| |

Qué pedir a tu proveedor de IA antes de meterlo en tu empresa

Meter una herramienta de IA en una empresa no debería empezar por el precio, la demo o el entusiasmo del proveedor. Debería empezar por una pregunta mucho más aburrida: ¿qué riesgo estoy metiendo dentro del negocio?

La mayoría de empresas no necesita negociar como una multinacional. Pero sí necesita pedir lo mínimo para no entregar datos, procesos, reputación y decisiones a una caja negra sin control.

Un proveedor de IA no es solo software. Es acceso, datos, dependencia, responsabilidad y evidencia.

Por qué revisar al proveedor de IA

El AI Act distingue obligaciones para proveedores, responsables del despliegue y usuarios profesionales. Además, las normas de protección de datos, confidencialidad, propiedad intelectual, seguridad y consumidores no desaparecen porque haya IA de por medio.

Pregunta al proveedorPor qué importaEvidencia mínima
¿Usáis mis datos para entrenar modelos?Puede cambiar por completo el riesgo de confidencialidadCláusula contractual o configuración documentada
¿Dónde se procesan y alojan los datos?Afecta a RGPD, transferencias y seguridadDPA, subencargados y países
¿Qué logs y retención aplicáis?Determina exposición y capacidad de auditoríaPolítica de retención y borrado
¿Qué documentación AI Act tenéis?Ayuda a repartir responsabilidadesFicha técnica, transparencia, GPAI o marcado cuando aplique
¿Qué pasa si el sistema falla?La responsabilidad operativa suele acabar en tu empresaSLA, límites, soporte y procedimiento de incidentes

Si contratas una herramienta que resume expedientes, atiende clientes, genera propuestas, clasifica leads, redacta emails, analiza documentos o crea contenido, no estás incorporando “una app más”. Estás delegando parte de un proceso de negocio.

1. Qué datos va a tratar

La primera pregunta es simple: qué datos entran en el sistema y qué hace el proveedor con ellos.

  • Datos personales: clientes, leads, empleados, alumnos, usuarios.
  • Datos sensibles o confidenciales: salud, menores, litigios, secretos empresariales, estrategia, credenciales.
  • Datos de terceros: documentos subidos por clientes, emails, contratos o bases de datos.
  • Datos de uso: prompts, respuestas, logs, métricas, historial y feedback.

No basta con que el proveedor diga “somos seguros”. Necesitas saber si usa tus datos para entrenar modelos, si los conserva, durante cuánto tiempo, dónde se alojan y si puedes borrarlos.

2. Qué papel juega en protección de datos

Hay que determinar si el proveedor actúa como encargado del tratamiento, responsable independiente o ambos según el uso. Esto afecta al contrato, a las instrucciones, a las transferencias internacionales, a los subencargados y a las medidas de seguridad.

Si el proveedor trata datos personales por cuenta de tu empresa, normalmente necesitarás un acuerdo de encargo del tratamiento. Y si hay transferencias fuera del Espacio Económico Europeo, habrá que revisar garantías adicionales.

3. Qué documentación ofrece sobre AI Act

No todos los proveedores de IA tienen las mismas obligaciones, pero deberías pedir señales mínimas de cumplimiento. La Comisión Europea ha publicado códigos de buenas prácticas y directrices sobre modelos de propósito general y transparencia de contenido generado por IA. Eso ya da pistas sobre qué documentación conviene pedir.

  • Si el sistema usa modelos de propósito general, qué documentación facilita el proveedor.
  • Si el proveedor se ha adherido a códigos de buenas prácticas aplicables.
  • Qué medidas ofrece para marcado, etiquetado o detección de contenido generado por IA.
  • Si hay información sobre seguridad, copyright, entrenamiento y gestión de riesgos.
  • Qué responsabilidades asume y cuáles traslada al cliente.

4. Cómo se integra en tu empresa

Una misma herramienta puede ser inocua o peligrosa según dónde la conectes. No es lo mismo usar IA para proponer ideas internas que conectarla a Gmail, Drive, CRM, facturación, WhatsApp, soporte o producción.

Antes de contratar o activar integraciones, revisa permisos, usuarios, logs, límites, posibilidad de revocar accesos y qué pasa si el sistema se equivoca.

5. Qué ocurre si se equivoca

La IA puede inventar, clasificar mal, responder fuera de tono, revelar información, interpretar mal una instrucción o tomar una acción que nadie revisó. El contrato y el diseño operativo deberían responder a estas preguntas:

  • ¿Hay revisión humana antes de enviar, publicar, borrar, cobrar o decidir?
  • ¿Se registran las acciones relevantes?
  • ¿Existe un sistema de rollback o corrección?
  • ¿Quién responde ante un daño a cliente, usuario o tercero?
  • ¿Hay límites de responsabilidad razonables o completamente desequilibrados?

6. Propiedad intelectual y contenido generado

Si usas IA para crear textos, diseños, vídeos, imágenes, código o documentación comercial, pregunta por derechos de uso, garantías, restricciones, datasets, indemnidades y límites. El proveedor no siempre puede garantizar que el resultado sea registrable, exclusivo o libre de conflictos.

Aquí no conviene vender humo internamente: IA no significa propiedad automática ni ausencia de riesgo.

7. Checklist antes de contratar

  • Política de privacidad y condiciones empresariales, no solo página comercial.
  • DPA o acuerdo de encargo del tratamiento si trata datos por tu cuenta.
  • Lista de subencargados y países donde se procesan datos.
  • Configuración para evitar entrenamiento con tus datos cuando aplique.
  • Política de retención, borrado y exportación.
  • Documentación AI Act, transparencia, GPAI o marcado si corresponde.
  • Seguridad: SSO, roles, logs, cifrado, backups, incidentes y soporte.
  • Cláusulas de responsabilidad, suspensión del servicio y cambios de precio.
  • Plan interno de uso: quién puede usarlo, para qué y con qué datos.

La decisión práctica

No se trata de bloquear la IA por miedo. Se trata de no meter una herramienta crítica en la empresa como si fuera una extensión del navegador. Cuanto más acceso tenga el proveedor a datos, clientes, comunicaciones o decisiones, más seria debe ser la revisión.

La pregunta correcta no es “¿esta IA es potente?”. La pregunta correcta es: “¿puedo explicar, controlar y defender este uso si algo sale mal?”.

Consultoría EBDF

No metas IA crítica sin revisar el contrato y el uso real

Analizamos proveedor, datos, permisos, contrato, riesgos y controles internos para que puedas usar IA con velocidad, pero sin entregar tu negocio a una caja negra.

Reservar una consultoría

Lecturas relacionadas

Fuentes oficiales

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *