles: toda conversacion se registra en un panel donde tu equipo puede supervisar, ver si el agente respondio correctamente, y tomar control de una conversation si es necesario. (3) Persona designada: nombrar formalmente a alguien de tu equipo como responsable de supervisar el agente periodicamente. (4) Capacidad de desactivar: poder apagar el agente si hay un problema critico. SAPIENSDATAAI implementa todos estos mecanismos en sus sistemas.

Question 10

¿Como puedo una clinica dental automatizar la gestion de citas?

Accepted Answer

Una clinica dental puede automatizar la gestion de citas mediante un agente IA integrado en WhatsApp Business. El sistema consulta la agenda en tiempo real, confirma citas, envia recordatorios automaticos a 48 y 24 horas y gestiona cancelaciones sin intervencion del personal. Las clinicas que implementan esta solucion reducen los no-shows entre un 40% y un 65% en los primeros 60 dias. El agente opera 24/7, incluidos festivos y fines de semana, atendiendo a pacientes cuando la recepcion esta cerrada. La implementacion con SAPIENSDATAAI dura entre 7 y 15 dias e incluye integracion con los principales programas de gestion dental del mercado espanol: Gesden, Dentalia y Clinicea.

Question 11

¿Cuanto cuesta un chatbot para mi negocio?

Accepted Answer

El coste de un chatbot para una empresa depende de la complejidad del proyecto, los canales activados (WhatsApp, web, voz) y las integraciones necesarias con sistemas existentes. Un agente conversacional basico en modalidad de servicio gestionado parte de 160 euros al mes, que incluye mantenimiento, actualizaciones y soporte tecnico. Para proyectos a medida con integraciones CRM o ERP avanzadas, SAPIENSDATAAI facilita un presupuesto personalizado tras una consulta inicial gratuita de 30 minutos. No existen costes de instalacion en las implementaciones estandar. La calculadora de ROI disponible en la web permite estimar el ahorro mensual antes de tomar ninguna decision.

Question 12

¿Que es la automatizacion de procesos con n8n y para que sirve?

Accepted Answer

n8n es una plataforma de automatizacion open-source que conecta aplicaciones empresariales — CRM, ERP, Google Workspace, correo electronico, WhatsApp — y elimina tareas manuales repetitivas mediante flujos inteligentes. A diferencia de Zapier o Make, n8n se despliega en infraestructura propia del cliente, lo que significa que los datos permanecen en el entorno de la empresa y el coste no escala con el volumen de ejecuciones. Los casos de uso mas habituales incluyen generacion automatica de facturas y presupuestos, sincronizacion entre herramientas, onboarding de clientes, informes periodicos y notificaciones internas. En proyectos tipicos de 30 dias se implementan entre 3 y 6 automatizaciones, empezando siempre por el proceso que genera mayor ahorro inmediato.

Question 13

¿Que es un sistema RAG y como ayuda a mi empresa?

Accepted Answer

RAG (Retrieval-Augmented Generation) es una arquitectura de inteligencia artificial que combina un modelo de lenguaje grande con una base de conocimiento propia de la empresa. En lugar de depender unicamente del conocimiento general del modelo, el sistema recupera informacion relevante de documentos reales —catalogos, manuales, fichas de servicio, politicas internas— antes de generar una respuesta. El resultado es un agente que conoce exactamente los productos, servicios, precios y protocolos de la empresa sin inventarse informacion. Para una clinica dental, por ejemplo, el RAG permite al chatbot responder sobre tratamientos especificos, tarifas o documentacion necesaria con precision. En SAPIENSDATAAI implementamos sistemas RAG que trabajan con PDFs, documentos Word, paginas web y hojas de calculo sin necesidad de reformatear los archivos existentes.

Question 14

¿Que obligaciones tiene mi empresa con el EU AI Act (Reglamento Europeo de IA)?

Accepted Answer

El EU AI Act es el reglamento europeo de inteligencia artificial que clasifica los sistemas IA en cuatro niveles de riesgo: inaceptable, alto, limitado y minimo. La mayoria de las PYMEs espanolas que usan chatbots de atencion al cliente o automatizaciones de procesos caen en la categoria de riesgo limitado o minimo, lo que implica obligaciones de transparencia basicas como informar al usuario de que esta interactuando con un sistema IA. Los plazos de cumplimiento mas relevantes son: las prohibiciones de riesgo inaceptable ya vigentes desde febrero 2025, las obligaciones para sistemas de alto riesgo en agosto 2026 y el marco completo en agosto 2027. Las sanciones pueden alcanzar los 35 millones de euros o el 7% de la facturacion mundial. SAPIENSDATAAI ofrece un servicio de auditoria y clasificacion para determinar exactamente que medidas necesita cada sistema.

Question 15

¿Cuanto tiempo tarda en estar listo el primer agente IA?

Accepted Answer

Un agente conversacional basico tarda aproximadamente 15 dias en estar operativo desde el inicio del proyecto. Ese plazo incluye el analisis del negocio, la configuracion de los flujos de conversacion, el entrenamiento con la informacion de la empresa y la integracion en el canal elegido, habitualmente WhatsApp o webchat. Proyectos con integraciones CRM o ERP complejas pueden requerir entre 4 y 6 semanas. La metodologia Lean-AI de SAPIENSDATAAI prioriza siempre el proceso de mayor impacto inmediato para que el ahorro sea visible desde las primeras semanas, antes de ampliar funcionalidades en iteraciones posteriores.

Question 16

¿Los datos de mi empresa y de mis clientes se quedan en Europa?

Accepted Answer

Si. Toda la infraestructura de SAPIENSDATAAI esta alojada en servidores dentro de la Union Europea, cumpliendo el Reglamento General de Proteccion de Datos (RGPD). Los datos nunca salen del territorio europeo. Para proyectos con datos sensibles — como informacion de pacientes en clinicas dentales o medicas, clasificados como categoria especial bajo el RGPD — se firma un contrato de encargado de tratamiento antes del inicio del proyecto. Tambien se puede firmar un DPA (Data Processing Agreement) con cualquier cliente que lo requiera. La infraestructura EU-hosted es un requisito no negociable en todos los proyectos de SAPIENSDATAAI.

Question 17

¿Necesito conocimientos tecnicos para gestionar el agente IA despues de la implementacion?

Accepted Answer

No. SAPIENSDATAAI se encarga de toda la parte tecnica: configuracion, entrenamiento, integracion y mantenimiento. Una vez entregado el sistema, se forma al equipo del cliente para que pueda actualizar la informacion del agente —horarios, precios, nuevos servicios— sin depender de asistencia externa. El objetivo es la transferencia real de conocimiento, no la dependencia continua. La interfaz de gestion esta disenada para que personas sin perfil tecnico puedan supervisar conversaciones, identificar preguntas sin respuesta y ajustar parametros basicos.

Question 18

¿En cuanto tiempo se recupera la inversion en un agente IA o automatizacion?

Accepted Answer

En proyectos de automatizacion de atencion al cliente o procesos repetitivos, los clientes de SAPIENSDATAAI alcanzan ROI positivo en menos de 3 meses. Los factores principales son el ahorro en horas de atencion manual, la reduccion de errores y el aumento de leads cualificados gracias a la disponibilidad 24/7. En el caso especifico de clinicas dentales con problemas de no-shows, algunas clinicas han recuperado la inversion en 45 dias. Para proyectos de automatizacion n8n, el primer sprint siempre incluye el proceso de mayor impacto para que el ROI sea visible en los primeros 30 dias. La calculadora de ROI disponible en la web permite hacer un calculo personalizado antes de comprometerse con ningun proyecto.

Question 19

¿Que diferencia hay entre un chatbot tradicional y un agente IA?

Accepted Answer

Un chatbot tradicional funciona con arboles de decision fijos: si el usuario escribe X, el sistema responde Y. No comprende el contexto, no recuerda conversaciones anteriores y no puede actuar sobre sistemas externos. Un agente IA, en cambio, utiliza modelos de lenguaje grandes que comprenden el significado de cada mensaje, mantienen el contexto a lo largo de toda la conversacion y pueden ejecutar acciones: reservar una cita, actualizar el CRM, enviar un correo o consultar el inventario en tiempo real. La diferencia practica es sustancial: un chatbot solo responde preguntas predefinidas, mientras que un agente IA puede gestionar flujos completos de atencion al cliente, cualificacion de leads y operaciones internas sin intervencion humana.

