¿Por qué el IA Act hace que tu empresa asuma el riesgo legal que deberían asumir otros?

Por Patricia Manso, abogada especializada en Derecho Corporativo y Tecnológico

Web: www.patriciamanso.com

LinkedIn: https://www.linkedin.com/in/patriciamanso/

El Reglamento (UE) 2024/1689 de Inteligencia Artificial (RIA) establece una cadena de responsabilidad escalonada, empezando por el proveedor del modelo base, siguiendo por el integrador que lo incorpora en un producto y terminando en el usuario final que lo despliega. Cada eslabón tiene obligaciones propias de transparencia, gestión de riesgos y cumplimiento normativo.

El problema es que los términos de servicio de los cuatro grandes proveedores (OpenAI, Google, Anthropic y Microsoft) trasladan la práctica totalidad de la responsabilidad operativa y legal al integrador, es decir, a la empresa que construye sobre ese modelo.

La empresa asume las obligaciones más exigentes del AI Act como proveedor del sistema final, pero los Términos de Servicio (ToS) del proveedor del modelo le niegan las herramientas para cumplirlas: no puede auditar el modelo base, no accede a la documentación técnica interna exigida por la norma y no puede negociar cláusulas de responsabilidad compartida.

Quién es quién en este contexto.

El AI Act y los contratos de los citados proveedores no funcionan igual según cuál sea su posición en la cadena de valor. Antes de firmar cualquier contrato o integrar cualquier API, su empresa debe identificar con precisión su rol, ya que puede ostentar uno o varios simultáneamente (en particula, a menudo algunas empresas serán a la vez integradores y usuarios al mismo tiempo).

• Proveedor del modelo base (OpenAI, Anthropic, Google, Microsoft). Tienen una exposición limitada por sus ToS y en algunos casos establecen indemnización solo para cuentas Enterprise/API y solo por vulneración de propiedad intelectual. Las alucinaciones, los fallos de seguridad y los errores fácticos no están cubiertos en ningún ToS, aunque empieza a haber jurisprudencia sobre estas limitaciones de responsabilidad y sus consecuencias.
• Integrador/Empresa (Construye el modelo). Asume toda la responsabilidad operativa trasladada por los ToS y sin embargo no puede auditar el modelo ni obtener la documentación interna exigida por la norma. Si su empresa integra un modelo de terceros en un producto que comercializa en la UE, es considerada proveedora del sistema final. Puede suponer asumir obligaciones como la evaluación de riesgos, la supervisión humana, la documentación técnica y, si aplica, la certificación
• Deployer / Usuario empresarial (usa el sistema en su organización). Responsabilidad si modifica el sistema o lo usa fuera del alcance previsto. Puede devenir ‘proveedor’ a efectos regulatorios.

Ante esta situación ¿Cuál sería la recomendación?

Aunque las grandes plataformas no suelen aceptar modificaciones en sus ToS estándar para contratos de menor volumen, existen márgenes de negociación y decisiones estratégicas que pueden reducir significativamente la exposición de su empresa.

1.- Antes de firmar, identifique su exposición real

• Determine si el sistema final que construye será clasificado como de alto riesgo bajo el AI Act (Anexo III). Si lo es, las obligaciones de conformidad son inmediatas y el coste de incumplimiento, severo.
• Integre la revisión jurídica de los ToS del proveedor de IA en su proceso de due diligence tecnológica, al mismo nivel que la evaluación técnica del modelo.
• Documente por escrito qué información técnica le entrega el proveedor sobre el modelo y qué documentación interna le niega. Esto es relevante ante una inspección de AESIA.

2.- Elija el nivel contractual adecuado

• Nunca procese datos de clientes, datos personales o información confidencial en cuentas de consumo (planes individuales o gratuitos). Solo los contratos Enterprise/API de pago incluyen prohibición de uso de datos para entrenamiento, DPA incorporado y el nivel mínimo de protección contractual.
• Evalúe el coste del plan Enterprise frente al coste esperado de una responsabilidad no cubierta. En sectores regulados (salud, finanzas, RRHH), hay que tener especial cuidado.

3.- Negocie cláusulas específicas

• Si tiene volumen suficiente, solicite expresamente: (i) prohibición de uso de sus datos para entrenamiento del modelo, (ii) acceso a documentación técnica suficiente para su evaluación de conformidad AI Act, y (iii) indemnización ampliada que cubra alucinaciones, sesgos y errores factuales con impacto en terceros más allá de la Propiedad Intelectual.
• En los contratos con sus propios clientes finales, incluya cláusulas que trasladen los riesgos no cubiertos por su proveedor de modelo y que establezcan limitaciones de responsabilidad alineadas con las de sus proveedores.
• Contemple el uso de proveedores europeos o modelos open-source con licencias que permitan auditoría completa cuando el caso de uso sea de alto riesgo y la documentación técnica sea imprescindible.

La elección del proveedor de IA y del nivel contractual no es una decisión técnica ni de coste, es una decisión de gestión de riesgos legales y estratégicos. Su empresa puede asumir obligaciones regulatorias que le son imposibles de cumplir sin la cooperación del proveedor del modelo. Identifique su rol, evalúe su exposición y negocie con datos sobre la mesa antes de integrar cualquier API en un producto comercial