Procedimiento del sistema de consultas sobre los sistemas de IA

KELP LABS, S.L.
SGIA — ISO/IEC 42001:2023, Control B.3.3 (Notificación de consultas)

1. Objeto

Este procedimiento define y pone en marcha el canal y el proceso para que cualquier persona pueda plantear consultas, dudas o inquietudes sobre el papel de Kelp Labs respecto a sus sistemas de inteligencia artificial, conforme al control B.3.3 de ISO/IEC 42001:2023.

2. Alcance

Cualquier persona que trabaje en o para Kelp Labs —socios, DPD, consultores externos— y cualquier parte interesada externa puede comunicar una consulta sobre el papel de la organización respecto de cualquier sistema de IA, en cualquier fase de su ciclo de vida. Ninguna comunicación se rechaza por ser anónima.

3. Características y garantías del canal

(a) Confidencialidad y anonimato. La persona comunicante elige: puede identificarse (lo que facilita el retorno de información), pedir confidencialidad (su identidad solo la conoce el gestor del canal) o comunicar de forma anónima. El procedimiento prevé las tres vías y ninguna comunicación se rechaza por ser anónima.

(b) Disponibilidad y promoción. El canal se presenta en la acogida de toda persona que se incorpora (interna o externa), se recuerda en la comunicación activa de la política interna de uso (medida M-37) y figura en la documentación del SGIA. Los consultores externos lo reciben con su acuerdo de colaboración.

(c) Personal cualificado. Las comunicaciones las recibe y gestiona el Responsable del SGIA (Bernardo Bouzas), formado en el sistema de gestión y en la normativa aplicable. Cuando la consulta afecta a datos personales, interviene el DPD externo (YOUANDLAW, S.L.). Si la consulta afecta al propio gestor del canal, se dirige directamente a la Dirección, que designa a otro instructor.

(d) Poderes de investigación y resolución. El gestor del canal tiene acceso a toda la documentación, los registros y los sistemas necesarios para investigar, así como autoridad para entrevistar a las personas implicadas y proponer medidas. La resolución se aprueba al nivel que corresponda según su alcance: el propio gestor para medidas operativas; la Dirección cuando la resolución implica decisiones de negocio, contractuales o de riesgo.

(e) Escalado a la Dirección en el momento oportuno. Toda consulta que afecte a derechos de personas, a un posible incumplimiento legal o a un riesgo de nivel alto se escala a la Dirección de forma inmediata, sin esperar a la investigación completa. El resto se reporta de forma agregada en cada sesión del CSI y en la revisión por la Dirección.

(f) Protección contra las represalias. Está prohibida toda represalia contra quien comunica una consulta de buena fe y contra quienes participan en su investigación. La posibilidad de anonimato refuerza esta protección. Cualquier indicio de represalia se trata como incumplimiento grave de la Política de IA y se eleva a la Dirección.

(g) Informes. El registro de consultas alimenta los procesos del SGIA conforme a la cláusula 4.4: las consultas se incorporan, de forma agregada y anonimizada, a las no conformidades cuando procede, al análisis de riesgos cuando revelan riesgos nuevos y a la revisión por la Dirección. En todos los informes se preserva la confidencialidad y el anonimato elegidos por la persona y la confidencialidad empresarial.

(h) Plazos de respuesta. La persona comunicante (cuando es identificable) recibe acuse de recibo en un máximo de cinco días laborables, la conclusión de la evaluación inicial en quince y la resolución o el plan de acción en treinta. Si la investigación requiere más tiempo, se le informa del nuevo plazo y del motivo.

4. Proceso de gestión de la consulta

4.1 Recepción y registro. Toda consulta se inscribe en el registro del canal con fecha, sistema o ámbito afectado, descripción y vía de entrada, preservando el anonimato si se eligió. La registra el gestor del canal.

4.2 Evaluación inicial (≤15 días). El gestor determina la naturaleza de la consulta: si constituye un incidente, activa de inmediato la gestión de incidentes (B.8 §4); si revela un posible uso no previsto o un riesgo nuevo, lo deriva a la FRIA y al análisis de riesgos.

4.3 Escalado. Conforme al apartado (e), las consultas que afectan a derechos, a un posible incumplimiento o a un riesgo alto se escalan a la Dirección de inmediato.

4.4 Resolución. Medidas correctoras u organizativas; actualización de FRIA, AGR o Plan de Medidas si procede; comunicación del resultado a la persona comunicante cuando sea posible; cierre motivado.

4.5 Seguimiento y aprendizaje. Las consultas y su resolución se revisan en el CSI y en la revisión por la Dirección; las lecciones aprendidas alimentan la mejora continua y, cuando revelan un patrón, una acción correctiva.

5. Registro y conservación

Las consultas se documentan en el Registro de consultas (B.3.3), almacenado en el repositorio del SGIA con acceso restringido al gestor del canal. El registro es la evidencia de funcionamiento del canal ante auditoría.