Actualización de las cláusulas contractuales modelo de IA

La Comisión Europea ha publicado en febrero de 2025 una nueva versión de las cláusulas contractuales modelo («Model Contractual Clauses o MCC-AI») destinadas a regular la contratación pública de sistemas de inteligencia artificial («IA»). Esta revisión, responde a la necesidad de armonizar las obligaciones contractuales con el marco regulatorio del Reglamento Europeo de Inteligencia Artificial («RIA» o «AI Act»), adoptando un enfoque diferenciado según el nivel de riesgo del sistema adjudicado. Por ello, se han desarrollado dos documentos paralelos: uno para sistemas de alto riesgo («MCC-AI-High-Risk») y otro para sistemas de riesgo no alto («MCC-AI-Light»).

Un elemento central de estas cláusulas es el conjunto de obligaciones en materia de gobernanza de datos. El proveedor debe garantizar que los datos utilizados para el desarrollo del sistema cumplen estándares adecuados de calidad, representatividad y ausencia de sesgos. A estos efectos, se exige una evaluación de posibles impactos discriminatorios, así como medidas técnicas y organizativas para prevenir, detectar y corregir dichos sesgos. Esta obligación se extiende durante toda la vigencia del contrato, consolidando el principio de responsabilidad algorítmica a largo plazo.

El conjunto de cláusulas aplicables a sistemas de alto riesgo incorpora un cuerpo normativo detallado que impone al proveedor la implantación de un sistema continuo de gestión de riesgos, aplicable antes y después de la entrega del sistema. Este sistema debe documentar la identificación, estimación y mitigación de riesgos para la salud, la seguridad y los derechos fundamentales, así como prever el control sobre usos indebidos razonablemente previsibles. Además, se exige que el sistema sea sometido a pruebas exhaustivas antes de su entrega, incluso en el entorno operativo de la Administración contratante si esta lo solicita, y que mantenga capacidades de registro automatizado de eventos para asegurar su trazabilidad en el tiempo

La documentación técnica y las instrucciones de uso adquieren en este marco una función jurídica esencial. Deben permitir a la entidad contratante evaluar la conformidad del sistema con los requisitos contractuales y legales, describir la arquitectura del sistema, sus límites de precisión, los mecanismos de supervisión humana incorporados y su comportamiento esperado frente a situaciones no previstas. En caso de que el sistema sea utilizado para apoyar decisiones que afecten a derechos de terceros, el proveedor deberá colaborar en la elaboración de explicaciones significativas de las decisiones automatizadas, pudiendo incluir el acceso a elementos críticos como el código fuente, los conjuntos de datos y los parámetros del modelo.

El reparto de derechos sobre los datos queda claramente definido. Los datos proporcionados por la Administración pública conservan su titularidad pública - esto nos suena a los que estamos familiarizados con la LOPDGDD- y su uso por el proveedor queda limitado al objeto del contrato, salvo acuerdo contrario. Por otro lado, los datos del proveedor o de terceros permanecen bajo su control, pero deben ser accesibles para la entidad adjudicadora con una licencia de uso suficiente para operar el sistema y, en su caso, desarrollarlo posteriormente. Esta distinción permite compatibilizar la protección de la propiedad intelectual con la exigencia de interoperabilidad y mantenimiento.
En lo que respecta a la supervisión de cumplimiento, las cláusulas otorgan a la Administración el derecho de auditar el sistema durante la vigencia del contrato. Estas auditorías, que pueden ser llevadas a cabo por terceros designados, permiten verificar si el proveedor ha respetado las obligaciones asumidas y, en caso contrario, exigir medidas correctivas dentro de un plazo razonable. Además, si el proveedor no coopera o persisten los incumplimientos, la Administración puede recurrir a mecanismos sancionadores o resolutorios sin perjuicio del ejercicio de otras acciones legales.

En resumen, las principales obligaciones introducidas o reforzadas en la versión de febrero de 2025 incluyen:

• Implementación de un sistema de gestión de riesgos continuo y documentado.
• Evaluación de conformidad obligatoria ante cualquier modificación sustancial del sistema.
• Registro automático de eventos con acceso a los logs por parte de la Administración.
• Requisitos técnicos sobre transparencia, supervisión humana, precisión, robustez y ciberseguridad.
• Derecho de auditoría contractual y derecho a recibir explicaciones individualizadas sobre el funcionamiento del sistema.

A pesar de que la Comisión Europea establece que las Administraciones no están obligadas a introducir estas cláusulas en concreto, es un mecanismo que puede ayudarles en el cumplimiento de sus obligaciones como responsables del despliegue de sistemas de IA. Y, en cualquier caso, pueden ser un mecanismo que el sector privado cogerá como referencia a la hora de regular sus relaciones con proveedores de IA de diferentes niveles. 
 

El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas.