Acuerdo de Procesamiento de Datos: DPA para Sistemas de IA B2B

Concepto clave: Un Acuerdo de Procesamiento de Datos (DPA, por sus siglas en inglés) es el contrato obligatorio bajo el GDPR entre un responsable del tratamiento y un encargado del tratamiento que define cómo el encargado puede procesar los datos personales en nombre del responsable.

Qué es un Acuerdo de Procesamiento de Datos

El Artículo 28 del GDPR exige que cuando una organización (el responsable del tratamiento) utiliza los servicios de un tercero (el encargado del tratamiento) para procesar datos personales en su nombre, esta relación debe estar formalizada en un contrato escrito: el Acuerdo de Procesamiento de Datos.

En el contexto de la IA empresarial, prácticamente cualquier proveedor de software de IA que procese datos de clientes, empleados o prospectos actúa como encargado del tratamiento y por tanto debe firmar un DPA con cada cliente.

Por Qué el DPA es Crítico en Proyectos de IA

Los sistemas de IA procesan datos de formas que pueden ser difíciles de anticipar: utilizan los datos de entrada para generar respuestas, pueden registrar conversaciones, pueden usar datos para mejorar los modelos. Sin un DPA claro, el cliente no sabe exactamente qué hace el proveedor con sus datos y el proveedor no tiene límites legalmente vinculantes sobre su uso.

El DPA crea transparencia y accountability: el proveedor está legalmente obligado a usar los datos solo para los fines autorizados por el cliente, implementar las medidas de seguridad acordadas y notificar incidentes de seguridad en los plazos establecidos.

Cláusulas Clave de un DPA para Sistemas de IA

Propósito y Alcance del Tratamiento

Definición precisa de qué datos personales se procesan, con qué finalidad, por cuánto tiempo y qué categorías de interesados están involucradas.

Instrucciones del Responsable

El encargado solo puede procesar los datos según las instrucciones documentadas del responsable. Esto incluye la restricción explícita sobre si el proveedor puede usar los datos del cliente para entrenar o mejorar sus modelos.

Medidas de Seguridad

Especificación de las medidas técnicas y organizativas que el proveedor implementará: cifrado, control de acceso, gestión de vulnerabilidades, planes de continuidad.

Subencargados

Listado de los subprocesadores que el proveedor utiliza (como proveedores de nube) y compromiso de notificar y obtener aprobación antes de añadir nuevos subprocesadores.

Derechos de los Interesados

Obligación del proveedor de asistir al responsable en la respuesta a solicitudes de derechos de los interesados (acceso, rectificación, supresión).

Notificación de Brechas de Seguridad

Plazos (típicamente 24-72 horas) para notificar al responsable cuando se detecta una brecha de seguridad que afecte a los datos personales.

Auditoría

Derecho del responsable (o de un auditor designado) a inspeccionar el cumplimiento de las obligaciones del DPA.

Ejemplo de Aplicación B2B

Una empresa de telecomunicaciones contrata una plataforma de IA para automatizar su atención al cliente. Antes de conectar los datos de sus clientes al sistema, debe firmar un DPA con el proveedor que especifique: que los datos no se usarán para entrenar el modelo base del proveedor, que los datos se eliminarán al terminar el contrato, que el proveedor notificará cualquier brecha en 48 horas y que el proveedor está certificado bajo ISO 27001.

Knowlee proporciona un DPA estándar a todos sus clientes que cubre las obligaciones del Artículo 28 del GDPR y especifica que los datos de los clientes no se utilizan para el entrenamiento de modelos base.

Preguntas Frecuentes

¿Un DPA es lo mismo que una política de privacidad? No. La política de privacidad comunica a los usuarios finales cómo se procesan sus datos. El DPA es un contrato B2B entre el responsable y el encargado del tratamiento que regula la relación entre empresas en el procesamiento de datos de terceros.

¿Qué ocurre si un proveedor de IA se niega a firmar un DPA? Es una señal de alerta importante. Bajo el GDPR, el responsable del tratamiento tiene la obligación de contratar únicamente encargados que ofrezcan garantías suficientes de cumplimiento. Usar un proveedor sin DPA expone al responsable a sanciones.

¿El DPA cubre también el procesamiento fuera de la UE? Debe hacerlo. Cuando el proveedor o sus subprocesadores se encuentran fuera del EEE, el DPA debe incluir o referenciar los mecanismos de transferencia adecuados (cláusulas contractuales tipo, decisiones de adecuación) que legitiman la transferencia.