Política de Uso de Inteligencia Artificial

Capital Balance Manager (CBI) Versión 1.1 · Junio 2026 Próxima revisión: septiembre 2026

1. Finalidad y ámbito

Capital Balance Manager (en adelante, CBI) es una plataforma fintech B2B de gestión patrimonial para gestoras de activos, family offices y depositaría. Esta política describe cómo CBI utiliza sistemas de inteligencia artificial (IA) en la prestación de sus servicios, en cumplimiento del Reglamento (UE) 2024/1689 de IA (AI Act) y del Proyecto de Ley Orgánica IA España aprobado en Consejo de Ministros el 26 de mayo de 2026.

CBI actúa como deployer de sistemas IA conforme al Art. 3(4) del AI Act: utiliza modelos de lenguaje de proveedores externos (Anthropic, Google, xAI, Perplexity) en el contexto de sus servicios financieros sin modificar los modelos base.

2. Sistemas de IA utilizados y clasificación de riesgo

Los siguientes sistemas de IA están activos en producción. La clasificación sigue el Anexo III y el Art. 6 del AI Act:

Sistema	Proveedor	Finalidad	Riesgo AI Act
Hub AI Search	Anthropic · Google · xAI · Perplexity	Búsqueda conversacional sobre portfolio e inversiones	Limitado
Fee Analyzer IA	Anthropic Claude	Detección de anomalías en comisiones de fondos PE/RA	Limitado
Legal Contract Analyzer	Anthropic Claude	Análisis de contratos legales y compliance CNMV/AML	Alto
Capital Call OCR	Anthropic Claude Vision	Extracción de datos de documentos capital calls	Limitado
Stock Fundamental Analysis	Perplexity	Análisis fundamental con búsqueda web en tiempo real	Limitado
Academy AI Tutor	Anthropic Claude	Tutor educativo en finanzas e inversión alternativa	Mínimo

⚠ El Legal Contract Analyzer está clasificado como alto riesgo conforme al Anexo III, categoría 5 (servicios legales asistidos por IA). Su uso requiere supervisión humana explícita. CBI está realizando la Evaluación de Impacto en Derechos Fundamentales (EIDF) preceptiva antes del 2 de agosto de 2026.

Los cuatro proveedores de modelos que CBI utiliza actualmente, su región de procesamiento de datos y sus políticas de privacidad:

Proveedor	Modelos	Región datos	Política del proveedor
Anthropic	Claude 3.5 / Claude 4	EE.UU.	anthropic.com/privacy
Google	Gemini 1.5 / Gemini 2	EE.UU. / UE (según configuración)	cloud.google.com/terms/aip
xAI	Grok	EE.UU.	x.ai/privacy
Perplexity	Sonar (búsqueda web)	EE.UU.	perplexity.ai/privacy

3. Datos enviados a los modelos de IA

Nunca se envían datos personales identificables sin anonimización previa (RGPD Art. 5(1)(f)).
Nunca se envían columnas cifradas con pgcrypto (columnas *_enc).
Los prompts pasan por la capa de privacidad lib/ai-privacy.js que detecta y reemplaza NIFs, IBANs, emails, teléfonos, nombres de personas y cantidades financieras por tokens opacos del formato __CBM_T_<hash>__. El mapeo token→valor es efímero: vive en memoria solo durante la llamada y nunca se persiste.
Solo se registra el hash SHA-256 del prompt en ai_audit_log, nunca el texto en claro.
Las llamadas se realizan desde el servidor (Vercel Functions) — ningún dato del cliente viaja desde el navegador directamente a proveedores externos de IA.

4. Retención de respuestas IA

CBI aplica dos niveles de retención diferenciados:

Caché de corto plazo (ai_response_cache): las respuestas IA se almacenan en caché durante un máximo de 24 horas para evitar llamadas redundantes al proveedor. La caché se invalida automáticamente si los datos de input cambian o transcurre el TTL. El contenido cacheado se cifra en reposo.
Log de auditoría (ai_audit_log): los metadatos de cada invocación (fecha/hora, motor, caso de uso, tokens, coste, hash del prompt) se conservan un mínimo de 3 años conforme al Art. 26(5) AI Act. Nunca se almacena el texto del prompt ni la respuesta en este log.

5. BYOK — Trae tu propia clave de API

Los usuarios con plan Premium o superior pueden configurar sus propias claves de API de los proveedores (Bring Your Own Key, BYOK) desde el panel Cuenta → Integraciones IA → BYOK.

