Marco de Gobernanza Upstream

Los programas de gobernanza de la IA suelen limitarse a los resultados de los sistemas que ya se han construido, mediante procesos en los que la gobernanza no ha intervenido, codificando supuestos que la gobernanza nunca estuvo en condiciones de examinar.

Las decisiones que determinan lo que un sistema de IA aprende, lo que se le entrena para reconocer, para qué se optimiza su producción y cuya existencia sus datos de entrenamiento fueron construidos para ver claramente: estas decisiones se toman en las capas de entrenamiento y ajuste fino, antes de que el modelo exista. Para cuando se establece un programa de gobernanza, esas decisiones son infraestructura. No se pueden deshacer auditando los resultados o documentando las decisiones de despliegue.

Esta brecha de alcance —la gobernanza definida como la gestión de las consecuencias en lugar de la autorización de las decisiones— es lo que aborda el Marco de Gobernanza Upstream.

El marco organiza la gobernanza upstream a través de tres capas donde se toman decisiones trascendentales de IA:

• La capa de entrenamiento es donde un modelo adquiere su comprensión del mundo. La curación de conjuntos de datos, el diseño de categorías, los objetivos de optimización y la revisión representativa son decisiones de gobernanza que se toman aquí. Para las organizaciones que despliegan modelos de proveedores, esta capa está controlada por el proveedor. El marco establece lo que las organizaciones pueden exigir a los proveedores que divulguen y de lo que deben rendir cuentas.
• La capa de ajuste fino abarca cada decisión que toma una organización sobre cómo se configura, adapta o amplía un modelo base de un proveedor para su uso organizacional. Incluye la selección de datos propios, la configuración del comportamiento, la configuración de la recuperación y cualquier mecanismo que dé forma al comportamiento del modelo. Estas son decisiones de gobernanza.
• La capa de despliegue es donde la organización decide qué sistema de IA desplegar, con qué fines y bajo qué condiciones. La selección de proveedores, la autorización de casos de uso y el alcance del despliegue son decisiones de gobernanza que se toman aquí. Para las organizaciones que no entrenan ni ajustan sus propios modelos, aquí es donde comienza la gobernanza upstream.

El marco no sustituye a los programas de gobernanza de la capa de despliegue ni a los estándares existentes. Gobierna la capa que esos programas asumen que alguien ya gestionó.

El marco consta de cuatro componentes:

1. 1. El Modelo de Dominios de Tres Capas define los dominios de gobernanza presentes en cada capa, las decisiones específicas que constituyen decisiones de gobernanza dentro de cada dominio, los controles estructurales requeridos y los indicadores de ausencia de gobernanza.
2. 2. Los Estándares de Transparencia de Proveedores definen lo que las organizaciones tienen derecho a exigir a los proveedores en el momento de la selección y durante toda la relación con el proveedor. Operacionalizan la obligación de gobernanza que existe en la capa de despliegue para las organizaciones que no pueden acceder directamente a las decisiones de entrenamiento del proveedor. No exigen que los proveedores den acceso directo a los datos de entrenamiento. Exigen que los proveedores divulguen lo que pueden divulgar y acepten la responsabilidad de lo que no pueden.
3. 3. El Protocolo de Gobernanza del Ajuste Fino define lo que las organizaciones deben gobernar cuando utilizan datos propios para el ajuste fino. Cubre los requisitos de procedencia de los datos, los estándares de documentación del consentimiento, el proceso de revisión de categorías y los requisitos de auditoría continua.
4. 4. La Rúbrica de Evaluación de Madurez es el instrumento de diagnóstico que traduce el marco en una evaluación organizacional. Califica la madurez de la gobernanza en los doce dominios del modelo de tres capas, produce un perfil de madurez capa por capa e identifica las brechas de gobernanza de mayor prioridad.

El NIST AI Risk Management Framework opera principalmente en las capas de despliegue y resultados. El marco de gobernanza upstream opera en la capa previa a la intervención del NIST AI RMF. Los dos marcos son compatibles y complementarios.

Los requisitos de documentación técnica de la EU AI Act para sistemas de alto riesgo incluyen la gobernanza de los datos de entrenamiento y los requisitos de evaluación de sesgos en las capas de entrenamiento y ajuste fino. El marco de gobernanza upstream proporciona la arquitectura de gobernanza a partir de la cual se produce la documentación conforme.

La norma ISO 42001 establece los requisitos del sistema de gestión de la IA a nivel organizacional. El marco de gobernanza upstream especifica el contenido operativo que un sistema de gestión ISO 42001 debe cubrir en la capa upstream.

El Marco de Gobernanza Upstream se publica bajo la licencia Creative Commons Attribution 4.0 International (CC BY 4.0). Cualquier organización puede adoptar, adaptar y construir sobre él para cualquier propósito, incluidos los fines comerciales, con atribución. Consulte la parte 4 para conocer todos los requisitos de atribución.

El Marco de Gobernanza Upstream define la gobernanza como la autorización estructural de las decisiones antes de que se tomen, en el momento en que aún pueden cambiarse.

Este marco gobierna las decisiones que preceden al despliegue del modelo. No gobierna la respuesta a incidentes, el monitoreo del modelo o la auditoría de resultados. Este marco está diseñado para operar antes de esas funciones, no en lugar de ellas.

Este marco no exige que las organizaciones accedan a los datos de entrenamiento del proveedor. Los estándares de transparencia de proveedores definidos en este marco requieren que los proveedores divulguen lo que pueden divulgar y acepten la responsabilidad de lo que no pueden. La obligación de gobernanza que tiene la organización es exigir esa rendición de cuentas, no realizar la gobernanza del proveedor por ellos.

Este marco no sustituye al NIST AI RMF, la Ley de IA de la UE o ISO 42001. Opera en la capa que esos marcos asumen que ya ha sido gobernada.

El marco está organizado en cuatro partes. El Modelo de Dominios de Tres Capas define los dominios de gobernanza, las decisiones de gobernanza, los controles estructurales requeridos y los indicadores de ausencia en cada una de las tres capas. Esta es la especificación contra la cual se mide el programa de gobernanza de una organización.

Los Estándares de Transparencia de Proveedores definen qué exigir a los proveedores al momento de la selección y durante toda la relación. El Protocolo de Gobernanza del Ajuste Fino define qué gobernar cuando se utilizan datos propios para el ajuste fino.

La Rúbrica de Evaluación de Madurez califica la madurez de la gobernanza en los doce dominios e identifica las brechas de gobernanza prioritarias.

La sección de Mapeo de Estándares define el mapeo de estándares, las licencias y los términos de versionamiento.

Se proporcionan documentos de apoyo en tres apéndices: el Apéndice A contiene orientación de campo para el Registro de Procedencia de Datos, el Apéndice B contiene orientación de campo para el Registro de Documentación de Consentimiento y el Apéndice C contiene definiciones relevantes. Los formularios del Registro de Procedencia de Datos, el Registro de Documentación de Consentimiento y el Registro de Aceptación de Riesgo Residual están disponibles como documentos independientes en kindredlabsfoundation.org.

Los siguientes términos tienen significados definidos a lo largo de este documento:

Must (Debe) denota un requisito vinculante. Una organización que implemente este marco está obligada a cumplir con cada declaración "must".

Should (Debería) denota una práctica recomendada. Se permite desviarse de una declaración "should" cuando la organización documenta su razonamiento.

May (Puede) denota una opción permitida. No se implica preferencia ni requisito.

El modelo de dominios define lo que significa la gobernanza en cada una de las tres capas donde se toman decisiones trascendentales de IA. Todos los componentes posteriores se construyen sobre las especificaciones establecidas aquí.

Para cada una de las tres capas de gobernanza, esta parte define los dominios de gobernanza presentes en esa capa, las decisiones específicas que constituyen decisiones de gobernanza dentro de cada dominio, los controles estructurales requeridos y los indicadores de ausencia de gobernanza.

