Antes de firmar un contrato de implantación de IA, haz la única pregunta que realmente importa al proveedor: ¿dónde van mis datos y quién puede leerlos? La respuesta honesta nunca es “se quedan con nosotros”. Como mínimo, implica el tránsito cifrado a un servidor de terceros, la retención temporal por razones operativas y un contrato de procesamiento de datos que debe cubrir sus obligaciones legales específicas. Si el vendedor le dice “no se preocupe, es seguro”, cambie de vendedor.

Qué ocurre con las API profesionales

API OpenAI / Enterprise: los datos enviados a través de la API no se utilizan por defecto para entrenar modelos. OpenAI lo especifica en sus condiciones Enterprise. Los datos pueden ser retenidos temporalmente por seguridad y detección de abusos (por defecto 30 días en API, configurable). El almacenamiento principal de los datos se realiza en Estados Unidos, con opciones de región limitadas.

**Política similar. Los datos enviados a través de la API no se utilizan para la formación. Almacenado en los Estados Unidos.

ChatGPT y Plus (interfaces web) gratuitos: hasta 2023, las conversaciones podían utilizarse para formación. Ahora se ha añadido la opción de desactivación. En las interfaces públicas, el comportamiento por defecto ha cambiado, pero debe comprobarse cada vez que se actualicen las condiciones.

El problema del secreto industrial

Las condiciones de uso suelen distinguir entre formación (a menudo excluida para las API profesionales) y almacenamiento temporal (a menudo presente por diversas razones operativas).

Pero la cuestión del secreto industrial va más allá de la formación. Si se somete a una API :

  • Contratos con sus cláusulas de precios
  • Estrategias de desarrollo de productos
  • Patentes o conocimientos técnicos
  • Información sobre sus clientes o proveedores con cláusulas de confidencialidad

Estos datos pasan por los servidores de un tercero. Incluso sin formación, incluso con cifrado, está creando un flujo de datos sensibles fuera de su perímetro. Este flujo puede crear obligaciones legales hacia tus clientes (si tus contratos incluyen cláusulas de confidencialidad), tus socios o una futura normativa.

Lo que dice el RGPD

Si sus datos contienen información sobre personas físicas (empleados, clientes, clientes potenciales), se encuentra en territorio RGPD.

El uso de una API de IA de terceros para procesar estos datos le coloca en la posición de controlador de datos, con la obligación de tener un Acuerdo de Procesamiento de Datos (APD) con el proveedor. OpenAI, Anthropic y Google lo ofrecen como parte de sus ofertas empresariales.

La cuestión de la localización de los datos es crítica para determinados sectores: datos sanitarios (HDS), datos financieros y datos de defensa. Para estos sectores, el tránsito fuera de la UE está restringido o prohibido. Una API estadounidense sin opción de localización europea podría dar lugar a incumplimientos.

Qué cambia la Ley de IA

La Ley Europea de IA (en vigor desde 2024, con obligaciones progresivas hasta 2027) impone obligaciones específicas en función del nivel de riesgo del sistema de IA.

Para los sistemas de alto riesgo (decisiones de contratación, puntuación de créditos, decisiones médicas, sistemas judiciales), se imponen requisitos de transparencia, auditabilidad y documentación. Un sistema de IA desplegado en estos contextos debe poder auditarse y sus decisiones deben poder explicarse.

Para los LLM de propósito general con impacto sistémico (por encima de un umbral de computación), se imponen a los proveedores obligaciones de transparencia sobre los datos y capacidades de formación. Novedades para usted: puede pedir a su proveedor la documentación de cumplimiento de la Ley de IA.

Cuatro cosas que exigir contractualmente

Hay cuatro cosas que deberías exigir contractualmente antes de cualquier despliegue. En primer lugar, una garantía de que los datos no se utilizarán para formación (no en una FAQ: en el contrato firmado). En segundo lugar, el lugar real de tratamiento y almacenamiento, con el compromiso de notificar cualquier cambio con treinta días de antelación. El acuerdo de subcontratación del RGPD que cubra sus propias obligaciones para con sus clientes y empleados. Y el procedimiento documentado si el modelo subyacente cambia de versión. El resto (política de retención, perímetro de la Ley de AI, etc.) se trata en los apéndices. Pero estos cuatro puntos son el requisito de entrada.