Requisitos de gobernanza de IA para RFPs de proveedores: el lenguaje contractual que realmente te protege

La mayoría de las adquisiciones empresariales de IA se hacen con plantillas de contratos SaaS que fueron escritas para software, no para IA. Cubren SLAs de disponibilidad, acuerdos de procesamiento de datos y garantías de software. No cubren cambios de comportamiento de modelos, gobernanza de datos de entrenamiento ni qué pasa cuando tu proveedor firma un contrato de defensa.

Cuando OpenAI contrató con el Departamento de Defensa de EE.UU. a principios de 2026, sus clientes empresariales no tenían lenguaje contractual que requiriera notificación, ni ventana de pruebas para evaluar cambios de comportamiento, ni cláusula de salida activada por el cambio estratégico. Eso es una falla de adquisiciones.

La relación con un proveedor de IA es fundamentalmente diferente de la relación con un proveedor de SaaS. Cuando un proveedor de SaaS tiene tiempo de inactividad, tu flujo de trabajo se detiene. Cuando tu proveedor de IA cambia su modelo, tu flujo de trabajo continúa — pero con un comportamiento diferente que puede estar produciendo salidas incorrectas. Puede que no lo notes por semanas.

Aquí hay 8 disposiciones que deberían aparecer en cada acuerdo con proveedores de IA, con lenguaje de ejemplo que puedes adaptar.

1. Estabilidad de versión del modelo y notificación de cambios

La brecha más peligrosa en los contratos actuales de IA es la actualización silenciosa del modelo. Los proveedores de API rutinariamente actualizan modelos sin obligación contractual de notificar a los clientes por adelantado o darles tiempo para probar.

Lenguaje de ejemplo: "El Proveedor proporcionará no menos de [30] días de aviso por escrito antes de realizar cualquier cambio material al sistema de IA que pueda afectar la calidad, comportamiento o características de seguridad de sus salidas. 'Cambio material' incluye cambios a datos de entrenamiento, arquitectura del modelo, filtrado de seguridad, fine-tuning de alineación o parámetros predeterminados de inferencia. El Proveedor mantendrá la versión actual del modelo disponible durante [90] días después de la entrega del aviso de cambio."

La ventana de 30 días te da tiempo para ejecutar tu conjunto de evaluación antes de que el cambio entre en vigor. La ventana de disponibilidad de 90 días te permite revertir si la nueva versión no cumple tus criterios de aceptación.

2. Ventana de pruebas de comportamiento

El aviso solo no es suficiente. Necesitas tiempo para probar el nuevo modelo contra tu carga de trabajo de producción antes de que entre en vigencia.

Lenguaje de ejemplo: "Tras el aviso de cualquier cambio material, el Cliente tendrá una ventana de pruebas de [14] días hábiles durante la cual el Cliente podrá evaluar el sistema de IA actualizado contra sus criterios de aceptación definidos. Si el sistema actualizado no cumple los criterios de aceptación del Cliente, el Cliente podrá: (a) continuar operando en la versión anterior por [60] días adicionales, o (b) terminar el servicio afectado sin penalidad por terminación anticipada."

El derecho de terminación es importante. Si una actualización del modelo rompe tu caso de uso y no puedes revertir indefinidamente, necesitas una salida limpia.

3. Acceso a registros de auditoría

Los sistemas de IA que procesan datos consecuentes deben producir registros de grado de auditoría. Los registros gestionados por el proveedor que no puedes exportar crean brechas de cumplimiento.

Lenguaje de ejemplo: "El Proveedor proporcionará al Cliente registros de auditoría completos y exportables de todas las operaciones del sistema de IA, incluyendo: (a) marca de tiempo de cada solicitud en UTC; (b) versión y configuración del modelo al momento de la solicitud; (c) hash de entrada y salida (no contenido completo, a menos que el Cliente elija registro completo); (d) cualquier evento de revisión o intervención humana; y (e) eventos de salud del sistema y errores. Los registros serán inmutables, a prueba de manipulación y retenidos por [período según regulación aplicable — mínimo 6 años para HIPAA, 10 años para sistemas de alto riesgo del EU AI Act]. Los registros estarán disponibles para exportación en formato estructurado ([JSON/CSV]) dentro de [48] horas de la solicitud."

4. Gobernanza de datos de entrenamiento

Necesitas saber con qué entrenó tu proveedor, y necesitas la garantía de que tus datos no están entrenando su próximo modelo sin tu consentimiento.

Lenguaje de ejemplo: "El Proveedor garantiza que: (a) las entradas, salidas y datos de interacción del Cliente no se usarán para entrenar, ajustar o evaluar ningún modelo de IA sin el consentimiento previo explícito por escrito del Cliente; (b) el Proveedor proporcionará, bajo solicitud, documentación de las principales fuentes de datos usadas para entrenar el sistema de IA, actualizada dentro de [30] días de cualquier cambio material a los datos de entrenamiento; y (c) las prácticas de procesamiento de datos del Proveedor cumplen con todas las regulaciones de protección de datos aplicables incluyendo [GDPR/CCPA/HIPAA según aplique]."

5. Representación de supervisión humana

Para IA usada en toma de decisiones regulada, necesitas saber qué supervisión humana está incorporada — y ser notificado si cambia.

