20 CLAUSULAS CONTRACTUALES PARA EL USO EMPRESARIAL DE LLMs / IA GENERATIVA

20 Cláusulas contractuales para el uso empresarial de LLMs / IA generativa

(listas para copiar/pegar en contratos)

1. Objeto y Alcance del Servicio de IA

El Proveedor se obliga a suministrar a la Parte Contratante acceso a modelos de inteligencia artificial, capacidades cognitivas y/o herramientas generativas (“Servicios de IA”) para los fines descritos en este Anexo. El alcance funcional, limitaciones técnicas y parámetros de uso se detallan en la Documentación Técnica aplicable.

2. Responsabilidades del Proveedor

El Proveedor declara y garantiza que: a) los Servicios de IA han sido desarrollados y entrenados conforme a prácticas reconocidas de ingeniería de IA responsable; b) realizará mantenimiento, mejoras y correcciones conforme a su ciclo de vida; c) notificará a la Parte Contratante cualquier cambio sustancial en la arquitectura, modelo o funcionalidades que pueda afectar al desempeño, seguridad o cumplimiento regulatorio.

3. Responsabilidades de la Parte Contratante

La Parte Contratante será responsable de: a) definir los casos de uso permitidos y prohibidos internamente; b) asegurar supervisión humana adecuada para decisiones de alto impacto; c) garantizar que los datos ingresados en los Servicios de IA tienen base legal y cumplen normativa aplicable; d) implementar controles internos para prevenir usos indebidos del servicio.

4. Supervisión Humana (HITL, HOTL, HOOTL)

Las Partes acuerdan documentar el modelo de supervisión humana aplicable en cada caso de uso (human-in-the-loop, human-on-the-loop o human-out-of-the-loop). En los casos de uso clasificados como “alto riesgo”, la Parte Contratante se compromete a mantener una revisión humana significativa y verificable. El Proveedor facilitará, cuando corresponda, mecanismos de logging, explicación y exportación de evidencias.

5. Uso Aceptable y Prohibiciones

Queda expresamente prohibido utilizar los Servicios de IA para: a) asesoramiento jurídico automatizado sin revisión humana, salvo pacto expreso; b) decisiones automatizadas que produzcan efectos legales significativos sin supervisión adecuada; c) generar contenidos ilícitos, discriminatorios o destinados a manipulación; d) fines que contravengan normativa de protección de datos, propiedad intelectual o derechos de terceros.

El Proveedor podrá suspender o limitar el uso en caso de infracción grave.

6. Calidad, Output y No-Garantía de Resultados

El Proveedor no garantiza que las salidas generadas (“Outputs”) sean siempre precisas, libres de error o adecuadas a un fin jurídico específico. La Parte Contratante reconoce la naturaleza probabilística de los Servicios de IA y acuerda realizar validación humana proporcional al riesgo asociado.

7. Evaluaciones de Impacto y Auditoría

La Parte Contratante podrá realizar Evaluaciones de Impacto en IA (AIA) y auditorías razonables sobre el uso de los Servicios de IA. El Proveedor colaborará en la medida técnica razonable proporcionando documentación, métricas de desempeño, historial de versiones y logs relevantes, sin obligación de revelar secretos comerciales o pesos del modelo.

8. Seguridad de la Información

El Proveedor implementará medidas de seguridad razonables, alineadas con estándares reconocidos (ISO 27001, NIST u otros), incluyendo: a) control de acceso; b) cifrado en tránsito y reposo; c) auditoría de actividad y detección de anomalías; d) segregación lógica de datos entre clientes.

Notificará incidentes de seguridad en un plazo máximo acordado en el contrato principal.

9. Privacidad, Protección de Datos y Tratamiento de Prompts

Salvo que se acuerde lo contrario, el Proveedor no utilizará los datos aportados por la Parte Contratante (incluyendo prompts y outputs) para entrenar el modelo base. El Proveedor actuará como Encargado o Responsable del Tratamiento según indique la legislación aplicable y los flujos de datos.

