Trazabilidad de decisiones (audit log)

Sin trazabilidad, una empresa no puede responder a tres preguntas que le pueden hacer en cualquier momento: "¿qué dijo exactamente vuestro asistente IA al cliente fulano el mes pasado?", "¿en qué datos se basó vuestro sistema para rechazar la solicitud de crédito de mengano?", "¿podéis reproducir la decisión del 12 de marzo para verificar que no hubo discriminación?". Estas preguntas vienen de clientes, abogados, AESIA, AEPD o la propia dirección. Sin registro, la respuesta es "no podemos saberlo", que es la respuesta peor posible. Un registro de trazabilidad típico para un asistente IA empresarial captura, por cada interacción, los siguientes campos: timestamp, identificador anónimo del usuario o del caso, modelo y versión exacta, parámetros (temperatura, tamaño de contexto), prompt sistema vigente en ese momento, prompt del usuario completo, contexto adicional consultado (RAG retrieved), respuesta generada, validación humana si aplica, y código de salida (entregado al cliente, escalado, descartado). La implementación varía. Para asistentes integrados (ChatGPT Business, Copilot, Claude Team) los proveedores ofrecen registros administrativos accesibles desde el panel de admin. Para sistemas custom (chatbots propios, agentes con API) la empresa tiene que construir el registro y guardarlo en BD propia. La AI Act exige que el registro sea "automatizado y suficiente para asegurar trazabilidad de las operaciones del sistema durante todo su ciclo de vida". El periodo mínimo de conservación es de 6 meses, prolongable según obligación sectorial.