Un programa de gobernanza doctrinal expresa valores y principios sin crear mecanismos para hacerlos cumplir. Un programa de gobernanza estructural crea autoridad nombrada, procesos formales, requisitos de documentación y consecuencias definidas para el incumplimiento. Este marco requiere una gobernanza estructural en cada capa.

La capa de entrenamiento abarca cada decisión tomada sobre los datos de los que aprende un modelo, lo que se le entrena para reconocer o predecir, y cómo se estructura su proceso de aprendizaje. La gobernanza en esta capa precede a la existencia del modelo y no puede aplicarse retroactivamente.

Para que la gobernanza en esta capa sea estructural en lugar de doctrinal, deben existir los siguientes controles como procesos formales con autoridad nombrada, requisitos de documentación y consecuencias definidas para el incumplimiento:

• Una puerta de revisión previa al entrenamiento: no se procede con el entrenamiento sin una aprobación documentada en los cuatro dominios
• Autoridad nombrada para cada dominio: un rol o cuerpo específico con alcance definido y poder de ejecución
• Un registro de procedencia del conjunto de datos: documentación de la fuente, base de consentimiento y evaluación representativa para cada conjunto de datos
• Un registro de decisiones de categorías: documentación de cada decisión de definición de categoría, justificación y autoridad que aprueba
• Una autorización de objetivos de entrenamiento: aprobación formal de los objetivos de optimización antes de que comience el entrenamiento, acompañada de un análisis de compensaciones que documente qué se despriorizó entre objetivos en competencia y la base de gobernanza para esa decisión
• Un informe de revisión representativa: hallazgos, el estándar o criterios específicos aplicados para determinar la suficiencia, remediación tomada y brechas residuales reconocidas antes de que proceda el entrenamiento

Una organización no está gobernada en esta capa cuando:

• Los datos de entrenamiento son seleccionados por el equipo técnico sin un proceso de revisión formal
• Los límites de las categorías son definidos por los arquitectos del modelo sin la participación de la gobernanza
• Los objetivos de optimización son establecidos por el liderazgo de producto o técnico sin una revisión documentada
• No existe una autoridad nombrada para la suficiencia representativa
• La procedencia de los conjuntos de datos se rastrea solo para el cumplimiento legal, no para la gobernanza
• No existe una puerta previa al entrenamiento: el entrenamiento procede sin una aprobación documentada de gobernanza

La capa de ajuste fino abarca cada decisión que toma una organización sobre cómo se configura, adapta o amplía un modelo base de un proveedor para su uso organizacional. Incluye decisiones sobre de qué datos propios aprende el modelo, qué cambios de comportamiento está introduciendo la organización, cómo se configura la recuperación y cómo se diseña y autoriza cualquier mecanismo que dé forma al comportamiento del modelo. Estas son decisiones de gobernanza.

La gobernanza del ajuste fino tiene dos momentos upstream distintos: qué supuestos ya conlleva el modelo base del proveedor en el proceso de ajuste fino, y qué están añadiendo o reforzando en esos supuestos las propias decisiones de configuración de la organización. Ambos requieren gobernanza.

La capa de ajuste fino, tal como se define aquí, se extiende más allá de la modificación de los pesos del modelo. La ingeniería de prompts aplicada sistemáticamente a escala, la configuración de herramientas de agentes, el diseño del sistema de memoria y los clasificadores de políticas dan forma al comportamiento del modelo de maneras que conllevan las mismas obligaciones de gobernanza que el ajuste fino directo. Cualquier mecanismo a través del cual una organización configura cómo se comporta el modelo entra dentro del alcance de esta capa.

Para que la gobernanza en esta capa sea estructural en lugar de doctrinal, deben existir los siguientes controles como procesos formales con autoridad nombrada, requisitos de documentación y consecuencias definidas para el incumplimiento:

• Una puerta de revisión previa al ajuste fino: no comienza ningún ajuste fino sin una revisión documentada en los cuatro dominios
• Autoridad nombrada para la gobernanza del ajuste fino con poder para aprobar, pausar o detener
• Un registro de datos de ajuste fino: documentación de cada conjunto de datos, incluyendo categoría, base de consentimiento, limitaciones representativas y autoridad de aprobación
• Una autorización de objetivos de ajuste fino: aprobación formal antes de que comience el entrenamiento
• Un documento de límites del alcance de la personalización: definición explícita de lo que la organización ha y no ha modificado, mantenido como un documento vivo
• Un registro de gobernanza del corpus RAG: documentación del contenido del corpus, autorización y fecha de revisión. Un cambio material —definido como cualquier adición o eliminación de categorías de fuentes, cambio en la lógica de ponderación de la recuperación o modificación del alcance de la autorización— requiere una nueva revisión de gobernanza antes de que se despliegue el cambio
• Un registro de supuestos del modelo base: evaluación documentada de los supuestos del modelo del proveedor antes del ajuste fino

Una organización no está gobernada en esta capa cuando:

• Los datos de ajuste fino son seleccionados por el equipo técnico o de producto sin una revisión formal
• Los objetivos de ajuste fino no están sujetos a una revisión de gobernanza antes de que comience el ajuste fino
• No existe un inventario de qué datos propios se han utilizado en el ajuste fino
• La organización no puede responder qué base de consentimiento cubre su corpus de ajuste fino
• La configuración de RAG se trata como una decisión de infraestructura sin revisión de gobernanza
• Las decisiones de personalización no se documentan por separado de la arquitectura general del sistema
• La función de gobernanza no tiene visibilidad de las decisiones o actividades de ajuste fino

La capa de despliegue abarca las decisiones que toma una organización sobre qué sistema de IA desplegar, con qué fines y bajo qué condiciones. Incluye la selección de proveedores, la autorización de casos de uso, el alcance del despliegue y la definición de los límites de responsabilidad. Para las organizaciones que no entrenan ni ajustan sus propios modelos, aquí es donde comienza la gobernanza upstream.

Para que la gobernanza en esta capa sea estructural en lugar de doctrinal, deben existir los siguientes controles como procesos formales con autoridad nombrada, requisitos de documentación y consecuencias definidas para el incumplimiento:

• Un cuadro de mando (scorecard) de gobernanza de proveedores: criterios de evaluación formales que incluyan requisitos de gobernanza upstream
• Un registro de autorización de casos de uso: inventario mantenido de cada caso de uso autorizado, autoridad que aprueba, poblaciones afectadas y calendario de revisión
• Un documento de alcance del despliegue: definición explícita de acceso, autoridad de acción y requisitos de supervisión humana, revisado en un ciclo definido
• Asignaciones de responsabilidad nombradas para cada dominio de gobernanza del despliegue
• Un protocolo de escalada de fallos: desencadenantes y procesos definidos para escalar un fallo de despliegue a una revisión upstream
• Un archivo de divulgación del proveedor: registro mantenido de las divulgaciones del proveedor, actualizado en cada renovación de contrato
• Un Registro de Aceptación de Riesgo Residual: requerido cuando un proveedor rechaza uno o más requisitos de divulgación o responsabilidad de los Estándares de Transparencia de Proveedores, documentando la brecha específica, el riesgo de gobernanza aceptado y la autoridad nombrada que aprueba la decisión de proceder

Una organización no está gobernada en esta capa cuando:

• La selección de proveedores es realizada por adquisiciones y producto sin una participación formal de la gobernanza
• No existe un proceso de autorización de casos de uso: los sistemas se despliegan sin una revisión formal de gobernanza
• La función de gobernanza no puede producir un inventario de los sistemas de IA desplegados y sus propósitos
• La responsabilidad por los fallos de la IA se asigna después del hecho en lugar de definirse antes del despliegue
• El alcance del despliegue no está definido explícitamente ni sujeto a revisión de gobernanza
• Las divulgaciones de los proveedores no son revisadas por la función de gobernanza al momento de la selección o renovación
• Los fallos se investigan en la capa de resultados sin ningún mecanismo para escalar a una revisión upstream

Propósito

Las tres capas no operan de forma independiente. Las decisiones tomadas en la capa de entrenamiento crean condiciones que la gobernanza del ajuste fino debe tener en cuenta. Las decisiones tomadas en el ajuste fino crean condiciones que la gobernanza del despliegue debe tener en cuenta. Las decisiones de los proveedores tomadas fuera del control directo de la organización crean obligaciones de gobernanza que la organización debe cumplir de todos modos. Esta sección define los puntos de entrega (handoff) entre capas, la superficie de decisión del proveedor y la estructura temporal que rige cuándo debe gobernarse cada capa en relación con las demás.

Puntos de Entrega (Handoff) entre Capas

Del Entrenamiento al Ajuste Fino

Lo que la capa de entrenamiento codifica llega a la capa de ajuste fino como los supuestos del modelo base. Esto tiene dos implicaciones de gobernanza.

Primero, el programa de gobernanza del ajuste fino debe tener en cuenta lo que está heredando. El registro de supuestos del modelo base definido en la Capa 2 es el mecanismo para esto. Antes de que comience el ajuste fino, la organización debe documentar lo que sabe y lo que no sabe sobre los supuestos ya codificados en el modelo que está adaptando.

Segundo, el ajuste fino puede reforzar, corregir o agravar los supuestos de la capa de entrenamiento. Un objetivo de ajuste fino diseñado sin la evaluación de los supuestos del modelo base puede profundizar una brecha representativa que la organización no introdujo. La puerta de revisión previa al ajuste fino debe incluir una evaluación explícita de los supuestos del modelo base en relación con el objetivo de ajuste fino propuesto.

Requisito de gobernanza de la entrega (handoff): el registro de supuestos del modelo base debe completarse y revisarse antes de que se autorice cualquier objetivo de ajuste fino.

Del Ajuste Fino al Despliegue

Lo que produce la capa de ajuste fino llega a la capa de despliegue como el modelo personalizado que la organización desplegará. El programa de gobernanza del despliegue debe tener un conocimiento documentado de qué ajuste fino se ha realizado y qué se diseñó a cambiar antes de que proceda la autorización del caso de uso.

El documento de límites del alcance de la personalización definido en la Capa 2 es el artefacto de entrega principal. Debe estar a disposición de la función de gobernanza del despliegue antes de que proceda la autorización del caso de uso. El proceso de autorización del caso de uso debe incluir una evaluación explícita de si el caso de uso propuesto entra dentro del alcance apropiado del comportamiento personalizado del sistema.

Requisito de gobernanza de la entrega (handoff): el documento de límites del alcance de la personalización debe estar actualizado y ser revisado por la función de gobernanza del despliegue antes de la autorización del caso de uso para cualquier sistema con ajuste fino.

Del Despliegue de Regreso a Upstream

La entrega no solo funciona hacia adelante. Los fallos en el despliegue conllevan información de diagnóstico sobre las decisiones upstream. Un sistema que produce resultados discriminatorios en producción puede reflejar supuestos codificados en la capa de entrenamiento o de ajuste fino. El marco requiere una ruta de escalada definida desde el fallo del despliegue de regreso a la revisión upstream.

El protocolo de escalada de fallos definido en la Capa 3 es el mecanismo. Debe definir desencadenantes específicos que muevan la investigación de la gobernanza del despliegue a la gobernanza del ajuste fino o a la gobernanza del entrenamiento.

Requisito de gobernanza de la entrega (handoff): cada investigación de fallo de despliegue debe incluir una determinación explícita de si el fallo indica un supuesto de la capa de ajuste fino o de entrenamiento. Esa determinación debe documentarse independientemente de si sigue la escalada.

Superficie de Decisión del Proveedor

Las organizaciones que despliegan modelos de proveedores no controlan directamente la capa de entrenamiento. Esto crea una obligación de gobernanza que funciona de manera diferente a las obligaciones de gobernanza interna definidas en las Capas 1 y 2.

La superficie de decisión del proveedor es el conjunto de decisiones upstream que el proveedor ha tomado y que dan forma al comportamiento del sistema que la organización despliega. Incluye sobre qué se entrenó el modelo, qué categorías fue entrenado a reconocer, para qué se optimizó su producción y qué brechas representativas existen en sus datos de entrenamiento.

La organización no puede gobernar estas decisiones directamente. Puede exigir que el proveedor rinda cuentas por ellas. Esa rendición de cuentas opera a través de tres mecanismos:

• Requisitos de divulgación en la selección: el proveedor debe proporcionar documentación de las fuentes de datos de entrenamiento, las limitaciones conocidas, los hallazgos de la evaluación de sesgo y los objetivos de optimización como condición para la selección. Este es el cuadro de mando (scorecard) de gobernanza de proveedores definido en la Capa 3.
• Responsabilidad contractual: el proveedor debe aceptar una responsabilidad definida por los fallos que se originen en las decisiones de entrenamiento, incluyendo un proceso definido para investigar si un fallo de despliegue tiene una causa en la capa de entrenamiento.
• Obligaciones de transparencia continuas: el proveedor debe divulgar los cambios materiales en el modelo que afecten a los supuestos en los que la organización confió al momento de la selección. Las actualizaciones del modelo que alteren el comportamiento de las categorías, las características representativas o los objetivos de optimización son eventos de gobernanza que requieren la revisión de la organización.

Cuando un proveedor se niega a cumplir con uno o más de los requisitos de divulgación o responsabilidad definidos en los Estándares de Transparencia de Proveedores, la organización no debe proceder como si el requisito no se aplicara. La función de gobernanza debe producir un Registro de Aceptación de Riesgo Residual que documente qué requisitos rechazó el proveedor, qué riesgo de gobernanza crea eso y la decisión afirmativa de la autoridad nombrada de proceder a pesar de ese riesgo. Proceder sin un Registro de Aceptación de Riesgo Residual completado es un fallo de gobernanza en el Dominio 3.1.

Los Estándares de Transparencia de Proveedores operacionalizan estos tres mecanismos en el lenguaje de los contratos y en los requisitos de adquisiciones.

El Registro de Aceptación de Riesgo Residual está disponible como un formulario independiente en kindredlabsfoundation.org. El registro debe documentar: el requisito específico de los Estándares de Transparencia de Proveedores que el proveedor rechazó, el riesgo de gobernanza que crea la brecha, cualquier control compensatorio que la organización esté implementando y la aprobación afirmativa de la autoridad nombrada sobre la decisión de proceder. El registro debe completarse antes de que proceda el despliegue y conservarse como un registro de gobernanza.

Estructura Temporal

La gobernanza upstream se define por su lógica temporal. Las decisiones que requieren gobernanza deben gobernarse antes de que comience la siguiente capa.

La secuencia temporal requerida es:

• La gobernanza de la capa de entrenamiento debe estar completa antes de que comience el entrenamiento. La curación de conjuntos de datos revisada, las categorías aprobadas, los objetivos de optimización autorizados, la revisión representativa completada y documentada. Si alguno de estos está incompleto, el entrenamiento no procede.
• La gobernanza de la capa de ajuste fino debe estar completa antes de que comience el ajuste fino. Los supuestos del modelo base registrados, los datos propios revisados, los objetivos de ajuste fino autorizados, el alcance de la personalización definido. El documento de límites del alcance de la personalización debe reflejar el estado actual del modelo antes de que el ajuste fino le añada contenido.
• La gobernanza de la capa de ajuste fino debe estar completa antes de que comience el ajuste fino. Los supuestos del modelo base registrados, los datos propios revisados, los objetivos de ajuste fino autorizados, el alcance de la personalización definido. El documento de límites del alcance de la personalización debe reflejar el estado actual del modelo antes de que el ajuste fino le añada contenido.

