Contrato con proveedor IA: guía para pymes
Aprende a redactar un contrato con un proveedor de IA que proteja tu pyme: DPA, cláusula de deprecación, residencia de datos y salida.
Resumen rápido
La mayoría de pymes firma contratos con proveedores IA sin leer las cláusulas que importan. Este artículo cubre las 5 secciones que debes negociar antes de firmar: DPA, deprecación de modelo, residencia de datos, opt-out de entrenamiento y salida limpia.
Contrato con proveedor IA: guía para pymes
La mayoría de pymes firma contratos con proveedores IA sin leer las cláusulas que importan. Antes de hacer clic en “Acepto”, hay cinco secciones que determinan si tu empresa queda expuesta ante una brecha de datos, un cambio de modelo sin aviso o una migración que el proveedor no facilita. Este artículo cubre exactamente esas cinco secciones: DPA, deprecación de modelo, residencia de datos, opt-out de entrenamiento y salida limpia. Si operas en México, Colombia o España, encontrarás además las implicaciones legales específicas para cada mercado.
Por qué el contrato estándar del proveedor no te protege
Cuando una pyme contrata un servicio IA, el proveedor entrega sus propios términos. Esos términos están redactados por abogados que trabajan para el proveedor, no para ti.
Los contratos estándar de herramientas como OpenAI, Cohere o cualquier SaaS de automatización son funcionales para el proveedor: limitan su responsabilidad, se reservan el derecho a cambiar precios y, en muchos casos, no distinguen entre un cliente individual y una empresa que procesa datos de 50.000 clientes.
El problema no es que sean ilegales. Es que son insuficientes para una pyme que depende operativamente de esa herramienta.
Además, el ritmo de cambio en el ecosistema IA es más rápido que en cualquier otro segmento SaaS. Los modelos se deprecan, los precios se ajustan, las políticas de uso se reescriben. Sin cláusulas negociadas, tu empresa absorbe todos esos cambios sin palancas de protección.
Lo que sigue es una guía práctica para cada una de las cinco cláusulas críticas. Al final encontrarás una tabla estructurada con los elementos mínimos de un MSA modelo y una sección de preguntas frecuentes para los casos más comunes.
Las 5 cláusulas que debes negociar antes de firmar
1. Data Processing Agreement (DPA)
El DPA es el documento que define la relación entre tú como “controlador” de datos y el proveedor como “procesador”. Sin un DPA firmado, técnicamente el proveedor puede argumentar que actúa como controlador independiente y tomar decisiones sobre tus datos sin consultarte.
Un DPA mínimo debe cubrir: propósito del procesamiento, categorías de datos, duración, obligaciones de seguridad y qué pasa al terminar el contrato.
Si operas en España, el DPA es obligatorio bajo GDPR para cualquier proveedor que procese datos de tus clientes europeos. Si estás en México, la LFPDPPP no exige el nombre “DPA” pero sí un contrato de confidencialidad y los mismos compromisos de fondo. En Colombia, la Ley 1581 requiere contratos de transmisión de datos con cláusulas equivalentes.
Pide el DPA estándar del proveedor y compáralo contra una plantilla base. Si el proveedor no tiene ningún documento de este tipo disponible, esa ausencia es una señal de alerta sobre la madurez de su programa de cumplimiento.
Un elemento que muchas pymes omiten en el DPA es la lista de subprocesadores. Si el proveedor usa infraestructura de terceros (por ejemplo, modelos alojados en AWS, almacenamiento en Google Cloud o procesamiento de voz en un vendor especializado), todos esos subprocesadores deben estar listados. Cuando uno cambia, debes recibir notificación previa con tiempo suficiente para objetar.
2. Cláusula de deprecación de modelo
Aquí está uno de los riesgos más subestimados en contratos IA: el modelo que evaluaste y que pasó tu proceso de validación puede desaparecer o cambiar sin que nadie te avise formalmente.
