Cláusulas contractuales AI Act: 10 requisitos para exigir a su proveedor de IA.
A partir del 2 de diciembre de 2027, los responsables del despliegue de sistemas de IA de alto riesgo deberán documentar su conformidad. El AI Act permite transferir contractualmente parte de estas obligaciones a los proveedores. Estas son las cláusulas que debe exigir desde ahora para garantizar la seguridad de sus compras de IA.
Por qué contractualizar las obligaciones del AI Act con su proveedor
El AI Act impone a los responsables del despliegue obligaciones estrictas, pero permite transferirlas contractualmente a los proveedores. Una oportunidad que debe aprovechar para garantizar la seguridad de sus compras de IA.
El Artículo 26 del AI Act define las obligaciones de los responsables del despliegue de sistemas de IA. Entre estas, algunas pueden transferirse al proveedor mediante un contrato, siempre que esta transferencia sea explícita y esté documentada. Este mecanismo, previsto en el Artículo 25(1), permite a los responsables del despliegue asegurarse de que su proveedor asuma parte de las responsabilidades legales.
Para los compradores, DPO y juristas, esta contractualización presenta tres ventajas principales:
- Reducción de los riesgos jurídicos: en caso de incumplimiento, la responsabilidad puede compartirse o transferirse al proveedor.
- Simplificación de la conformidad: el proveedor se hace responsable de la documentación técnica y de las actualizaciones.
- Mejor control de los costes: las auditorías y el mantenimiento se integran en el contrato, evitando gastos imprevistos.
El CEPD destacó en sus recomendaciones de enero de 2025 que este enfoque contractual es esencial para los responsables del despliegue, especialmente para los sistemas de IA de alto riesgo. Sin una cláusula explícita, el responsable del despliegue sigue siendo el único responsable de la conformidad.
Las 10 cláusulas esenciales que debe exigir en sus contratos de IA
Estas son las cláusulas que debe integrar sistemáticamente en sus contratos con los proveedores de sistemas de IA, con para cada una: la base legal, un ejemplo de redacción y los errores que debe evitar.
Provisión de la documentación técnica (Anexo IV)
¿Por qué? El Artículo 11 del AI Act obliga a los proveedores a proporcionar una documentación técnica detallada, conforme al Anexo IV. Esta documentación es indispensable para evaluar la conformidad del sistema y responder a las solicitudes de las autoridades.
Ejemplo de cláusula:
«El Proveedor se compromete a entregar al Responsable del despliegue, antes de la puesta en servicio del sistema de IA, una documentación técnica completa conforme al Anexo IV del Reglamento (UE) 2024/1689. Esta documentación incluirá, en particular:
- una descripción general del sistema de IA;
- las instrucciones de uso;
- las características, capacidades y limitaciones del sistema;
- las medidas de vigilancia post-comercialización;
- los riesgos residuales y las medidas de mitigación.
El Proveedor garantiza la exactitud y la actualización de esta documentación durante toda la duración del contrato».
Señales de alerta:
- El proveedor se niega a proporcionar la documentación completa, alegando secretos industriales.
- La documentación es genérica y no corresponde específicamente al sistema proporcionado.
- No se prevé ninguna garantía de actualización en caso de modificación del sistema.
Notificación de incidentes en un plazo de 72 horas
¿Por qué? El Artículo 73 del AI Act obliga a los proveedores a notificar los incidentes graves a las autoridades competentes. Esta obligación debe extenderse al responsable del despliegue para permitirle tomar las medidas correctivas necesarias.
Ejemplo de cláusula:
«El Proveedor se compromete a notificar al Responsable del despliegue, en un plazo máximo de 72 horas, cualquier incidente grave relacionado con el sistema de IA, tal como se define en el Artículo 3(44) del Reglamento (UE) 2024/1689. Esta notificación incluirá:
- una descripción detallada del incidente;
- las causas identificadas o sospechadas;
- las medidas correctivas adoptadas o previstas;
- los riesgos residuales para los usuarios finales.
El Proveedor también informará al Responsable del despliegue sobre las acciones posteriores a la notificación ante las autoridades competentes».
Señales de alerta:
- El proveedor propone un plazo de notificación superior a 72 horas.
- No se define ningún procedimiento claro para la notificación de incidentes.
- El proveedor se niega a compartir los detalles de los incidentes con el responsable del despliegue.
Derecho de auditoría anual
¿Por qué? El Artículo 26(5) del AI Act obliga a los responsables del despliegue a supervisar la conformidad de los sistemas de IA. Un derecho de auditoría permite verificar que el proveedor cumple con sus obligaciones contractuales y normativas.
Ejemplo de cláusula:
«El Responsable del despliegue o un tercero designado por él tendrá derecho a realizar una auditoría anual del sistema de IA y de su documentación, con el fin de verificar el cumplimiento de las obligaciones previstas en el Reglamento (UE) 2024/1689 y en el presente contrato. Esta auditoría se centrará, en particular, en:
- la conformidad de la documentación técnica;
- la eficacia de las medidas de gestión de riesgos;
- la trazabilidad de los datos y las decisiones;
- los procedimientos de notificación de incidentes.
El Proveedor se compromete a proporcionar toda la información y los accesos necesarios para la realización de esta auditoría, en un plazo razonable. Los resultados de la auditoría se compartirán con el Proveedor, quien dispondrá de un plazo de 30 días para proponer medidas correctivas en caso de incumplimiento».
Señales de alerta:
- El proveedor limita el derecho de auditoría a una frecuencia inferior a una vez al año.
- La auditoría se restringe a ciertos aspectos del sistema, sin acceso completo a la documentación.
- No se prevé ningún plazo para la implementación de medidas correctivas.
Obligaciones de actualización en caso de modificación sustancial
¿Por qué? El Artículo 14 del AI Act obliga a los proveedores a reevaluar la conformidad del sistema en caso de modificación sustancial. El responsable del despliegue debe ser informado y dar su consentimiento antes de cualquier actualización importante.
Ejemplo de cláusula:
«El Proveedor se compromete a notificar al Responsable del despliegue cualquier modificación sustancial del sistema de IA, tal como se define en el Artículo 3(23) del Reglamento (UE) 2024/1689, al menos 30 días antes de su implementación. Esta notificación incluirá:
- una descripción detallada de la modificación;
- una evaluación de su impacto en la conformidad del sistema;
- las medidas correctivas previstas para mantener la conformidad.
El Responsable del despliegue dispondrá de un plazo de 15 días para dar su consentimiento o solicitar modificaciones. En ausencia de respuesta, el Proveedor podrá proceder a la actualización, siempre que respete las obligaciones legales».
Señales de alerta:
- El proveedor se reserva el derecho de modificar el sistema sin notificación previa.
- No se prevé ningún plazo para la notificación de modificaciones sustanciales.
- El proveedor se niega a compartir una evaluación de impacto sobre la conformidad.
Declaración del nivel de riesgo del sistema
¿Por qué? El Artículo 6 del AI Act clasifica los sistemas de IA según su nivel de riesgo. El proveedor debe declarar este nivel y justificar su clasificación, para que el responsable del despliegue pueda adaptar sus medidas de conformidad.
Ejemplo de cláusula:
«El Proveedor declara que el sistema de IA proporcionado se clasifica en la siguiente categoría, conforme al Artículo 6 del Reglamento (UE) 2024/1689:
- [ ] Sistema prohibido (Artículo 5);
- [ ] Sistema de alto riesgo (Anexo III);
- [ ] Sistema de riesgo limitado (Artículo 50);
- [ ] Sistema de riesgo mínimo.