Question 20

¿Funciona el chatbot IA con WhatsApp Business?

Accepted Answer

Si. SAPIENSDATAAI dispone de integracion nativa con WhatsApp Business a traves de la Evolution API, que permite desplegar el agente directamente en el numero de WhatsApp de la empresa. El agente puede recibir y responder mensajes, enviar recordatorios de cita, compartir documentos y gestionar conversaciones completas desde el mismo canal que los clientes ya usan a diario. Tambien es posible integrarlo con Instagram DM, Facebook Messenger, webchat y telefono, segun las necesidades del negocio. La activacion del numero de WhatsApp Business requiere verificacion con Meta, proceso que SAPIENSDATAAI gestiona junto al cliente.

Question 21

¿Puede el agente IA gestionar varios clientes o conversaciones a la vez?

Accepted Answer

Si. A diferencia de un agente humano que solo puede atender una conversacion a la vez, el agente IA gestiona multiples conversaciones simultaneas sin degradacion de la calidad de respuesta. Esto es especialmente valioso para negocios con picos de demanda — restaurantes a la hora de las reservas, clinicas con recordatorios masivos enviados simultaneamente, o tiendas durante campanas de descuento. El sistema escala automaticamente con la carga sin necesidad de intervenir ni de contratar personal adicional.

Question 22

¿Que sectores pueden beneficiarse de la automatizacion con IA?

Accepted Answer

Practicamente cualquier sector con procesos repetitivos de atencion al cliente o tareas administrativas rutinarias puede beneficiarse de la automatizacion con IA. Los verticales con mayor impacto documentado son: clinicas dentales y medicas (gestion de citas y no-shows), despachos de abogados (cualificacion de consultas legales), inmobiliarias (cualificacion de compradores y agenda de visitas), restaurantes (reservas y gestion de eventos), hoteles (check-in digital y atencion al huesped), farmacias (consultas sobre medicamentos y disponibilidad), gimnasios (alta de socios y gestion de clases), e-commerce (atencion al cliente y seguimiento de pedidos) y empresas B2B (prospección automatizada y pipeline de ventas).

Question 23

¿Que ocurre si el agente no sabe responder una pregunta del cliente?

Accepted Answer

El agente IA esta configurado para reconocer cuando una pregunta esta fuera de su base de conocimiento y derivar la conversacion a un agente humano del equipo de forma transparente para el cliente. Este proceso de escalado se puede configurar para activarse automaticamente en situaciones especificas: urgencias medicas, reclamaciones complejas o solicitudes que requieren decision humana. Ademas, todas las conversaciones quedan registradas en un panel de control accesible al equipo, incluyendo las preguntas que el agente no pudo resolver. Esa informacion se utiliza para actualizar la base de conocimiento del agente periodicamente.

Question 24

¿Que es el GEO o AEO y por que importa para mi empresa?

Accepted Answer

GEO (Generative Engine Optimization) y AEO (Answer Engine Optimization) son estrategias de visibilidad disenadas para aparecer en las respuestas de motores de IA generativa como ChatGPT, Perplexity, Google AI Overviews y Gemini. A diferencia del SEO tradicional que busca posiciones en resultados de busqueda, el GEO/AEO busca que la IA cite a tu empresa cuando un usuario pregunta algo relacionado con tu sector. Para una empresa, aparecer en estas respuestas generadas equivale a ser recomendado de forma automatico ante millones de consultas sin coste adicional. Las tecnicas incluyen: schema markup estructurado (FAQPage, Organization, Service), contenido en formato pregunta-respuesta directa, definiciones de conceptos del sector y senales de autoridad como pagina AboutPage con datos del fundador. SAPIENSDATAAI ofrece este servicio de visibilidad en IA como parte de su catalogo.

Question 25

¿Cual es la diferencia entre una arquitectura RAG y una arquitectura MCP?

