Checklist del contrato de encargado para infraestructura IA

25 preguntas de verificacion para contratos de encargado de tratamiento en infraestructura de IA empresarial.

Un contrato de encargado de tratamiento para infraestructura de IA debe cubrir diez areas que los contratos SaaS estandar no regulan: politicas de registro de prompts, separacion de entornos (dev/staging/produccion), cadenas de proveedores de modelos, procesamiento de datos in-flight vs. at-rest, proteccion de datos de embeddings RAG, acceso desde terceros paises a datos de produccion, cumplimiento del secreto profesional, tokenizacion PII, trazabilidad de auditoria del Decision Layer y verificabilidad de medidas tecnicas. Esta checklist traduce las diez lagunas en 25 preguntas concretas de verificacion.

El analisis detallado de las diez lagunas esta disponible en el articulo: Contrato de encargado IA: Lo que falta en su contrato estandar.

A - Categorias de datos y finalidades de tratamiento

1

¿Los contenidos de prompts y respuestas del modelo estan listados como categorias de datos independientes en el contrato?

2

¿Se establece que la responsabilidad de clasificacion del contenido recae en la organizacion, no en el proveedor?

3

¿Los embeddings/vectores estan clasificados como datos potencialmente personales?

4

¿El contrato contempla las categorias especiales del articulo 9 del RGPD que pueden surgir por entradas de usuarios?

B - Registro y monitorizacion

5

¿El registro de cuerpos de solicitud/respuesta en el entorno de produccion esta desactivado?

6

¿Que metadatos se registran (codigos de estado, latencias, IDs de solicitud)?

7

¿El registro de depuracion en produccion esta verificablemente desactivado?

8

¿Los rastros de pila y mensajes de error estan configurados para excluir datos de contenido de los logs?

9

¿La verificacion de la configuracion de registro es parte del proceso de lanzamiento?

C - Separacion de entornos y acceso

10

¿Existen entornos separados (dev, staging, produccion) con politicas de datos distintas?

11

¿Los entornos dev/staging contienen exclusivamente datos sinteticos o anonimizados?

12

¿El acceso a produccion esta restringido a roles autorizados dentro de la UE/EEE? (Vease tambien: requisitos Cert-Ready)

13

¿Existe un procedimiento de excepcion documentado para casos de soporte con acceso a datos?

D - Proveedores de modelos y subencargados

14

¿La delimitacion es clara: Que proveedores son subencargados del proveedor y cuales operan en el tenant de la organizacion?

15

¿La retencion de contenido en los proveedores de modelos esta desactivada?

16

¿La exclusion del uso para entrenamiento esta documentada contractualmente?

17

¿Donde se ubican los endpoints de los modelos (region UE, US, otros)?

E - Almacenamiento y supresion de datos

18

¿Se establece donde se almacenan los datos de contenido persistentes (base de datos, region, proveedor)?

19

¿Que retencion de copias de seguridad aplica y como se gestionan los datos eliminados en las copias?

20

¿El usuario individual puede eliminar sus propios datos dentro de la aplicacion?

F - Sectores regulados

21

¿El contrato contiene disposiciones de cumplimiento con el secreto profesional segun normativa sectorial aplicable?

22

¿Existen compromisos de confidencialidad para todas las personas con acceso?

23

¿La tokenizacion PII esta disponible como modulo opcional?

G - Gobernanza y verificabilidad

24

¿Una trazabilidad de auditoria para decisiones de agentes esta anclada como componente contractual?

25

¿Las medidas tecnicas y organizativas pueden evidenciarse bajo solicitud (documentacion de configuracion, extractos de logs anonimizados)?

Esta checklist es un catalogo de requisitos desde la perspectiva de arquitectura y gobernanza. No constituye asesoramiento juridico. La revision legal y la evaluacion formal del contrato corresponden al departamento juridico del responsable o a asesores externos.

Preguntas frecuentes

¿Esta checklist sustituye al asesoramiento juridico?

No. La checklist es un catalogo de requisitos desde la perspectiva de arquitectura y gobernanza. Ayuda a formular las preguntas correctas al proveedor de IA. La revision legal sigue siendo responsabilidad del departamento juridico.

¿Para que tamano de organizacion es relevante esta checklist?

Para cualquier organizacion que despliegue agentes de IA con acceso a datos personales, independientemente de su tamano. Las preguntas sobre secreto profesional y comite de empresa son sectoriales y pueden omitirse si no aplican.

¿De donde provienen las 25 preguntas?

De la experiencia practica con proyectos de infraestructura de IA empresarial. Cada pregunta aborda una laguna que los contratos SaaS estandar no cubren para infraestructura de IA. El analisis detallado se encuentra en el articulo de la revista.

¿Como puntua su infraestructura IA en el check del contrato?

Evaluamos su configuracion contra los 25 requisitos.

Concertar conversacion