SKAI

Cláusulas legales

Proyectos SKAI

1. DEFINICIONES Y OBJETO

1.1 Objeto del Contrato

El presente documento establece las cláusulas legales aplicables a la implementación, despliegue y uso del sistema SKAI (Sistema de Centralita Inteligente con Agentes de IA), que integra tecnologías de inteligencia artificial para la gestión automatizada de comunicaciones empresariales mediante:

  • SKAI Core: Orquestación de flujos de IA y gestión de Modelos de Lenguaje de Gran Escala (LLM)
  • SKAI Chat: Interfaces conversacionales (Web, WhatsApp, OpenAI)
  • SKAI Voz: Agentes de voz para llamadas entrantes y salientes

1.2 Definiciones

Para los efectos del presente documento, se entenderá por:

"Sistema de IA":
Sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere a partir de los datos de entrada que recibe cómo generar productos tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos virtuales o físicos, conforme al artículo 3.1 del Reglamento (UE) 2024/1689.
"LLM" (Large Language Model):
Modelo de lenguaje de gran escala capaz de procesar y generar texto en lenguaje natural, incluyendo pero no limitado a GPT (OpenAI), Claude (Anthropic) y Mistral (Mistral AI).
"Proveedor" o "Empresa Implementadora":
Solverkey o entidad responsable del desarrollo, integración y mantenimiento del sistema SKAI.
"Cliente":
Persona física o jurídica que contrata los servicios de SKAI.
"Usuario Final":
Persona que interactúa directamente con el sistema SKAI, ya sea mediante voz o chat.
"Responsable del Despliegue":
Entidad que utiliza un sistema de IA bajo su autoridad, conforme al artículo 3.4 del Reglamento (UE) 2024/1689.
"Dato Personal":
Toda información sobre una persona física identificada o identificable, según artículo 4.1 del RGPD.
"Alucinación de IA":
Respuesta generada por el sistema de IA que puede ser inexacta, inventada o no basada en los datos de entrada proporcionados.

2. NATURALEZA Y CARACTERÍSTICAS DEL SISTEMA DE IA

2.1 Reconocimiento de la Naturaleza Tecnológica

EL CLIENTE RECONOCE Y ACEPTA expresamente que:

a) El sistema SKAI integra tecnologías de inteligencia artificial avanzadas, incluyendo modelos de lenguaje de terceros (OpenAI GPT, Anthropic Claude, Mistral AI), cuya naturaleza probabilística y estadística implica que:

  • Los resultados generados pueden no ser exactos, completos o libres de errores en el 100% de los casos
  • Pueden producirse respuestas erróneas, inexactas o "alucinaciones" donde el sistema genere información que no corresponde a los datos reales
  • Las interpretaciones del contexto conversacional pueden variar según factores como la formulación de preguntas, el historial de interacción y las limitaciones propias de cada modelo de IA

b) El sistema de IA realiza inferencias y genera respuestas basándose en:

  • Patrones aprendidos durante su entrenamiento
  • Datos proporcionados en tiempo real
  • Contexto conversacional previo
  • Bases de conocimiento configuradas

c) La calidad y precisión de las respuestas dependen significativamente de:

  • La claridad y precisión de los datos de entrada proporcionados por el Cliente
  • La correcta configuración de las bases de conocimiento (Knowledge Bases)
  • La adecuación de los prompts y configuraciones realizadas
  • Las limitaciones inherentes de cada proveedor de LLM utilizado

2.2 Clasificación según Reglamento de IA

El Proveedor declara que el sistema SKAI, en su configuración estándar para centralita empresarial, NO constituye un sistema de IA de alto riesgo según el Anexo III del Reglamento (UE) 2024/1689, al no estar incluido en las categorías siguientes:

  • Identificación y categorización biométrica de personas físicas
  • Gestión y explotación de infraestructuras críticas
  • Educación y formación profesional
  • Empleo, gestión de trabajadores y acceso al autoempleo
  • Acceso y disfrute de servicios privados esenciales y servicios y prestaciones públicos
  • Aplicación de la ley
  • Gestión de la migración, el asilo y el control fronterizo
  • Administración de justicia y procesos democráticos

SIN EMBARGO, en caso de que el Cliente configure o utilice SKAI para funciones que puedan clasificarse como de alto riesgo conforme a dicho Anexo, el Cliente asumirá las obligaciones adicionales como Responsable del Despliegue establecidas en los artículos 26 y siguientes del Reglamento (UE) 2024/1689.

2.3 Obligación de Notificación

El Cliente se compromete a notificar inmediatamente al Proveedor si tiene intención de utilizar el sistema SKAI para cualquiera de los siguientes propósitos:

  • Toma de decisiones que afecten a derechos fundamentales de las personas
  • Procesamiento de datos biométricos para identificación
  • Evaluación de solvencia crediticia u otros aspectos que determinen acceso a servicios esenciales
  • Selección o evaluación de candidatos en procesos de contratación
  • Cualquier uso contemplado en el Anexo III del Reglamento (UE) 2024/1689

3. PROTECCIÓN DE DATOS PERSONALES

3.1 Marco Normativo Aplicable

El tratamiento de datos personales en el marco del sistema SKAI se regirá por:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Reglamento (UE) 2024/1689 sobre Inteligencia Artificial, en sus disposiciones relativas a protección de datos

3.2 Roles y Responsabilidades

3.2.1 Determinación de Roles

Las partes acuerdan que, en relación con el tratamiento de datos personales:

a) El CLIENTE actúa como RESPONSABLE DEL TRATAMIENTO respecto de:

  • Los datos personales de los usuarios finales que interactúan con SKAI
  • Los datos de empleados y contactos almacenados en sus sistemas
  • Los datos integrados desde sus CRM u otros sistemas corporativos

b) El PROVEEDOR actúa como ENCARGADO DEL TRATAMIENTO respecto de:

  • Los datos personales procesados por SKAI durante las interacciones
  • Los registros de llamadas y conversaciones (logs)
  • Los datos necesarios para la prestación del servicio

c) Los PROVEEDORES DE LLM (OpenAI, Anthropic, Mistral) actúan como SUB-ENCARGADOS DEL TRATAMIENTO, sujetos a las condiciones establecidas en la cláusula 4.

