Cumplimiento de IA

Clasificación

Syncanix es el proveedor de un sistema de IA con arreglo a la Ley de IA de la UE: introduce en el mercado un sistema de IA de riesgo limitado (un chatbot que interactúa con personas), lo que activa las obligaciones de transparencia del Article 50, pero no el régimen más estricto de alto riesgo. Los clientes que integran Syncanix son responsables del despliegue de dicho sistema. Las obligaciones independientes del modelo GPAI con arreglo al Article 53 (resumen de los datos de entrenamiento, código de buenas prácticas en materia de derechos de autor) recaen en los proveedores de modelos fundacionales (Anthropic, OpenAI): Syncanix no entrena ni distribuye un modelo fundacional, por lo que no asume los deberes del proveedor de modelos del Article 53.

Syncanix pasa a ser de alto riesgo si se despliega para decisiones de empleo o recursos humanos, calificación crediticia, acceso a la educación, aplicación de la ley, migración o control fronterizo, o razonamiento judicial. Nuestra política de uso aceptable prohíbe expresamente estos sectores en la v1; consulte la sección AUP más abajo.

Obligaciones de transparencia del Article 50

A Syncanix le son aplicables cuatro obligaciones del Article 50, cada una de ellas cumplida antes de la fecha de exigibilidad del 2 Aug 2026:

1. Divulgación de la IA a los usuarios finales. Antes de la primera interacción o en el momento de esta, los usuarios finales ven el mensaje "Esta es una conversación con un asistente de IA." Un indicador persistente permanece en la cabecera del chat durante toda la sesión. La divulgación está disponible en los seis idiomas de lanzamiento (English, Spanish, French, German, Arabic, Hebrew).
2. Marcado del contenido generado por IA. Las imágenes, el audio o el vídeo sintéticos (no aplicables a Syncanix v1; reservados para las funciones de voz o visión de la v2) serían legibles por máquina como generados por IA mediante el estándar C2PA. La salida de texto se etiqueta de forma visible en la interfaz del chat, en lugar de marcarse esteganográficamente.
3. Divulgación de ultrafalsificaciones (deepfakes). No aplicable a Syncanix v1: no generamos contenido sintético que represente a personas reales.
4. Documentación a petición. Syncanix mantiene un expediente técnico con los modelos utilizados, la procedencia de los datos de entrenamiento (transmitida desde los proveedores), los resultados de las evaluaciones y las limitaciones conocidas. Las autoridades de control pueden solicitar el acceso cuando lo requieran.

Quién se encarga de qué: Syncanix frente a tus obligaciones como responsable del despliegue

Según el Reglamento de IA, Syncanix es el proveedor del sistema de IA y tú — al integrarlo en tu producto — eres normalmente su responsable del despliegue. Ambos roles conllevan deberes del artículo 50. Este es el reparto, sin rodeos.

De qué se encarga Syncanix por ti

• La propia divulgación de IA al usuario final: un aviso en la primera interacción más un indicador persistente durante toda la sesión — activado por defecto y no desactivable (el widget incluso rechaza CSS personalizado que lo ocultaría).
• El idioma de la divulgación: el aviso se muestra en el idioma del usuario final en los seis idiomas admitidos, incluida la escritura de derecha a izquierda.
• El expediente técnico — modelos usados, procedencia de los datos de entrenamiento transmitida desde los proveedores, resultados de evaluación, limitaciones conocidas — disponible para ti y para las autoridades de supervisión previa solicitud.
• El marcado de contenido generado por IA: no aplicable en v1 (no se produce imagen, audio ni vídeo sintéticos); el marcado legible por máquinas queda reservado para futuras funciones de voz o visión.

Qué queda de tu lado

• Si construyes tu propia interfaz sobre la API de Syncanix en lugar de integrar el widget, la divulgación de IA en esa interfaz es tu deber: las protecciones de nuestro widget no pueden seguirte hasta allí.
• Si tu producto combina el agente con soporte humano, mantén clara la frontera: los usuarios deben poder saber cuándo termina la IA y empieza una persona.
• Si canalizas la salida del agente hacia otros sistemas de IA (generación de contenido, medios sintéticos), los deberes de marcado y divulgación de esos sistemas son suyos y tuyos, no nuestros.
• Las normas sectoriales por encima del Reglamento de IA — médicas, financieras, restricción de asesoramiento jurídico, divulgaciones en contexto laboral — siguen siendo tuyas como responsable del despliegue en tu dominio.
• Tus propias divulgaciones de privacidad: informar a tus usuarios en tu política de privacidad de que un asistente de IA procesa sus solicitudes sigue siendo obligación tuya.

Esto es documentación de ingeniería, no asesoramiento jurídico. Tu asesoría legal es dueña de tu posición sobre el artículo 50; la nuestra revisa esta página.

Sanciones

• Hasta 35 M€ o el 7 % del volumen de negocios global por prácticas prohibidas (IA prohibida del Article 5).
• 15 M€ o el 3 % por la mayoría de las demás infracciones.
• 7,5 M€ o el 1 % por facilitar información incorrecta a las autoridades.

