¿Entra Lexiane en el ámbito de los sistemas de alto riesgo del EU AI Act?

Depende de su caso de uso y del contexto de despliegue. Si su sistema entra en el ámbito del Anexo III, la arquitectura de Lexiane cubre los requisitos de los Artículos 9 (gestión del riesgo), 10 (gobernanza de datos), 12 (registro), 13 (transparencia) y 17 (gestión de la calidad). Podemos ayudarle a mapear cada artículo con los componentes arquitectónicos correspondientes.

¿Es aplicable ISO/IEC 42001 aunque no desarrollemos IA internamente?

Sí. ISO/IEC 42001 se aplica a todas las organizaciones que desarrollan o utilizan sistemas de IA. Su ámbito cubre todo el ciclo de vida de la IA, incluyendo la adquisición y el despliegue. Utilizar Lexiane como operador de sistema de IA le sitúa dentro del ámbito de aplicación de la norma.

¿Cómo podemos demostrar al consejo de administración que nuestro sistema de IA está bajo control?

El panel de gobernanza de Lexiane expone indicadores medibles: tasa de fidelidad de respuestas (RAGAS), tasa de abstención en preguntas fuera de ámbito, número de incidentes guardrail y la evolución de la satisfacción de los usuarios mediante FeedbackStore. Estos indicadores pueden exportarse a sus herramientas de reporting.

¿Pueden los logs de auditoría de Lexiane aislarse en nuestro SIEM?

Sí. PipelineHooks permite la exportación de eventos estructurados a Splunk, Elastic o cualquier SIEM que acepte eventos estructurados. La cadena de auditoría SHA-256 también puede exportarse de forma independiente, permitiendo verificar la integridad de los logs sin acceso al sistema completo.

Gobernanza IA & Independencia Tecnológica

La gobernanza de la IA no se resume en un conjunto de políticas internas y declaraciones de conformidad. Se basa en la capacidad de una organización para demostrar — a sus directivos, a sus auditores, a sus reguladores — que sus sistemas de inteligencia artificial están bajo control: control de las decisiones que toman, de los datos que tratan, de los proveedores de los que dependen, y de los errores que podrían cometer.

Esta capacidad de demostración no se improvisa. Se construye en la arquitectura del sistema desde las primeras decisiones de diseño — o no se construye en absoluto.

Lexiane está concebido para que cada exigencia de gobernanza encuentre respuesta en la arquitectura en lugar de en el proceso. Este documento detalla cómo.

El contexto regulatorio: tres referenciales que convergen

El AI Act europeo — Reglamento (UE) 2024/1689

Publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y en vigor desde el 1 de agosto de 2024, el Reglamento de Inteligencia Artificial establece un marco jurídico vinculante para los sistemas de IA comercializados o puestos en servicio en la Unión Europea.

Para los sistemas de IA de alto riesgo — cuyas obligaciones son plenamente aplicables a más tardar el 2 de agosto de 2026 — el AI Act impone en particular:

Artículo 9 — Un sistema de gestión de riesgos documentado, mantenido a lo largo del ciclo de vida del sistema
Artículo 10 — Exigencias de gobernanza de datos: calidad de los datos de entrenamiento y explotación, pertinencia, representatividad, ausencia de sesgos identificados
Artículo 12 — La conservación de registros de eventos que permitan trazar el funcionamiento del sistema en un período definido, en particular para los sistemas autónomos
Artículo 13 — La transparencia del sistema frente a sus usuarios y las autoridades competentes
Artículo 17 — Un sistema de gestión de la calidad que cubra el diseño, el desarrollo, la validación y la vigilancia post-comercialización

Para las organizaciones que despliegan sistemas documentales basados en IA en sectores clasificados de alto riesgo por el anexo III del reglamento — infraestructuras críticas, salud, educación, empleo, administración de justicia — estas obligaciones no son opcionales.

ISO/IEC 42001:2023 — Sistema de gestión de la IA

Publicada en diciembre de 2023, ISO/IEC 42001 es la primera norma internacional que define los requisitos de un sistema de gestión de la inteligencia artificial (AIMS). Se dirige a las organizaciones que desarrollan o utilizan sistemas IA, y se articula en torno a los mismos principios que las normas de gestión ISO 9001 o ISO 27001: política, objetivos, planificación, soporte, operaciones, evaluación del desempeño, mejora.