3.2.2 Obligaciones del Proveedor como Encargado

El Proveedor, en su calidad de Encargado del Tratamiento, se compromete a:

  • Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente, salvo obligación legal que requiera otro tratamiento
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad mediante acuerdos específicos
  • Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD
  • Respetar las condiciones de recurso a sub-encargados establecidas en este contrato
  • Asistir al Cliente en la medida de lo posible, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de obligaciones
  • Suprimir o devolver al Cliente todos los datos personales al finalizar la prestación del servicio
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones y permitir auditorías

3.2.3 Obligaciones del Cliente como Responsable

El Cliente, en su calidad de Responsable del Tratamiento, se compromete a:

  • Proporcionar instrucciones claras y documentadas sobre el tratamiento de datos personales que debe realizar el Proveedor
  • Garantizar que tiene base jurídica legítima para el tratamiento de datos mediante SKAI (consentimiento, ejecución de contrato, interés legítimo, cumplimiento de obligación legal)
  • Realizar la Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento pueda entrañar alto riesgo
  • Informar adecuadamente a los interesados sobre el tratamiento automatizado de sus datos
  • Proporcionar al Proveedor únicamente datos necesarios para la finalidad específica del servicio

3.3 Tratamiento de Categorías Especiales de Datos

El sistema SKAI NO está diseñado ni autorizado para el tratamiento de categorías especiales de datos personales (art. 9 RGPD), incluyendo:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual

En caso de que el Cliente requiera procesar dichas categorías, deberá:

  • Notificarlo expresamente al Proveedor con carácter previo
  • Acreditar que concurre alguna de las excepciones del art. 9.2 RGPD
  • Suscribir un anexo específico que establezca las salvaguardas adicionales necesarias
  • Asumir la responsabilidad exclusiva en caso de tratamiento no autorizado

3.4 Transferencias Internacionales de Datos

3.4.1 Declaración sobre Transferencias

El Proveedor informa al Cliente que el uso de determinados proveedores de LLM puede implicar transferencias internacionales de datos personales:

ProveedorUbicaciónGarantías
OpenAI (GPT)Estados UnidosCláusulas Contractuales Tipo UE / Data Privacy Framework
Anthropic (Claude)Estados UnidosCláusulas Contractuales Tipo UE
Mistral AIFrancia (UE)No requiere (datos en UE)

3.4.2 Garantías Adicionales

Para mitigar riesgos asociados a transferencias internacionales, el Proveedor implementa las siguientes medidas complementarias:

  • Configuración de retención de datos: Limitación del tiempo de conservación en servidores de proveedores LLM
  • Seudonimización cuando técnicamente posible: Reducción de datos identificativos antes de envío a LLM
  • Cifrado en tránsito y en reposo: Uso de TLS 1.3 y cifrado AES-256
  • Opción de selección de proveedor: El Cliente puede elegir usar exclusivamente Mistral AI para evitar transferencias fuera de la UE

3.4.3 Consentimiento y Alternativas

El Cliente, al contratar SKAI con proveedores que implican transferencias internacionales:

  • Autoriza expresamente dichas transferencias, habiendo sido informado de los riesgos
  • Reconoce su obligación de informar a los interesados sobre dichas transferencias
  • Puede optar por configuración que excluya proveedores extracomunitarios si así lo requiere su análisis de riesgos

3.5 Derechos de los Interesados

3.5.1 Obligación de Facilitación

El Proveedor se compromete a asistir al Cliente en dar respuesta a las solicitudes de ejercicio de derechos de los interesados:

  • Derecho de acceso (art. 15 RGPD)
  • Derecho de rectificación (art. 16 RGPD)
  • Derecho de supresión ("derecho al olvido", art. 17 RGPD)
  • Derecho de limitación del tratamiento (art. 18 RGPD)
  • Derecho de portabilidad (art. 20 RGPD)
  • Derecho de oposición (art. 21 RGPD)
  • Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD)

3.5.2 Plazos y Procedimiento

  • El Cliente deberá remitir al Proveedor las solicitudes de interesados que requieran actuación sobre los datos en posesión del Proveedor en un plazo máximo de 5 días hábiles desde su recepción
  • El Proveedor proporcionará al Cliente la información o realizará las actuaciones necesarias en un plazo máximo de 10 días hábiles desde la recepción de la solicitud del Cliente
  • El Cliente será responsable de dar respuesta final al interesado dentro del plazo legal de 1 mes desde la solicitud (ampliable a 3 meses en casos complejos)

3.6 Violaciones de Seguridad

3.6.1 Notificación al Cliente

En caso de violación de la seguridad de los datos personales, el Proveedor se compromete a:

  • Notificar al Cliente sin dilación indebida y, en cualquier caso, en un plazo máximo de 24 horas desde que tenga conocimiento de la violación
  • Proporcionar información detallada sobre:
    • Naturaleza de la violación y categorías de datos afectados
    • Número aproximado de interesados y registros afectados
    • Consecuencias probables de la violación
    • Medidas adoptadas o propuestas para mitigar los efectos

3.6.2 Responsabilidad de Notificación a Autoridad

El Cliente, como Responsable del Tratamiento, será quien determine:

  • Si la violación debe notificarse a la Agencia Española de Protección de Datos (AEPD) en plazo de 72 horas (art. 33 RGPD)
  • Si debe comunicarse a los interesados afectados cuando el riesgo sea alto (art. 34 RGPD)

El Proveedor cooperará activamente en la preparación de dichas notificaciones.

3.7 Auditorías y Controles

3.7.1 Derecho de Auditoría del Cliente

El Cliente tiene derecho a:

  • Realizar auditorías sobre el tratamiento de datos personales que realiza el Proveedor, con preaviso de 15 días hábiles
  • Designar un auditor independiente para realizar inspecciones, previa aceptación razonable del Proveedor
  • Solicitar informes de cumplimiento y certificaciones de seguridad que posea el Proveedor

3.7.2 Frecuencia y Condiciones

  • Auditorías ordinarias: Máximo 1 vez al año, sin coste adicional
  • Auditorías extraordinarias: En caso de incidente de seguridad o solicitud de autoridad de control
  • Las auditorías se realizarán en horario laboral y sin interferir desproporcionadamente en las operaciones del Proveedor
  • Los costes de auditorías extraordinarias no motivadas por incumplimiento del Proveedor serán asumidos por el Cliente

4. PROVEEDORES DE LLM Y CADENA DE VALOR DE IA

4.1 Sub-encargados del Tratamiento

4.1.1 Autorización General de Sub-encargados

El Cliente autoriza al Proveedor a recurrir a los siguientes sub-encargados del tratamiento (proveedores de LLM) para la prestación de los servicios SKAI:

  • OpenAI LLC: GPT-4, GPT-4o, AgentKit (Estados Unidos)
  • Anthropic PBC: Claude Sonnet, Claude Opus (Estados Unidos)
  • Mistral AI: Mixtral, Modelos Mistral (Francia, UE)

4.1.2 Obligación de Información

El Proveedor se compromete a:

  • Mantener actualizada la lista de sub-encargados en el anexo de este contrato
  • Notificar al Cliente con al menos 30 días de antelación cualquier cambio previsto en sub-encargados
  • Permitir al Cliente oponerse a la incorporación de nuevos sub-encargados por motivos legítimos en plazo de 15 días desde la notificación

4.1.3 Derecho de Oposición del Cliente

Si el Cliente se opone a un nuevo sub-encargado:

  • Las partes negociarán de buena fe alternativas razonables
  • Si no se alcanza acuerdo, el Cliente podrá resolver el contrato sin penalización con preaviso de 30 días
  • El Proveedor facilitará la portabilidad de datos y documentación técnica necesaria para migración