El Proveedor proporcionará una justificación por escrito de esta clasificación, incluyendo un análisis de los criterios definidos en los Artículos 6 y 7 del Reglamento. En caso de desacuerdo sobre la clasificación, las partes se comprometen a solicitar un dictamen del AI Office o de una autoridad competente».
Señales de alerta:
- El proveedor se niega a declarar el nivel de riesgo del sistema.
- No se proporciona ninguna justificación por escrito para la clasificación.
- El proveedor minimiza el nivel de riesgo para evitar obligaciones adicionales.
Conformidad con el marcado CE antes del despliegue
¿Por qué? El Artículo 48 del AI Act obliga a los proveedores de sistemas de IA de alto riesgo a colocar el marcado CE antes de su introducción en el mercado. El responsable del despliegue debe asegurarse de que este marcado es válido y conforme.
Ejemplo de cláusula:
«El Proveedor garantiza que el sistema de IA proporcionado cumple con los requisitos del Reglamento (UE) 2024/1689 y que lleva el marcado CE, colocado conforme al Artículo 48. El Proveedor entregará al Responsable del despliegue, antes de la puesta en servicio del sistema, una copia de la declaración UE de conformidad, tal como se define en el Artículo 47.
En caso de incumplimiento detectado tras el despliegue, el Proveedor se compromete a tomar todas las medidas necesarias para restablecer la conformidad en un plazo máximo de 15 días».
Señales de alerta:
- El proveedor no puede proporcionar la declaración UE de conformidad.
- El marcado CE se coloca sin justificación técnica.
- No se prevé ningún plazo para corregir un incumplimiento.
Conservación de registros conforme al Artículo 12
¿Por qué? El Artículo 12 del AI Act obliga a los proveedores de sistemas de IA de alto riesgo a conservar registros durante al menos 6 meses. Estos registros son esenciales para garantizar la trazabilidad de las decisiones y responder a las solicitudes de las autoridades.
Ejemplo de cláusula:
«El Proveedor se compromete a conservar, durante un período mínimo de 6 meses desde su generación, los registros del sistema de IA, conforme al Artículo 12 del Reglamento (UE) 2024/1689. Estos registros incluirán:
- los datos de entrada y salida del sistema;
- los parámetros de funcionamiento;
- las decisiones o predicciones generadas;
- los posibles errores o anomalías.
El Proveedor garantiza que estos registros están protegidos, son íntegros y accesibles para el Responsable del despliegue a petición, en un formato legible y utilizable».
Señales de alerta:
- El proveedor se niega a conservar los registros durante 6 meses.
- Los registros no son accesibles para el responsable del despliegue o están en un formato no utilizable.
- No se prevén medidas de seguridad para proteger los registros.
Obligaciones de formación de los usuarios (Artículo 4)
¿Por qué? El Artículo 4 del AI Act obliga a los responsables del despliegue a formar a sus usuarios en el uso de los sistemas de IA. El proveedor debe proporcionar los materiales necesarios y, si es posible, ofrecer sesiones de formación.
Ejemplo de cláusula:
«El Proveedor se compromete a proporcionar al Responsable del despliegue los materiales de formación necesarios para permitir a los usuarios finales utilizar el sistema de IA de manera segura y conforme. Estos materiales incluirán:
- un manual de uso detallado;
- guías prácticas para los casos de uso específicos;
- módulos de formación en línea o presenciales, si están disponibles.
El Proveedor también ofrecerá, a petición del Responsable del despliegue, sesiones de formación para los usuarios, facturadas según las tarifas vigentes».
Señales de alerta:
- El proveedor no proporciona ningún material de formación.
- Los materiales de formación son demasiado genéricos y no cubren los casos de uso específicos.
- Las sesiones de formación se facturan a un precio prohibitivo.
Cláusula de rescisión por incumplimiento persistente
¿Por qué? En caso de incumplimiento reiterado por parte del proveedor, el responsable del despliegue debe poder rescindir el contrato sin penalización. Esta cláusula protege al responsable del despliegue frente a los riesgos jurídicos y financieros asociados a un sistema no conforme.
