Do I need a DPA with every AI vendor?

Under GDPR Article 28, you must have a Data Processing Agreement with every third party that processes personal data on your behalf, which includes AI vendors who process personal data as part of their service. This applies regardless of whether the vendor is based in the EU. If the vendor is processing personal data in a country without an EU adequacy decision, you also need to ensure appropriate transfer mechanisms are in place, such as Standard Contractual Clauses. For AI vendors specifically, the DPA must address the risk that personal data could be used to train AI models, a risk not present in traditional SaaS vendor relationships.

Can AI vendors use my data to train their models?

By default, many consumer-facing AI services include terms that permit use of your inputs to improve their models. Enterprise and API tiers of major AI platforms typically offer no-training commitments, but you must confirm this in writing and have it reflected in the DPA. Under GDPR, using personal data to train AI models without an appropriate legal basis and data subject consent is likely unlawful. Your DPA should include an explicit clause prohibiting the vendor from using your data (including prompts and outputs) for model training, product improvement, or any purpose other than delivering the contracted service.

What should I check in an AI vendor's sub-processor list?

AI vendors typically use multiple sub-processors: cloud infrastructure providers (AWS, Azure, GCP), model hosting providers, and specialist AI compute providers. When reviewing the sub-processor list, check: whether all sub-processors are identified by name and jurisdiction; whether any are located in countries without EU adequacy decisions (requiring SCCs or BCRs); whether the vendor commits to notifying you before adding new sub-processors; and whether you have the right to object to new sub-processors. Pay particular attention to sub-processors in the US, as data transfers from the EU require reliance on the EU-US Data Privacy Framework or SCCs.

What is the 72-hour breach notification requirement?

Under GDPR Article 33, data controllers must notify their supervisory authority of a personal data breach within 72 hours of becoming aware of it. This means your DPA with AI vendors must require the vendor (as data processor) to notify you of any breach without undue delay and within a timeframe that allows you to meet your 72-hour regulatory obligation. In practice, DPAs should require vendor notification within 24 hours of a breach being identified, allowing you time to assess, document, and notify regulators within the 72-hour window. The DPA should also specify the content of the breach notification, the point of contact, and the vendor's obligation to cooperate with your regulatory notification process.

Prueba gratuita de 90 días para descubrir riesgos de IA generativa -90 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita

Acuerdo de tratamiento de datos de IA
Plantilla

Una plantilla de DPA lista para usar, adaptada a los proveedores de IA y de machine learning. Cubre las condiciones de tratamiento de datos, los subencargados, las transferencias transfronterizas, la notificación de brechas y las cláusulas de cumplimiento del RGPD/CCPA.

Descargar plantilla Solicitar una demo

0 secciones

cobertura completa del DPA

RGPD art. 0

estructura conforme

Específico de IA

cláusula de no entrenamiento incluida

Gratis

para usar y personalizar

Por qué los DPA estándar se quedan cortos para los proveedores de IA

La mayoría de las organizaciones usan una plantilla de DPA genérica para todos los proveedores SaaS. Los proveedores de IA presentan riesgos de protección de datos que los DPA genéricos no abordan, en particular el riesgo de que sus datos se utilicen para entrenar modelos de IA. Sin cláusulas específicas de IA, no puede demostrar el cumplimiento del RGPD al implantar herramientas de IA que tratan datos personales.

RGPD

Exige DPA con todos los encargados del tratamiento

El artículo 28 obliga a un contrato escrito con cada encargado. Sin DPA no hay base jurídica para la relación de tratamiento.

Riesgo de IA

Las cláusulas de entrenamiento de modelos figuran en la mayoría de las condiciones estándar de los proveedores

Muchos proveedores de IA incluyen en sus condiciones estándar el derecho a entrenar con los datos del cliente. Debe negociar expresamente su eliminación.

72 h

El plazo de notificación de brechas es ajustado

Las obligaciones de notificación de brechas del proveedor deben fijarse en 24 horas para darle tiempo a cumplir su plazo regulatorio de 72 horas.

Subenc.

Los proveedores de IA usan muchos subencargados

Los servicios de IA se apoyan en múltiples subencargados de infraestructura, cómputo y alojamiento de modelos, cada uno una posible responsabilidad si no está cubierto.

La plantilla de DPA

Despliegue cada sección para ver las cláusulas de la plantilla. Haga que su asesor jurídico la revise y personalice antes de su firma. Nota: esto es una plantilla, no asesoramiento jurídico.

El presente acuerdo de tratamiento de datos («Acuerdo») forma parte del acuerdo marco de servicios entre [Nombre del responsable del tratamiento] («Responsable del tratamiento») y [Nombre del encargado/proveedor] («Encargado del tratamiento»).

Objeto

El Encargado del tratamiento tratará datos personales por cuenta del Responsable del tratamiento con el fin de prestar [describir el servicio de IA, p. ej. análisis de documentos con IA, asistencia de redacción con IA, generación de código con IA] tal como se define en el acuerdo marco de servicios.

