1. Por que esta politica
Vidoku.io es una plataforma que genera videos sinteticos mediante inteligencia artificial generativa. El contenido producido es lo que el EU AI Act denomina "synthetic content" y, en ciertos casos, "deep fake". Esta politica explica como cumplimos con las obligaciones del Reglamento UE 2024/1689 (en adelante "EU AI Act") y otros marcos internacionales.
Esta politica entra en vigor en linea con el calendario del EU AI Act:
- 2 de febrero de 2025: prohibiciones (Art. 5)
- 2 de agosto de 2025: GPAI providers (Art. 51-55)
- 2 de agosto de 2026: Art. 50 — Transparencia para sistemas de IA generativa (aplica a Vidoku)
- 2 de agosto de 2027: sistemas de alto riesgo (Art. 6)
2. Clasificacion de riesgo (EU AI Act Art. 6)
2.1 Vidoku como sistema de riesgo limitado (no de alto riesgo)
Vidoku es un sistema de IA generativa que produce contenido audiovisual sintetico. Tras evaluacion conforme al Anexo III del EU AI Act, hemos concluido que:
- No es de riesgo inaceptable (Art. 5): no realiza social scoring, manipulacion subliminal, ni explotacion de vulnerabilidades
- No es de alto riesgo (Art. 6 + Anexo III): no se usa para empleo, credito, educacion, justicia, biometria publica, ni infraestructura critica
- Es de riesgo limitado (Art. 50): obligaciones de transparencia y marcado obligatorio
Esta clasificacion se revisa cada vez que anadimos funcionalidad. Si en el futuro ofreciesemos casos de uso clasificables como de alto riesgo, aplicaremos las obligaciones adicionales (sistema de gestion de riesgos, calidad de datos, registro, supervision humana, transparencia, ciberseguridad, conformidad).
2.2 Casos de uso prohibidos en Vidoku
Conforme a nuestra Acceptable Use Policy, esta prohibido usar Vidoku para:
- Generacion de deepfakes de personas reales sin su consentimiento expreso verificable
- Manipulacion electoral o desinformacion politica
- Suplantacion de identidad para fraude
- Generacion de contenido sexual no consentido
- Contenido que dane a menores (CSAM)
- Discurso de odio, incitacion a la violencia o terrorismo
3. Cumplimiento del EU AI Act Art. 50
3.1 Transparencia hacia usuarios (Art. 50.1, 50.2)
Antes de generar contenido, informamos al usuario de:
- Que esta interactuando con un sistema de IA generativa
- Los proveedores del modelo subyacente (sub-procesador de video IA + Anthropic)
- Las limitaciones y posibles errores (alucinaciones, sesgos)
- La necesidad de revision humana antes de publicacion
3.2 Marcado de contenido sintetico (Art. 50.2)
Todo video generado por Vidoku incorpora marcado tecnico legible por maquina:
- C2PA Content Credentials embebidos en los metadatos del fichero (firma criptografica del origen IA)
- Marca de agua perceptual robusta a transcodificaciones
- Metadatos EXIF/XMP con campo
AI-Generated: true - Etiquetado conforme al estandar ISO/IEC 22989 y SynthID de Google DeepMind (cuando aplique)
3.3 Etiquetado visible (Art. 50.4 — deepfakes)
Para deepfakes (videos que parecen personas reales o eventos reales), Vidoku:
- Anade un badge visible "Generado por IA" en la esquina inferior del video por defecto
- Anade una tarjeta de cierre con el texto: "Este video ha sido generado mediante inteligencia artificial. No es una grabacion real."
- Permite excepciones unicamente para casos de arte/satira con clara senalizacion contextual
3.4 Verificacion de origen y autenticidad
Cualquier persona puede verificar si un video proviene de Vidoku mediante:
- El verificador C2PA: contentcredentials.org/verify
- Nuestro endpoint
/api/v1/verifyque devuelve metadatos del video con su hash
4. Uso de datos para entrenamiento
Vidoku se compromete a NO usar datos de clientes para entrenar modelos de IA propios ni de terceros. Especificamente:
| Proveedor IA | Uso de inputs/outputs para entrenamiento | Politica documentada |
|---|---|---|
| Sub-procesador de video IA (videos) | NO | https://help.heygen.com/en/articles/8521367-data-usage |
| Anthropic Claude (texto) | NO (Commercial Terms + Zero Data Retention disponible) | https://www.anthropic.com/legal/commercial-terms |
| Vidoku propio | NO entrenamos modelos propios | Politica interna verificable bajo NDA |
Para clientes Enterprise habilitamos contractualmente Zero Data Retention con Anthropic (los inputs/outputs no se retienen mas alla del tiempo necesario para la respuesta).