Con BYOK activo, las llamadas IA de ese usuario utilizan su clave propia: el tráfico no pasa por las credenciales CBI ni consume créditos de la plataforma.
La clave se almacena cifrada en base de datos (AES-256) y nunca se transmite al navegador.
CBI no tiene acceso a los datos procesados por los proveedores bajo clave propia del usuario; rige la política de privacidad del proveedor directamente con el usuario.

6. Opt-out del uso de IA

Cualquier usuario puede desactivar el uso de funciones IA en su cuenta:

Accede a Configuración → Preferencias IA en el hub.
Desactiva el interruptor "Habilitar asistencia IA".
El cambio es inmediato: todas las funciones IA se desactivan y los módulos afectados muestran el estado de solo-lectura sin análisis IA.

El opt-out no elimina los registros de auditoría existentes (retención legal obligatoria), pero sí detiene toda nueva invocación a modelos de IA.

7. Supervisión humana

Todos los outputs de IA en CBI son asistenciales: proporcionan información de soporte pero no ejecutan acciones irreversibles de forma autónoma. El usuario humano (gestor, compliance officer, administrador) valida y confirma antes de:

Firmar o enviar documentos legales
Ejecutar transferencias o capital calls
Generar alertas de compliance hacia reguladores
Modificar configuración de límites de riesgo

Todo contenido generado por IA se identifica visualmente con el marcador ✦ Generado por IA con código de color por motor (naranja = Claude, azul = Gemini, gris = Grok, verde = Perplexity).

8. Trazabilidad y registros (Art. 13 y 26 AI Act)

CBI mantiene un log de auditoría de todas las invocaciones a sistemas IA en la tabla ai_audit_log, que incluye: fecha/hora, motor, caso de uso, clasificación de riesgo, tokens consumidos, coste, presencia de PII y hash del prompt. Este log es accesible únicamente al propietario de la plataforma (plan owner) y se conserva un mínimo de 3 años conforme al Art. 26(5) AI Act.

9. Derechos del usuario

Explicación: el usuario puede solicitar una explicación de cualquier recomendación o análisis generado por IA contactando con soporte en legal@capitalbalancemanager.com.
Oposición: conforme al RGPD Art. 22, el usuario puede oponerse a decisiones basadas exclusivamente en tratamiento automatizado. CBI nunca toma decisiones exclusivamente automatizadas sobre inversores o activos sin intervención humana.
Portabilidad: los datos exportables via panel de configuración del Investor Portal incluyen todos los inputs a sistemas IA. Consulta la Política de Privacidad para ejercer derechos de acceso, rectificación y supresión (RGPD Arts. 15–17).

10. Alfabetización en IA (Art. 4 AI Act)

CBI está desplegando formación específica en IA para todos los usuarios con acceso a funciones de IA (plan Premium o superior). El estado de formación se registra en la columna ai_training_completed_at de la tabla de usuarios y es visible en el panel de administración.

11. Sandbox regulatorio AESIA

CBI se compromete a evaluar su participación en el Sandbox Regulatorio de AESIA (Agencia Española de Supervisión de Inteligencia Artificial) antes de septiembre de 2026, en particular para el módulo Legal Contract Analyzer (alto riesgo).

12. Contacto y reclamaciones

CBI — Responsable de IA legal@capitalbalancemanager.com

AESIA (supervisora IA España) www.aesia.gob.es

AEPD (protección de datos) www.aepd.es

AI Office UE AI Office — Comisión Europea

13. Revisión y actualización

Esta política se revisa trimestralmente o cuando se incorpore un nuevo sistema de IA, cambie la clasificación de riesgo de uno existente, o existan cambios normativos relevantes. La versión vigente siempre está disponible en /legal/ai-policy.

Los cambios sustanciales se notifican por email a usuarios con plan Premium o superior al menos 14 días antes de su entrada en vigor.

Historial de cambios

Versión	Fecha	Cambios principales
v1.1	Junio 2026	Añadida tabla de proveedores con regiones y enlaces. Nuevas secciones: retención de respuestas IA, BYOK y opt-out. Corrección de referencia interna `lib/ai-privacy.js`.
v1.0	Mayo 2026	Versión inicial. Política publicada en cumplimiento del AI Act (UE) 2024/1689 y Proyecto de Ley Orgánica IA España 2026.