La finalización de la gobernanza de cada capa es una puerta formal con autoridad para detener lo que sigue si no se cumplen los requisitos. La documentación posterior al despliegue no satisface el requisito de gobernanza.

La estructura temporal también define cuándo se vuelve a activar la gobernanza después del despliegue inicial. Los cambios en el ajuste fino requieren que el proceso de gobernanza del ajuste fino se ejecute de nuevo antes de que se despliegue el modelo actualizado. Las expansiones de los casos de uso requieren una nueva autorización de casos de uso antes de que la expansión se ponga en marcha. Las actualizaciones de los modelos de los proveedores que cambien materialmente el comportamiento del modelo base requieren que el registro de supuestos del modelo base se actualice antes de que el modelo actualizado se despliegue en producción.

Propósito

Los Estándares de Transparencia de Proveedores definen lo que las organizaciones que despliegan sistemas de IA de proveedores tienen derecho a exigir, lo que los proveedores están obligados a divulgar y qué estructuras de rendición de cuentas deben existir como condiciones de la relación con el proveedor. Estos estándares operacionalizan la obligación de gobernanza que existe en la capa de despliegue para las organizaciones que no controlan directamente la capa de entrenamiento.

Los estándares se organizan en cuatro componentes: requisitos de divulgación en la selección, obligaciones de transparencia continua, estructuras de rendición de cuentas contractuales y criterios de evaluación de proveedores.

Estos estándares no exigen que los proveedores den acceso directo a los datos de entrenamiento. Exigen que los proveedores divulguen lo que pueden divulgar y acepten la responsabilidad de lo que no pueden.

Antes de que una organización seleccione un sistema de IA de un proveedor para su despliegue, el proveedor debe proporcionar documentación suficiente para que la función de gobernanza de la organización evalúe qué decisiones upstream se han tomado y cuáles son sus implicaciones de gobernanza. La organización no puede autorizar casos de uso para un sistema cuyas decisiones upstream no pueda caracterizar.

Los supuestos en los que confía la organización cuando autoriza casos de uso se basan en el sistema tal como existía en el momento de la selección. Cuando el proveedor cambia el sistema materialmente, las evaluaciones de gobernanza de la organización pueden dejar de ser válidas. Las obligaciones de transparencia continua aseguran que la organización sea informada cuando ocurran cambios materiales.

Las siguientes disposiciones contractuales dan fuerza estructural a los requisitos de divulgación. Definen las consecuencias de la falta de divulgación, asignan la responsabilidad de las fallas en la capa de entrenamiento y crean una ruta de escalada desde las fallas de despliegue hasta la rendición de cuentas del proveedor.

La tarjeta de puntuación de gobernanza del proveedor es el instrumento que las organizaciones utilizan para aplicar estos estándares en la etapa de selección. Traduce los requisitos de divulgación y las estructuras de rendición de cuentas en un marco de evaluación que la función de gobernanza aplica durante la selección del proveedor.

Propósito

El Protocolo de Gobernanza de Fine-Tuning define lo que las organizaciones deben gobernar cuando utilizan datos patentados para realizar el ajuste fino (fine-tuning) de un modelo base de un proveedor. Cubre a todas las organizaciones que van más allá del despliegue de un modelo de proveedor tal cual: aquellas que realizan fine-tuning con datos de empleados, datos de clientes, datos de comportamiento, datos operativos o cualquier otra fuente de datos patentada. También cubre a las organizaciones que utilizan la generación aumentada por recuperación (RAG) a escala, donde el corpus de recuperación funciona como un mecanismo de fine-tuning continuo.

El principio subyacente que rige este protocolo es que no se pueden utilizar datos para dar forma al comportamiento del modelo sin una procedencia documentada, una base de consentimiento y una revisión de gobernanza.

El protocolo se organiza en cuatro componentes: requisitos de procedencia de los datos, estándares de documentación del consentimiento, proceso de revisión de categorías y requisitos de auditoría continua.

La gobernanza de la procedencia de los datos establece de dónde vinieron los datos, qué contienen y para qué se recolectaron originalmente, antes de que la organización determine si son apropiados para su uso en el fine-tuning. Se requiere documentación de procedencia para cada conjunto de datos que entre en el proceso de fine-tuning. La cuestión de gobernanza no es solo si la organización tiene el derecho de usar los datos, sino si el uso de estos datos para este propósito está dentro del alcance de los objetivos de fine-tuning autorizados.

Consulte el Apéndice A: Plantilla de Registro de Procedencia de Datos para las instrucciones del formulario de implementación de este componente.

La documentación del consentimiento establece la base sobre la cual la organización está autorizada a utilizar datos sobre personas identificables para fines de fine-tuning. Esto es distinto de la cuestión legal de si la organización tiene términos de servicio que permitan un uso amplio de los datos. La cuestión de gobernanza es si las personas cuyos datos se utilizan para el fine-tuning fueron informadas de manera significativa de que sus datos se utilizarían para este propósito y si tuvieron una oportunidad significativa de oponerse. Tanto la base legal como la base de gobernanza deben documentarse.

Consulte el Apéndice B: Plantilla de Documentación de Consentimiento para las instrucciones del formulario de implementación de este componente.

La revisión de categorías examina lo que el fine-tuning le está enseñando al modelo a reconocer, distinguir o predecir. Los objetivos del fine-tuning codifican supuestos sobre qué distinciones importan y cómo hacerlas. La revisión de categorías es el proceso de gobernanza que garantiza que esos supuestos se identifiquen y autoricen explícitamente antes de que comience el fine-tuning.

Propósito

La gobernanza del fine-tuning no termina cuando se completa el ajuste fino. El modelo que produjo el fine-tuning continúa operando sobre la base de lo que aprendió. Los requisitos de auditoría continua garantizan que la organización mantenga la visibilidad de lo que produjeron sus decisiones de fine-tuning y conserve la capacidad de identificar cuándo se necesita una corrección.

Propósito

La Rúbrica de Evaluación de Madurez es el instrumento de diagnóstico que traduce el marco en una evaluación organizacional. Califica la madurez de la gobernanza en cada dominio definido en el Modelo de Dominio de Tres Capas, identifica brechas específicas y produce un perfil de madurez capa por capa.

La rúbrica se construye a partir de la ausencia de indicadores de gobernanza definidos en cada capa, los controles estructurales requeridos en cada capa y los requisitos de traspaso definidos en la sección de Integración de Capas.

La rúbrica está diseñada para dos usos: autoevaluación con orientación facilitada y compromiso de arquitectura de gobernanza.

Las preguntas están redactadas para que sean legibles para las funciones de gobernanza y cumplimiento sin requerir experiencia técnica para responderlas.

Nivel 0: Ausente

No existe una estructura de gobernanza en este dominio. Las decisiones dentro de este dominio se toman sin ninguna revisión formal, documentación o autoridad designada.

Nivel 1: Naciente

Existe conciencia de la necesidad de gobernanza, pero no se ha establecido ningún proceso formal ni documentación. La gobernanza en este dominio ocurre de manera informal o inconsistente, dependiendo del juicio individual más que de la estructura organizacional.

Nivel 2: En Desarrollo

Existe un proceso formal pero es incompleto, se aplica de manera inconsistente o carece de uno o más elementos estructurales requeridos. La documentación existe pero puede estar incompleta. Existe una autoridad designada pero puede carecer de poder de ejecución. La estructura de gobernanza está presente en esquema pero no en pleno funcionamiento.

Nivel 3: Estructural

La gobernanza está integrada en los procesos de toma de decisiones con autoridad designada, requisitos de documentación completos, consecuencias definidas por incumplimiento y un ciclo de revisión funcional. La estructura de gobernanza opera independientemente de las personas que ocupan actualmente los roles de gobernanza. Sobreviviría a un cambio de personal.

Mapeo de Estándares

Propósito

El mapeo de estándares define cómo se relaciona el Upstream Governance Framework con los estándares de gobernanza de IA existentes. Identifica dónde los marcos son complementarios, dónde se superponen y dónde abordan problemas de gobernanza distintos.

NIST AI Risk Management Framework

El NIST AI RMF organiza la gobernanza de la IA en torno a cuatro funciones: Gobernar, Mapear, Medir y Gestionar. Es un marco de gestión de riesgos aplicado a la IA. Su función de Gobernar aborda los roles y responsabilidades organizacionales. Su función de Mapear aborda el contexto del sistema de IA y la identificación de riesgos. Su función de Medir aborda el análisis y la evaluación de riesgos. Su función de Gestionar aborda la respuesta y recuperación de riesgos.

Relación con el marco de gobernanza upstream: el NIST AI RMF opera principalmente en la capa de despliegue y en la capa de salida. Su función de Mapear toca la capa upstream al identificar el contexto del sistema de IA, pero no define los requisitos de gobernanza para las decisiones que crearon ese contexto. El Upstream Governance Framework opera en la capa previa a la participación del NIST AI RMF.

Compatibilidad: el Upstream Governance Framework está diseñado para ser compatible con el NIST AI RMF. Los registros de gobernanza y los requisitos de documentación definidos en el marco upstream proporcionan información para las funciones de Mapear y Medir del NIST AI RMF. Las organizaciones que están alineadas con el NIST AI RMF pueden adoptar el Upstream Governance Framework sin reemplazar ni entrar en conflicto con su alineación existente.

EU AI Act

La EU AI Act establece requisitos basados en el riesgo para los sistemas de IA desplegados en la Unión Europea, aplicando los requisitos más estrictos a los sistemas de IA de alto riesgo. Requiere evaluaciones de conformidad, documentación técnica, supervisión humana, transparencia y seguimiento post-comercialización para los sistemas de alto riesgo.

Relación con el marco de gobernanza upstream: los requisitos de documentación técnica de la EU AI Act para sistemas de alto riesgo incluyen requisitos para la gobernanza de datos de entrenamiento, la calidad de los datos y la evaluación de sesgos. Estos requisitos operan en la capa de entrenamiento y la capa de ajuste fino. El Upstream Governance Framework proporciona una arquitectura de gobernanza estructurada para cumplir con estos requisitos. Las organizaciones sujetas a la EU AI Act que implementen el Upstream Governance Framework tendrán documentación de gobernanza que respalde sus obligaciones de cumplimiento con la Ley.

Compatibilidad: los requisitos de documentación del Upstream Governance Framework para la procedencia de los conjuntos de datos, la revisión de categorías y la autorización de los objetivos de entrenamiento respaldan directamente los requisitos de documentación técnica de la EU AI Act para sistemas de alto riesgo. El marco no reemplaza el cumplimiento de la Ley, sino que proporciona la estructura de gobernanza a partir de la cual se produce la documentación conforme.

ISO 42001

ISO 42001 es el estándar internacional para sistemas de gestión de IA. Sigue la estructura de sistemas de gestión ISO familiar de ISO 9001 e ISO 27001: establecimiento de contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. Aborda la gobernanza de la IA a nivel del sistema de gestión organizacional.

Relación con el marco de gobernanza upstream: ISO 42001 establece requisitos de sistema de gestión para el desarrollo y uso responsable de la IA. Aborda la gobernanza a nivel de política y sistema de gestión en lugar de especificar requisitos de gobernanza para decisiones upstream particulares. El Upstream Governance Framework especifica cuáles son las decisiones de gobernanza en cada capa y qué controles estructurales se requieren. Opera a nivel de decisión y proceso donde ISO 42001 opera a nivel de sistema de gestión.

Compatibilidad: el Upstream Governance Framework está diseñado para operar dentro de un sistema de gestión ISO 42001. Los dominios de gobernanza, los controles estructurales y los requisitos de documentación definidos en el marco upstream son el contenido operativo que rige un sistema de gestión de IA ISO 42001. Las organizaciones que implementan ISO 42001 pueden usar el Upstream Governance Framework para especificar qué debe cubrir su sistema de gestión en la capa upstream.

Licenciamiento y Atribución

Licencia

El Upstream Governance Framework se publica bajo Creative Commons Atribución 4.0 Internacional (CC BY 4.0).

Bajo esta licencia, cualquier persona u organización puede usar, compartir, adaptar y construir sobre el marco para cualquier propósito, incluidos propósitos comerciales, siempre que se otorgue la atribución como se especifica a continuación.

Atribución Requerida

Todo uso del marco, incluyendo la adaptación, incorporación en otros documentos y adopción organizacional, debe incluir la siguiente atribución:

Este trabajo se basa en el Upstream Governance Framework desarrollado por Kindred Labs Foundation, publicado bajo CC BY 4.0. El marco original está disponible en kindredlabsfoundation.org.

Para las adaptaciones que alteren materialmente el contenido del marco, la atribución debe indicar adicionalmente:

Esta es una adaptación del marco original. El original no ha sido revisado ni respaldado por Kindred Labs Foundation.

Lo que la Atribución no Permite

La atribución no constituye respaldo. Las organizaciones que adopten o adapten el marco no pueden representar que Kindred Labs Foundation ha evaluado, certificado o respaldado su programa de gobernanza. La adopción del marco no constituye una certificación contra él. La certificación es una función separada y distinta de la adopción de un estándar abierto.

Lenguaje de Conformidad y Adopción

Las organizaciones que implementen este marco pueden usar los siguientes términos definidos para describir su estado de adopción. El uso de estos términos conlleva el significado definido aquí. Ninguna otra declaración de conformidad está autorizada por este marco.

Alineación Autodeclarada: La organización ha revisado el marco, ha aplicado la Maturity Assessment Rubric y está implementando estructuras de gobernanza contra el modelo de dominio del marco. La organización realiza esta determinación internamente sin revisión externa.

Evaluación de Madurez Independiente: La organización ha contratado a un evaluador independiente para administrar la Maturity Assessment Rubric y producir un perfil de madurez. La evaluación se realizó contra la Versión [X.X] del marco. Una evaluación de madurez independiente no constituye una certificación.

Conformidad Certificada: Reservado. No existe un programa de certificación bajo este marco a partir de la Versión 1.0. Las organizaciones no pueden reclamar conformidad certificada. Se puede desarrollar un programa de certificación en una versión futura.

Las organizaciones no pueden representar que Kindred Labs Foundation ha revisado, aprobado o respaldado su programa de gobernanza sobre la base de cualquier estado de adopción. La adopción del marco y la certificación contra él son funciones distintas.

Versiones del Documento

El marco publicado es la Versión 1.0. El número de versión aparece en la portada, en el encabezado y en el lenguaje de atribución. Todas las versiones posteriores siguen el versionado semántico: incrementos de versión mayor para cambios estructurales en el modelo de dominio o los niveles de madurez, incrementos de versión menor para adiciones a los protocolos o revisiones de la rúbrica, incrementos de parche para correcciones editoriales.

Se mantiene un registro de cambios de versión como un documento público en kindredlabsfoundation.org junto con el marco. Cada entrada del registro registra qué cambió, por qué y qué provocó el cambio.

Ubicación de la Publicación

El marco se publica en kindredlabsfoundation.org como un documento de descarga gratuita. El resumen ejecutivo está disponible por separado. El registro de cambios de versión se mantiene como un documento público independiente. El marco no tiene muros de pago, no está restringido ni limitado a usuarios registrados.

Acerca de Kindred Labs Foundation

Kindred Labs Foundation es una organización de investigación y gobernanza de IA. La Fundación desarrolla arquitectura de gobernanza, realiza investigaciones originales y publica estándares abiertos para la gobernanza de IA.