OpenAI deprecó GPT-3.5-turbo en múltiples versiones entre 2023 y 2025. Anthropic retiró Claude 2 con 30 días de aviso en algunos contratos API. Si tu flujo de automatización dependía de un comportamiento específico de ese modelo, ese cambio rompe producción.
Una cláusula de deprecación bien redactada debe incluir: notificación mínima de 90 días antes de deprecar cualquier versión de modelo que el cliente use activamente, un periodo de operación paralela donde ambas versiones funcionen, y acceso documental al changelog de comportamiento del nuevo modelo.
Si el proveedor dice que no puede comprometerse a 90 días, exige al menos 60 y que la notificación llegue por correo a un contacto técnico designado, no solo a través de un blog o changelog público.
Incluye también una cláusula de regresión de evaluación: si el nuevo modelo produce outputs materialmente distintos a los del modelo original, tienes derecho a un periodo de prueba sin costo antes de que el cambio sea definitivo para tu cuenta. Esto es especialmente relevante si usas el modelo en flujos de decisión automatizados, como scoring de clientes o clasificación de documentos.
3. Residencia y transferencia de datos
La pregunta no es solo dónde están los servidores. La pregunta es: bajo qué jurisdicción se procesa la información de tus clientes y qué ley aplica si hay una brecha.
Para empresas en España: el GDPR prohíbe transferir datos personales fuera del Espacio Económico Europeo sin mecanismos de garantía. Las Standard Contractual Clauses (SCCs) son el mecanismo más común. Verifica que el proveedor las incluya o que opere desde infraestructura certificada en la UE.
Para México y Colombia: la restricción no es geográfica sino contractual. Necesitas que el proveedor garantice por escrito los mismos estándares de seguridad que aplicarías localmente, incluyendo cifrado en tránsito y en reposo, y notificación de brechas en máximo 72 horas.
Pide al proveedor un mapa de flujo de datos: qué datos entran, dónde se procesan, qué subprocesadores usan (por ejemplo, si usan AWS us-east-1 o Azure West Europe), y si esos subprocesadores están listados en el contrato.
Un mapa de flujo de datos no es un documento complejo. Puede ser un diagrama de una página o incluso una tabla. Lo importante es que sea parte del contrato como anexo vinculante, no un documento de marketing en el sitio del proveedor. Si el proveedor actualiza su infraestructura sin actualizar ese anexo, tienes base contractual para exigir notificación o incluso terminar el contrato sin penalidad.
4. Opt-out de entrenamiento
Este punto genera más confusión que cualquier otro. La mayoría de proveedores entrenan sus modelos con datos de usuarios en su tier gratuito o básico. Los tiers enterprise generalmente tienen opt-out, pero hay que pedirlo explícitamente.
No basta con la política de privacidad. La política puede cambiar. Lo que protege es el contrato.
El lenguaje que buscas: “El proveedor no utilizará los datos del cliente, incluyendo inputs, outputs y metadatos de uso, para entrenar, afinar o mejorar modelos de forma alguna, a menos que el cliente otorgue consentimiento expreso por escrito para cada caso específico.”
Si el proveedor tiene “mejoras de servicio” como excepción, negocia que esa excepción sea solo sobre datos agregados y anonimizados, y que no aplique a contenido identificable de tus clientes.
Hay un caso especial que pocas pymes anticipan: los logs de errores y trazas de depuración. Algunos proveedores incluyen esos datos en sus programas de mejora de producto. Si tus prompts o respuestas aparecen en logs de errores, también deben estar cubiertos por el opt-out. Pide que el lenguaje contractual incluya explícitamente logs, metadatos de sesión y datos de telemetría de uso, no solo el contenido de las conversaciones.
5. Cláusula de salida
La cláusula de salida define qué pasa cuando decides cambiar de proveedor o cuando el proveedor cierra. Muchas pymes descubren esta necesidad tarde: cuando quieren migrar y el proveedor retiene datos o cobra por la exportación.
Una cláusula de salida completa debe especificar: 30 días mínimos para exportar todos tus datos tras cancelar el contrato, el formato de entrega (CSV, JSON, SQL dump, API con paginación completa), la destrucción certificada de copias en los sistemas del proveedor dentro de 90 días, y una penalidad contractual si el proveedor incumple.
También incluye qué pasa con los modelos fine-tuned sobre tus datos: son tuyos, los destruyen, o tienes derecho a exportar los pesos del modelo. Eso debe quedar escrito.
Agrega además una cláusula de continuidad de servicio durante el periodo de salida. Si cancelas el contrato y el proveedor corta acceso de inmediato, pierdes la capacidad de exportar tus datos. La cláusula debe garantizar acceso de solo lectura durante el periodo de exportación acordado, incluso si el contrato comercial ya terminó.
Estructura de un MSA modelo para proveedores IA
Un Master Service Agreement (MSA) con un proveedor IA debe tener al menos estas secciones ordenadas:
| Sección | Contenido mínimo |
|---|---|
| Definiciones | Datos del cliente, modelo IA, subprocesador, incidente de seguridad |
| Alcance del servicio | Modelos específicos, versiones, SLA de disponibilidad |
| DPA (anexo) | Base legal, propósito, transferencias, subprocesadores |
| Propiedad intelectual | Quién posee outputs, modelos fine-tuned, datos de uso |
| Confidencialidad | Obligaciones mutuas, duración post-contrato |
| Deprecación | Plazos de aviso, periodo de migración |
| Opt-out de entrenamiento | Lenguaje explícito, alcance, excepciones |
| Terminación y salida | Exportación, destrucción, formatos, penalidades |
| Limitación de responsabilidad | Caps, exclusiones, indemnización |
| Ley aplicable y jurisdicción | País, tribunal arbitral si aplica |
No todos los proveedores pequeños negocian un MSA completo. Si el proveedor no tiene capacidad legal para firmar uno, ese es un dato sobre el nivel de madurez del proveedor y debes pesarlo en tu decisión de compra.
Cómo priorizar si no puedes negociar todo
En un escenario ideal negocias las cinco cláusulas antes de firmar. En la práctica, algunos proveedores tienen poca flexibilidad contractual o ciclos de venta cortos que no dan tiempo para una revisión legal profunda.
Si tienes que priorizar, el orden recomendado es: primero el DPA (es el que mayor exposición legal crea si algo sale mal), segundo el opt-out de entrenamiento (porque es difícil de revertir después de que los datos ya fueron usados), tercero la cláusula de salida (porque protege tu capacidad de migrar sin costos ocultos).
La deprecación y la residencia de datos son importantes, pero tienden a ser más negociables o tienen alternativas: para deprecación puedes monitorear changelogs activamente como medida temporal; para residencia, muchos proveedores tienen regiones de despliegue opcionales que puedes seleccionar en su panel.
Lo que no tiene alternativa técnica es la propiedad de tus datos una vez que el proveedor los usó para entrenar. Por eso el opt-out va en segundo lugar.
Señales de alerta en un proveedor IA antes de firmar
Más allá de las cláusulas específicas, hay señales de comportamiento del proveedor durante el proceso de venta que predicen problemas contractuales posteriores. Estas son las más comunes.
El proveedor no tiene un DPA estándar disponible o lo llaman “política de privacidad para empresas”. Son documentos distintos con implicaciones legales distintas.
El equipo de ventas no puede conectarte con un contacto legal o de cumplimiento cuando lo solicitas. En proveedores con más de 50 empleados, esto es una bandera roja.
Los términos de servicio se actualizan sin notificación a clientes existentes y sin periodo de gracia para aceptar o rechazar los cambios.
No existe un canal formal de reporte de incidentes de seguridad o el tiempo de respuesta comprometido supera las 72 horas.
El contrato incluye cláusulas unilaterales de modificación de precio sin límite porcentual y sin preaviso mínimo de 60 días.
Ninguna de estas señales es, por sí sola, razón suficiente para no contratar. Pero si encuentras tres o más en el mismo proveedor, el riesgo operativo y legal para tu pyme es real y debes documentarlo antes de avanzar.