Fichas de modelo

Los modelos fundacionales que Syncanix invoca en producción, por proveedor:

• Anthropic Claude (LLM gestionado). Proveedor principal de completado de chat. Según los términos de API de Anthropic, los prompts y las respuestas del cliente no se utilizan para entrenar los modelos de Anthropic; se está finalizando un contrato de Retención Cero de Datos (ZDR) para añadir la no retención contractual. Consulte la ficha de modelo publicada por Anthropic para conocer los detalles de capacidad y seguridad.
• OpenAI de clase GPT (LLM de conmutación por error). Proveedor secundario de completado de chat, previsto para conmutación por error: todavía no está activo en producción. Cuando se habilite, se enrutará según los términos de API de OpenAI (los datos de API quedan excluidos del entrenamiento), con un contrato de Retención Cero de Datos (ZDR) para empresas pendiente de confirmar antes de la activación.
• Amazon Bedrock: embeddings (Amazon Titan Text Embeddings V2). La indexación de recuperación de documentos se ejecuta a través de AWS Bedrock en la región de la UE (eu-central-1). Los datos permanecen en la región y AWS no entrena sus modelos con el contenido de los clientes.
• Amazon Bedrock: reordenación (Amazon Bedrock Rerank). Reordenación de calidad de recuperación de los mejores candidatos, también a través de Bedrock en eu-central-1, con la misma postura de permanencia en la región y de no entrenamiento que los embeddings.

El BYOK (uso de su propia clave) de Syncanix se admite en el plan Enterprise: los clientes pueden enrutar el tráfico de LLM a través de su propio endpoint de Anthropic, OpenAI, AWS Bedrock, Azure OpenAI o compatible con OpenAI. El proveedor del cliente ve el tráfico; Syncanix no.

Ficha del sistema

Syncanix es una composición de recuperación (embeddings + reordenación de Amazon Bedrock, en eu-central-1), el catálogo de capacidades del cliente (superficie de herramientas tipada descubierta a partir de la API del cliente) y un bucle de modelo fundacional (Anthropic como principal, OpenAI como conmutación por error) orquestado por la capa de emisión de intenciones de Syncanix. El LLM nunca posee las credenciales del usuario final: las llamadas a herramientas se emiten como sobres de intención firmados que la propia API del cliente verifica y ejecuta.

Las llamadas a herramientas de alto impacto (cualquiera con un efecto destructivo o económicamente significativo) requieren una confirmación explícita con intervención humana en la interfaz del chat antes de emitir la intención. Esto proporciona al cliente (en su calidad de responsable del tratamiento) las herramientas para cumplir sus obligaciones del Article 22 del RGPD: no se adopta ninguna decisión exclusivamente automatizada con efectos jurídicos o significativos sin intervención humana.

Metodología de evaluación

Cada versión de Syncanix se publica contrastándola con un conjunto de evaluación medido. La metodología combina la puntuación determinista por rúbrica con LLM-as-judge para las respuestas de formato libre:

• F1 de recuperación sobre un conjunto curado de consultas y pasajes por inquilino de cliente (cuando el inquilino ha facilitado un conjunto de consultas de muestra).
• Fidelidad — LLM-as-judge puntúa si la respuesta generada está fundamentada en el contexto recuperado. El umbral de fidelidad es configurable por el cliente; valor predeterminado 0,85 sobre 1,0.
• Exactitud de las llamadas a herramientas — si el LLM seleccionó la capacidad correcta y produjo argumentos válidos frente al esquema estrictamente validado de la capacidad. Apto/no apto; sin crédito parcial.
• Tasa de rechazo — si el modelo rechazó las solicitudes que infringen la política (p. ej., intentos de exfiltración de datos personales, consultas entre inquilinos) con la frecuencia esperada. Las sondas sintéticas nocturnas alimentan la métrica.

Evaluación de sesgos

La evaluación de sesgos de Syncanix ejecuta los benchmarks de sesgo publicados por los proveedores de los modelos fundacionales (BBQ, BOLD, los cortes de sesgo de HELM) sobre las versiones de modelo a las que enrutamos en producción y realiza el seguimiento de la variación entre versiones. Los resultados y la metodología se publican como parte del expediente técnico que exige la documentación del Article 50 de la Ley de IA de la UE. Las evaluaciones específicas del cliente sobre sus propios escenarios se admiten en el plan Enterprise con sondas de personas designadas.

Política de uso aceptable

La AUP de Syncanix prohíbe expresamente el despliegue en los siguientes sectores de alto riesgo en la v1 sin un acuerdo escrito independiente:

• Decisiones de empleo o recursos humanos (contratación, despido, ascenso, evaluación del desempeño).
• Calificación crediticia o determinación de la solvencia.
• Acceso a la educación (admisiones, calificación de exámenes).
• Aplicación de la ley (vigilancia predictiva, evaluación de pruebas).
• Decisiones de migración, control fronterizo o asilo.
• Razonamiento judicial o recomendaciones de sentencia.
• Operación de infraestructuras críticas.
• Decisiones sanitarias o clínicas que impliquen información médica protegida (PHI) (sin BAA de HIPAA en la v1).
• Menores de 13 años (COPPA, sin acuerdo independiente).

Las infracciones son motivo de suspensión inmediata. Los clientes Enterprise que necesiten desplegar en un sector regulado pueden solicitar un acuerdo escrito independiente, junto con el régimen de cumplimiento más exhaustivo que dicho sector requiera.

Revisión jurídica

El DPA, el texto de divulgación de la IA (línea base en inglés + traducciones a 6 idiomas) y esta página son revisados por asesoría jurídica de privacidad de la UE antes de cada versión comercial. La aprobación queda registrada en docs/legal/counsel-sign-off.md con el nombre del asesor, la fecha de revisión y el alcance. La revisión jurídica es un requisito que bloquea el lanzamiento.

Relacionado

• Estado de cumplimiento → — cuadrícula de estado basada en JSON (SOC 2 / ISO 27001 / Ley de IA de la UE / RGPD / CCPA).
• Aviso de privacidad → — conservación, derechos del RGPD, tratamiento de datos personales, privacidad del código fuente.
• Resumen de seguridad → — cifrado, IAM, cabeceras, respuesta a incidentes.