Cumplimiento y ética

DPA con cláusulas IA

Un DPA (Data Processing Agreement, contrato de tratamiento) es el documento RGPD que regula la relación entre responsable y encargado del tratamiento. En el contexto de IA, debe incluir cláusulas específicas: uso de prompts para entrenamiento, retención de datos, ubicación de procesamiento, sub-encargados, base legal, y derechos del interesado.

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

Cualquier proveedor IA que procese datos personales por cuenta de tu empresa es un "encargado del tratamiento" bajo RGPD y exige DPA. La novedad con IA es que aparecen aspectos que el DPA estándar no cubría bien. Las cláusulas IA-aware que conviene exigir hoy: (1) Cláusula de no-entrenamiento: el proveedor confirma que no usa los prompts, inputs ni outputs de la cuenta para entrenar modelos, ni propios ni de terceros. Anthropic, OpenAI, Google y Microsoft incluyen esta cláusula en planes empresariales y team. (2) Retención de logs: cuánto tiempo conserva las interacciones (cero, 30 días, configurable) y para qué (debug, abuse detection, ninguna). (3) Geo de procesamiento: en qué región se procesan los datos (EU, US, multirregión). Para datos sensibles, exigir EU. (4) Sub-encargados: lista de sub-encargados (cloud providers, monitorización, etc.) y compromiso de informar de cambios. (5) Derechos del interesado: cómo se ejecuta acceso, rectificación, oposición y supresión cuando los datos pueden estar en logs o caches. (6) Notificación de incidentes: plazo y canal. (7) Auditoría: derecho del responsable a auditar al encargado en plazo razonable.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa, exigir un DPA con cláusulas IA es la diferencia entre delegar bien y exponerse a sanciones. La AEPD ha sancionado a empresas españolas por no tener DPA correcto con sus proveedores cloud; las inspecciones futuras sobre IA aplicarán el mismo criterio. La regla práctica: para cualquier proveedor IA con datos personales, DPA actualizado a versión 2024 o posterior; revisar si las plantillas estándar del proveedor incluyen las cláusulas IA listadas o exigir adendas; consultar el DPA antes de despliegue, no después. La adenda "AI Schedule" de Microsoft, Google Workspace AI o Anthropic Enterprise son buenos ejemplos del estado del arte.

Ejemplo concreto

Caso real

Una pyme jurídica de Madrid contrató en 2024 un servicio comercial de IA generativa para redacción de borradores. Firmaron el DPA estándar del proveedor sin leer detalladamente. En 2026, durante una auditoría de cumplimiento, descubrieron que ese DPA permitía al proveedor usar las consultas para "mejora del servicio", lenguaje ambiguo que en la práctica significaba entrenamiento. Datos sensibles de clientes habían pasado durante 18 meses por el proveedor con esa cláusula. Renegociaron el contrato (consiguieron cambiar a plan Enterprise sin entrenamiento) y notificaron a sus clientes la incidencia. Coste: ~12.000 € en abogados, conversación incómoda con clientes, una reclamación AEPD aún pendiente. Lección: leer todos los DPAs antes de despliegue.