La norma impone en particular la documentación de las políticas de uso de la IA, la identificación y el tratamiento de los riesgos específicos de los sistemas IA, la trazabilidad de las decisiones del sistema, y la demostración del dominio de los impactos organizacionales y sociales.

NIST AI RMF 1.0 — Marco de gestión de riesgos IA

Publicado en enero de 2023 por el National Institute of Standards and Technology, el NIST AI Risk Management Framework organiza la gestión de riesgos IA en torno a cuatro funciones: Gobernar, Mapear, Medir, Gestionar. La función Gobernar es transversal: condiciona la eficacia de las otras tres estableciendo las políticas, los roles, las responsabilidades y la cultura de gobernanza necesarios.

Estos tres referenciales convergen hacia las mismas exigencias fundamentales: trazabilidad de las decisiones, dominio de los datos, independencia respecto a los proveedores, mecanismos de control humano, y capacidad de demostración continua. Es precisamente lo que la arquitectura de Lexiane hace posible.

Los cinco pilares de gobernanza que Lexiane aborda

1. Gobernanza de los datos

La gobernanza de los datos de un sistema RAG cubre tres dimensiones distintas: la calidad de los datos ingeridos, la protección de los datos sensibles, y la residencia de los datos.

Calidad y trazabilidad de los datos ingeridos

Cada documento que entra en Lexiane se registra en el MetadataStore persistente — una base SQLite con migración versionada. El identificador del documento, su fecha de ingesta, su formato, sus parámetros de tratamiento y su colección de pertenencia se conservan. En cualquier momento, es posible reconstituir el estado exacto de la base documental en una fecha dada, identificar los documentos que participaron en una respuesta, y trazar cada modificación realizada sobre el corpus.

El audit trail SHA-256 cubre cada etapa del tratamiento: documento ingerido, fragmentos creados, embeddings calculados, entidades extraídas, respuestas generadas. Cada entrada está firmada por el hash de la anterior. La cadena es inviolable: cualquier modificación retrospectiva es matemáticamente detectable. Este registro constituye la prueba técnica de que los datos fueron tratados conforme a las políticas definidas — sin depender de una declaración.

Protección de los datos personales

El filtro PII opera en origen del pipeline de ingesta documental, antes de cualquier vectorización. Los datos personales detectados — direcciones de correo electrónico, números de teléfono, IBAN, números de seguridad social, direcciones IP — se tratan según políticas configurables por categoría: enmascaramiento tipado, supresión, hash. La política aplicada se registra en el audit trail.

Residencia y localización de los datos

En configuración air-gapped, Lexiane no dispone de ninguna interfaz de red activa hacia el exterior. La localización de los datos es una propiedad arquitectural, no contractual. En configuración híbrida o cloud, cada adaptador externo es un componente identificado, documentado, y reemplazable — la cartografía de los flujos de datos salientes es precisa y auditable.

2. Gobernanza de los modelos e independencia del proveedor

Uno de los riesgos de gobernanza más subestimados en los despliegues IA es la dependencia de proveedor no documentada: un sistema construido alrededor de un único modelo de lenguaje o de un único proveedor cloud, cuyas condiciones de uso, tarifas y políticas de obsolescencia evolucionan unilateralmente.

Lexiane aborda este riesgo por arquitectura. Veinticinco interfaces de abstracción tipadas definen la totalidad de los puntos de contacto entre el núcleo y los componentes externos. Cada componente — modelo de lenguaje, motor de embeddings, base vectorial, reranker, parser documental — está conectado a través de una de estas interfaces. Los proveedores actualmente soportados cubren todo el espectro:

Componente	Proveedores soportados
LLM	OpenAI · Anthropic · Ollama · Mistral.rs (local)
Embeddings	OpenAI · Candle (local) · Ollama
Vector store	Qdrant · pgvector · SQLite (in-memory)
Reranker	Cohere
Búsqueda sparse	Tantivy (BM25)
Parser documental	Rust nativo · Docling

La sustitución de un componente no afecta ni al pipeline, ni a la lógica de negocio, ni a los datos ya indexados. Se traduce en un cambio de configuración. No es una promesa de flexibilidad — es una propiedad verificable en la arquitectura del sistema.

