Política Corporativa de uso de inteligencia artificial

POLÍTICA CORPORATIVA DE USO DE INTELIGENCIA ARTIFICIAL (IA)

Organización: TTPSEC SpA
Versión vigente: 30 de mayo de 2025

1. Propósito

Establecer las normas y principios rectores para el uso responsable, seguro y ético de tecnologías de Inteligencia Artificial (IA) en TTPSEC SpA, resguardando la seguridad de la información, los derechos de las personas, y el cumplimiento normativo vigente. Esta política se enfoca exclusivamente en el uso de IA, y no reemplaza ni contradice la Política de Protección de Datos Personales de TTPSEC SpA, la cual debe ser considerada como referencia complementaria obligatoria.

2. Ámbito de Aplicación

Esta política aplica a:

• Todo el personal de TTPSEC SpA: empleados, directivos, consultores, socios estratégicos, contratistas y terceros.

• Todos los procesos, desarrollos, productos y servicios que utilicen o integren componentes de IA.

• Toda interacción con sistemas de IA generativa, predictiva o analítica, ya sean locales o en la nube.

3. Principios Rectores del Uso de IA

• Legalidad y cumplimiento normativo: Toda aplicación de IA debe ajustarse a la legislación vigente, incluyendo la Ley 21.719, el GDPR, y cualquier norma sectorial aplicable.

• Privacidad por diseño: Cualquier sistema de IA debe ser concebido de forma que respete la confidencialidad y los principios establecidos en la Política de Protección de Datos Personales de TTPSEC SpA.

• Trazabilidad y explicabilidad: Los modelos y decisiones automatizadas deben ser documentados, auditables y comprensibles por los usuarios y la organización.

• Minimización de riesgos: Se debe garantizar que la IA no cause daño directo o indirecto a personas, sistemas o procesos críticos.

• No discriminación ni sesgo: Los sistemas de IA deben diseñarse y entrenarse para evitar sesgos injustificados, impactos discriminatorios o resultados opacos.

4. Prohibiciones Taxativas

Se prohíbe expresamente:

• Usar herramientas de IA generativa conectadas a internet (ChatGPT, Gemini, Claude, Copilot, entre otras) para procesar, transcribir, interpretar o consultar información de clientes, documentos contractuales, configuraciones, resultados de auditoría o reportes técnicos, salvo que estén previamente anonimizados y autorizados por el CISO y DPO.

• Integrar APIs de IA externas a sistemas que manejen datos personales o confidenciales sin validación previa de arquitectura, ciberseguridad y legal.

• Automatizar decisiones sobre personas físicas o jurídicas sin intervención humana, sin informar a los afectados, o sin evaluación de impacto.

• Implementar soluciones de IA sin documentación completa del caso de uso, modelo empleado, objetivos y límites operacionales.

5. Uso Permitido Bajo Condiciones

El uso de IA será considerado válido solo si cumple simultáneamente con los siguientes requisitos:

• Se realiza en entornos controlados, auditables y técnicamente seguros, sin conexión abierta a proveedores de nube sin contrato específico.

• Opera exclusivamente con datos sintéticos, anonimizados o simulados.

• Cuenta con autorización previa escrita del CISO, DPO y del Jefe de Arquitectura e Ingeniería.

• Incluye una evaluación de impacto (DPIA) cuando corresponda por tipo de dato, contexto o potencial efecto sobre los derechos de las personas.

6. Roles y Responsabilidades

• CISO: Aprueba el uso técnico de IA, verifica las medidas de seguridad, y asegura que los riesgos tecnológicos estén mitigados.

• DPO: Evalúa el cumplimiento con la Política de Protección de Datos Personales, exige DPIA cuando aplica y representa el punto de contacto ante autoridades.

• Jefe de Arquitectura e Ingeniería: Supervisa la integración técnica de la IA en los sistemas y asegura que los modelos cumplan con los principios de diseño seguro.

• Área Legal: Revisa contratos con proveedores de IA, términos de uso, licencias, y cláusulas de procesamiento de datos.

• Colaboradores: Deben cumplir esta política, participar en capacitaciones y reportar cualquier uso indebido o sospechoso.

7. Sanciones por Incumplimiento

El incumplimiento de esta política puede generar:

• Amonestaciones escritas o desvinculación según la gravedad.

• Notificación obligatoria a clientes y autoridades (Ley 21.719) en caso de exposición indebida.

• Responsabilidad administrativa, civil o penal por filtración, mal uso o automatización no autorizada.

8. Revisión y Actualización

Esta política será revisada de forma anual o cuando:

• Cambien las normativas nacionales o internacionales.

• Se detecten incidentes o desviaciones relevantes.

• Se introduzcan nuevos sistemas o casos de uso de IA.

Las revisiones deben ser aprobadas por el Comité de Seguridad de la Información y el Comité de Privacidad.

9. Control de Cambios

• Versión: 1.0

• Fecha: 10/04/2025

• Cambio: Versión inicial

• Aprobado por: Gerencia General

10. Difusión y Vigencia

Esta política está disponible en los canales internos de TTPSEC SpA. Su conocimiento, comprensión y cumplimiento son obligatorios para todo el personal interno y terceros con acceso a información o recursos de la organización.

11. Contacto Oficial para Reportes

• Correo: csirt@ttpsec.com

• Teléfono de emergencia: +56 9 2006 3713

• Dirección: Merced 838-A, Oficina 117, Santiago, Chile

Fin del Documento