Conclusión
Firmar los términos por defecto de un proveedor IA es una decisión que parece sin consecuencias hasta que algo sale mal: una brecha, un modelo que cambia sin aviso, o una migración que el proveedor no facilita. Las cinco cláusulas cubiertas en este artículo no son teoría legal. Son los puntos que operadores en Series A y pymes con más de 1.000 clientes aprenden a negociar después de su primer problema. Úsalas antes, no después.
El esfuerzo de negociar estas cláusulas antes de firmar es, en la mayoría de los casos, menor de cuatro horas de trabajo legal. El costo de no haberlas negociado puede ser semanas de migración forzada, multas regulatorias o pérdida de datos de clientes que no puedes recuperar.
Preguntas frecuentes
¿Qué es un DPA y por qué lo necesito con mi proveedor IA? Un Data Processing Agreement define quién controla tus datos, cómo se procesan y bajo qué base legal. Sin él, el proveedor puede usar tus datos según sus propios términos, sin obligaciones claras hacia ti.
¿Puedo negociar que mi proveedor IA no use mis datos para entrenar modelos? Sí. La mayoría de proveedores empresariales ofrecen un opt-out explícito. Debes solicitarlo por escrito y verificar que el contrato lo refleje, no solo la política de privacidad, que puede cambiar unilateralmente.
¿Qué pasa si el proveedor depreca el modelo que uso? Sin cláusula de deprecación, puedes quedarte sin aviso previo o con un modelo distinto al que evaluaste. Una cláusula estándar exige mínimo 90 días de notificación y un periodo de migración con ambas versiones activas.
¿Dónde deben residir los datos si opero en México, Colombia o España? México y Colombia tienen leyes de protección de datos (LFPDPPP y Ley 1581) que no exigen residencia local estricta, pero sí mecanismos de transferencia segura. España aplica GDPR, que restringe transferencias fuera del EEE sin garantías como las SCCs.
¿Qué incluye una cláusula de salida bien redactada? Plazo de exportación de datos (mínimo 30 días), formato de entrega (CSV, JSON, API), destrucción certificada de copias en el proveedor, continuidad de acceso de solo lectura durante el periodo de exportación, y penalidad contractual si el proveedor incumple alguno de estos compromisos.
Preguntas frecuentes
- ¿Qué es un DPA y por qué lo necesito con mi proveedor IA?
- Un Data Processing Agreement define quién controla tus datos, cómo se procesan y bajo qué base legal. Sin él, el proveedor puede usar tus datos según sus propios términos.
- ¿Puedo negociar que mi proveedor IA no use mis datos para entrenar modelos?
- Sí. La mayoría de proveedores empresariales ofrecen un opt-out explícito. Debes solicitarlo por escrito y verificar que el contrato lo refleje, no solo la política de privacidad.
- ¿Qué pasa si el proveedor depreca el modelo que uso?
- Sin cláusula de deprecación, puedes quedarte sin aviso previo o con un modelo distinto al que evaluaste. Una cláusula estándar exige mínimo 90 días de notificación y un periodo de migración.
- ¿Dónde deben residir los datos si opero en México, Colombia o España?
- México y Colombia tienen leyes de protección de datos (LFPDPPP y Ley 1581) que no exigen residencia local estricta, pero sí mecanismos de transferencia segura. España aplica GDPR, que sí restringe transferencias fuera del EEE sin garantías.
- ¿Qué incluye una cláusula de salida bien redactada?
- Plazo de exportación de datos (mínimo 30 días), formato de entrega (CSV, JSON, API), destrucción certificada de copias en el proveedor y penalidad si no cumple.
Referencias
IA, low-code y automatización para equipos en LatAm y España.
Ver artículos →Si quieres implementar esto en tu empresa, Kreante construye sistemas de low-code e IA para equipos en LatAm y España. Ofrecen una auditoría gratuita para proyectos cualificados.