Naturaleza del tratamiento

Las actividades de tratamiento pueden incluir la recogida, el almacenamiento, el análisis, la estructuración, la recuperación, el uso, la divulgación y la supresión de datos personales necesarios para prestar los servicios contratados. El tratamiento se realizará exclusivamente de forma automatizada, salvo acuerdo escrito en contrario.

Categorías de interesados

[p. ej. empleados y contratistas del Responsable del tratamiento; clientes y posibles clientes del Responsable del tratamiento; usuarios finales de los productos del Responsable del tratamiento, personalizar según corresponda]

Categorías de datos personales

[p. ej. nombres, direcciones de correo, cargos, comunicaciones profesionales, contenido de documentos, datos de uso, personalizar según los flujos de datos reales. Especifique por separado si se tratan datos de categorías especiales conforme al artículo 9 del RGPD]

Duración del tratamiento

El tratamiento continuará durante la vigencia del acuerdo marco de servicios y hasta que todos los datos personales se devuelvan o supriman conforme a la Sección 6 del presente Acuerdo.

Importante: cláusula específica de IA, el Encargado del tratamiento no utilizará los datos personales, los prompts ni las salidas del Responsable del tratamiento para entrenar, afinar ni mejorar sus modelos de IA ni ningún modelo de IA de terceros. El tratamiento se limitará exclusivamente a la prestación de los servicios contratados.

Descargar la plantilla de DPA completa

Cómo negociar un DPA con un proveedor de IA

Siga estos pasos para revisar, negociar y suscribir un DPA con sus proveedores de IA. Involucre a su asesor jurídico y a su DPO durante todo el proceso.

Mapee los flujos de datos antes de revisar el DPA

Antes de poder revisar un DPA, mapee exactamente qué datos personales fluirán al proveedor de IA, con qué finalidad, sobre qué base jurídica y si los datos saldrán de su jurisdicción. Sin esto, no puede determinar qué cláusulas son críticas para su caso de uso específico.

Identifique y elimine las cláusulas de entrenamiento de modelos de IA

Revise el DPA estándar del proveedor en busca de cláusulas que permitan usar sus datos para entrenar modelos de IA. Este es el riesgo específico de IA más habitual en los DPA de proveedores. Exija un compromiso escrito explícito de que sus datos no se usarán para entrenamiento de modelos, afinamiento o mejora de productos.

Negocie la lista de subencargados y las disposiciones de transferencia

Los proveedores de IA suelen recurrir a múltiples subencargados para el alojamiento de modelos y el cómputo. Asegúrese de que el DPA incluya una lista completa de subencargados, un aviso previo de 30 días sobre cambios, su derecho a oponerse y mecanismos de transferencia adecuados (SCC o decisiones de adecuación) para todo tratamiento transfronterizo.

Verifique las certificaciones de seguridad y los derechos de auditoría

Solicite el certificado ISO 27001 y el informe SOC 2 Type II del proveedor antes de firmar. Asegúrese de que el DPA incluya su derecho a auditar el cumplimiento y la obligación de cooperación del proveedor. Un DPA sin derechos de auditoría es difícil de hacer cumplir.

Haga seguimiento de los DPA en su registro de proveedores de IA

Registre el DPA suscrito en su registro de proveedores de IA con la fecha de entrada en vigor, la fecha de revisión anual y el contacto para la notificación de brechas. Configure recordatorios para las revisiones anuales, las listas de subencargados y las condiciones de los proveedores de IA cambian con frecuencia. No mantener los DPA actualizados es un hallazgo habitual en las auditorías del RGPD.

FAQ

Preguntas frecuentes

Conforme al artículo 28 del RGPD, debe tener un acuerdo de tratamiento de datos con cada tercero que trate datos personales por cuenta suya, lo que incluye a los proveedores de IA que tratan datos personales como parte de su servicio. Esto se aplica con independencia de que el proveedor tenga su sede en la UE. Si el proveedor trata datos personales en un país sin decisión de adecuación de la UE, también debe asegurarse de que existan mecanismos de transferencia adecuados, como las cláusulas contractuales tipo. Para los proveedores de IA en particular, el DPA debe abordar el riesgo de que los datos personales puedan utilizarse para entrenar modelos de IA, un riesgo ausente en las relaciones tradicionales con proveedores SaaS.

Empezar

Haga seguimiento del estado de los DPA en todos sus proveedores de IA

Aona mantiene un registro de proveedores en vivo que hace seguimiento de qué herramientas de IA han suscrito DPA, cuáles están pendientes de revisión y cuáles están marcadas para renovación. Obtenga visibilidad completa de la postura de cumplimiento de sus proveedores de IA sin el mantenimiento de una hoja de cálculo.

Solicitar una demo

Recursos relacionados

Plataforma Aona AI Cuestionario de seguridad de proveedores de IA Política de uso aceptable de la IA Análisis de brechas de ISO 42001 Todas las plantillas

Acuerdo de tratamiento de datos de IAPlantilla

Haga seguimiento del estado de los DPA en todos sus proveedores de IA

Acuerdo de tratamiento de datos de IA
Plantilla