Ir al contenido principal

Revisión de contratos (para SGIA)

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 42001: A.8.5, A.10.2

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a verificar que los contratos que uses y mantengas con tus colaboradores, clientes y proveedores involucrados en tu Sistema de Gestión de Inteligencia Artificial (SGIA) incluyan todas las obligaciones y responsabilidades pertinentes de cada una de las partes, y cumplan con los requisitos normativos.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad solo debes compartir por medio de la plataforma Hackmetrix, los contratos "base", "tipo" o plantilla que manejes con estas partes interesadas como lo son tus colaboradores, clientes y proveedores. El objetivo de esto es que nuestro equipo pueda revisar que cuenten con todas las cláusulas o anexos adecuados para cumplir los requisitos normativos.

💡 Si la empresa no es la encargada de entregar estos contratos, sino que los proveedores se los proporcionan a ustedes o si el servicio se contrata a través de aceptación de términos y condiciones, será muy importante que te asegures también que estén alineados a tus requisitos y necesidades dentro del SGIA.

Ahora bien, los aspectos básicos y más importantes a revisar dentro de un contrato y que son lo más recomendados por las buenas prácticas de seguridad de la información son los siguientes:

  • Que tengan acuerdos, anexos o cláusulas de confidencialidad adecuadas. Preferentemente también la duración de dichos acuerdos, ya que incluso terminada la relación contractual, las responsabilidades de protección de la información y confidencialidad deberían seguir vigentes por un periodo de tiempo establecido.

  • Los procedimientos a llevar a cabo en caso de incumplimientos por alguna de las partes, o por término de contrato.

  • Las responsabilidades de seguridad de cada una de las partes en cuánto al reporte de incidentes, la gestión de la información, de los dispositivos, las credenciales o cualquier otro activo otorgado.

  • Los lineamientos del uso adecuado y permitido de la información y en este caso, también del sistema de IA, durante y después de la relación contractual.

  • La definición del derecho de auditoría, es decir si le permitirás al cliente o proveedor auditar tus procesos o servicios, o si ellos te permiten auditarlos.

  • Las responsabilidades asociadas sobre la propiedad intelectual y los derechos de autor.

  • Las medidas de seguridad aplicadas para el tratamiento y la protección de los datos personales.

Pero adicional a ello, para cumplir los lineamientos en cuanto al uso y/o desarrollo responsable de sistemas inteligencia artificial, recomendamos que estos contratos y/o términos y condiciones también incluyan los siguientes aspectos:

  • Responsabilidades y funciones del sistema de inteligencia artificial durante todo su ciclo de vida, como por ejemplo:

    • Distribución de las responsabilidades asignadas a la propia organización (proporción de datos, algoritmos, modelos, desarrollo, etcétera).

    • Distribución de las responsabilidades de socios (si aplica).

    • Distribución de las responsabilidades de proveedores.

    • Distribución de las responsabilidades de los clientes y/o usuarios del sistema de IA.

  • Directrices sobre el uso correcto, ético y responsable de la IA.

    • La ISO 42001 incluso requiere que la organización documente previamente cuál es el uso provisto que se le debe dar a sus sistemas de IA, de manera que los usuarios conozcan el contexto, limitaciones y todas las características relevantes del sistema.

  • Responsabilidades relacionadas al procesamiento y tratamiento de datos personales.

Con estos puntos ya podrás contar con respaldos contractuales sólidos para la implementación de tu SGIA. Pero de igual manera, recomendamos ampliamente revisar estos documentos con tu área legal, abogados o departamento equivalente dentro tu organización.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final de alguno de los contratos en versión PDF (no editable).

Recomendaciones ✅

  • Pide ayuda al área de Recursos Humanos, Legal o aquella que vea estos asuntos dentro de tu empresa. Además, sugerimos también involucrar al área de Desarrollo y/o Tecnología para abordar y entender correctamente los temas que puedan ser más técnicos dentro de estos acuerdos.

  • Solicita la firma de los acuerdos de confidencialidad antes de otorgar acceso a cualquier tipo de activo o información.

  • Notifica con anticipación las responsabilidades y derechos legales con los que cuentan las partes involucradas en dicho contrato y/o acuerdo.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
42. Validar requisitos de SI en contratos con empleados y proveedores
Política de SGIA
Descriptivo de roles y responsabilidades del SGIA
Procedimiento de Revisión y Contratación de Proveedores (SGIA)
Validar requisitos de SI en contratos con empleados y proveedores
¿Ha quedado contestada tu pregunta?