Privacidad y contratos de IA: qué exigir al proveedor

Tu primera exigencia debe ser simple de leer y de ejecutar.

• Propiedad de datos. Asegura que el contrato establezca que los datos siempre pertenecen a tu empresa. El proveedor los custodia para prestar el servicio, no los convierte en activos propios.
• Uso permitido. Define claramente el alcance. El proveedor puede usar tus datos para operar y mejorar el servicio contratado, pero especifica si aceptas o rechazas su uso para entrenar modelos generales o para elaborar informes agregados. Si no quieres ese uso ampliado, escríbelo sin ambigüedades.
• Retención y borrado. Pide plazos concretos de retención. Exige derecho a eliminación definitiva y a la descarga completa al terminar la relación. Solicita confirmación por escrito cuando los datos se borren en producción y en respaldos.
• Transferencias a subproveedores. Identifica quién más toca tus datos. Pide lista de subprocesadores y derecho a ser notificado antes de cambios.

Traducción práctica: evita cláusulas que entreguen licencias amplias, perpetuas o irrevocables sobre tu contenido. Si el proveedor necesita una licencia, que sea limitada, no exclusiva, por el tiempo del contrato y solo para operar el servicio que compraste.

Acceso y seguridad: quién ve qué, y cuándo

Aquí pasas de la letra a los controles concretos. Pide respuestas simples, medibles y auditables.

• Ubicación. Identifica el país o región donde se almacenan los datos. La ubicación afecta marcos regulatorios, obligaciones y exposición a ciertas jurisdicciones.
• Acceso interno del proveedor. Pregunta qué roles pueden acceder a tu información, con qué justificación y cómo registran cada acceso. Pide registros de auditoría y revisiones periódicas.
• Seguridad básica. Exige cifrado en tránsito y en reposo, autenticación de dos factores, gestión segura de contraseñas, segregación de ambientes, copias de seguridad verificadas y pruebas de penetración periódicas.
• Gestión de identidades. Solicita controles de acceso basados en roles, principio de menor privilegio y caducidad automática para accesos temporales.
• Registro y trazabilidad. Define cómo podrás consultar quién, cuándo y por qué accedió a datos sensibles. Eso te permite reconstruir incidentes.

Como líder, instala este estándar: si alguien accede a datos sensibles de tu empresa, debes poder saber quién, cuándo y por qué. Ese criterio evita promesas vagas y te da material para responder a jefes y clientes con hechos.

Entrenamiento y separación de entornos

El entrenamiento de modelos es un punto crítico. Si no lo acotas, tu caso puede filtrarse como aprendizaje hacia otros clientes.

• Uso para entrenamiento de modelos generales. Pregunta de forma directa si usan tus datos para entrenar modelos que sirven a toda su base de clientes.
• Opción de exclusión. Exige una opción clara de exclusión para que tu información quede fuera del conjunto de entrenamiento. Que se confirme por escrito y quede reflejada en el contrato.
• Separación de entornos. Solicita que tu organización opere en un “espacio lógico” aislado de otros clientes, con segregación de datos, identidades y llaves de cifrado.
• Entrenamiento con datos anonimizados. Si aceptas algún uso para mejoras, define condiciones: anonimización sólidoa, agregación y controles para evitar reidentificación.

Cuando el proveedor explica estos puntos en lenguaje simple, sube tu confianza. Si responde con frases vacías o tecnicismos sin aterrizaje, considera alto el riesgo. La claridad en estos temas es una forma de calidad.

Incidentes, cumplimiento y responsabilidad

Los incidentes ocurren. Lo que define tu exposición es cómo reaccionan y qué obligaciones asumen cuando algo sucede.

• Notificación. Define plazos de aviso en caso de brecha que afecte tus datos. Pide tiempos medibles, por ejemplo, dentro de 72 horas desde la detección.
• Plan de respuesta. Solicita evidencia de un plan formal: responsables, pasos, comunicación, contención, erradicación y mejora. Pregunta cuándo fue la última simulación.
• Cumplimiento. Pide entender qué marcos aplican a tu caso (por ejemplo, GDPR o LGPD) y cómo los aplican en la práctica: minimización de datos, derechos del titular, protocolos de borrado y portabilidad.
• Responsabilidad. Aclara qué compromisos asume el proveedor si el problema está de su lado. Examina límites de responsabilidad, cobertura de costos razonables, apoyo en comunicación y cooperación en investigaciones.
• Auditorías y evidencias. Pregunta si comparten informes de auditoría, certificaciones, resultados de pruebas y matrices de control, bajo acuerdo de confidencialidad.

Hazte estas preguntas guía: si mañana hay un incidente, ¿puedes rastrear qué pasó? ¿Puedes explicarlo a tu jefe y a tu cliente con algo más que “la herramienta falló”? Si tu adopción de IA forma parte de una transformación más amplia, alinea estos acuerdos con tu estrategia de gestión del cambio.

Tres movimientos inmediatos para tu equipo

No necesitas convertirte en abogado para elevar el estándar. Sí necesitas método y disciplina.

1. Lista de mínimos no negociables. Redacta una hoja breve con 8 a 10 puntos: propiedad de datos, uso para entrenamiento, retención y borrado, subprocesadores, ubicación, accesos internos, cifrado, autenticación de dos factores, incidentes y notificación. Úsala como checklist inicial cada vez que consideres una herramienta de IA. Si un proveedor no cumple los mínimos, detén la evaluación hasta que corrija.

2. Mini cuestionario para proveedores. Antes de enamorarte de la demo, envía cinco preguntas básicas por escrito sobre privacidad y seguridad. Pide respuestas claras, concretas y verificables. Valora tanto la calidad de la respuesta como la velocidad y el profesionalismo con que la entregan. La confusión repetida es una señal de alerta temprana.

3. Zona roja de información. Define qué nunca se sube a herramientas externas de IA: datos personales sensibles, información financiera confidencial, negociaciones estratégicas, documentos legales en curso, secretos técnicos. Escríbelo, divulga ejemplos y recuérdalo en cada reunión de equipo. Complementa con formación rápida y revisiones periódicas para detectar desvíos.

Consejo extra para procesos internos. Cierra el circuito entre quienes evalúan la tecnología y quienes firman contratos. Involucra a TI, Legal y Seguridad desde el comienzo, no al final. Documenta decisiones, conserva evidencias y registra excepciones con fecha de revisión. Así reduces fricciones, previenes atajos riesgosos y refuerzas tu práctica de IA en gestión con disciplina operativa.

La conversación sobre IA no puede centrarse solo en productividad y moda. Debe incluir privacidad, riesgos y contratos. No corresponde delegarla por completo en TI o Legal, porque afecta tu rol como líder responsable ante tu equipo y tus clientes.