Ejemplo de cláusula:
«En caso de incumplimiento reiterado por parte del Proveedor de sus obligaciones contractuales o legales, en particular en materia de conformidad con el Reglamento (UE) 2024/1689, el Responsable del despliegue tendrá derecho a rescindir el presente contrato con un preaviso de 30 días, sin penalización ni indemnización. Esta rescisión podrá producirse tras dos requerimientos por escrito que no hayan sido atendidos, en los que se especifiquen los incumplimientos constatados.
El Proveedor se compromete a reembolsar al Responsable del despliegue las cantidades abonadas por el período posterior a la rescisión, en su caso».
Señales de alerta:
- El contrato no prevé ninguna cláusula de rescisión por incumplimiento.
- La rescisión está sujeta a penalizaciones financieras elevadas.
- No se prevé ningún preaviso para la rescisión.
Ley aplicable y jurisdicción competente
¿Por qué? En caso de litigio, es esencial definir claramente la ley aplicable y la jurisdicción competente. Esto evita procedimientos largos y costosos en terceros países.
Ejemplo de cláusula:
«El presente contrato se regirá por el derecho español. Cualquier litigio relativo a su interpretación o ejecución se someterá a la jurisdicción exclusiva de los tribunales de Madrid, no obstante la pluralidad de demandados o la llamada en garantía».
Señales de alerta:
- El contrato prevé una ley aplicable extranjera, sin justificación.
- La jurisdicción competente se encuentra en un tercer país, lo que complica los recursos.
- No se prevé ninguna cláusula sobre la ley aplicable o la jurisdicción.
Modelo de cláusula listo para copiar en sus contratos de IA
A continuación, se presenta un modelo de cláusula global que incorpora los requisitos clave del AI Act. Adáptelo a su contexto y hágalo validar por su departamento jurídico.
«El Proveedor garantiza que el sistema de IA proporcionado cumple con los requisitos del Reglamento (UE) 2024/1689, en particular en lo que respecta a:
- la documentación técnica (Anexo IV);
- la gestión de riesgos (Artículo 9);
- la transparencia y la trazabilidad (Artículo 12);
- la notificación de incidentes (Artículo 73);
- el marcado CE y la declaración UE de conformidad (Artículos 47 y 48).
El Proveedor se compromete a:
- entregar al Responsable del despliegue, antes de la puesta en servicio del sistema, una documentación técnica completa y actualizada;
- notificar al Responsable del despliegue cualquier incidente grave en un plazo máximo de 72 horas;
- permitir al Responsable del despliegue realizar una auditoría anual del sistema y de su documentación;
- notificar al Responsable del despliegue cualquier modificación sustancial del sistema al menos 30 días antes de su implementación;
- conservar los registros del sistema durante un período mínimo de 6 meses;
- proporcionar los materiales de formación necesarios para los usuarios finales.
En caso de incumplimiento de estas obligaciones, el Responsable del despliegue tendrá derecho a rescindir el contrato con un preaviso de 30 días, sin penalización. El presente contrato se regirá por el derecho español y cualquier litigio se someterá a la jurisdicción exclusiva de los tribunales de Madrid».
Cómo negociar estas cláusulas con su proveedor
Los proveedores de IA, especialmente los grandes actores, pueden resistirse a incluir estas cláusulas. A continuación, le explicamos cómo convencerles y proteger sus intereses.
1. Anticipe las objeciones comunes
Los proveedores suelen alegar:
- Los secretos industriales: para la documentación técnica, proponga un acuerdo de confidencialidad (NDA) o una versión anonimizada de la información sensible.
- La carga administrativa: para las auditorías, limite su frecuencia a una vez al año y proponga realizarlas en colaboración con el proveedor.
- Los costes adicionales: para las formaciones, negocie un paquete incluido en el contrato o tarifas preferentes.
2. Utilice argumentos comerciales
Destaque:
- La reducción de riesgos: una cláusula de rescisión por incumplimiento protege a ambas partes.
- La diferenciación competitiva: un proveedor conforme al AI Act puede destacar esta conformidad ante sus clientes.
- El acceso a los mercados públicos: la conformidad con el AI Act suele ser un requisito previo para participar en licitaciones europeas.
3. Priorice las cláusulas no negociables
Algunas cláusulas son esenciales y no deben sacrificarse:
- La provisión de la documentación técnica (Anexo IV).
- La notificación de incidentes en un plazo de 72 horas.
- El derecho de auditoría anual.
- La cláusula de rescisión por incumplimiento.
Para las demás cláusulas, esté dispuesto a hacer concesiones, por ejemplo, en la frecuencia de las auditorías o el formato de los registros.
Articulación con el RGPD y otras normativas
Las cláusulas del AI Act deben coordinarse con otras obligaciones legales, en particular el RGPD. A continuación, le explicamos cómo evitar redundancias y contradicciones.
1. Complementariedad con el RGPD
El RGPD ya impone cláusulas contractuales para los encargados del tratamiento (Artículo 28). Estas cláusulas pueden complementarse con los requisitos del AI Act, sin duplicaciones innecesarias. Por ejemplo:
- Notificación de violaciones de datos: el RGPD impone un plazo de 72 horas (Artículo 33), similar al AI Act para los incidentes graves. Una sola cláusula puede cubrir ambas obligaciones.
- Derecho de auditoría: el RGPD ya prevé un derecho de auditoría para los encargados del tratamiento. Simplemente añada los requisitos específicos del AI Act (documentación técnica, gestión de riesgos).
- Conservación de registros: los registros del AI Act pueden servir como prueba para los derechos de las personas (derecho de acceso, derecho a la explicación) previstos por el RGPD.
2. Coordinación con otras normativas sectoriales
Según su sector, pueden aplicarse otras normativas:
- DORA (sector financiero): impone requisitos estrictos en materia de resiliencia operativa, incluyendo la gestión de riesgos relacionados con los sistemas de IA.
- Reglamento sobre dispositivos médicos (MDR): para los sistemas de IA utilizados en salud, los requisitos del AI Act se suman a los del MDR.
- Reglamento sobre servicios digitales (DSA): para las plataformas en línea que utilizan IA, el DSA impone obligaciones adicionales de transparencia.
Para evitar contradicciones, designe a un responsable de cumplimiento normativo dentro de su organización, encargado de coordinar los requisitos del AI Act con las demás normativas aplicables.
¿Son conformes sus contratos de IA con el AI Act?
Identifique en 3 minutos las cláusulas que faltan en sus contratos con los proveedores de IA y reciba un informe personalizado con recomendaciones concretas.
Preguntas frecuentes
Respuestas a las preguntas más comunes sobre las cláusulas contractuales del AI Act.
Si su proveedor se niega a incluir estas cláusulas, evalúe primero su nivel de resistencia. Para las cláusulas esenciales (documentación técnica, notificación de incidentes, derecho de auditoría), insista en su carácter no negociable, invocando las obligaciones legales del AI Act y los riesgos en los que incurre en caso de incumplimiento.
Si el proveedor sigue siendo inflexible, considere:
- Negociar cláusulas alternativas, por ejemplo, limitando el derecho de auditoría a una vez cada dos años.
- Exigir garantías financieras para cubrir los riesgos asociados al incumplimiento.
- Buscar otro proveedor más cooperativo, especialmente si el sistema de IA es crítico para su actividad.
En cualquier caso, documente por escrito las negativas del proveedor y las razones alegadas. Esta documentación puede ser útil en caso de litigio o inspección por parte de las autoridades.
