Qué pedir a tu proveedor de IA antes de meterlo en tu empresa
Meter una herramienta de IA en una empresa no debería empezar por el precio, la demo o el entusiasmo del proveedor. Debería empezar por una pregunta mucho más aburrida: ¿qué riesgo estoy metiendo dentro del negocio?
La mayoría de empresas no necesita negociar como una multinacional. Pero sí necesita pedir lo mínimo para no entregar datos, procesos, reputación y decisiones a una caja negra sin control.
Un proveedor de IA no es solo software. Es acceso, datos, dependencia, responsabilidad y evidencia.
Por qué revisar al proveedor de IA
El AI Act distingue obligaciones para proveedores, responsables del despliegue y usuarios profesionales. Además, las normas de protección de datos, confidencialidad, propiedad intelectual, seguridad y consumidores no desaparecen porque haya IA de por medio.
| Pregunta al proveedor | Por qué importa | Evidencia mínima |
|---|---|---|
| ¿Usáis mis datos para entrenar modelos? | Puede cambiar por completo el riesgo de confidencialidad | Cláusula contractual o configuración documentada |
| ¿Dónde se procesan y alojan los datos? | Afecta a RGPD, transferencias y seguridad | DPA, subencargados y países |
| ¿Qué logs y retención aplicáis? | Determina exposición y capacidad de auditoría | Política de retención y borrado |
| ¿Qué documentación AI Act tenéis? | Ayuda a repartir responsabilidades | Ficha técnica, transparencia, GPAI o marcado cuando aplique |
| ¿Qué pasa si el sistema falla? | La responsabilidad operativa suele acabar en tu empresa | SLA, límites, soporte y procedimiento de incidentes |
Si contratas una herramienta que resume expedientes, atiende clientes, genera propuestas, clasifica leads, redacta emails, analiza documentos o crea contenido, no estás incorporando “una app más”. Estás delegando parte de un proceso de negocio.
1. Qué datos va a tratar
La primera pregunta es simple: qué datos entran en el sistema y qué hace el proveedor con ellos.
- Datos personales: clientes, leads, empleados, alumnos, usuarios.
- Datos sensibles o confidenciales: salud, menores, litigios, secretos empresariales, estrategia, credenciales.
- Datos de terceros: documentos subidos por clientes, emails, contratos o bases de datos.
- Datos de uso: prompts, respuestas, logs, métricas, historial y feedback.
No basta con que el proveedor diga “somos seguros”. Necesitas saber si usa tus datos para entrenar modelos, si los conserva, durante cuánto tiempo, dónde se alojan y si puedes borrarlos.
2. Qué papel juega en protección de datos
Hay que determinar si el proveedor actúa como encargado del tratamiento, responsable independiente o ambos según el uso. Esto afecta al contrato, a las instrucciones, a las transferencias internacionales, a los subencargados y a las medidas de seguridad.
Si el proveedor trata datos personales por cuenta de tu empresa, normalmente necesitarás un acuerdo de encargo del tratamiento. Y si hay transferencias fuera del Espacio Económico Europeo, habrá que revisar garantías adicionales.
3. Qué documentación ofrece sobre AI Act
No todos los proveedores de IA tienen las mismas obligaciones, pero deberías pedir señales mínimas de cumplimiento. La Comisión Europea ha publicado códigos de buenas prácticas y directrices sobre modelos de propósito general y transparencia de contenido generado por IA. Eso ya da pistas sobre qué documentación conviene pedir.
- Si el sistema usa modelos de propósito general, qué documentación facilita el proveedor.
- Si el proveedor se ha adherido a códigos de buenas prácticas aplicables.
- Qué medidas ofrece para marcado, etiquetado o detección de contenido generado por IA.
- Si hay información sobre seguridad, copyright, entrenamiento y gestión de riesgos.
- Qué responsabilidades asume y cuáles traslada al cliente.
4. Cómo se integra en tu empresa
Una misma herramienta puede ser inocua o peligrosa según dónde la conectes. No es lo mismo usar IA para proponer ideas internas que conectarla a Gmail, Drive, CRM, facturación, WhatsApp, soporte o producción.
Antes de contratar o activar integraciones, revisa permisos, usuarios, logs, límites, posibilidad de revocar accesos y qué pasa si el sistema se equivoca.
5. Qué ocurre si se equivoca
La IA puede inventar, clasificar mal, responder fuera de tono, revelar información, interpretar mal una instrucción o tomar una acción que nadie revisó. El contrato y el diseño operativo deberían responder a estas preguntas:
- ¿Hay revisión humana antes de enviar, publicar, borrar, cobrar o decidir?
- ¿Se registran las acciones relevantes?
- ¿Existe un sistema de rollback o corrección?
- ¿Quién responde ante un daño a cliente, usuario o tercero?
- ¿Hay límites de responsabilidad razonables o completamente desequilibrados?
6. Propiedad intelectual y contenido generado
Si usas IA para crear textos, diseños, vídeos, imágenes, código o documentación comercial, pregunta por derechos de uso, garantías, restricciones, datasets, indemnidades y límites. El proveedor no siempre puede garantizar que el resultado sea registrable, exclusivo o libre de conflictos.
Aquí no conviene vender humo internamente: IA no significa propiedad automática ni ausencia de riesgo.
7. Checklist antes de contratar
- Política de privacidad y condiciones empresariales, no solo página comercial.
- DPA o acuerdo de encargo del tratamiento si trata datos por tu cuenta.
- Lista de subencargados y países donde se procesan datos.
- Configuración para evitar entrenamiento con tus datos cuando aplique.
- Política de retención, borrado y exportación.
- Documentación AI Act, transparencia, GPAI o marcado si corresponde.
- Seguridad: SSO, roles, logs, cifrado, backups, incidentes y soporte.
- Cláusulas de responsabilidad, suspensión del servicio y cambios de precio.
- Plan interno de uso: quién puede usarlo, para qué y con qué datos.
La decisión práctica
No se trata de bloquear la IA por miedo. Se trata de no meter una herramienta crítica en la empresa como si fuera una extensión del navegador. Cuanto más acceso tenga el proveedor a datos, clientes, comunicaciones o decisiones, más seria debe ser la revisión.
La pregunta correcta no es “¿esta IA es potente?”. La pregunta correcta es: “¿puedo explicar, controlar y defender este uso si algo sale mal?”.
Consultoría EBDF
No metas IA crítica sin revisar el contrato y el uso real
Analizamos proveedor, datos, permisos, contrato, riesgos y controles internos para que puedas usar IA con velocidad, pero sin entregar tu negocio a una caja negra.
Reservar una consultoríaLecturas relacionadas
- Reglamento Europeo de IA: lo que tu empresa tiene que hacer antes de agosto de 2026
Base general para entender calendario, responsabilidades y primeros pasos ante el AI Act. - ChatGPT en empresa: qué no debería pegar tu equipo
Complemento práctico sobre datos, prompts y errores internos al usar IA en empresa. - Código generado por IA: quién es el dueño y qué riesgo legal asumes
Para revisar propiedad intelectual y dependencia técnica cuando el proveedor genera entregables.
