Phase 17 - Lesson 26
Cumplimiento — SOC 2, HIPAA, GDPR, PCI-DSS, EU AI Act, ISO 42001
La cobertura de múltiples marcos de trabajo (multi-framework) es el requisito mínimo para contratos empresariales en 2026. EU AI Act: en vigor desde el 1 de agosto de 2024. La mayoría de los requisitos de alto riesgo entran en vigor el 2 de agosto de 2026. Multas de hasta 15 millones de euros o el 3% de la facturación anual global por obligaciones de sistemas de alto riesgo (Art. 99(4)); de hasta 35 millones de euros o el 7% por prácticas prohibidas de IA (Art. 99(3)). Se aplica de forma global si atiende a usuarios de la UE. Colorado AI Act: en vigor a partir del 30 de junio de 2026 (retrasado desde febrero de 2026 por la SB25B-004) — evaluaciones de impacto para sistemas de alto riesgo y derecho a apelar las decisiones de la IA. Virginia tiene normas similares para crédito/empleo/vivienda/educación. SOC 2 Type II: requisito de facto para IA B2B (Type II, no Type I, para fintechs). GDPR: la mayor multa documentada específica para IA es de 30.5 millones de euros contra Clearview AI (Dutch DPA, sept. de 2024); el Garante de Italia impuso una multa de 15 millones de euros contra OpenAI en dic. de 2024 (posteriormente anulada en apelación en marzo de 2026). Enmascaramiento de PII en tiempo real durante la inferencia es el estándar defendible; la limpieza postprocesamiento no es suficiente. HIPAA: sector salud — no se puede enviar PHI a servicios externos de IA sin un BAA. PCI-DSS: la cobertura de la capa de interacción con IA requiere configuración + acuerdos contractuales, no es automática. ISO 42001: estándar emergente de gobernanza de IA, requisito de adquisición corporativa en aumento junto a la ISO 27001. Perfil de referencia: OpenAI mantiene SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA (BAA)/FERPA y PCI-DSS para los componentes de pago de ChatGPT. El mapeo cruzado de marcos de trabajo reduce la fatiga de auditoría: los controles de acceso se mapean entre ISO 27001 A.5.15-5.18, GDPR Art. 32 y HIPAA §164.312(a).
Tipo: Learn Lenguajes: (Python opcional — cumplimiento es política + proceso, no código) Prerrequisitos: Phase 17 · 25 (Security), Phase 17 · 13 (Observability) Tiempo: ~60 minutos
Objetivos de Aprendizaje
- Enumerar los siete marcos de trabajo de 2026 relevantes para productos de LLM y asociar cada uno a un segmento de clientes.
- Citar el cronograma de vigencia de la EU AI Act (en vigor en agosto de 2024; fiscalización de alto riesgo en agosto de 2026) y el teto de multas de dos niveles (€15M / 3% para obligaciones de alto riesgo, €35M / 7% para prácticas prohibidas).
- Explicar por qué la depuración de PII postprocesamiento no es suficiente para GDPR e identificar el enmascaramiento en tiempo real en la capa de inferencia como el estándar defendible.
- Describir el mapeo cruzado de controles (por ejemplo, el control de acceso se mapea para ISO 27001 A.5.15-5.18 + GDPR Art. 32 + HIPAA §164.312(a)).
The Problem
es: ## El Problema
An enterprise customer's procurement asks for SOC 2 Type II, GDPR, HIPAA BAA, ISO 27001, and "EU AI Act compliance statement." Your team has SOC 2 Type I. You're six months from Type II and haven't started GDPR Article 30 records. es: El sector de adquisiciones de un cliente corporativo solicita SOC 2 Type II, GDPR, HIPAA BAA, ISO 27001 y una "declaración de cumplimiento con la EU AI Act". Tu equipo tiene SOC 2 Type I. Estás a seis meses de la auditoría de Type II y no has iniciado los registros del Artículo 30 de GDPR.
La cobertura de múltiples marcos no es un problema de LLM: es un problema de SaaS empresarial con capas específicas de LLM. En 2026, los equipos de compras quieren una matriz con una fila por marco de trabajo y una columna por control, no un PDF.
El Concepto
Los siete marcos de trabajo
| Marco de trabajo | Alcance | Requisito específico de LLM |
|---|---|---|
| SOC 2 Type II | Línea de base para SaaS B2B | Controles de procesos auditados durante 6-12 meses |
| HIPAA | Sector salud de EE. UU. | Se requiere BAA; PHI no puede salir de la infraestructura sin acuerdo firmado |
| GDPR | Usuarios de la UE | Enmascaramiento de PII en tiempo real; derechos de los titulares de datos; registros del Art. 30 |
| PCI-DSS | Datos de pago | Configuración + contratos para IA que interactúa con pagos |
| EU AI Act | Usuarios de la UE | Clasificación por nivel de riesgo; sistemas de alto riesgo: evaluación de conformidad, documentación, registro (logging) |
| Colorado AI Act | Residentes de Colorado (EE. UU.) | Evaluaciones de impacto; derecho a apelar |
| ISO 42001 | Gobernanza de IA | Emergente; se complementa con ISO 27001 |
Cronograma de la EU AI Act
- 1 de agosto de 2024: en vigor.
- 2 de febrero de 2025: fiscalización de prácticas prohibidas de IA.
- 2 de agosto de 2026: fiscalización de sistemas de alto riesgo (evaluación de conformidad, documentación, registros).
- Agosto de 2027: sistemas de alto riesgo en productos bajo legislación armonizada.
Niveles de riesgo: Inaceptable (prohibido), Alto riesgo (conformidad + registros), Risco limitado (transparencia) y Risco mínimo (sin restricciones). La mayoría de los SaaS B2B de LLM son de riesgo limitado; el alto riesgo se aplica a empleo, crédito, educación, aplicación de la ley, migración y servicios esenciales.
Multas (Artículo 99): hasta 15 millones de euros o el 3% de la facturación anual global por incumplimiento de obligaciones de sistemas de alto riesgo (Art. 99(4)); hasta 35 millones de euros o el 7% por prácticas prohibidas de IA (Art. 99(3)); se aplica la cantidad que resulte mayor.
GDPR — enmascaramiento en tempo real es el estándar
La depuración postprocesamiento (eliminar PII después de que el LLM la vea) no es una postura defendible: el modelo ya tuvo acceso a los datos. El enmascaramiento en la capa de inferencia en tiempo real es el estándar de 2026:
- Reconocimiento de entidades antes de la llamada al LLM.
- Tokenización consistente (enfoque Mesh) que preserva la semántica.
- Almacenamiento solo de prompts enmascarados + datos en crudo autorizados por consentimiento (opt-in).
Aplicación de sanciones reciente: 30.5 millones de euros contra Clearview AI (Dutch DPA, sept. de 2024) is the largest documented AI-specific GDPR fine to date; 15 millones de euros contra OpenAI (Garante de Italia, dic. de 2024) es la mayor multa específica para LLM, aunque fue anulada en apelación en marzo de 2026 y el fallo continúa en revisión. Los argumentos sobre limpieza postprocesamiento han fallado en auditorías.
HIPAA — BAA no es opcional
No puedes enviar información de salud protegida (PHI) a servicios externos de IA sin un Business Associate Agreement firmado. Las tres plataformas de LLM de hyperscalers (Bedrock, Azure OpenAI y Vertex) ofrecen BAAs. La API directa de OpenAI ofrece BAA. La API directa de Anthropic ofrece BAA. Confirma antes de enviar PHI.
SOC 2 Type II
Type I: controles diseñados y documentados.
Type II: controles operan de forma efectiva durante 6-12 meses.
Las compras corporativas B2B en 2026 requieren por defecto Type II. Type I es un inicio; Type II es la puerta de entrada.
Elementos comunes de auditoría: registros de acceso (quién vio qué), gestión de cambios (cómo se desplegó), evaluaciones de riesgo (trimestrales), respuesta a incidentes (¿testada?). El registro de auditoría de Phase 17 · 25 es directamente reutilizable.
Mapeo cruzado de marcos de trabajo
Una sola política de control de acceso satisface los controles de múltiples marcos de trabajo:
| Control | Marcos de trabajo |
|---|---|
| Registros de acceso | ISO 27001 A.5.15-5.18, GDPR Art. 32, HIPAA §164.312(a) |
| Gestión de cambios | ISO 27001 A.8.32, PCI DSS Req. 6, alcance de notificación de brechas de HIPAA |
| Cifrado en tránsito | ISO 27001 A.8.24, GDPR Art. 32, HIPAA §164.312(e) |
| Gestión de secretos | ISO 27001 A.8.19, PCI DSS Req. 8, SOC 2 CC6.1 |
Las herramientas de cumplimiento (Drata, Vanta, Secureframe) automatizan este mapeo. Vale la pena el costo a escala.
ISO 42001 — emergente
Publicado a finales de 2023. Requisito de compras corporativas en aumento junto con la ISO 27001. Marco para la gobernanza de IA, incluyendo gestión de riesgos, calidad de datos, transparencia y supervisión humana.
Perfil de referencia de OpenAI
OpenAI mantiene SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA (BAA)/FERPA y PCI-DSS para los componentes de pago de ChatGPT. Esa es aproximadamente la línea de base empresarial en 2026.
Números que debes recordar
- Multas de la EU AI Act: hasta €15M / 3% (obligaciones de alto riesgo, Art. 99(4)); hasta €35M / 7% (práticas prohibidas, Art. 99(3)).
- Fiscalización de alto riesgo de la EU AI Act: 2 de agosto de 2026.
- Mayor multa de GDPR específica para IA documentada: €30.5M, Clearview AI (Dutch DPA, sept. de 2024).
- Mayor multa de GDPR específica para LLM: €15M, OpenAI (Italy's Garante, Dec 2024; overturned on appeal March 2026).
- Ventana de SOC 2 Type II: 6-12 meses de controles operativos.
- Fecha de vigencia de la Colorado AI Act: 30 de junio de 2026 (retrasada desde febrero de 2026 por la SB25B-004).
Úsalo
code/main.py es una planilla de mapeo de cumplimiento en Python; dado un control, enumera los marcos que satisface.
Entrégalo
Esta lección produce outputs/skill-compliance-matrix.md. Dado el segmento de clientes y la geografía, especifica los marcos y controles necesarios.
Ejercicios
- Tu primer cliente corporativo requiere SOC 2 Type II, HIPAA BAA y una declaración de la EU AI Act. ¿Cuál es la postura mínima de cumplimiento viable para ganar el contrato?
- Clasifica tres hipotéticos productos de LLM bajo los niveles de riesgo de la EU AI Act. ¿Qué cambia en el nivel de alto riesgo?
- Enviaste PHI acotroladamente a un proveedor sin BAA. Describe el flujo de respuesta ante el incidente.
- Argumenta si la ISO 42001 es "necesaria en 2026" para un proveedor de IA de mercado medio.
- Mapea los campos del registro de auditoría de tu LLM (Phase 17 · 25) a al menos tres controles de marcos de trabajo.
Términos Clave
| Término | Lo que la gente dice | Lo que realmente significa |
|---|---|---|
| SOC 2 Type II | "controles auditados" | Controles operativos durante 6-12 meses, atestiguados de forma independiente |
| HIPAA BAA | "contrato de salud" | Business Associate Agreement; requerido para PHI |
| GDPR | "privacidad de la UE" | El enmascaramiento de PII en tiempo real es el estándar defendible para 2026 |
| EU AI Act | "reglas de IA de la UE" | Fiscalización de alto riesgo en agosto de 2026; €15M / 3% (obligaciones de alto risco) — €35M / 7% (prácticas prohibidas) |
| Colorado AI Act | "ley estatal de IA de EE. UU." | En vigor el 30 de junio de 2026 (retrasada por SB25B-004); evaluaciones de impacto |
| ISO 42001 | "gobernanza de IA" | Marco emergente para el riesgo y transparencia de la IA |
| ISO 27001 | "ISMS de seguridad" | Línea de base del Sistema de Gestión de Seguridad de la Información |
| Evaluación de conformidad | "paquete de documentación de IA de la UE" | Requisito de alto riesgo: documentación, pruebas y logs |
| Mapeo cruzado de marcos de trabajo | "un control, muchos marcos" | Una sola política satisface múltiples controles de marcos |
Lecturas Adicionales
- OpenAI Security and Privacy — reference compliance profile.
- GuardionAI — LLM Compliance 2026: ISO 42001, EU AI Act, SOC 2, GDPR
- Dsalta — SOC 2 Type 2 Audit Guide 2026: 10 AI Controls
- EU AI Act official text — primary source.
- Colorado AI Act — primary source.
- ISO/IEC 42001:2023 — AI management system standard.