4.2 Cadena de Valor y Responsabilidades (Artículo 25 Reglamento IA)

4.2.1 Acuerdos Escritos con Proveedores LLM

Conforme al artículo 25.4 del Reglamento (UE) 2024/1689, el Proveedor declara que ha suscrito o se compromete a suscribir acuerdos escritos con cada proveedor de LLM que especifican:

  • Información sobre capacidades y limitaciones de cada modelo
  • Acceso técnico a APIs, documentación y actualizaciones
  • Asistencia en cumplimiento normativo, incluyendo obligaciones de transparencia y documentación técnica
  • Notificación de cambios sustanciales en los modelos que puedan afectar rendimiento o cumplimiento
  • Mecanismos de escalado y soporte para incidencias críticas

4.2.2 Limitaciones de Responsabilidad de Proveedores LLM

El Cliente reconoce que los proveedores de LLM imponen sus propios términos de uso y limitaciones de responsabilidad, que pueden incluir:

  • Limitación de usos prohibidos (deepfakes, desinformación, contenido dañino)
  • Exclusión de garantías implícitas sobre precisión o idoneidad para un propósito específico
  • Limitación de responsabilidad a importes pagados en los últimos 12 meses
  • Prohibición de ingeniería inversa de los modelos
  • Obligaciones de cumplimiento de políticas de uso aceptable

Dichas limitaciones se incorporan por referencia (back-to-back) en la relación entre Proveedor y Cliente, sin perjuicio de las responsabilidades ineludibles del Proveedor establecidas en la cláusula 5.

4.2.3 Transparencia sobre Términos de Proveedores LLM

El Proveedor facilitará al Cliente acceso a los términos y condiciones vigentes de cada proveedor de LLM:

4.3 Políticas de Privacidad Específicas por Proveedor

4.3.1 OpenAI (GPT)

Tratamiento de Datos:

  • OpenAI procesa datos enviados a la API para generar respuestas
  • NO utiliza datos de API de clientes empresariales para entrenar sus modelos (salvo opt-in explícito del Cliente)
  • Retiene datos de API durante 30 días para monitorización de abuso, después los elimina automáticamente
  • Puede retener datos anonimizados y agregados para mejoras de servicio

Opciones de Control:

  • El Cliente puede solicitar zero data retention (retención cero) para casos de uso sensibles
  • Puede configurar shared & custom mode o private mode en función de necesidades de privacidad
  • OpenAI ofrece opción de Azure OpenAI Service con almacenamiento en región UE si se requiere

Seguridad:

  • Certificación SOC 2 Type 2
  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
  • Cumplimiento con GDPR mediante Cláusulas Contractuales Tipo

4.3.2 Anthropic (Claude)

Tratamiento de Datos:

  • Claude NO entrena sus modelos con datos enviados por clientes comerciales (Claude for Business)
  • Retiene mensajes durante 90 días para prevención de abuso, salvo que el Cliente opte por retención cero
  • Ofrece opción prompt caching que no afecta a privacidad (datos no persistentes)

Opciones de Control:

  • Zero retention: El Cliente puede solicitar que no se retengan mensajes después del procesamiento
  • Content moderation: Herramientas opcionales de moderación de contenido
  • Audit logs: Registros de acceso y uso disponibles para el Cliente

Seguridad:

  • Certificación SOC 2 Type 2
  • Cumplimiento GDPR mediante Cláusulas Contractuales Tipo
  • Infraestructura en AWS y GCP con cifrado en reposo

4.3.3 Mistral AI

Tratamiento de Datos:

  • Mistral AI es proveedor europeo (Francia), sujeto plenamente a GDPR
  • NO entrena modelos con datos de clientes de API comercial
  • Opción de on-premise deployment o cloud europeo (sin transferencias extracomunitarias)

Opciones de Control:

  • Regional data storage: Garantía de almacenamiento en servidores UE
  • Open source models: Disponibilidad de modelos open source para despliegue local si el Cliente lo requiere
  • Enterprise tier: Con SLAs reforzados y control de retención

Seguridad:

  • Cumplimiento nativo con GDPR (proveedor UE)
  • Certificación ISO 27001
  • Infraestructura en OVHcloud (Francia) para tier europeo

4.4 Selección de Proveedor de LLM por el Cliente

4.4.1 Opción de Configuración

El Cliente podrá seleccionar, en el momento de la contratación o mediante cambio posterior notificado con 15 días de antelación, qué proveedor(es) de LLM desea utilizar:

  • Configuración Multi-Modelo (por defecto): SKAI utilizará OpenAI (primario), Claude (secundario), Mistral (local/específico)
  • Solo Proveedores UE: SKAI utilizará exclusivamente Mistral AI, evitando transferencias internacionales
  • Proveedor Específico: El Cliente puede seleccionar un único proveedor (OpenAI, Claude o Mistral) como exclusivo

4.4.2 Criterios de Decisión

El Proveedor asistirá al Cliente en la selección considerando:

  • Requisitos de localización de datos (especialmente para evitar transferencias fuera UE)
  • Necesidades de rendimiento y capacidades lingüísticas específicas
  • Análisis de riesgo y evaluación de impacto en protección de datos
  • Restricciones presupuestarias (distintos modelos tienen costes diferentes)

4.4.3 Impacto en Funcionalidad

El Proveedor informará sobre posibles limitaciones funcionales derivadas de la selección de un único proveedor, como:

  • Capacidades lingüísticas específicas
  • Límites de tokens o velocidad de respuesta
  • Disponibilidad de funciones avanzadas (function calling, vision, etc.)

4.5 Propiedad Intelectual y Secretos Comerciales

4.5.1 Respeto a Derechos de Terceros

Las obligaciones de cooperación a lo largo de la cadena de valor de IA se aplicarán sin perjuicio de los derechos de propiedad intelectual e industrial, información empresarial confidencial y secretos comerciales de los proveedores de LLM, conforme al artículo 25.5 del Reglamento (UE) 2024/1689.

4.5.2 Limitaciones en Acceso a Información

El Cliente acepta que:

  • No tendrá acceso a los algoritmos propietarios ni al código fuente de los modelos LLM
  • No podrá realizar ingeniería inversa de los modelos
  • La documentación técnica proporcionada sobre los LLM estará sujeta a acuerdos de confidencialidad

4.5.3 Compromiso de Open Source (cuando aplicable)

Para componentes open source de la cadena de valor (ej. Mixtral en despliegue local):

  • Se respetarán las licencias aplicables (Apache 2.0, MIT, etc.)
  • Se facilitará acceso al código fuente según términos de licencia
  • Se mantendrá registro de componentes open source utilizados

5. RESPONSABILIDAD Y LIMITACIONES

5.1 Responsabilidad del Proveedor

5.1.1 Principio General de Responsabilidad

El Proveedor (Empresa Implementadora) será responsable, en los términos legalmente establecidos, de los daños y perjuicios directos o indirectos, materiales o inmateriales, sufridos por el Cliente o por terceros que se deriven de:

  • Culpa, negligencia o dolo por su parte en la prestación del servicio
  • Incumplimiento de las obligaciones contractuales establecidas en este documento
  • Funcionamiento defectuoso del sistema SKAI cuando sea imputable al Proveedor
  • Mal funcionamiento de sistemas de IA de terceros integrados, cuando el Proveedor no haya implementado las medidas razonables de supervisión, configuración y prueba

Esta responsabilidad se mantiene incluso cuando los daños resulten del uso de motores de IA de terceros (OpenAI, Anthropic, Mistral) integrados en el sistema, sin perjuicio de las acciones de repetición que puedan corresponder frente a dichos terceros proveedores.