Accepted Answer

Tanto RAG (Retrieval-Augmented Generation) como MCP (Model Context Protocol) son arquitecturas que permiten a un agente IA acceder a informacion externa, pero con enfoques diferentes. RAG es ideal cuando tienes documentacion estable (PDFs, web, catalogos, politicas) que necesita ser buscada y citada — el agente recupera documentos relevantes y genera respuestas basadas en esos textos reales. MCP es mejor cuando necesitas interactuar con multiples sistemas vivos: APIs, bases de datos, calendarios, CRM — permite al agente consultar, actualizar y ejecutar acciones en tiempo real. En SAPIENSDATAAI realizamos un piloto de 1-2 semanas con ambas arquitecturas para determinar cual genera mejor ROI en tu caso concreto. Muchas implementaciones hibridadas combinan ambas: RAG para base de conocimiento documental + MCP para integraciones operacionales.

Question 26

¿Podeis integrar el agente IA con nuestro CRM o ERP existente?

Accepted Answer

Si, completamente. SAPIENSDATAAI integra agentes IA con los principales sistemas de gestion empresarial del mercado: Salesforce, Hubspot, Pipedrive, SAP, Oracle NetSuite, Microsoft Dynamics y sistemas locales como Gesden o Dentalia para clinicas dentales. La integracion permite al agente consultar datos en tiempo real (disponibilidad, inventario, historial de cliente, estado de pedidos), crear registros (leads, tickets de soporte, citas), actualizar informacion y ejecutar flujos operacionales automatizados. El proceso incluye mapeo de campos, autenticacion segura y sincronizacion bidireccional. Implementaciones tipicas con integraciones CRM/ERP tardan entre 3 y 6 semanas segun la complejidad del sistema existente.

Question 27

¿Ofreceis agentes de voz (voicebots) o solo chatbots de texto?

Accepted Answer

SAPIENSDATAAI ofrece tanto chatbots de texto como agentes de voz. Los agentes de voz permiten que los clientes se comuniquen por telefono o en llamadas via WhatsApp, con respuestas en tiempo real. El sistema puede: recibir llamadas entrantes, responder preguntas sobre disponibilidad/precios/servicios, agendar citas y derivar a un agente humano si es necesario. Los casos de uso principales son recepcionista virtual 24/7 para clinicas, despachos de abogados y empresas de servicios, reduciendo drasticamente el volumen de llamadas perdidas. La integracion de voz requiere infraestructura SIP o WebRTC y puede ser multilingue. La configuracion inicial tarda 2-3 semanas; el coste depende del volumen de minutos mensuales.

Question 28

¿Como sabemos que nuestro agente IA esta funcionando bien? ¿Que metricas proporcionais?

Accepted Answer

SAPIENSDATAAI proporciona un informe mensual detallado con metricas de tres dimensiones: conversacion, negocio y calidad. Metricas de conversacion incluyen tiempo a primera respuesta, tasa de resolucion al primer mensaje, numero de derivaciones a humano y satisfaccion del cliente (NPS/CSAT). Metricas de negocio miden leads cualificados, citas agendadas, ingresos atribuibles y ROI acumulado. Metricas de calidad evaluan exactitud semantica, cobertura de preguntas (que % de consultas resuelve completamente) y groundedness (basabilidad en fuentes). Todas las metricas estan disponibles en un panel de control en tiempo real; el informe mensual incluye recomendaciones concretas para optimizacion: nuevas FAQs a anadir, ajustes de flujos de conversation, cambios en horarios de disponibilidad.

Question 29

¿Con que frecuencia se actualiza la base de conocimiento del agente?

Accepted Answer

La frecuencia de actualizacion depende del cambio en tu negocio. SAPIENSDATAAI proporciona un procedimiento estandar: mensualment recibimos actualizaciones de FAQs, precios, horarios y politicas. Las nuevas fuentes se curan, etiquetan (en RAG o como conectores MCP si aplica), se prueban automaticamente + se validan con tu equipo. El despliegue ocurre en una ventana de cambio acordada (tipicamente fin de mes o antes de campanas). No existe limite en el numero de actualizaciones — es responsabilidad nuestra mantener el agente actualizado. El procedimiento tipico tarda 3-5 dias de recepcion a go-live. Para cambios urgentes (error critico, informacion sensible) proporcionamos despliegues en 24 horas.

Question 30

¿Pueden ver los clientes (o el equipo) todas las conversaciones entre ellos y el agente?