Gobernanza del ciclo de vida de los modelos

Cada respuesta producida por Lexiane puede incluir metadatos sobre el modelo utilizado para la generación — versión, proveedor, parámetros. Las estadísticas de tokens consumidos por etapa se acumulan en el contexto del pipeline (UsageStats) y son accesibles tras la ejecución. Estos datos permiten seguir la evolución del rendimiento y de los costes en el tiempo, y detectar derivas comportamentales relacionadas con una actualización del modelo.

3. Gobernanza operacional del pipeline

Un sistema IA en producción debe poder ser observado, instrumentado y controlado. Lexiane expone tres mecanismos distintos a tal efecto.

Lifecycle hooks y observabilidad

El sistema de hooks de ciclo de vida (PipelineHooks) permite instrumentar cada etapa del pipeline sin modificar su código: on_stage_start, on_stage_complete, on_stage_error, on_pipeline_complete. Estos callbacks reciben el nombre de la etapa, su estado, y metadatos estructurados. Permiten alimentar en tiempo real un sistema de monitorización externo — Prometheus, Datadog, OpenTelemetry, o cualquier sistema de supervisión interno — sin acoplamiento entre el pipeline y la infraestructura de observación.

Métricas de ejecución

PipelineMetrics y StageMetrics proporcionan datos de temporización agregados tras cada ejecución: duración de cada etapa, duración total del pipeline, etapas en error. Estas métricas permiten detectar regresiones de rendimiento, identificar cuellos de botella, y trazar la evolución del comportamiento del sistema en el tiempo.

Control de acceso documental

El puerto AccessControl implementa un mecanismo de filtrado de los resultados de recuperación basado en los derechos del usuario solicitante. Soporta los modelos RBAC (control de acceso basado en roles) y ABAC (control de acceso basado en atributos). Los documentos recuperados se filtran antes de la generación: un usuario no puede obtener una respuesta construida a partir de documentos a los que no tiene acceso, aunque estos documentos existan en la base vectorial.

Este mecanismo es particularmente crítico en los entornos multiusuario donde datos de distinta sensibilidad coexisten en un mismo corpus: datos de RRHH, datos financieros, datos de proyectos, datos clasificados por nivel.

Enrutamiento de peticiones por complejidad

El puerto QueryRouter clasifica cada petición entrante según su complejidad y la enruta hacia el modo de pipeline adaptado: pipeline lineal para las preguntas directas, pipeline GraphRAG para las preguntas relacionales, búsqueda simple para los lookups directos, o modo agéntico para análisis complejos que requieren varias iteraciones de recuperación. Este mecanismo de gobernanza de las peticiones permite optimizar los recursos computacionales y garantizar que las peticiones complejas reciban un tratamiento adaptado — sin dejar esta elección al usuario final.

4. Gobernanza de la calidad y control humano

El AI Act, en sus artículos 14 y 26, insiste en la necesidad de un control humano efectivo sobre los sistemas de IA de alto riesgo. Este control solo es efectivo si está informado — lo que supone mecanismos de medición de la calidad de las salidas del sistema, y bucles de retroalimentación que permitan a los usuarios influir en el comportamiento del sistema.

Evaluación automática de la calidad (RAGAS)

El puerto QualityEvaluator implementa métricas de evaluación de tipo RAGAS sobre cada respuesta producida:

Fidelidad (faithfulness) — ¿está la respuesta respaldada por las fuentes recuperadas, o el sistema ha extrapolado más allá del contexto proporcionado?
Relevancia de la respuesta (answer relevance) — ¿trata la respuesta efectivamente la pregunta formulada?
Precisión del contexto (context precision) — ¿son los pasajes recuperados específicamente pertinentes a la pregunta?
Recall del contexto (context recall) — ¿ha recuperado el sistema el conjunto de la información disponible en el corpus?

Estas métricas se calculan de forma continua sobre los intercambios en producción. Constituyen el cuadro de mando de calidad del sistema — sin el cual el control humano solo puede ejercerse por impresión, no por medición.

Guardrails de entrada y de salida

Los guardrails de entrada (InputGuardrail) detectan y bloquean los intentos de inyección de prompt, las peticiones fuera del perímetro definido, y los contenidos susceptibles de violar las políticas de uso. Los guardrails de salida (OutputGuardrail) verifican la respuesta producida antes de la transmisión: detección de contenido tóxico, de filtración de datos sensibles, de respuesta fuera de perímetro.

Estos mecanismos son los puntos de control humano automatizados del sistema — las barreras que impiden al sistema salir de los límites que la organización le ha definido.