5.1.2 Responsabilidad por Protección de Datos

Conforme al artículo 82 del RGPD y según lo establecido en el Reglamento (UE) 2024/1689:

NO SERÁ OPONIBLE al Cliente o a terceros NINGUNA limitación de responsabilidad contractual para los daños derivados de:

a) Infracciones de la normativa de protección de datos personales:

  • Reglamento (UE) 2016/679 (RGPD)
  • Ley Orgánica 3/2018 (LOPDGDD)
  • Normativa sectorial aplicable

b) Vulneración de la confidencialidad de datos procesados por el sistema

c) Violación de derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, especialmente:

  • Derecho a la protección de datos (art. 8)
  • Derecho a la vida privada (art. 7)
  • Derecho a la no discriminación (art. 21)
  • Derecho a la dignidad humana (art. 1)

Estos daños se regirán siempre por lo dispuesto en la legislación vigente, con responsabilidad plena del Proveedor sin limitación cuantitativa.

5.1.3 Responsabilidad por Requisitos Normativos de IA

Conforme al Reglamento (UE) 2024/1689, NO se limitará la responsabilidad del Proveedor por daños o perjuicios que se deriven de:

a) Falta de cumplimiento de requisitos de transparencia:

  • Omisión de informar que se trata de un sistema de IA (art. 50)
  • Ausencia de documentación técnica adecuada
  • Incumplimiento de obligaciones de información al Usuario Final

b) Minimización insuficiente de sesgos y discriminación:

  • Sesgo algorítmico no mitigado que genere discriminación
  • Falta de pruebas de equidad del sistema
  • Ausencia de medidas correctoras de sesgos detectados

c) Mitigación inadecuada de impactos discriminatorios:

  • Trato diferenciado injustificado por razón de raza, género, edad, discapacidad, orientación sexual u otras características protegidas
  • Falta de evaluaciones de impacto en grupos vulnerables

d) Protección insuficiente de derechos de usuarios finales:

  • Imposibilidad de ejercer derechos reconocidos en normativa
  • Falta de mecanismos de rectificación o recurso
  • Ausencia de supervisión humana donde sea legalmente requerida

5.1.4 Exclusión de Limitación para Sistemas de Alto Riesgo

En ningún caso, la exención o limitación de responsabilidad será aplicable a los supuestos de daños ocasionados por el uso de sistemas de inteligencia artificial de alto riesgo en los términos recogidos en el Reglamento (UE) 2024/1689, Anexo III, ni a los daños que afecten a:

  • Vida o integridad física de las personas
  • Salud de las personas
  • Derechos fundamentales (más allá de datos personales)
  • Seguridad pública

5.2 Limitaciones de Responsabilidad Permitidas

5.2.1 Daños Indirectos y Lucro Cesante

Únicamente en relación con daños que NO afecten a protección de datos, derechos fundamentales o sistemas de alto riesgo, la responsabilidad del Proveedor quedará limitada conforme a las siguientes reglas:

El Proveedor no será responsable de:

  • Lucro cesante o pérdida de beneficios esperados
  • Pérdida de clientela o deterioro de reputación
  • Pérdida de oportunidades comerciales
  • Daños a la imagen corporativa
  • Gastos de mitigación asumidos por el Cliente

5.2.2 Excepciones a la Limitación

La limitación anterior NO aplicará en casos de:

  • Dolo o culpa grave del Proveedor
  • Daños personales (muerte, lesiones)
  • Daños derivados de infracciones de protección de datos o confidencialidad
  • Daños relacionados con derechos fundamentales
  • Incumplimientos que constituyan delito penal
  • Daños causados por sistemas de IA de alto riesgo

5.3 Responsabilidad del Cliente

5.3.1 Supervisión Humana

El Cliente asume plena responsabilidad por:

a) Mantener controles y supervisión humana en aquellos procesos críticos de negocio en los que intervenga el sistema SKAI

b) Validar las respuestas del sistema antes de adoptar decisiones que puedan afectar significativamente a:

  • Derechos de terceros
  • Relaciones contractuales
  • Obligaciones legales
  • Seguridad de personas o bienes

c) Decisiones adoptadas exclusivamente en base a resultados generados por la IA sin revisión humana adecuada, especialmente cuando afecten a:

  • Contratación o despido de personal
  • Concesión o denegación de servicios
  • Evaluación de solvencia
  • Cualquier decisión que afecte significativamente a personas

5.3.2 Responsabilidad por Datos de Entrada

El Cliente será el único responsable de la exactitud, legalidad y adecuación de:

a) Datos proporcionados para entrenar, configurar o alimentar el sistema:

  • Knowledge Bases (bases de conocimiento)
  • Documentos corporativos integrados
  • Datos de CRM u otros sistemas
  • Instrucciones y prompts personalizados

b) Contenidos ilícitos o inapropiados:

  • El Cliente garantiza que no proporcionará contenidos que infrinjan derechos de terceros (propiedad intelectual, datos personales sin base legal, etc.)
  • El Cliente exonera al Proveedor de responsabilidad derivada del uso de datos ilícitos o inapropiados facilitados por él

c) Configuraciones incorrectas solicitadas por el Cliente que generen respuestas inadecuadas o discriminatorias

5.3.3 Responsabilidad por Uso Indebido

El Cliente será responsable de:

a) Usos del sistema SKAI contrarios a la ley, incluyendo pero no limitado a:

  • Generación de contenido difamatorio, fraudulento o discriminatorio
  • Vulneración de derechos de propiedad intelectual de terceros
  • Actividades de phishing, spam o ingeniería social maliciosa
  • Usos prohibidos específicamente por proveedores de LLM (deepfakes, manipulación electoral, etc.)

b) Incumplimiento de políticas de uso aceptable de los proveedores de LLM (OpenAI, Anthropic, Mistral), lo que podría resultar en suspensión del servicio

c) Omisión de información a usuarios finales sobre el carácter automatizado de las interacciones

5.4 Exoneración Mutua y Coordinación

5.4.1 Notificación de Reclamaciones

Las partes se comprometen a:

  • Notificar inmediatamente a la otra parte cualquier reclamación de terceros relacionada con el sistema SKAI
  • Cooperar activamente en la defensa frente a reclamaciones, proporcionando información y documentación necesaria
  • No realizar reconocimientos de responsabilidad sin consentimiento previo de la otra parte cuando puedan afectarle

5.4.2 Derecho de Repetición

El Proveedor se reserva el derecho de repetición frente a proveedores de LLM cuando los daños sean imputables exclusivamente a defectos o fallos de dichos sistemas de terceros, sin perjuicio de su obligación de indemnizar previamente al Cliente o terceros afectados.

5.5 Responsabilidad Frente a Usuarios Finales

5.5.1 Solidaridad en Cadena de Valor

Conforme a los principios del Reglamento (UE) 2024/1689 sobre cadena de valor de IA:

  • Usuarios finales afectados por daños del sistema SKAI podrán dirigir sus reclamaciones indistintamente contra el Proveedor (como implementador del sistema) o el Cliente (como responsable del despliegue)
  • Responsabilidad interna: Entre Proveedor y Cliente se aplicará el reparto de responsabilidades establecido en este contrato, pero dicho reparto no es oponible frente a terceros perjudicados
  • Quien haya indemnizado al usuario final tendrá acción de regreso contra la otra parte según responsabilidad efectiva

5.5.2 Régimen Especial para Consumidores

Cuando los usuarios finales tengan condición de consumidores según Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (Real Decreto Legislativo 1/2007):

  • Se aplicarán las protecciones reforzadas de dicha normativa
  • Las limitaciones de responsabilidad del presente contrato no serán oponibles frente a consumidores
  • Se garantizará el acceso a vías de reclamación extrajudicial (arbitraje de consumo, ODR)

6. TRANSPARENCIA Y OBLIGACIONES CON USUARIOS FINALES

6.1 Obligación de Información sobre Uso de IA (Art. 50 Reglamento IA)

6.1.1 Deber Principal de Transparencia

Conforme al artículo 50 del Reglamento (UE) 2024/1689, el Cliente, como Responsable del Despliegue, será responsable de informar a los usuarios finales de que están interactuando con un sistema de inteligencia artificial, antes o en el momento de la primera interacción.

Esta obligación es IRRENUNCIABLE y no puede ser trasladada íntegramente al Proveedor, aunque este colaborará en su cumplimiento.

6.1.2 Contenido Mínimo de la Información

La información proporcionada a usuarios finales deberá incluir, como mínimo:

a) Identificación como Sistema de IA:

  • Mención clara y destacada de que la conversación es gestionada por inteligencia artificial
  • Lenguaje accesible y comprensible para el público general

b) Capacidades y Limitaciones:

  • Explicación de que el sistema puede cometer errores ("alucinaciones")
  • Indicación de los tipos de consultas o solicitudes para las que el sistema está optimizado
  • Advertencia sobre limitaciones o temas que el sistema no puede abordar adecuadamente

c) Posibilidad de Intervención Humana:

  • Información sobre cómo solicitar ser transferido a un agente humano
  • Circunstancias en las que se recomienda o es obligatoria la supervisión humana

d) Tratamiento de Datos Personales (información adicional al deber de transparencia del RGPD):

  • Mención de que la conversación puede implicar tratamiento de datos personales
  • Indicación de proveedores de LLM involucrados (OpenAI, Anthropic, Mistral)
  • Referencia a la Política de Privacidad completa del Cliente

e) Derechos del Usuario:

  • Derecho a no ser objeto de decisiones automatizadas con efectos significativos (art. 22 RGPD)
  • Derechos de acceso, rectificación, supresión de datos (RGPD)
  • Procedimiento para ejercer dichos derechos

6.1.3 Modalidades de Información

La información podrá proporcionarse mediante:

a) Para SKAI Chat (Web, WhatsApp):

  • Mensaje automático inicial al comenzar la conversación
  • Aviso visible en la interfaz de chat (banner, watermark)
  • Enlace a página informativa completa

b) Para SKAI Voz (llamadas):

  • Mensaje de bienvenida grabado o generado por voz al inicio de la llamada
  • Ejemplo: "Bienvenido a [Empresa]. Su consulta será atendida por nuestro asistente virtual inteligente. En cualquier momento puede solicitar hablar con un agente humano diciendo 'operador'."

c) Documentación precontractual:

  • Inclusión en contratos, términos de servicio o políticas de privacidad de la empresa Cliente

6.1.4 Soporte del Proveedor

El Proveedor facilitará al Cliente:

  • Plantillas y textos modelo para cumplir con la obligación de información
  • Configuración técnica de avisos automáticos en los canales de SKAI
  • Revisiones periódicas para asegurar que la información permanece actualizada y conforme a normativa
  • Asesoramiento sobre mejores prácticas de transparencia

No obstante, la responsabilidad última de garantizar que la información es proporcionada correctamente recae en el Cliente.

6.2 Protección de Grupos Vulnerables

6.2.1 Identificación de Vulnerabilidades

El Cliente deberá identificar si entre sus usuarios finales existen grupos vulnerables que requieran protección reforzada, tales como:

  • Menores de edad (personas menores de 18 años)
  • Personas con discapacidad (cognitiva, visual, auditiva)
  • Personas mayores con limitaciones tecnológicas
  • Personas con dificultades idiomáticas o culturales
  • Personas en situación de especial dependencia del servicio prestado

6.2.2 Medidas de Protección Reforzada

Para grupos vulnerables, el Cliente implementará con soporte del Proveedor:

  • Lenguaje adaptado: Información simplificada y accesible
  • Acceso facilitado a supervisión humana: Tiempos de espera reducidos para transfer a operador humano
  • Restricción de decisiones automatizadas: Para menores o personas vulnerables, evitar decisiones significativas sin revisión humana
  • Consentimiento reforzado: En el caso de menores, obtener consentimiento de tutores legales para tratamiento de datos

6.2.3 Cumplimiento de Normativa de Menores

En caso de que SKAI sea utilizado en contextos donde puedan interactuar menores:

  • El Cliente deberá implementar mecanismos de verificación de edad
  • Se aplicarán restricciones de contenido adaptadas a audiencia infantil
  • Se cumplirá con la Observación General n.º 25 de la Convención sobre los Derechos del Niño de las Naciones Unidas en relación con entornos digitales
  • Se activarán alertas especiales si el sistema detecta posible interacción con menores en situaciones de riesgo

6.3 Mecanismos de Reclamación y Recurso

6.3.1 Obligación de Establecer Vías de Recurso

El Cliente se compromete a establecer mecanismos accesibles y efectivos para que usuarios finales puedan:

  • Presentar quejas o reclamaciones sobre el funcionamiento del sistema SKAI
  • Solicitar revisión humana de decisiones automatizadas que les afecten
  • Ejercer derechos RGPD (acceso, rectificación, supresión, etc.)
  • Reportar incidentes o comportamientos inadecuados del sistema

6.3.2 Contenido Mínimo de las Vías de Recurso

Los mecanismos deberán incluir:

a) Canales de contacto claros:

  • Correo electrónico específico (ej. privacidad@clienteempresa.com)
  • Formulario web accesible
  • Número de teléfono de atención (opcional pero recomendable)

b) Plazos de respuesta comprometidos:

  • Acuse de recibo: Máximo 5 días hábiles
  • Respuesta sustantiva: Máximo 1 mes (ampliable a 3 en casos complejos, según RGPD)

c) Información sobre recursos adicionales:

  • Derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD)
  • Acceso a sistemas de resolución extrajudicial de conflictos (arbitraje de consumo, ODR)