Lenguaje de ejemplo: "El Proveedor divulgará por escrito: (a) todos los mecanismos de revisión humano en el loop incorporados en el sistema de IA, incluyendo umbrales de confianza que activan escalamiento humano y procesos documentados para anulación humana; (b) modos de falla conocidos y limitaciones de precisión por caso de uso y grupo demográfico donde aplique. El Proveedor notificará al Cliente dentro de [30] días de cualquier cambio material a estos mecanismos. El Cliente podrá terminar los servicios afectados sin penalidad dentro de [60] días de dicha notificación si el cambio reduce materialmente las capacidades de supervisión humana representadas al momento de la ejecución del contrato."

6. Divulgación de alineación estratégica

La disposición que más contratos están omitiendo por completo. Las decisiones estratégicas del proveedor — adquisiciones, nuevos segmentos de clientes, contratos gubernamentales — afectan el modelo del que dependes.

Lenguaje de ejemplo: "El Proveedor notificará al Cliente por escrito dentro de [30] días de: (a) cualquier adquisición o fusión con un tercero que afecte materialmente el sistema de IA; (b) cualquier cambio material en los segmentos principales de clientes del Proveedor o casos de uso previstos para el sistema de IA; (c) cualquier contrato o acuerdo con una entidad gubernamental que pueda afectar las prioridades de entrenamiento, calibración de seguridad, disponibilidad de capacidades o precios comerciales del sistema de IA. El Cliente podrá terminar el servicio afectado sin penalidad por terminación anticipada dentro de [60] días de dicha notificación."

Esta es la disposición que habría importado cuando OpenAI firmó con el DoD. Independientemente de si habrías ejercido el derecho de terminación, habrías estado informado y tenido la opción.

7. Notificación de incidentes

Los incidentes de IA — modelo produciendo salidas sistemáticamente incorrectas, exposición de datos, cambios de comportamiento inesperados — requieren notificación rápida.

Lenguaje de ejemplo: "El Proveedor notificará al Cliente dentro de [24] horas de descubrir cualquier incidente que afecte al sistema de IA que: (a) cause o pueda causar que el uso del sistema de IA por parte del Cliente produzca salidas materialmente incorrectas; (b) resulte en acceso no autorizado o divulgación de los datos del Cliente; o (c) cause degradación material en la disponibilidad o precisión del sistema de IA. La notificación incluirá: alcance conocido y naturaleza del impacto, evaluación inicial de causa raíz, acciones de contención inmediatas tomadas y cronograma estimado de resolución. El Proveedor proporcionará un análisis post-incidente por escrito dentro de [10] días hábiles de la resolución."

8. Salida y portabilidad

El bloqueo de proveedor de IA es más doloroso en la salida. Necesitas recuperar tus datos y tus personalizaciones.

Lenguaje de ejemplo: "Al terminar por cualquier razón, el Proveedor, dentro de [30] días: (a) devolverá todos los datos del Cliente en un formato estándar legible por máquina ([JSON/CSV/formato aplicable]); (b) proporcionará documentación de cualquier fine-tuning, personalización o ingeniería de prompts realizada en nombre del Cliente; (c) si el Cliente ha realizado fine-tuning en un modelo base open-source a través de la plataforma o infraestructura del Proveedor, entregará todos los pesos del modelo ajustado al Cliente en un formato abierto compatible con runtimes de inferencia estándar ([GGUF/ONNX/SafeTensors]); y (d) cooperará razonablemente con la migración del Cliente a un sistema alternativo por un período de [90] días después de la terminación."

La disposición de pesos del modelo (c) es crítica si has hecho fine-tuning. Muchas plataformas retienen los pesos ajustados como mecanismo de bloqueo. Esta cláusula los hace tuyos.

Realidad de la negociación

La mayoría de los proveedores de IA empresariales no aceptarán las 8 disposiciones en su forma completa. Esto es lo que debes priorizar:

No negociable: disposiciones 3 (registros de auditoría), 4 (gobernanza de datos de entrenamiento), 7 (notificación de incidentes). Estos son requisitos de cumplimiento en la mayoría de las industrias reguladas.

Negociar fuertemente: disposiciones 1 y 2 (estabilidad de versión y ventana de pruebas). Acepta períodos de aviso más cortos si es necesario (14 días es el mínimo) pero insiste en alguna ventana.

Presionar fuerte en: disposición 6 (divulgación de alineación estratégica). La mayoría de los proveedores resistirán, pero esta es la disposición que realmente te protege de los riesgos a nivel macro.

Aceptar una forma más débil de: disposición 8 (salida y portabilidad). Puede que no recuperes los pesos del modelo para modelos hospedados. Recupera tus datos y obtén cooperación en la migración.

La alternativa de propiedad del modelo

Si haces fine-tuning en modelos open-source y posees los pesos, las disposiciones 1, 2, 5, 6 y 8 se vuelven en gran parte irrelevantes — ya tienes lo que estaban tratando de asegurar mediante contrato. Tu modelo tiene versión fija (tú controlas las actualizaciones), comportamiento estable (tú decides cuándo cambia) y es completamente portable (GGUF funciona en cualquier lugar).

Las disposiciones contractuales anteriores son la postura defensiva para organizaciones que dependen de modelos controlados por proveedores. Los modelos propios son la solución estructural.

Ver precios early bird →

Para industrias reguladas donde aplican ambas opciones — Data Suite para preparación de datos on-premise, Ertas Fine-Tuning SaaS para construir modelos propios — la combinación elimina la mayoría del riesgo de gobernanza de proveedores que estas disposiciones contractuales intentan gestionar.