Per què l'IA Act fa que la teva empresa assumeixi el risc legal que n'haurien d'assumir d'altres?

Per Patricia Manso, advocada especialitzada en Dret Corporatiu i Tecnològic

Web: www.patriciamanso.com

LinkedIn: https://www.linkedin.com/in/patriciamanso/

El Reglament (UE) 2024/1689 d'Intel·ligència Artificial (RIA) estableix una cadena de responsabilitat esglaonada, començant pel proveïdor del model base, seguint per l'integrador que l'incorpora en un producte i acabant al usuari final que ho desplega. Cada baula té obligacions pròpies de transparència, gestió de riscos i compliment normatiu.

El problema és que els termes de servei dels quatre grans proveïdors (OpenAI, Google, Anthropic i Microsoft) traslladen la pràctica totalitat de la responsabilitat operativa i legal a l'integrador, és a dir, a l'empresa que construeix aquest model.

L'empresa assumeix les obligacions més exigents de l'AI Act com a proveïdor del sistema final, però els Termes de Servei (ToS) del proveïdor del model us neguen les eines per complir-les: no pot auditar el model base, no accedeix a la documentació tècnica interna exigida per la norma i no pot negociar clàusules de responsabilitat compartida.

Qui és qui en aquest context.

L'AI Act i els contractes dels proveïdors esmentats no funcionen igual segons quina sigui la seva posició a la cadena de valor. Abans de signar qualsevol contracte o integrar qualsevol API, la vostra empresa ha d'identificar amb precisió el seu rol, ja que pot tenir un o diversos simultàniament (en partícula, sovint algunes empreses seran alhora integradors i usuaris alhora).

• Proveïdor del model base (OpenAI, Anthropic, Google, Microsoft). Tenen una exposició limitada pels seus ToS i en alguns casos estableixen indemnització només per a comptes Enterprise/API i només per vulneració de propietat intel·lectual. Les al·lucinacions, les errades de seguretat i els errors fàctics no estan coberts en cap ToS, encara que comença a haver-hi jurisprudència sobre aquestes limitacions de responsabilitat i les seves conseqüències.
• Integrador/Empresa (Construeix el model). Assumeix tota la responsabilitat operativa traslladada pels ToS i no obstant no pot auditar el model ni obtenir la documentació interna exigida per la norma. Si la vostra empresa integra un model de tercers en un producte que comercialitza a la UE, és considerada proveïdora del sistema final. Pot suposar assumir obligacions com ara l'avaluació de riscos, la supervisió humana, la documentació tècnica i, si escau, la certificació
• Deployer / Usuari empresarial (usa el sistema a la seva organització). Responsabilitat si modifiqueu el sistema o l'utilitzeu fora de l'abast previst. Pot esdevenir 'proveïdor' a efectes reguladors.

Davant d'aquesta situació, quina seria la recomanació?

Tot i que les grans plataformes no solen acceptar modificacions en els seus ToS estàndard per a contractes de menor volum, hi ha marges de negociació i decisions estratègiques que poden reduir significativament l'exposició de la seva empresa.

1.- Abans de signar, identifiqueu la vostra exposició real

• Determineu si el sistema final que construeix serà classificat com d'alt risc sota l'AI Act (Annex III). Si ho és, les obligacions de conformitat són immediates i el cost d'incompliment sever.
• Integreu la revisió jurídica dels ToS del proveïdor d'IA en el procés de due diligence tecnològica, al mateix nivell que l'avaluació tècnica del model.
• Documenteu per escrit quina informació tècnica us lliura el proveïdor sobre el model i quina documentació interna us nega. Això és rellevant davant d'una inspecció d'AESIA.

2.- Trieu el nivell contractual adequat

• Mai processeu dades de clients, dades personals o informació confidencial en comptes de consum (plans individuals o gratuïts). Només els contractes Enterprise/API de pagament inclouen prohibició d'ús de dades per a entrenament, DPA incorporat i nivell mínim de protecció contractual.
• Avalueu el cost del pla Enterprise davant el cost esperat d'una responsabilitat no coberta. En sectors regulats (salut, finances, RRHH), cal tenir especial cura.

3.- Negocieu clàusules específiques

• Si teniu volum suficient, sol·liciteu expressament: (i) prohibició d'ús de les vostres dades per a entrenament del model, (ii) accés a documentació tècnica suficient per a la seva avaluació de conformitat AI Act, i (iii) indemnització ampliada que cobreixi al·lucinacions, biaixos i errors factuals amb impacte en tercers més enllà de la Propietat Intel·lectual.
• Als contractes amb els seus clients finals, inclogui clàusules que traslladin els riscos no coberts pel proveïdor de model i que estableixin limitacions de responsabilitat alineades amb les dels seus proveïdors.
• Contempleu l'ús de proveïdors europeus o models open-source amb llicències que permetin una auditoria completa quan el cas d'ús sigui d'alt risc i la documentació tècnica sigui imprescindible.

L'elecció del proveïdor d'IA i del nivell contractual no és una decisió tècnica ni de cost; és una decisió de gestió de riscos legals i estratègics. La vostra empresa pot assumir obligacions reguladores que li són impossibles de complir sense la cooperació del proveïdor del model. Identifiqueu-ne el rol, avalueu la vostra exposició i negocieu amb dades sobre la taula abans d'integrar qualsevol API en un producte comercial