Política de producto

Política de Inteligencia Artificial

Vigencia: 17 de mayo de 2026 · Versión 1.0

Decretum Studio incorpora funciones asistidas por inteligencia artificial (en adelante, “IA”) en varios puntos del producto: generación de borradores, resumen automático de documentos OCRizados, búsqueda semántica en expedientes, sugerencias de plazos y análisis de patrones.

Esta Política explica qué hace la IA, qué NO hace, qué datos recibe, qué garantías damos y qué expectativas debe tener el abogado usuario.

1. Principio rector: la IA es asistente, no autora

La IA NUNCA sustituye al abogado. Todos los outputs generados por funciones de IA en Decretum Studio son:

  • Borradores — requieren revisión profesional antes de cualquier uso externo (presentación a tribunal, envío a cliente, suscripción de documento).
  • Insumos de trabajo — no son consejos jurídicos ni opiniones legales atribuibles a Decretum Studio.
  • Responsabilidad del abogado — el profesional que usa el output lo hace suyo, asume su autoría profesional, y responde por él bajo su cédula y código de ética.

Decretum Studio no presta servicios de asesoría jurídica ni se constituye en abogado del Despacho usuario.

2. Modelos que usamos

ModeloProveedorPara quéVersión
Claude Opus 4.7Anthropic, PBCGeneración de documentos largos, análisis complejoclaude-opus-4-7
Claude Haiku 4.5Anthropic, PBCTareas rápidas, clasificación, sugerencias brevesclaude-haiku-4-5-20251001
GPT-4o-miniOpenAI, L.L.C.Resumen de documentos OCRgpt-4o-mini
text-embedding-3-smallOpenAI, L.L.C.Búsqueda semántica (embeddings 1536 dim)estable

Por qué dos proveedores: redundancia (si uno falla, el otro continúa) + especialización por tarea.

Esta lista se actualiza cuando se cambian modelos o proveedores, con notificación a los Despachos clientes con 30 días de antelación.

3. Qué datos enviamos a los modelos

Datos que SÍ se envían (con redacción PII)

Antes de enviar contenido a cualquier modelo de IA, Decretum Studio ejecuta una redacción automática y obligatoria de Datos Personales identificables:

PatrónReemplazoEjemplo
Correo electrónico[EMAIL]mariana@firm.mx → [EMAIL]
RFC (12-13 caracteres)[RFC]VASM850712LK2 → [RFC]
CURP (18 caracteres)[CURP]VASM850712MDFLRR05 → [CURP]
Teléfono MX (10+ dígitos)[TEL]+52 55 5280 4400 → [TEL]

Datos que NUNCA se envían

  • Credenciales (passwords, tokens, claves API).
  • Datos cifrados a nivel field (viven dentro de la BD, no pasan al modelo).
  • Audit logs.
  • Información financiera de Decretum (precios, suscripciones).
  • Datos de otros tenants (RLS de PostgreSQL impide cruce).

Metadata de la llamada

Decretum Studio sí envía a los modelos:

  • Identificador opaco de la sesión: hash SHA-256 de tenantId:userId. No es reversible y los modelos no pueden correlacionar entre llamadas distintas.
  • Feature del producto que origina la llamada (e.g. generar-demanda, resumir-documento).
  • Modelo solicitado y configuración (temperature, max tokens).

Este metadata se usa para facturación, debugging y prevención de abuso.

4. Retención y entrenamiento de proveedores

Anthropic

  • Enterprise DPA suscrito.
  • Header anthropic-zero-data-retention: true enviado en cada llamada.
  • NO se conservan inputs ni outputs en infraestructura de Anthropic más allá del tiempo necesario para procesar la respuesta.
  • NO se usan para entrenar modelos.

OpenAI

  • API DPA estándar suscrito.
  • Opt-out de uso de datos para entrenamiento (configurado a nivel cuenta).
  • Retención mínima por requisitos operativos (debugging, abuse prevention) conforme política OpenAI; no para entrenamiento.

Las políticas mencionadas se pueden auditar en anthropic.com/legal/commercial-terms y openai.com/policies/api-data-usage-policies.