Accepted Answer

Si. Toda conversacion queda registrada y es accesible mediante un panel de control interno. Los registros incluyen: texto completo de la conversacion, timestamp, usuario/lead identificado, hora de respuesta, si fue escalada a humano y por que. Los administradores pueden supervisar conversaciones en tiempo real, tomar control de una conversation si es necesario y extraer insights para mejorar el agente. Todas las conversaciones estan cifradas en transito y en reposo, cumpliendo RGPD. Se pueden configurar diferentes niveles de acceso (supervisor ve todo, operario solo sus conversaciones, director ejecutivo solo resumenes semanales). El panel es responsivo y funciona en movil para que puedas supervisar desde cualquier lugar.

Question 31

¿Cual es el plazo para cumplir el EU AI Act? ¿Hay margen?

Accepted Answer

La ley EU AI Act entro en vigor el 1 de agosto de 2024. Los principales plazos de cumplimiento son: (1) Prohibiciones de riesgo inaceptable: ya en vigor desde el 2 de febrero de 2025. (2) Obligaciones para sistemas de riesgo limitado (Art. 50, transparencia): entran en vigor el 2 de agosto de 2026, quedan 14 meses desde hoy. (3) Obligaciones para sistemas de alto riesgo (gobernanza completa): 2 de agosto de 2027. La mayoria de chatbots PYMEs necesitan cumplir por agosto 2026. Es urgente. SAPIENSDATAAI ofrece un servicio de auditoria y compliance que adapta tus sistemas en 2-4 semanas.

Question 32

¿Que protege el derecho al olvido en sistemas de IA (Art. 17 RGPD)?

Accepted Answer

El derecho al olvido (Art. 17 RGPD) permite que cualquier persona solicite que borres sus datos personales si: ya no son necesarios para el fin original, revoca el consentimiento, se opone al tratamiento o considera el tratamiento ilegal. En sistemas de IA (especialmente RAG), esto es complejo: borrar un documento es facil, pero borrar los embeddings/vectores generados a partir de ese documento en la base de datos de vectores es diferente. SAPIENSDATAAI implementa un procedimiento de borrado en dos pasos: (1) Borrar el documento fuente de la carpeta del cliente. (2) Eliminar automaticamente los embeddings asociados de la base de datos de vectores en 24 horas. El cliente recibe confirmacion escrita del borrado.

Question 33

¿Puedo compartir datos de mis clientes con OpenAI o Claude directamente?

Accepted Answer

Tecnicamente si, pero solo con consentimiento explico de tus clientes y bajo condiciones seguras. OpenAI y Anthropic no entrenan modelos con datos que proceses a traves de sus APIs (tienes opciones de "no entrenar"). Sin embargo, compartir datos reales (nombres de pacientes, historiales de salud) con terceros crea riesgos legales bajo RGPD. La recomendacion de SAPIENSDATAAI es NUNCA compartir datos sensibles con LLMs de terceros sin: (1) Consentimiento del cliente/paciente. (2) Contrato de encargado de tratamiento con el proveedor (OpenAI y Anthropic tienen estos contratos disponibles). (3) Implementacion de anonimizacion previa (nuestro servicio PRIVACY_ANONIMIZACION). (4) DPIA. Lo ideal es usar RAG local + anonimizacion, donde los datos sensibles nunca salen de tu infraestructura.

Question 34

¿Necesito un Delegado de Proteccion de Datos (DPO)?

Accepted Answer

El RGPD requiere un DPO (Delegado de Proteccion de Datos) cuando: (1) eres una administracion publica, (2) tu actividad principal es monitorear sistematicamente a gran escala, (3) procesas datos sensibles (salud, genética, biometricos) a gran escala. La mayoria de PYMEs NO necesitan DPO obligatoriamente. Sin embargo, si tu empresa es clinica, despacho de abogados o gestiona datos de salud, es altamente recomendable designar un DPO interno o externo. El DPO es el punto de contacto entre tu empresa y la autoridad de proteccion de datos (AEPD en España). Si tienes dudas, la AEPD ofrece asesoramiento gratuito.

Question 35

¿Que es la "responsabilidad compartida" entre proveedor y cliente en sistemas de IA?