6.3.3 Colaboración del Proveedor en Gestión de Reclamaciones

El Proveedor se compromete a:

  • Asistir al Cliente en la investigación y respuesta a reclamaciones relacionadas con el funcionamiento técnico de SKAI
  • Proporcionar logs y registros técnicos relevantes para esclarecer incidentes, respetando principios de protección de datos
  • Implementar mejoras correctivas cuando las reclamaciones revelen deficiencias sistemáticas del sistema
  • Informar al Cliente sobre reclamaciones recurrentes que puedan indicar problemas estructurales

6.4 Prevención de Manipulación y Desinformación

6.4.1 Compromisos de Uso Ético

El Cliente se compromete a NO utilizar SKAI para:

a) Generación o difusión de desinformación:

  • Noticias falsas (fake news)
  • Manipulación de opinión pública
  • Interferencia en procesos electorales

b) Suplantación de identidad:

  • Hacerse pasar por personas reales sin consentimiento
  • Crear perfiles o testimonios falsos

c) Manipulación emocional indebida:

  • Explotación de vulnerabilidades psicológicas
  • Técnicas de persuasión coercitivas o engañosas

d) Generación de contenido deepfake sin advertencia clara de su naturaleza sintética

6.4.2 Detección y Mitigación

El Proveedor implementará, en la medida técnicamente posible:

  • Filtros de contenido basados en políticas de uso aceptable de proveedores LLM
  • Mecanismos de detección de patrones sospechosos (ej. generación masiva de contenido idéntico)
  • Alertas al Cliente si se detectan usos potencialmente problemáticos
  • Derecho de suspensión del servicio en caso de uso manifiestamente ilícito

6.4.3 Marcado de Contenido Sintético (Art. 50.3 Reglamento IA)

Cuando SKAI genere o manipule contenido de imagen, audio o vídeo que pueda parecer auténtico (ej. síntesis de voz realista), el Cliente deberá:

  • Marcar claramente dicho contenido como generado artificialmente
  • Utilizar metadatos técnicos cuando sea técnicamente viable (watermarking, etiquetas EXIF)
  • Informar explícitamente a usuarios si interactúan con voz sintética en llamadas

Excepciones: No será necesario cuando el contenido sintético sea evidente por el contexto o resulte necesario para ejercicio legítimo de derechos (libertad artística, expresión, investigación).

7. SUPERVISIÓN HUMANA Y CONTROL

7.1 Principio de Supervisión Humana (Human-in-the-Loop)

7.1.1 Fundamento Legal

Conforme al artículo 14 del Reglamento (UE) 2024/1689, los sistemas de IA de alto riesgo deberán diseñarse e desarrollarse de tal modo que puedan ser supervisados eficazmente por personas físicas durante su uso.

Aunque SKAI no se clasifica como sistema de alto riesgo en su configuración estándar, las partes acuerdan implementar supervisión humana como principio general de buenas prácticas y prevención de riesgos.

7.1.2 Compromiso del Cliente

El Cliente se compromete expresamente a:

a) Mantener controles y supervisión humana efectiva en aquellos procesos críticos de negocio en los que intervenga el sistema SKAI, especialmente cuando:

  • Las decisiones generadas puedan afectar significativamente a derechos de terceros
  • Se procesen datos de categorías especiales (salud, origen racial, etc.) bajo excepciones legales
  • Se gestionen reclamaciones, quejas o solicitudes de ejercicio de derechos
  • El sistema indique incertidumbre o baja confianza en su respuesta

b) Asignar personal cualificado con:

  • Formación adecuada sobre funcionamiento y limitaciones de sistemas de IA
  • Capacidad técnica para interpretar outputs del sistema
  • Competencia para identificar errores, sesgos o comportamientos inadecuados
  • Autoridad para anular o modificar decisiones del sistema

c) Establecer procedimientos documentados que definan:

  • Qué decisiones requieren validación humana obligatoria
  • Plazos máximos de revisión
  • Criterios para aprobar, modificar o rechazar outputs de IA
  • Escalado a niveles superiores en caso de duda

7.1.3 Soporte del Proveedor para Supervisión Efectiva

El Proveedor se compromete a facilitar la supervisión humana mediante:

a) Diseño del sistema:

  • Implementación de mecanismos de "warm transfer" (transferencia a humano) fluida
  • Indicadores de confianza o certeza en las respuestas del sistema
  • Alertas automáticas cuando el sistema detecte situaciones complejas o ambiguas

b) Capacitación y documentación:

  • Formación al personal del Cliente sobre interpretación de outputs de SKAI
  • Manuales operativos con casos de uso y ejemplos de supervisión
  • Webinars o sesiones de actualización ante cambios en el sistema

c) Herramientas de monitorización:

  • Dashboard con métricas de calidad de respuestas
  • Sistema de revisión aleatoria de conversaciones
  • Reportes de incidentes o respuestas problemáticas

7.2 Decisiones Automatizadas y Art. 22 RGPD

7.2.1 Prohibición de Decisiones Totalmente Automatizadas con Efectos Significativos

Conforme al artículo 22 del RGPD, el Cliente NO podrá utilizar SKAI para adoptar decisiones basadas únicamente en tratamiento automatizado (incluida elaboración de perfiles) que produzcan efectos jurídicos o afecten significativamente al interesado, SALVO que concurra alguna de las siguientes excepciones:

a) Necesidad para celebración o ejecución de contrato:

  • Decisión necesaria para suscribir o ejecutar contrato entre interesado y Cliente
  • El interesado ha solicitado la celebración del contrato

b) Autorización legal expresa:

  • Ley de la UE o del Estado miembro autoriza expresamente dicho tratamiento
  • Se han establecido medidas adecuadas de protección de derechos y libertades

c) Consentimiento explícito del interesado:

  • Consentimiento libre, específico, informado e inequívoco
  • Posibilidad de retirar el consentimiento en cualquier momento
  • Información previa sobre lógica aplicada y consecuencias

7.2.2 Ejemplos de Decisiones Significativas (Prohibidas sin Excepción)

Incluyen, entre otras:

  • Denegación automática de solicitud de crédito o seguro
  • Rechazo automatizado de candidatura laboral
  • Rescisión automática de contrato de trabajo
  • Asignación automática de prestaciones sociales
  • Evaluación automatizada de desempeño con consecuencias laborales

7.2.3 Obligaciones Adicionales Cuando Apliquen Excepciones

Si el Cliente se acoge a alguna excepción del art. 22 RGPD:

a) Implementar medidas de salvaguardia:

  • Derecho a obtener intervención humana por parte del responsable
  • Derecho a expresar su punto de vista
  • Derecho a impugnar la decisión

b) Proporcionar información significativa sobre:

  • Lógica aplicada en el tratamiento automatizado
  • Importancia y consecuencias previstas para el interesado
  • Criterios de decisión utilizados

c) Realizar Evaluación de Impacto (EIPD) antes de la implementación

7.3 Mecanismos de Transfer a Humano (Warm Transfer)

7.3.1 Implementación Técnica

SKAI incluye funcionalidad de transferencia fluida a agente humano, que permite:

a) Transfer por solicitud del usuario:

  • Palabras clave configurables (ej. "operador", "agente humano", "hablar con persona")
  • Botón visible en interfaz de chat
  • Opción en menú de voz

b) Transfer automático por decisión del sistema:

  • Cuando el sistema detecte que no puede resolver adecuadamente la consulta
  • Cuando identifique emociones negativas intensas (frustración, enfado)
  • Cuando la conversación implique temas sensibles (reclamaciones, quejas graves)
  • Cuando se requiera validación humana por política del Cliente

c) Contexto transferido:

  • Historial completo de la conversación
  • Metadatos relevantes (intento de resolución, duración, temas tratados)
  • Información del cliente (si autenticado en CRM)

7.3.2 Compromisos de Disponibilidad

El Cliente se compromete a:

  • Garantizar disponibilidad de agentes humanos durante horario de atención declarado
  • Establecer tiempos máximos de espera razonables tras solicitud de transfer
  • Informar claramente sobre horarios de disponibilidad de atención humana
  • Proporcionar alternativa (mensaje, correo electrónico) si no hay agentes disponibles

7.3.3 Monitorización de Transfers

El Proveedor facilitará métricas sobre:

  • Tasa de transfer a humano (% de conversaciones que requieren escalado)
  • Motivos más frecuentes de transfer
  • Tiempo promedio de espera
  • Satisfacción post-transfer (si se implementa encuesta)

Estas métricas permitirán optimizar progresivamente el sistema y reducir la necesidad de intervención humana en casos rutinarios.

7.4 Prevención de Automatización Indebida

7.4.1 Prohibiciones Expresas

El Cliente se compromete a NO configurar SKAI para:

  • Decisiones disciplinarias laborales sin revisión humana
  • Rescisiones contractuales automáticas sin validación
  • Evaluaciones de solvencia o riesgo sin supervisión de experto humano
  • Comunicación de decisiones adversas graves (despidos, denegaciones de servicios esenciales) sin intervención personal

7.4.2 Auditorías de Uso

El Proveedor podrá realizar auditorías aleatorias de uso para verificar que SKAI no está siendo empleado para decisiones totalmente automatizadas prohibidas, y podrá:

  • Requerir al Cliente aclaraciones sobre casos detectados
  • Recomendar cambios en configuración para asegurar cumplimiento
  • En último extremo, suspender el servicio si hay uso manifiestamente ilícito

8. SEGURIDAD, AUDITORÍA Y TRAZABILIDAD

8.1 Medidas de Seguridad Técnicas y Organizativas

8.1.1 Principios de Seguridad Aplicables

Conforme al artículo 32 del RGPD y las mejores prácticas en ciberseguridad, el Proveedor implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

a) Seudonimización y cifrado:

  • Cifrado en tránsito: TLS 1.3 para todas las comunicaciones
  • Cifrado en reposo: AES-256 para bases de datos y almacenamiento
  • Seudonimización de identificadores personales cuando sea técnicamente viable sin afectar funcionalidad

b) Confidencialidad, integridad y disponibilidad:

  • Autenticación multifactor (MFA) para accesos administrativos
  • Control de acceso basado en roles (RBAC)
  • Segregación de entornos (producción, desarrollo, testing)
  • Backups automatizados diarios con retención mínima de 30 días

c) Resiliencia de sistemas:

  • Arquitectura de alta disponibilidad con redundancia
  • Monitorización 24/7 con alertas automáticas
  • Plan de Continuidad de Negocio (BCP) y Recuperación ante Desastres (DR)
  • RPO (Recovery Point Objective): 1 hora
  • RTO (Recovery Time Objective): 4 horas para funcionalidad crítica

d) Verificación y evaluación continua:

  • Pruebas de seguridad periódicas (mínimo semestrales)
  • Análisis de vulnerabilidades automatizado
  • Revisión de logs de seguridad
  • Auditorías de código y configuración

8.1.2 Certificaciones y Estándares

El Proveedor se compromete a mantener:

a) Cumplimiento con ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información):

  • Certificación obtenida o en proceso de obtención
  • Auditorías anuales de mantenimiento
  • Actualización continua de políticas de seguridad

b) Cumplimiento con ENS (Esquema Nacional de Seguridad, si aplicable para clientes del sector público español):

  • Categoría mínima: MEDIA
  • Documentación de conformidad disponible bajo solicitud

c) SOC 2 Type 2 (para proveedores críticos como VAPI, N8N):

  • Verificación de controles de seguridad de terceros
  • Revisión anual de reportes SOC 2

8.1.3 Gestión de Vulnerabilidades

El Proveedor implementa un proceso estructurado de gestión de vulnerabilidades:

a) Identificación y clasificación:

  • Escaneo automatizado mensual de infraestructura
  • Suscripción a boletines de seguridad de proveedores (OpenAI, Anthropic, Mistral, VAPI, N8N)
  • Clasificación según severidad (Crítica, Alta, Media, Baja)

b) Plazos de remediación:

  • Vulnerabilidades críticas: 72 horas
  • Vulnerabilidades altas: 7 días
  • Vulnerabilidades medias: 30 días
  • Vulnerabilidades bajas: 90 días o próxima ventana de mantenimiento

c) Comunicación al Cliente:

  • Notificación inmediata de vulnerabilidades críticas que afecten a datos del Cliente
  • Reporte trimestral de estado de seguridad

8.2 Trazabilidad y Logging (Artículo 12 Reglamento IA)

8.2.1 Obligación de Registro Automático

Conforme al artículo 12 del Reglamento (UE) 2024/1689, el sistema SKAI está diseñado para permitir el registro automático de acontecimientos (logs) durante todo su ciclo de vida, con el fin de:

  • Garantizar trazabilidad de decisiones y recomendaciones del sistema
  • Facilitar monitorización de funcionamiento y detección de incidentes
  • Permitir auditorías ex-post de cumplimiento normativo y contractual
  • Posibilitar investigaciones en caso de reclamaciones o incidentes de seguridad

8.2.2 Contenido de los Registros (Logs)

Los logs de SKAI incluyen, como mínimo:

a) Metadatos de interacción:

  • Fecha y hora de cada sesión (timestamp con precisión de segundos)
  • Identificador de sesión único
  • Canal utilizado (voz, chat web, WhatsApp)
  • Identificador de usuario (si autenticado) o identificador anónimo de sesión

b) Datos de conversación:

  • Transcripción o texto de mensajes intercambiados
  • Intenciones detectadas por el sistema (intent recognition)
  • Confianza/certeza de respuestas generadas (confidence scores)
  • LLM utilizado para cada respuesta (OpenAI GPT, Claude, Mistral)

c) Eventos técnicos:

  • Llamadas a APIs externas (LLMs, CRM, bases de datos)
  • Errores o excepciones ocurridas
  • Tiempos de respuesta (latencia)
  • Transfers a agente humano y motivo

d) Resultados generados:

  • Respuestas proporcionadas al usuario
  • Acciones ejecutadas (ej. crear ticket, enviar email, actualizar CRM)
  • Decisiones automatizadas adoptadas (si las hay)