Puerta de relevancia y abstención

Antes de la generación, RelevanceGateStage evalúa la puntuación de confianza global del contexto recuperado. Si esta puntuación es inferior al umbral configurado, el sistema se abstiene de generar una respuesta y señala explícitamente la insuficiencia del contexto. Este comportamiento — preferir la abstención a una respuesta no fundamentada — es una exigencia de gobernanza fundamental para los sistemas desplegados en contextos donde una respuesta errónea tiene consecuencias medibles.

Bucle de retroalimentación humana

El puerto FeedbackStore registra las valoraciones de los usuarios sobre las respuestas producidas: validación, corrección, puntuación de satisfacción. Estos datos alimentan un registro de retroalimentación explotable para la mejora continua del sistema — identificación de los dominios donde la calidad de recuperación es insuficiente, detección de los tipos de peticiones mal tratadas, medición de la evolución percibida del sistema en el tiempo.

Este bucle de retroalimentación es el mecanismo operacional del control humano continuo que los referenciales de gobernanza exigen. No reemplaza a la supervisión — la hace explotable.

5. Gobernanza organizacional y responsabilidad

La gobernanza de un sistema IA no es únicamente una cuestión técnica. Supone roles identificados, responsabilidades documentadas, y capacidad de respuesta en caso de incidente.

Separación de responsabilidades por arquitectura

La arquitectura hexagonal de Lexiane materializa la separación de responsabilidades a escala del código. El núcleo certificado (vectrant-core) está bajo la responsabilidad del equipo de producto — sus propiedades son verificables mecánicamente. Cada adaptador externo está bajo la responsabilidad del equipo que lo integra. Las interfaces entre ambos son contratos explícitos, tipados y testeados.

Esta separación facilita la distribución de responsabilidades entre los equipos de desarrollo, los equipos de seguridad, y los equipos de negocio — sin zonas grises ni acoplamientos implícitos.

Inmutabilidad del registro de auditoría

El audit trail SHA-256 es inmutable por construcción. En caso de incidente — respuesta incorrecta, acceso no autorizado, tratamiento de dato no conforme —, la reconstitución de la secuencia de eventos es posible de forma cierta e independiente. La cadena criptográfica constituye un registro de eventos inviolable que puede presentarse a un regulador, a un auditor interno, o a un tribunal, con la garantía de que su contenido no ha sido alterado.

Versionado y migración de esquemas

Los adaptadores SQLite y pgvector mantienen un registro de migraciones versionadas (_vectrant_migrations). Las migraciones se aplican secuencialmente al arranque — solo se ejecutan las versiones aún no aplicadas. Este enfoque garantiza que el estado de la base de datos siempre es coherente con la versión del software desplegado, y que el historial de evoluciones del esquema está documentado y es reproducible.

Lo que Lexiane produce como pruebas de gobernanza

Un referencial de gobernanza IA — ya sea el AI Act, ISO/IEC 42001, o un referencial interno — exige pruebas, no declaraciones. Esto es lo que Lexiane pone a disposición:

Exigencia de gobernanza	Prueba proporcionada por Lexiane
Trazabilidad de las decisiones del sistema	Audit trail SHA-256 encadenado, inmutable, exportable
Identificación de los datos tratados	MetadataStore persistente con historial completo de ingesta
Protección de los datos personales	Filtrado PII documentado en el audit trail, política por categoría
Dominio de los proveedores terceros	25 interfaces de abstracción — cartografía exhaustiva de las dependencias
Control de acceso a los datos	Puerto AccessControl (RBAC/ABAC) — filtrado antes de la generación
Medición de la calidad de las salidas	Métricas RAGAS en continuo — fidelidad, relevancia, precisión, recall
Mecanismos de control humano	Guardrails de entrada/salida, puerta de relevancia, bucle de retroalimentación
Observabilidad operacional	PipelineHooks + PipelineMetrics — instrumentación sin acoplamiento
Resiliencia frente a fallos de proveedor	Arquitectura a la carta — sustitución sin modificación del pipeline
Ausencia de comportamiento indefinido	`#![forbid(unsafe_code)]` aplicado por el compilador — cero `unwrap()` en producción

Lo que la gobernanza de la IA exige de los sistemas que despliega — y que Lexiane hace posible

La gobernanza de la IA no es un estado a alcanzar. Es un proceso continuo: observar, medir, corregir, documentar. Los referenciales — AI Act, ISO/IEC 42001, NIST AI RMF — son convergentes en este punto: la gobernanza se ejerce en el tiempo, sobre sistemas que deben haber sido concebidos para hacerla posible.

Un sistema construido sobre un framework opaco, acoplado a un único proveedor, sin trazabilidad de las decisiones y sin mecanismo de medición de la calidad, puede satisfacer exigencias documentales. No puede satisfacer exigencias de gobernanza real — porque las pruebas que una gobernanza real exige están estructuralmente ausentes.

Lexiane no pretende resolver todos los problemas de gobernanza de una organización. Proporciona los mecanismos técnicos que hacen posible la gobernanza: trazabilidad, medición, control, independencia. La política que se apoya en estos mecanismos sigue siendo responsabilidad de la organización que despliega el sistema.

Preguntas frecuentes de los responsables de gobernanza y cumplimiento IA

Nuestra organización debe conformarse al AI Act. ¿Entra Lexiane en el perímetro de los sistemas de alto riesgo? La aplicabilidad del AI Act a un sistema dado depende de su uso y del contexto de despliegue — no de la tecnología utilizada. Un sistema RAG desplegado en un contexto médico, judicial, o de selección de personal puede entrar en el perímetro del anexo III. La evaluación de esta aplicabilidad corresponde a un asesoramiento jurídico especializado. Lo que podemos afirmar: si su sistema entra en este perímetro, la arquitectura de Lexiane le proporciona las herramientas para responder a las obligaciones de los artículos 9, 10, 12, 13 y 17.

¿Es ISO/IEC 42001 aplicable a nuestra organización si no desarrollamos nosotros mismos la IA? ISO/IEC 42001 se dirige tanto a las organizaciones que desarrollan sistemas IA como a las que los utilizan. Su perímetro cubre todo el ciclo de vida — desarrollo, despliegue, explotación, retirada. Si despliega Lexiane en sus operaciones, las exigencias de la norma sobre la gobernanza de los sistemas IA utilizados le son aplicables.

¿Cómo demostrar a nuestro comité de dirección que nuestro sistema IA está bajo control? El cuadro de mando de gobernanza que Lexiane permite construir se basa en cuatro indicadores medibles: tasa de fidelidad de las respuestas (RAGAS), tasa de abstención (peticiones rechazadas por la puerta de relevancia), incidentes de guardrails (inyecciones bloqueadas, contenidos filtrados), y evolución de la satisfacción de los usuarios (FeedbackStore). Estas métricas permiten un reporting de gobernanza IA factual, en tiempo real, sin depender de una evaluación subjetiva.

¿Se pueden aislar los logs de auditoría de Lexiane en nuestro SIEM? El sistema de hooks de ciclo de vida (PipelineHooks) permite exportar cada evento del pipeline hacia cualquier sistema de recogida externo — Splunk, Elastic, o cualquier SIEM que consuma eventos estructurados. El audit trail SHA-256 también puede exportarse de forma independiente para archivado regulatorio.

Iniciar la conversación sobre su marco de gobernanza.

La gobernanza de los sistemas IA es un tema que se construye a medida — según su sector, su referencial, su organización, y los sistemas que despliega. No proponemos una respuesta genérica a una pregunta que no lo es.

Proponemos un intercambio estructurado sobre su marco de gobernanza existente, sus obligaciones regulatorias, y lo que la arquitectura de Lexiane puede aportar concretamente.

Lo que puede esperar de este intercambio:

Una respuesta en 48h hábiles
Un interlocutor que conoce el AI Act, ISO/IEC 42001, y los desafíos operacionales de la gobernanza IA
Una cartografía honesta de lo que Lexiane cubre — y de lo que no cubre

→ Contactar

Sin compromiso comercial. Una conversación de fondo.

Referencias regulatorias y normativas citadas en este documento: — Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, 13 de junio de 2024 (AI Act) — ISO/IEC 42001:2023, Information technology — Artificial intelligence — Management system, diciembre de 2023 — NIST AI Risk Management Framework 1.0, National Institute of Standards and Technology, enero de 2023 — Reglamento (UE) 2016/679 (RGPD) — Reglamento (UE) 2022/2554 (DORA)

Gobernanza IA & Independencia Tecnológica | Lexiane