Accepted Answer

Cuando usas un sistema de IA, hay responsabilidades que se dividen: el proveedor (SAPIENSDATAAI) es responsable de que el sistema sea seguro, transparente, respete derechos fundamentales, tenga supervision humana. El cliente (tu empresa) es responsable de: usar el sistema de forma licita, informar a tus usuarios finales que estas usando IA (si aplica), obtener consentimiento para tratar datos sensibles, designar responsable de supervision, mantener registros accesibles. En un contrato de servicios de IA, estas responsabilidades se documentan en una clausula de "responsabilidad compartida". SAPIENSDATAAI proporciona contratos que dejan clara esta division y facilitan el cumplimiento para ambas partes.

Question 36

¿Que sanciones hay por incumplimiento del EU AI Act o RGPD?

Accepted Answer

EU AI Act: (1) Infraccion de riesgo inaceptable prohibido: multa hasta 35 millones EUR o 7% de facturacion global. (2) Incumplimiento de obligaciones de proveedores (sistemas alto riesgo): hasta 15 millones EUR o 3% facturacion. (3) Informacion incorrecta a autoridades: hasta 7.5 millones EUR o 1.5% facturacion. RGPD: (1) Incumplimiento de obligaciones generales: hasta 20 millones EUR o 4% facturacion. (2) Violaciones graves de consentimiento/derechos: hasta 20 millones EUR o 4% facturacion. Para PYMEs se aplica el menor de los dos valores. La realidad: las autoridades (AEPD en España, EDPB a nivel UE) proriorizan infracciones graves (datos masivos comprometidos, discriminacion). Una PYME que intenta cumplir y tiene un sistema de riesgo limitado bien documentado tiene riesgo bajo.

Question 37

¿Que debo informar a mis usuarios sobre el uso de IA en mi chatbot?

Accepted Answer

Minimo: (1) Que existe un sistema de IA. (2) Como pueden contactar a un humano. (3) Para que se usan sus datos (atencion al cliente, mejora del servicio). (4) Si se toman decisiones automatizadas que afecten sus derechos. (5) Cuanto tiempo se guardan sus conversaciones. La forma mas simple es: una seccion en tu web "Politica de uso del asistente IA" con texto claro (sin jerga legal), y un mensaje inicial en el chatbot diciendo "Soy un asistente virtual de [empresa], impulsado por IA". No necesitas un documento de 20 paginas. Claro y accesible es lo que buscan la AEPD y el EU AI Act.

Question 38

¿Puede un sistema de IA tomar decisiones de recursos humanos sobre empleados?

Accepted Answer

La respuesta es si, pero bajo condiciones estrictas (EU AI Act Anexo III, riesgo alto). Un sistema que evalue candidatos, puntue empleados, decida despidos o ascensos es de riesgo ALTO y requiere: documentacion tecnica completa, gobierno de datos, supervision humana continua, registro en base de datos nacional EU, evaluacion de impacto obligatoria. Un sistema que simplemente preselecciona curriculos (sin decision final) puede ser riesgo limitado si hay humano que valida. La regla: si la decision IA tiene efectos juridicos o significativos en la vida laboral del empleado, es riesgo alto. Recomendacion: NUNCA dejar toma de decisiones de RRHH unicamente en manos de IA sin supervision cualificada y consentimiento del empleado.

Question 39

¿Cuando entra en vigor la prohibicion de sistemas IA de riesgo inaceptable?

Accepted Answer

Ya entro en vigor el 2 de febrero de 2025. Eso significa que sistemas IA que suponen amenaza inaceptable para derechos fundamentales estan PROHIBIDOS ahora. Ejemplos prohibidos: sistemas de puntuacion social (ranking ciudadanos), manipulacion subliminal de comportamiento, explotacion de vulnerabilidades, reconocimiento facial masivo en espacios publicos (con excepciones), inferencia de emociones en trabajos/educacion, categorizacion biometrica para raza/religion/orientacion sexual. La buena noticia: practicamente NINGUN sistema de IA comercial puro entra en esta categoria. Los chatbots y agentes que desarrollamos estan fuera de esta zona prohibida.

Preguntas Frecuentes

EU AI Act y Leyes de IA