Checklist del contrato de encargado para infraestructura IA

25 preguntas de verificación para contratos de encargado de tratamiento en infraestructura de IA empresarial.

Un contrato de encargado de tratamiento para infraestructura de IA debe cubrir diez áreas que los contratos SaaS estándar no regulan: políticas de registro de prompts, separación de entornos (dev/staging/producción), cadenas de proveedores de modelos, procesamiento de datos in-flight vs. at-rest, protección de datos de embeddings RAG, acceso desde terceros países a datos de producción, cumplimiento del secreto profesional, tokenización PII, trazabilidad de auditoría del Decision Layer y verificabilidad de medidas técnicas. Esta checklist traduce las diez lagunas en 25 preguntas concretas de verificación.

El análisis detallado de las diez lagunas está disponible en el artículo: Contrato de encargado IA: Lo que falta en su contrato estándar.

A — Categorías de datos y finalidades de tratamiento

1

¿Los contenidos de prompts y respuestas del modelo están listados como categorías de datos independientes en el contrato?

2

¿Se establece que la responsabilidad de clasificación del contenido recae en la organización, no en el proveedor?

3

¿Los embeddings/vectores están clasificados como datos potencialmente personales?

4

¿El contrato contempla las categorías especiales del artículo 9 del RGPD que pueden surgir por entradas de usuarios?

B — Registro y monitorización

5

¿El registro de cuerpos de solicitud/respuesta en el entorno de producción está desactivado?

6

¿Qué metadatos se registran (códigos de estado, latencias, IDs de solicitud)?

7

¿El registro de depuración en producción está verificablemente desactivado?

8

¿Los rastros de pila y mensajes de error están configurados para excluir datos de contenido de los logs?

9

¿La verificación de la configuración de registro es parte del proceso de lanzamiento?

C — Separación de entornos y acceso

10

¿Existen entornos separados (dev, staging, producción) con políticas de datos distintas?

11

¿Los entornos dev/staging contienen exclusivamente datos sintéticos o anonimizados?

12

¿El acceso a producción está restringido a roles autorizados dentro de la UE/EEE?

13

¿Existe un procedimiento de excepción documentado para casos de soporte con acceso a datos?

D — Proveedores de modelos y subencargados

14

¿La delimitación es clara: Qué proveedores son subencargados del proveedor y cuáles operan en el tenant de la organización?

15

¿La retención de contenido en los proveedores de modelos está desactivada?

16

¿La exclusión del uso para entrenamiento está documentada contractualmente?

17

¿Dónde se ubican los endpoints de los modelos (región UE, US, otros)?

E — Almacenamiento y supresión de datos

18

¿Se establece dónde se almacenan los datos de contenido persistentes (base de datos, región, proveedor)?

19

¿Qué retención de copias de seguridad aplica y cómo se gestionan los datos eliminados en las copias?

20

¿El usuario individual puede eliminar sus propios datos dentro de la aplicación?

F — Sectores regulados

21

¿El contrato contiene disposiciones de cumplimiento con el secreto profesional según normativa sectorial aplicable?

22

¿Existen compromisos de confidencialidad para todas las personas con acceso?

23

¿La tokenización PII está disponible como módulo opcional?

G — Gobernanza y verificabilidad

24

¿Una trazabilidad de auditoría para decisiones de agentes está anclada como componente contractual?

25

¿Las medidas técnicas y organizativas pueden evidenciarse bajo solicitud (documentación de configuración, extractos de logs anonimizados)?

Esta checklist es un catálogo de requisitos desde la perspectiva de arquitectura y gobernanza. No constituye asesoramiento jurídico. La revisión legal y la evaluación formal del contrato corresponden al departamento jurídico del responsable o a asesores externos.

Preguntas frecuentes

¿Esta checklist sustituye al asesoramiento jurídico?

No. La checklist es un catálogo de requisitos desde la perspectiva de arquitectura y gobernanza. Ayuda a formular las preguntas correctas al proveedor de IA. La revisión legal sigue siendo responsabilidad del departamento jurídico.

¿Para qué tamaño de organización es relevante esta checklist?

Para cualquier organización que despliegue agentes de IA con acceso a datos personales, independientemente de su tamaño. Las preguntas sobre secreto profesional y comité de empresa son sectoriales y pueden omitirse si no aplican.

¿De dónde provienen las 25 preguntas?

De la experiencia práctica con proyectos de infraestructura de IA empresarial. Cada pregunta aborda una laguna que los contratos SaaS estándar no cubren para infraestructura de IA. El análisis detallado se encuentra en el artículo de la revista.

¿Cómo puntúa su infraestructura IA en el check del contrato?

Evaluamos su configuración contra los 25 requisitos.

Concertar conversación