Este apéndice proporciona orientación sobre los campos para el Registro de Procedencia de Datos. El formulario está disponible como un documento independiente en kindredlabsfoundation.org. Debe haber un registro completado en archivo para cada conjunto de datos que ingrese al proceso de ajuste fino antes de que este pueda comenzar. Complete un registro por conjunto de datos.

Campos de encabezado del registro

ID del Registro: un identificador único asignado a este registro en el momento de su creación, incluyendo la fecha de creación. Los ID de los registros deben conservarse en el inventario de ajuste fino definido en el Protocolo de Gobernanza de Ajuste Fino, Componente 4.

Modelo: el nombre y la versión del modelo con el que está asociado este conjunto de datos.

Preparado por: el nombre y cargo de la persona que completa este registro.

Revisado por: el nombre y cargo de la autoridad de gobernanza que revisa y aprueba este registro.

Sección 1: Identificación de la Fuente

Nombre de la fuente de datos: el nombre del conjunto de datos o de la fuente de datos tal como se identifica en los sistemas de la organización.

Sistema o proceso generador: el sistema, la aplicación o el proceso organizacional que produjo estos datos. Se debe proporcionar suficiente detalle para que un revisor no familiarizado con el sistema entienda qué es y qué produce.

Rango de fechas: las fechas de inicio y fin de los datos incluidos en este conjunto de datos.

Sesgo conocido en el proceso generador: una evaluación de si el proceso que generó estos datos estuvo sujeto a trato diferencial, sesgo histórico o condiciones que representarían sistemáticamente de forma excesiva o insuficiente a cualquier población. Si la respuesta es afirmativa o se desconoce, debe describirse la naturaleza del sesgo o la incertidumbre. Este campo requiere una evaluación afirmativa, no una suposición predeterminada de que no existe sesgo.

Sección 2: Propósito de la Recolección Original

¿Para qué se recolectaron originalmente estos datos?: el propósito declarado en el momento de la recolección, tal como está documentado en el sistema de registro, en el aviso de privacidad o en la documentación de gobernanza de datos.

¿Es el propósito de la recolección original compatible con el uso de ajuste fino?: una evaluación de si el uso de estos datos para el ajuste fino entra en el ámbito del propósito para el que fueron recolectados. Cuando la compatibilidad sea incierta, el registro debe remitirse a una revisión elevada. La evaluación debe incluir una explicación escrita de la base para la determinación de la compatibilidad.

Conocimiento individual: una evaluación de si las personas cuyos datos se incluyen tenían conocimiento en el momento de la recolección de que sus datos podrían utilizarse para el entrenamiento de modelos de IA. Sí, No o Desconocido. Si la respuesta es No o Desconocido, debe anotarse en el registro de documentación de consentimiento de este conjunto de datos.

Sección 3: Alcance de la Representación

Poblaciones representadas: las poblaciones, comunidades o grupos reflejados en este conjunto de datos. Este campo requiere especificidad: una descripción suficiente para que un revisor evalúe si el conjunto de datos es apropiado para el uso de ajuste fino previsto.

Poblaciones subrepresentadas: las poblaciones, comunidades o grupos que están ausentes o subrepresentados en relación con la población a la que el modelo afectará posteriormente. Si no se identifica ninguna, debe documentarse la base de esa determinación.

Patrones históricos: una evaluación de si estos datos reflejan patrones organizativos históricos de acceso, oportunidad o trato diferencial que se reproducirían mediante el ajuste fino. En caso afirmativo o si se desconoce, los patrones deben ser descritos.

Evaluación de la adecuación de la representación: una determinación de si el alcance de la representación del conjunto de datos es adecuado para el uso de ajuste fino previsto. Hay tres determinaciones disponibles:

• Adecuado,
• Requiere Remediación
• o Requiere Revisión Elevada.

Una determinación de Requiere Remediación debe ir acompañada de una descripción de la remediación aplicada. Una determinación de Requiere Revisión Elevada remite el registro a la sección de Revisión Elevada.

Sección 4: Calidad de los Datos

Brechas o anomalías conocidas: documentación de cualquier brecha conocida en la cobertura de datos, anomalías en la recolección de datos o períodos durante los cuales la recolección de datos fue poco fiable. Si no se conoce ninguna, esa determinación debe declararse afirmativamente.

Condiciones de falta de fiabilidad: documentación de cualquier condición bajo la cual estos datos puedan no reflejar con precisión la población que pretenden representar: variaciones estacionales, interrupciones del sistema, cambios en las prácticas organizativas u otros factores que afecten a la integridad de los datos.

Evaluación de la calidad: una determinación de si la calidad de los datos es suficiente para fines de gobernanza. Hay tres determinaciones disponibles:

• Adecuado para Fines de Gobernanza,
• Requiere Divulgación en el Registro de Ajuste Fino
• o Requiere Remediación.

Una determinación de calidad de Requiere Divulgación significa que la limitación debe documentarse en el registro de datos de ajuste fino y evaluarse como parte de la autorización del objetivo de ajuste fino.

Sección 5: Historial de Uso Previo

Uso previo de ajuste fino: una determinación de si este conjunto de datos se ha utilizado en un ajuste fino o desarrollo de modelo previo. Este campo requiere una determinación afirmativa; "que nosotros sepamos" no es suficiente si no se ha comprobado ningún registro.

Descripción del uso previo: si existe un uso previo, deben documentarse los modelos con los que se utilizó el conjunto de datos, las fechas de ese uso y los objetivos de ajuste fino que respaldó.

Evaluación del efecto acumulativo: una evaluación de si los usos anteriores crean supuestos de representación compuestos que requieran la atención de la gobernanza en el uso actual. En caso afirmativo o si se desconoce, debe describirse la naturaleza del efecto compuesto.

Revisión Elevada

La sección de Revisión Elevada se activa cuando la Sección 2 (Propósito de la Recolección Original) o la Sección 3 (Alcance de la Representación) produce una determinación de Requiere Revisión Elevada. La revisión elevada debe ser realizada por una autoridad de gobernanza designada por encima de la función de revisión estándar.

Autoridad de revisión elevada: el nombre y cargo de la autoridad de gobernanza que realiza la revisión.

Remitido desde: identificación de qué sección activó la revisión elevada.

Decisión:

• Aprobado,
• Aprobado con Condiciones
• o No Aprobado.

Una decisión de No Aprobado significa que este conjunto de datos no puede entrar en el proceso de ajuste fino. Una decisión de Aprobado con Condiciones debe incluir una descripción de las condiciones que se adjuntan a la aprobación.

Justificación: la base de la decisión de la revisión elevada, suficiente para que un futuro auditor comprenda por qué la decisión fue apropiada dado el hallazgo que la activó.

Aprobación

Condiciones de aprobación: cualquier condición, limitación o requisito de revisión continua adjunto a la aprobación de este registro. Si no hay ninguno, debe indicarse.

Fecha de la próxima revisión: la fecha en la que este registro debe ser revisado de nuevo. Se requiere una revisión en el intervalo definido en el ciclo de auditoría de ajuste fino o antes si se cumple un activador fuera de ciclo.

Firma de la autoridad de gobernanza: firma, nombre, cargo y fecha de la autoridad de gobernanza que aprueba.

Este apéndice proporciona orientación sobre los campos para el Registro de Documentación de Consentimiento. El formulario está disponible como un documento independiente en kindredlabsfoundation.org. Debe haber un registro completado en archivo para cada conjunto de datos que ingrese al proceso de ajuste fino antes de que este pueda comenzar. Complete un registro por conjunto de datos. Se requiere un registro separado para cada base de consentimiento distinta dentro de un conjunto de datos cuando este combina datos de múltiples contextos de consentimiento.

Campos de encabezado del registro

ID del Registro: un identificador único asignado a este registro en el momento de su creación, incluyendo la fecha de creación.

ID del Registro de Procedencia de Datos: el ID del Registro de Procedencia de Datos correspondiente a este conjunto de datos. Estos registros deben cruzarse y conservarse juntos.