Los prompts, inputs y outputs serán tratados conforme a la política de retención acordada entre las Partes.

10. Transparencia Algorítmica y Documentación

El Proveedor suministrará a la Parte Contratante: a) fichas técnicas o “model cards”; b) información sobre limitaciones, riesgos conocidos y mitigaciones; c) detalles sobre el sistema de filtrado, moderación o guardrails implementados.

La información podrá tener niveles diferenciados según confidencialidad.

11. Sesgos, Fairness y Mitigación

El Proveedor mantendrá procesos razonables para evaluar y mitigar sesgos en los modelos utilizados. Cuando se identifique una desviación relevante, el Proveedor deberá: a) notificar a la Parte Contratante; b) proponer parámetros de mitigación o retraining; c) emitir un informe técnico (cuando aplique).

12. Límites de Uso, Gobernanza y Rate-Limiting

El Proveedor podrá aplicar mecanismos automáticos de seguridad, como rate-limits, filtrado de contenido o bloqueo temporal, a fin de prevenir abuso, sesgo o daño. Dichos límites serán informados a la Parte Contratante con antelación razonable.

13. Control de Versiones y Cambios de Modelo

El Proveedor deberá: a) mantener un registro de versiones del modelo; b) informar cambios que afecten materialmente el desempeño, explicabilidad o riesgos; c) permitir, cuando sea viable, la coexistencia temporal de versiones para compatibilidad operativa.

14. Propiedad Intelectual sobre Entradas y Salidas

Los derechos sobre los datos de entrada (“Inputs”) pertenecen a la Parte Contratante. Los derechos sobre los Outputs se regirán por la ley aplicable, salvo pacto expreso. El Proveedor no reclamará derechos sobre los Outputs generados exclusivamente para la Parte Contratante, excepto los elementos derivados del modelo subyacente.

15. Indemnidad y Asignación de Responsabilidad

La Parte Contratante mantendrá indemne al Proveedor frente a reclamaciones derivadas de usos no autorizados, ilícitos o contrarios al contrato. El Proveedor indemnizará a la Parte Contratante por daños derivados de incumplimiento grave de estas obligaciones, incluyendo violaciones de seguridad atribuibles a negligencia del Proveedor.

16. Limitación de Responsabilidad

Salvo dolo o incumplimiento grave, la responsabilidad total del Proveedor por daños derivados de los Servicios de IA no excederá el monto total abonado por los Servicios durante los últimos doce (12) meses. Queda excluida la responsabilidad por daños indirectos, lucro cesante o expectativas de resultado generadas por Outputs.

17. Incidentes de IA y Gestión de Riesgos

Las Partes acuerdan un procedimiento de respuesta a incidentes que involucren fallas, desviaciones o conductas inesperadas del modelo, incluyendo: a) notificación inmediata; b) análisis técnico conjunto; c) plan de contención; d) reporte final y acciones preventivas.

18. Uso de Subprocesadores y Terceros

El Proveedor podrá recurrir a subprocesadores o terceros para ejecutar partes de los Servicios de IA, siempre que: a) se mantengan estándares equivalentes de seguridad y privacidad; b) se informe previamente a la Parte Contratante; c) se mantenga responsabilidad solidaria por la actuación de dichos terceros.

19. Cumplimiento Regulatorio (AI Act, GDPR, etc.)

El Proveedor declara que los Servicios de IA se ajustan, en la medida aplicable, a normativas vigentes en la jurisdicción correspondiente (incluyendo protección de datos y regulaciones sectoriales). Podrá incorporarse un Anexo adicional para clasificación de riesgo según regulaciones emergentes (p. ej., AI Act).

20. Terminación y Portabilidad de Datos

A la terminación del contrato: a) la Parte Contratante podrá exportar su información, prompts y logs; b) el Proveedor eliminará o anonimizará los datos, salvo obligación legal de conservarlos; c) el Proveedor garantizará un periodo razonable de asistencia para la migración a otro proveedor o sistema interno.