La irrupción de la inteligencia artificial en la cadena de suministro empresarial es cada vez más clara. Cada día, más compañías adquieren, integran o externalizan soluciones de IA a través de proveedores. También se da que los propios proveedores, al prestar el servicio, utilicen sistemas de IA.
Esta realidad plantea un reto jurídico: cómo garantizar el cumplimiento del Reglamento de IA cuando el riesgo depende de terceros.
Tal y como ocurre en ámbitos relacionados como la protección de datos o la ciberseguridad, el Reglamento de IA pone en el foco la supervisión de la cadena de suministro. Cada organización debe supervisar a sus proveedores y garantizar un nivel adecuado de cumplimiento y buenas prácticas en el uso, desarrollo e implementación de los sistemas de IA regulados.
Principales riesgos en la cadena de suministro de IA
Para poder analizar y mitigar los riesgos que se derivan de la contratación de estas herramientas hay que conocerlos. Entre otros, podemos encontrar:
- Clasificación incorrecta del sistema.
Un proveedor puede comercializar un sistema como una herramienta o funcionalidad estándar cuando en realidad encaja en la categoría de alto riesgo (ej. software de reclutamiento que incluye modelos de IA o sistemas con IA de scoring crediticio). Si la clasificación es errónea, toda la cadena queda en situación de incumplimiento.
- Gobernanza deficiente de datos.
El Reglamento exige que los datasets sean pertinentes, libres de sesgos y legalmente obtenidos. Un proveedor que entrene modelos con datos de origen incierto o sin respetar el RGPD traslada ese riesgo a sus clientes.
- Falta de transparencia.
Los proveedores deben entregar un expediente técnico completo, manuales de uso y advertencias claras sobre limitaciones. Sin esa información, la empresa no puede garantizar la conformidad ni demostrar diligencia en cuanto al uso de la IA.
- Supervisión humana y seguridad insuficientes.
Los sistemas de IA deben incorporar controles de supervisión humana y medidas robustas de ciberseguridad. Un proveedor que no los contemple pone en riesgo tanto la seguridad de los usuarios como la responsabilidad legal del integrador.
- Contratos sin reparto de responsabilidades.
Es habitual que los contratos de licencias o servicios de IA no regulen expresamente obligaciones derivadas del Reglamento de IA. Esto deja a la empresa cliente expuesta a sanciones o litigios por fallos atribuibles al proveedor.
- Transferencias internacionales opacas.
La subcontratación en terceros países con regulaciones laxas en materia de datos y seguridad es un riesgo frecuente. Si no se informa ni se pactan garantías, la empresa europea se expone a incumplimientos graves.
¿Qué deben hacer las empresas?
Para evitar sanciones o reclamaciones derivadas de un mal uso de la IA por parte de nuestros proveedores, debemos acudir, principalmente, a los siguientes métodos de supervisión:
- Realizar Due Diligence reforzadas y exigir evidencias de cumplimiento de la normativa y buenas prácticas.
- Exigir garantías de portabilidad, retorno, conservación y destrucción de la información o resultados en caso de rescisión del contrato.
- Establecer la obligación contractual de que el proveedor notifique cualquier incidente, actualización significativa o cambio en el sistema bajo el Reglamento de IA.
- Solicitar reportes de uso y actualización del sistema tras su comercialización.
- Conservar pruebas de diligencia para acreditar cumplimiento frente a autoridades o clientes.
¿Y qué pasa con los proveedores que usan IA?
Hasta ahora hemos hablado sobre los proveedores que desarrollan o comercializan IA, pero la realidad es que muchos proveedores de servicios tradicionales (consultoría, cloud, RRHH, marketing, etc.) ya usan herramientas de IA de terceros para prestar sus servicios.
Esto abre una segunda capa de riesgos: la empresa no contrata directamente una IA regulada, pero se ve expuesta a sus consecuencias.
Esto podría llevarnos a riesgos como el tratamiento ilícito de datos personales por nuestra cuenta o la falta de responsabilidad clara frente a los daños que pueda producir el sistema a los derechos y libertades de los afectados.
Para ello, pueden implementarse controles como:
- Cláusulas de transparencia tecnológica que regulen la comunicación al cliente del uso de IA.
- Limitación de subcontratación de sistemas IA.
- Notificación de incidentes o incumplimientos relacionados con el servicio que prestan.
- Cláusulas de responsabilidad por el incumplimiento de la normativa o las obligaciones contractuales.
- Revisión humana de los resultados por parte del cliente.
Pero, ante todo, la clave para mitigar estos riesgos reside en combinar controles contractuales, auditorías y procedimientos internos de supervisión de proveedores para garantizar que éstos cumplen con las exigencias de la normativa aplicable a los sistemas de IA y que no se limitan al Reglamento de IA, sino también a otras normativas, tanto transversales como sectoriales.
Nuestro equipo de abogados especializados en derecho digital pueden ayudarte con las dudas legales que surjan en tu empresa. Contacta con ellos aquí.
Abogada en el área de Protección de Datos y Derecho Digital