5. Qué garantizamos sobre la IA

SÍ garantizamos:

  • Redacción PII obligatoria antes de cualquier llamada al modelo.
  • Cifrado TLS 1.3 en tránsito.
  • DPAs vigentes con los proveedores.
  • Auditoría: cada llamada a IA queda registrada en audit_logs con metadata no-PII (feature, modelo, tokens, latencia).
  • Posibilidad de desactivar funciones de IA para tu despacho (Configuración → IA → “Desactivar funciones asistidas”).

NO garantizamos:

  • Exactitud absoluta de outputs (los modelos pueden alucinar — generar contenido plausible pero incorrecto).
  • Vigencia procesal de fundamentos legales citados por la IA (el abogado debe verificar contra fuente oficial actualizada).
  • Que el output sea apropiado para el caso específico — esto requiere criterio profesional.
  • Inexistencia de sesgos inherentes al entrenamiento de los modelos.
  • Disponibilidad ininterrumpida si los proveedores tienen incidentes.

6. Casos donde NO debes usar IA

Aun cuando la función esté disponible, recomendamos no apoyarte en IA para:

  • Asesoría a parte adversa o terceros que no son tu cliente (la IA no maneja conflictos de interés).
  • Comunicación final a tribunal o cliente sin revisión humana línea por línea.
  • Cálculos de plazos críticos sin verificar contra el calendario oficial del tribunal correspondiente.
  • Interpretación de fundamento legal sin contrastar con texto oficial vigente (las leyes cambian; los modelos no se actualizan en tiempo real).
  • Generación de pruebas o evidencia — la IA no debe usarse para crear contenido fáctico.
  • Datos sensibles del cliente (salud, vida sexual, orientación, antecedentes penales) sin el consentimiento expreso por escrito del cliente para usar herramientas de IA con esos datos.

7. Tu cliente final y la IA

Bajo la LFPDPPP 2025, el Despacho es Responsable del tratamiento de los datos de sus clientes finales. Esto incluye informarle al cliente que sus datos pueden ser procesados con herramientas de IA (con redacción PII) por su despacho.

Recomendamos al Despacho:

  1. Incluir en su propio Aviso de Privacidad un párrafo declarando uso de IA con redacción PII.
  2. Recabar consentimiento expreso del cliente para tratar datos sensibles con IA (LFPDPPP art. 9).
  3. Documentar el uso de IA en su expediente interno.

8. Auditoría y trazabilidad

Cada vez que un usuario invoca una función de IA, Decretum Studio registra en audit_logs (cifrado y append-only):

  • Tipo de acción ( READ_SENSITIVE con entidadTipo: ia.anthropic_call).
  • Usuario que invocó, tenant, feature usada.
  • Modelo y versión.
  • Tokens de input / output, latencia, stop reason.

NO se registra el contenido del prompt ni del output (privacidad del expediente). El metadata sí permite auditar uso, facturación y patrones anómalos.

9. Disclaimer obligatorio en cada output IA

Toda función que muestra contenido generado por IA exhibe un disclaimer visible:

Generado con IA — borrador asistido. Este contenido fue generado por modelo de lenguaje. Es un borrador que debe ser revisado, validado y firmado por el abogado responsable antes de cualquier uso externo.

Este disclaimer es no descartable. La revisión humana es parte de la diligencia profesional, no un opcional.

10. Tus derechos como usuario

  • Puedes desactivar todas las funciones de IA para tu despacho desde el panel de Configuración.
  • Puedes exportar el log de llamadas a IA ejecutadas por tu despacho (vía ARCO acceso bajo LFPDPPP).
  • Puedes solicitar eliminación de cualquier output IA persistido (resumen, borrador) en cualquier momento.
  • Puedes objetar la incorporación de un nuevo proveedor de IA conforme el procedimiento de subencargados.

11. Cambios futuros

Si Decretum Studio incorpora nuevos modelos, nuevos proveedores o nuevas finalidades de IA, esta Política se actualizará con 30 días naturales de antelación y se notificará al Despacho cliente por correo registrado. Versiones históricas se conservan en /legal/historico.

12. Contacto

Preguntas sobre esta Política o sobre el uso de IA en el producto: privacidad@decretumstudio.com — asunto “Política IA”.

Consulta relacionada: Aviso de privacidad · Subencargados · Términos del servicio.