Transparencia · EU AI Act
Cómo funciona la IA de Legia (en humano).
En cumplimiento del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (AI Act, en vigor desde agosto de 2026), aquí está toda la información técnica sobre qué hace nuestra IA, qué NO hace, y cómo te protegemos como usuario.
1. Qué hace nuestra IA
El sistema IA de Legia.es realiza estas funciones automatizadas:
- Clasificación de consultas: identifica el área legal (laboral, civil, fiscal…) y la urgencia.
- Búsqueda semántica en un corpus de 8.904 artículos del BOE y 2.127 sentencias del CENDOJ.
- Generación de respuestas orientativas que citan textualmente artículos del BOE.
- Análisis de contratos subidos por el usuario, identificando cláusulas potencialmente abusivas.
- Triaje a abogado humano cuando detecta que el caso requiere asesoramiento vinculante.
2. Qué NO hace nuestra IA
- ❌ NO emite asesoramiento jurídico vinculante. Toda respuesta es orientativa.
- ❌ NO toma decisiones automatizadas con efectos jurídicos que afecten al usuario sin revisión humana (no presenta demandas, no firma contratos, no ejecuta cobros).
- ❌ NO sustituye a un abogado colegiado en decisiones críticas (despidos grandes, herencias litigiosas, sanciones graves).
- ❌ NO hace perfilado para discriminación: no clasifica usuarios por raza, género, ideología, orientación sexual.
- ❌ NO identifica biométricamente.
- ❌ NO entrena modelos con tus datos personales sin consentimiento explícito.
3. Modelos de IA que usamos
Legia.es opera como integrador de modelos de propósito general (GPAI). Los proveedores y modelos:
- NVIDIA NIM (Inference Microservices) — endpoints en EE.UU. con compromiso de no entrenamiento sobre prompts/responses.
- Kimi K2 Instruct 0905 (Moonshot AI) — generación de respuestas largas.
- Llama 3.1 8B Instruct (Meta) — clasificación y enrichment ligeros.
- GLM-4.7 (ZhipuAI) — decisiones agentic complejas (fallback).
- Anthropic Claude (fallback) — generación de respuestas críticas si NVIDIA no está disponible.
- OpenAI GPT (fallback secundario).
4. Categorías de uso según el AI Act
Conforme a la clasificación del Reglamento UE 2024/1689:
| Categoría | ¿Aplica a Legia? | Detalle |
|---|---|---|
| Riesgo inaceptable (Art. 5) | ❌ NO | No hacemos manipulación, social scoring ni predicción policial. |
| Alto riesgo (Anexo III) | ⚠️ Posible | El acceso a la justicia se considera alto riesgo. Por eso aplicamos requisitos voluntarios de alto riesgo aunque la herramienta no sea decisional. |
| Riesgo limitado / Transparencia (Art. 50) | ✅ SÍ | Aplicamos las obligaciones de transparencia. Esta página es parte del cumplimiento. |
| GPAI (Art. 53-55) | No emisor | Somos integradores. Los modelos GPAI son de NVIDIA, Anthropic, OpenAI. |
5. Mecanismos anti-alucinación
Para reducir errores de la IA en información jurídica, aplicamos:
- RAG semántico estricto: el modelo solo recibe artículos del BOE existentes y vigentes en su contexto.
- Tool-Mandatory Verification: instrucción explícita en el system prompt — "cita SOLO leyes que aparecen en el contexto BOE proporcionado. Si no hay base, di textualmente: 'No se ha encontrado base legal'".
- Validación de citas: post-procesamiento que verifica que cada artículo citado existe en la base de datos `legal_articles` con vigencia actual.
- Cascada de modelos: si el modelo principal no responde con calidad, se reintenta con modelo alternativo.
- Disclaimer obligatorio en cada respuesta: "información orientativa, no asesoramiento jurídico vinculante".
- Triaje humano: derivamos a abogado colegiado los casos identificados como complejos o de alto valor económico.
6. Datos de entrenamiento y privacidad
- Los modelos GPAI que usamos (Kimi K2, Llama, etc.) NO se entrenan con datos de usuarios de Legia.es. NVIDIA, Anthropic y OpenAI tienen políticas de no entrenamiento sobre datos de API.
- El corpus RAG está formado por: BOE oficial (boe.es), CENDOJ (poderjudicial.es), y guías legales de elaboración propia.
- Datos personales del usuario (consultas) se almacenan cifrados (AES-256) en servidores en la UE. Plazo de conservación: 2 años desde la última actividad. Borrado a petición conforme RGPD.
- Antes de enviar consultas al proveedor de IA, aplicamos redacción PII (DNI, IBAN, teléfonos) cuando es relevante.
7. Obligaciones que aplicamos
- Identificación clara de IA: cada respuesta IA se marca como tal. No fingimos ser humano.
- Trazabilidad: cada output IA queda logueado con timestamp, modelo usado, prompt input, y output. Auditoría disponible bajo solicitud.
- Alfabetización en IA (Art. 4 AI Act, en vigor febrero 2025): el equipo de Legia recibe formación documentada sobre uso responsable de IA.
- Documentación técnica: esta página + documentación interna (`docs/AI_TRANSPARENCY.md` en el repositorio) actualizada periódicamente.
- Mecanismo de queja: cualquier usuario puede reportar un output incorrecto o sospechoso a transparencia@legia.es.
8. Hitos regulatorios y nuestro estado
| Fecha | Obligación | Estado Legia |
|---|---|---|
| Feb 2025 | Prohibiciones de prácticas de riesgo inaceptable + alfabetización IA | ✓ Cumplido |
| Ago 2025 | Obligaciones para proveedores GPAI | ✓ N/A (no somos emisores GPAI, somos deployer) |
| Ago 2026 | Obligaciones generales sistema IA + alto riesgo | ⏳ Documentación lista, pendiente review final |
| Ago 2027 | Aplicabilidad plena del Reglamento | 📅 Programado |
9. Mecanismo de queja y contacto
Si has recibido un output que consideras incorrecto, sesgado o que infringe la normativa, contacta con nosotros:
- 📧 transparencia@legia.es — Quejas sobre IA, errores en respuestas.
- 📧 dpo@legia.es — Privacidad, derechos RGPD (acceso, supresión, portabilidad).
- 🇪🇸 AEPD — Si no estás satisfecho con la respuesta de Legia, puedes reclamar ante la Agencia Española de Protección de Datos.
Documento actualizado: 7 de mayo de 2026. Versión 1.0.
Próxima revisión programada: noviembre de 2026 (post-aplicación AI Act fase general).