5. Tratamiento de datos biometricos (avatar/voz)
Cuando un usuario crea un avatar personalizado o clona su voz, los datos biometricos:
- Se procesan con consentimiento expreso e informado conforme al RGPD Art. 9.2.a
- Requieren verificacion de identidad mediante liveness check (video del titular firmando consentimiento verbal)
- NO se reutilizan ni se ceden a otros usuarios sin nueva autorizacion expresa
- Permiten revocacion en cualquier momento (eliminacion en < 30 dias)
- NO se utilizan para identificacion biometrica remota en espacios publicos (prohibida por Art. 5 EU AI Act)
Para HCPs farmaceuticos (KOLs), aplican obligaciones adicionales de los codigos EFPIA e IFPMA (transparencia de transferencias de valor, conservacion del contrato cesion de imagen).
6. Sesgos, limitaciones y supervision humana
6.1 Limitaciones conocidas
- Los modelos pueden generar alucinaciones factuales en scripts
- Los avatares pueden tener sesgos demograficos heredados del corpus de entrenamiento del modelo subyacente
- La sintesis de voz puede no capturar correctamente acentos regionales o entonaciones especificas
- La generacion de video tiene limites de duracion (30s a 5 min por escena)
- Los outputs pueden variar entre ejecuciones con los mismos inputs (no deterministico)
6.2 Supervision humana obligatoria
Vidoku exige al usuario revisar y aprobar cada video antes de su envio o publicacion. El flujo incluye:
- Vista previa del video generado
- Editor de texto del script con resaltado de cambios
- Confirmacion explicita antes de enviar a destinatarios
- Posibilidad de regeneracion ilimitada antes de envio
7. Riesgos sistemicos y mitigaciones
| Riesgo | Mitigacion implementada |
|---|---|
| Generacion de deepfakes maliciosos | AUP estricta + verificacion de consentimiento del titular del rostro/voz + watermarking C2PA |
| Spam y phishing masivo | Rate limits + deteccion de patrones + AUP + suspension de cuentas que violen |
| Desinformacion politica | AUP prohibe expresamente uso electoral sin etiquetado + revision manual de cuentas politicas |
| Suplantacion de identidad | Liveness check obligatorio para avatares custom + verificacion KYB Enterprise |
| Sesgos algoritmicos | Auditoria anual de sesgos en outputs + transparency reports publicos |
| Filtraciones de datos | Cifrado E2E + RLS + audit logs + pen-test anual |
8. Gobernanza y comite de IA
Vidoku mantiene un Comite de Etica de IA interno compuesto por:
- CEO / Founder
- DPO
- CISO (cuando proceda)
- Asesor legal externo especializado en IA y proteccion de datos
- Asesor etico independiente (rotativo, academia/sociedad civil)
El comite se reune trimestralmente y publica un Transparency Report anual con:
- Numero de cuentas suspendidas por violacion de AUP
- Tipos de contenido prohibido detectado
- Solicitudes de autoridades publicas atendidas
- Auditorias de sesgos realizadas y resultados
9. Adhesion a estandares internacionales
- EU AI Act (Reglamento UE 2024/1689) — Art. 50 Transparencia
- Code of Conduct sobre desinformacion 2022 (Comision Europea)
- NIST AI Risk Management Framework (AI RMF 1.0)
- OECD AI Principles (2019)
- ISO/IEC 42001:2023 — AI Management System (en proceso de certificacion Q4 2026)
- Council of Europe Framework Convention on AI (Vilna 2024)
- UNESCO Recommendation on the Ethics of AI (2021)
- C2PA Content Authenticity Initiative
10. Reportar abuso y contacto
- Reportar abuso o contenido sospechoso: abuse@vidoku.io
- Etica IA: ethics@vidoku.io
- Privacidad: privacy@vidoku.io
- Autoridad de control: AESIA (Agencia Espanola de Supervision de IA) — A Coruna, Espana