El AI Act impone obligaciones diferentes según el nivel de riesgo del sistema de IA. Para los sistemas que no son de alto riesgo, algunas cláusulas siguen siendo pertinentes, en particular:
- Transparencia: el Artículo 50 obliga a los proveedores de sistemas de IA que no son de alto riesgo a proporcionar información clara sobre sus capacidades y limitaciones. Una cláusula contractual puede formalizar esta obligación.
- Notificación de incidentes: incluso para los sistemas que no son de alto riesgo, se recomienda exigir una notificación de los incidentes graves, aunque solo sea por razones operativas.
- Formación de los usuarios: el Artículo 4 sobre el control de la IA se aplica a todos los sistemas, independientemente de su nivel de riesgo.
Sin embargo, las cláusulas relativas a la documentación técnica (Anexo IV), al marcado CE o a la gestión de riesgos no se aplican a los sistemas que no son de alto riesgo. Adapte sus contratos en consecuencia.
Para verificar el cumplimiento de las obligaciones contractuales por parte de su proveedor, implemente las siguientes medidas:
- Auditorías periódicas: utilice el derecho de auditoría previsto en el contrato para verificar la conformidad de la documentación técnica, los registros y los procedimientos de gestión de riesgos.
- Cuadros de mando de seguimiento: exija al proveedor que le proporcione regularmente indicadores de conformidad, como el número de incidentes notificados o las actualizaciones realizadas en el sistema.
- Pruebas aleatorias: realice pruebas puntuales para verificar la trazabilidad de las decisiones o la eficacia de las medidas de gestión de riesgos.
- Revisión anual del contrato: organice una reunión anual con el proveedor para evaluar el cumplimiento de las obligaciones e identificar áreas de mejora.
En caso de incumplimiento, utilice los mecanismos previstos en el contrato, como los requerimientos o la rescisión por incumplimiento.
Si el proveedor no cumple con su obligación de notificar los incidentes en un plazo de 72 horas, siga este procedimiento:
- Requerimiento: envíe un requerimiento por escrito al proveedor, recordándole sus obligaciones contractuales y legales. Exija una notificación inmediata del incidente y una explicación de las razones del retraso.
- Evaluación de riesgos: en ausencia de notificación, evalúe usted mismo los riesgos asociados al incidente, basándose en la información disponible. Si es necesario, suspenda el uso del sistema para limitar los daños.
- Notificación a las autoridades: si el incidente es grave y el proveedor no lo notifica, usted puede estar obligado a notificarlo a la autoridad competente, conforme al Artículo 73.
- Sanciones contractuales: aplique las sanciones previstas en el contrato, como penalizaciones económicas o la rescisión por incumplimiento.
- Recurso jurídico: si el incumplimiento del proveedor causa un perjuicio a su organización, considere emprender acciones legales para obtener una indemnización.
Documente todas las etapas de este procedimiento para demostrar su diligencia en caso de inspección por parte de las autoridades.
No, el AI Act no permite transferir todas las obligaciones del responsable del despliegue al proveedor. Algunas obligaciones siguen siendo responsabilidad exclusiva del responsable del despliegue, en particular:
- La clasificación del sistema: el responsable del despliegue debe verificar que el sistema está correctamente clasificado por el proveedor y adaptar sus medidas de conformidad en consecuencia.
- La supervisión humana: el Artículo 26(1) obliga al responsable del despliegue a supervisar el uso del sistema de IA, incluso si el proveedor se encarga de su mantenimiento.
- La formación de los usuarios: aunque el proveedor debe proporcionar los materiales de formación, el responsable del despliegue sigue siendo responsable de la formación efectiva de sus equipos.
- La notificación a las autoridades: en caso de incidente grave, el responsable del despliegue puede estar obligado a notificarlo a la autoridad competente, incluso si el proveedor ya ha realizado esta notificación.
El Artículo 26(5) especifica que el responsable del despliegue no puede eximirse de sus obligaciones invocando un contrato con el proveedor. La contractualización permite compartir las responsabilidades, pero no transferirlas por completo.