Modelo: el nombre y la versión del modelo con el que está asociado este conjunto de datos.

Preparado por: el nombre y cargo de la persona que completa este registro.

Revisado por: el nombre y cargo de la autoridad de gobernanza que revisa este registro.

Fecha de revisión: la fecha en la que la autoridad de gobernanza revisó y aprobó este registro.

Sección 1: Clasificación de la Base de Consentimiento

Base de consentimiento: la clasificación que se aplica a este conjunto de datos. Se definen cuatro clasificaciones en el Protocolo de Gobernanza de Ajuste Fino, Componente 2:

• Consentimiento explícito — las personas fueron informadas específicamente de que sus datos se utilizarían para el entrenamiento o ajuste fino de IA y dieron su acuerdo afirmativo.
• Consentimiento general informado — las personas fueron informadas de que sus datos podrían utilizarse para fines que incluyen el desarrollo de IA, en términos suficientemente específicos como para que el ajuste fino de IA fuera un uso razonablemente previsible.
• Consentimiento organizativo implícito — los datos fueron generados en el marco de una relación laboral o de servicio en la que el uso para el desarrollo de IA fue divulgado como práctica organizativa en el momento en que se estableció la relación.
• Sin base de consentimiento documentada — los datos se utilizan sin una base documentada de conocimiento individual sobre este uso. Esta clasificación no prohíbe el uso, pero activa una revisión elevada.

Justificación de la clasificación: la base de la clasificación aplicada, suficiente para que un revisor evalúe si la clasificación es apropiada.

Sección 2: Documentación de la Base de Consentimiento

Instrumento que establece el consentimiento: el documento específico que establece la base de consentimiento: los términos de la prestación del servicio, la cláusula del acuerdo de empleo, el aviso de privacidad u otro instrumento. El documento debe identificarse por nombre y versión o fecha.

Ubicación del documento: dónde se conserva el instrumento dentro de los sistemas de la organización.

Disposición relevante: el lenguaje específico dentro del instrumento que establece la base del consentimiento. La disposición debe citarse o describirse con suficiente especificidad para que un revisor evalúe su alcance.

Documento ausente: si no existe ningún instrumento, la ausencia debe registrarse aquí y completarse la sección de revisión elevada. Un documento ausente no se traduce por defecto en ninguna clasificación de base de consentimiento: requiere una decisión de gobernanza afirmativa.

Sección 3: Evaluación del Alcance del Consentimiento

Uso específico de ajuste fino: una descripción precisa de para qué se utilizarán estos datos para entrenar al modelo. Las descripciones vagas de los objetivos de ajuste fino no son suficientes para una evaluación del alcance del consentimiento.

Evaluación del alcance: una determinación de si una persona razonable que proporcionó el consentimiento documentado entendería que cubre este uso específico. Hay tres determinaciones disponibles: Sí, No o Incierto. Una determinación de No o Incierto remite el registro a la sección de Revisión Elevada.

Justificación de la evaluación del alcance: la base de la determinación del alcance, incluyendo cualquier factor que respalde o complique la evaluación.

Brecha de alcance: si el consentimiento no cubre claramente este uso, debe describirse la naturaleza de la brecha. Este campo es obligatorio cuando la evaluación del alcance es No o Incierto.

Sección 4: Revisión Elevada

La sección de Revisión Elevada se activa cuando la Sección 1 produce una clasificación de Sin Base de Consentimiento Documentada, o cuando la Sección 3 produce una evaluación de alcance de No o Incierto.

Autoridad de revisión elevada: el nombre y cargo de la autoridad de gobernanza que realiza la revisión.

Fecha de la revisión elevada: la fecha en la que se realizó la revisión elevada.

Remitido desde: identificación de qué sección activó la revisión elevada: la Sección 1 (Clasificación de la Base de Consentimiento) o la Sección 3 (Evaluación del Alcance del Consentimiento).

Decisión: Aprobado para su Uso, Aprobado con Condiciones o No Aprobado. Una decisión de No Aprobado significa que este conjunto de datos no puede entrar en el proceso de ajuste fino. Una decisión de Aprobado con Condiciones debe incluir una descripción de las condiciones que se adjuntan a la aprobación.

Justificación de la decisión: la base de la decisión de la revisión elevada, incluyendo por qué el uso es apropiado a pesar de la brecha de consentimiento o por qué no lo es.

Condiciones de aprobación: cualquier condición, limitación o salvaguardia requerida como condición de aprobación. Obligatorio cuando la decisión es Aprobado con Condiciones.

Sección 5: Obligaciones de Retiro y Eliminación

Proceso de retiro: el proceso definido para gestionar el retiro del consentimiento individual después de que los datos hayan sido incluidos en el ajuste fino. Este proceso debe definirse antes de que el conjunto de datos entre en el ajuste fino, no después de recibir una solicitud de retiro.

Eliminación del corpus: si los datos individuales pueden eliminarse del corpus de ajuste fino y el proceso para hacerlo. Si la eliminación no es técnicamente factible, deben documentarse las limitaciones y sus implicaciones de gobernanza.

Obligación para modelos ya entrenados: la obligación definida de la organización hacia las personas cuyos datos ya han dado forma a un modelo desplegado en el momento en que se recibe una solicitud de retiro o eliminación.

Proceso de solicitud de eliminación: el proceso mediante el cual se reciben, evalúan y actúan las solicitudes individuales de eliminación de datos en el corpus de ajuste fino.

Aprobación

Condiciones de aprobación: cualquier condición, limitación u obligación continua adjunta a la aprobación de este registro. Si no hay ninguna, debe indicarse.

Fecha de la próxima revisión: la fecha en la que este registro debe ser revisado de nuevo.

Firma de la autoridad de gobernanza: firma, nombre, cargo y fecha de la autoridad de gobernanza que aprueba.

Modelo base Un modelo de IA fundamental producido por un proveedor mediante el entrenamiento a gran escala con datos externos. El modelo base llega al entorno de una organización con supuestos, diseños de categorías y objetivos de optimización ya codificados. Las organizaciones que no entrenan sus propios modelos heredan estas decisiones en el momento de la selección del proveedor.

Registro de supuestos del modelo base Un registro de gobernanza que documenta los supuestos, las limitaciones conocidas y las características de representación del modelo base de un proveedor, tal como se evaluaron antes del ajuste fino o del despliegue. Obligatorio bajo este marco antes de que comience el ajuste fino. El registro garantiza que la organización ha dado cuenta formalmente de sobre qué está construyendo antes de empezar a construir.

Base de consentimiento El fundamento legal y ético sobre el cual se recolectan, conservan y utilizan los datos sobre personas identificables. Bajo este marco, se requiere una base de consentimiento documentada para cualquier dato que entre en el proceso de entrenamiento o ajuste fino. La clasificación de la base de consentimiento incluye el consentimiento explícito, el consentimiento general informado, el consentimiento organizativo implícito y la ausencia de una base de consentimiento documentada. Consulte el Apéndice B para la Plantilla de Documentación de Consentimiento.

Categoría cuestionada Una clasificación, etiqueta o objetivo predictivo que codifica una definición de identidad, comportamiento o condición humana que no es universalmente aceptada, está sujeta a disputas políticas o sociales, o tiene un potencial documentado de aplicación discriminatoria. Las categorías cuestionadas requieren una autoridad designada para su aprobación y una justificación documentada bajo el Dominio 1.2 (Diseño de Categorías).

Capa de despliegue La capa de gobernanza en la que una organización decide qué sistema de IA desplegar, para qué fines y bajo qué condiciones. Abarca la selección de proveedores, la autorización de casos de uso, el alcance del despliegue y la definición de los límites de responsabilidad. Para las organizaciones que no entrenan ni ajustan sus propios modelos, aquí es donde comienza la gobernanza upstream.

Gobernanza doctrinal Un programa de gobernanza que opera a través de la expresión de valores, principios y políticas sin crear los mecanismos estructurales necesarios para hacerlos cumplir. Un programa doctrinal puede producir documentación, convocar juntas de revisión y publicar compromisos. No crea una autoridad designada, puertas formales ni consecuencias definidas por el incumplimiento. Este marco requiere gobernanza estructural, no gobernanza doctrinal, en cada capa.

Revisión elevada Una revisión de gobernanza reforzada que se requiere cuando un conjunto de datos, un caso de uso o una decisión de despliegue involucra a poblaciones con características protegidas, cuando la base del consentimiento está ausente o es incierta, o cuando el potencial de daño es materialmente superior al de referencia. La revisión elevada requiere una autoridad designada por encima de la función de revisión estándar y una justificación documentada de la decisión alcanzada.

Ajuste fino (Fine-tuning) El proceso mediante el cual una organización adapta el modelo base de un proveedor utilizando datos o configuración propios para producir un comportamiento diferente al que exhibe el modelo base. Tal como se define en este marco, el ajuste fino abarca la modificación de pesos, la ingeniería de prompts aplicada sistemáticamente a escala, la configuración de herramientas de agentes, el diseño del sistema de memoria, la configuración de RAG y los clasificadores de políticas. Cualquier mecanismo a través del cual una organización configure cómo se comporta el modelo entra dentro de esta definición.

Capa de ajuste fino La capa de gobernanza que abarca cada decisión que toma una organización sobre cómo se configura, adapta o amplía el modelo base de un proveedor para uso organizativo. La capa de ajuste fino está totalmente bajo el control de la organización. Consulte la definición de la Capa 2 en el Modelo de Dominio de Tres Capas.

Decisión de gobernanza Una decisión que determina qué aprende un sistema de IA, qué se le entrena para reconocer, qué se le optimiza para producir o qué se le autoriza a hacer. Las decisiones de gobernanza requieren una autoridad designada, una justificación documentada y una revisión formal antes de ser tomadas.

Puerta de gobernanza Un punto de control formal en el que ninguna acción posterior puede proceder sin la firma documentada de la autoridad de gobernanza designada. Este marco requiere una puerta previa al entrenamiento en la Capa 1, una puerta previa al ajuste fino en la Capa 2 y una puerta de autorización de casos de uso en la Capa 3. Una puerta de gobernanza es estructural: crea una parada obligatoria.

Registro de gobernanza Un documento producido como un resultado requerido de un proceso de gobernanza, conservado como evidencia de que se tomó una decisión de gobernanza con una autoridad designada y una justificación documentada. Los registros de gobernanza bajo este marco incluyen registros de procedencia de conjuntos de datos, documentación de consentimiento, autorizaciones de objetivos de entrenamiento, documentos de límites de alcance de personalización, archivos de divulgación de proveedores y registros de autorización de casos de uso.

Actualización material del modelo Un cambio en un sistema de IA desplegado lo suficientemente sustancial como para requerir la re-ejecución de una o más puertas de gobernanza. Incluye cambios en los datos de entrenamiento, en el corpus de ajuste fino, en los objetivos de optimización, en el corpus de recuperación, en el alcance de la personalización o en la configuración del despliegue que podrían alterar el comportamiento del modelo de formas que la revisión de gobernanza original no evaluó. Las organizaciones deben definir de antemano qué constituye una actualización material del modelo y qué revisión de gobernanza activa.

Autoridad designada Un cargo, individuo o cuerpo de gobernanza específico con la responsabilidad formalmente asignada sobre un dominio de gobernanza y el poder de aprobar, pausar o detener las decisiones dentro de ese dominio. La ausencia de una autoridad designada es un indicador de gobernanza doctrinal en lugar de estructural.

Objetivo de optimización La especificación formal de lo que un sistema de IA está entrenado para maximizar, minimizar o producir. Los objetivos de optimización codifican juicios organizacionales sobre qué constituye un resultado correcto y qué compensaciones entre precisión, equidad y rendimiento son aceptables. Bajo este marco, los objetivos de optimización son decisiones de gobernanza que requieren una autorización formal antes de que comience el entrenamiento.

Clasificador de políticas Un modelo o sistema de reglas aplicado en el momento de la inferencia para evaluar, filtrar o modificar los resultados del modelo frente a políticas de comportamiento definidas. Los clasificadores de políticas dan forma al comportamiento del modelo y entran dentro de la capa de ajuste fino tal como se define en este marco, con las mismas obligaciones de gobernanza que el entrenamiento directo del modelo.

Adecuación de la representación El estándar mediante el cual se determina que el corpus de entrenamiento o los datos de ajuste fino incluyen una representación suficiente, precisa y no distorsionada de las poblaciones con las que el modelo se encontrará posteriormente. La adecuación de la representación es una determinación de gobernanza, no estadística. Requiere una autoridad de revisión designada con estándares definidos y el poder de detener el entrenamiento cuando no se cumplan dichos estándares.

Registro de Aceptación de Riesgo Residual Un registro de gobernanza producido cuando un proveedor se niega a cumplir con uno o más de los requisitos de divulgación o responsabilidad definidos en los Estándares de Transparencia del Proveedor. El registro documenta qué requisitos se rechazaron, el riesgo de gobernanza creado por la brecha y la decisión afirmativa de la autoridad designada para proceder a pesar de ese riesgo. Se requiere un Registro de Aceptación de Riesgo Residual antes de que el despliegue pueda proceder con un proveedor que no cumple.

Generación aumentada por recuperación (RAG) Una arquitectura de despliegue en la que los resultados de un modelo se ven influidos en el momento de la inferencia por el contenido recuperado de un corpus externo. La configuración de RAG determina qué fuentes trata el modelo como autorizadas y cómo se pondera el contenido recuperado. Las decisiones de configuración de RAG son decisiones de gobernanza bajo el Dominio 2.4 de este marco.

Gobernanza estructural Un programa de gobernanza que opera a través de una autoridad designada, procesos formales, requisitos de documentación y consecuencias definidas por el incumplimiento. La gobernanza estructural crea mecanismos que hacen cumplir los requisitos de gobernanza independientemente de los individuos que ocupan actualmente los cargos de gobernanza. Sobreviviría a un cambio de personal. Este marco requiere gobernanza estructural en cada capa.

Capa de entrenamiento La capa de gobernanza en la que un modelo aprende de los datos: qué se le entrena para reconocer o predecir, y cómo se estructura su proceso de aprendizaje. Abarca la curación de conjuntos de datos, el diseño de categorías, la arquitectura de entrenamiento y la revisión de la representación. La gobernanza en esta capa precede a la existencia del modelo y no puede aplicarse retroactivamente. Consulte la definición de la Capa 1 en el Modelo de Dominio de Tres Capas.

Gobernanza upstream Gobernanza de las decisiones que determinan lo que aprende un sistema de IA, para qué se le entrena a reconocer y para qué se le optimiza a producir, ejercida antes de que esas decisiones se incorporen a un sistema desplegado. La gobernanza upstream opera en las capas de entrenamiento, ajuste fino y despliegue.

Revisión upstream Una investigación formal que se activa cuando un fallo en el despliegue, un hallazgo de auditoría o una escalada de gobernanza indica que la causa raíz de un problema puede originarse en la capa de entrenamiento o de ajuste fino en lugar de en la capa de despliegue. La revisión upstream requiere una autoridad designada para llevar a cabo la investigación y un protocolo documentado para lo que constituye un hallazgo y qué remediación se requiere.

Expansión del caso de uso (Use case creep) La expansión de la aplicación de un sistema de IA más allá de los límites de su caso de uso autorizado original, sin una reautorización formal. La expansión del caso de uso es un fallo de gobernanza en el Dominio 3.2 (Autorización del Caso de Uso). Este marco requiere un proceso definido para supervisar la expansión de los casos de uso y devolver los usos no autorizados al proceso de autorización.