8.2.3 Período de Retención de Logs

a) Logs operativos (para monitorización y troubleshooting):

  • Retención: 90 días
  • Almacenamiento: Sistemas de logging del Proveedor (ej. ElasticSearch, CloudWatch)

b) Logs de auditoría (para cumplimiento legal y contractual):

  • Retención: 3 años desde finalización de la interacción
  • Almacenamiento: Sistemas de archivo de larga duración con backups

c) Logs con datos personales (sujetos a RGPD):

  • Retención según principio de limitación de plazo (art. 5.1.e RGPD)
  • Supresión cuando dejen de ser necesarios para las finalidades para las que fueron recabados
  • Excepción: conservación por obligación legal (ej. legislación fiscal, laboral)

8.2.4 Protección de Logs y Control de Acceso

a) Cifrado: Los logs se almacenan cifrados en reposo (AES-256)

b) Control de acceso estricto:

  • Solo personal autorizado del Proveedor con necesidad legítima
  • Registro de accesos a logs (log de logs)
  • Prohibición de acceso no justificado

c) Integridad:

  • Uso de hashing (SHA-256) para garantizar que logs no sean manipulados
  • Auditorías periódicas de integridad

8.2.5 Acceso del Cliente a Logs

El Cliente tendrá derecho a:

a) Acceso web a dashboard con información agregada y anonimizada de sus sesiones:

  • Métricas de uso (número de conversaciones, duración media, etc.)
  • Indicadores de calidad (tasa de resolución, satisfacción)
  • Reportes de incidentes

b) Solicitud de logs específicos:

  • Para investigación de incidentes concretos
  • Para respuesta a solicitudes de interesados (ejercicio de derechos RGPD)
  • Para auditorías internas de cumplimiento

c) Formato de entrega: JSON estructurado o CSV, con seudonimización de identificadores personales cuando sea posible

8.3 Auditorías y Derecho de Inspección

8.3.1 Auditorías Ordinarias del Cliente

El Cliente tiene derecho a realizar auditorías ordinarias sobre:

  • Cumplimiento de medidas de seguridad establecidas en este contrato
  • Tratamiento de datos personales por parte del Proveedor
  • Funcionamiento del sistema SKAI en aspectos que afecten a obligaciones contractuales

Condiciones:

  • Frecuencia máxima: 1 vez al año
  • Preaviso: 30 días hábiles
  • Duración: Máximo 5 días laborables
  • Horario: Laboral, sin interferir con operaciones críticas
  • Coste: Asumido por el Cliente (salvo si detecta incumplimientos graves imputables al Proveedor)

8.3.2 Auditorías Extraordinarias

Podrán realizarse auditorías extraordinarias en los siguientes casos:

a) Por incidente de seguridad grave:

  • Inmediatas, sin preaviso si la urgencia lo justifica
  • Coste asumido por parte responsable del incidente

b) Por solicitud de autoridad de control (AEPD u otra):

  • Cooperación obligatoria de ambas partes
  • Facilitación de toda información y acceso necesario

c) Por cambio sustancial en el sistema:

  • Si el Proveedor introduce cambios significativos en arquitectura o proveedores LLM
  • Preaviso de 15 días

8.3.3 Auditorías de Terceros (Certificaciones)

El Proveedor se compromete a:

  • Mantener certificaciones vigentes (ISO 27001, SOC 2, ENS según aplique)
  • Facilitar al Cliente reportes de auditoría de terceros independientes (redactados de forma no confidencial)
  • Notificar cualquier hallazgo relevante en auditorías externas que pueda afectar al servicio

8.3.4 Obligación de Cooperación

En caso de auditoría:

a) El Proveedor facilitará acceso a:

  • Instalaciones (físicas o virtuales) donde se preste el servicio
  • Documentación técnica y políticas de seguridad
  • Logs y registros relevantes
  • Personal técnico para entrevistas

b) El Proveedor no estará obligado a revelar:

  • Código fuente propietario no esencial para la auditoría
  • Información de otros clientes
  • Secretos comerciales de proveedores LLM no divulgables

c) El Cliente y auditores firmarán acuerdos de confidencialidad (NDA) antes de acceder a información sensible

8.4 Documentación Técnica (Artículo 11 Reglamento IA)

8.4.1 Obligación de Documentación

Conforme al artículo 11 del Reglamento (UE) 2024/1689, aunque SKAI no sea sistema de alto riesgo, el Proveedor mantendrá documentación técnica actualizada que permita:

  • Demostrar conformidad con obligaciones legales y contractuales
  • Facilitar comprensión del funcionamiento del sistema
  • Permitir auditorías e inspecciones efectivas

8.4.2 Contenido de la Documentación Técnica

La documentación incluirá:

a) Descripción general del sistema:

  • Arquitectura de componentes (SKAI Core, Chat, Voz)
  • Flujos de datos y decisiones
  • Integraciones con sistemas externos (CRM, telefonía, etc.)

b) Información sobre modelos de IA utilizados:

  • Proveedores de LLM (OpenAI, Anthropic, Mistral)
  • Versiones de modelos empleadas
  • Parámetros de configuración (temperatura, max_tokens, etc.)
  • Actualizaciones y cambios de versión

c) Datos y entrenamiento:

  • Descripción de Knowledge Bases utilizadas
  • Proceso de configuración de bases de conocimiento
  • Métodos de optimización de prompts

d) Medidas de gestión de riesgos:

  • Riesgos identificados (alucinaciones, sesgos, fallos técnicos)
  • Controles implementados (validación, supervisión humana)
  • Actualizaciones de análisis de riesgo

e) Especificaciones técnicas:

  • Requisitos de integración
  • Formatos de datos (APIs REST, webhooks)
  • SLAs de disponibilidad y rendimiento

8.4.3 Acceso a Documentación

  • El Cliente tendrá acceso a versiones ejecutivas de la documentación técnica
  • El acceso a documentación completa podrá requerir firma de NDA
  • Actualizaciones significativas serán notificadas al Cliente trimestralmente

8.4.4 Conservación

El Proveedor conservará la documentación técnica durante:

  • Vigencia del contrato + 10 años tras finalización
  • O durante el plazo que establezca normativa sectorial aplicable (el mayor)

10. CUMPLIMIENTO NORMATIVO Y GOBERNANZA

10.1 Marco Normativo de Referencia

10.1.1 Normativa Principal Aplicable

El sistema SKAI y su uso por las partes se regirán por el siguiente marco normativo:

A) Normativa Europea:

  1. Reglamento (UE) 2024/1689 - Reglamento de Inteligencia Artificial (IA Act)
    • Aplicación: Desde 2 de agosto de 2026 (plena aplicabilidad)
    • Prohibiciones (art. 5): Desde 2 de febrero de 2025
    • Modelos de uso general: Desde 2 de agosto de 2025
  2. Reglamento (UE) 2016/679 - Reglamento General de Protección de Datos (RGPD)
    • Aplicación plena
  3. Reglamento (UE) 2022/2065 - Reglamento de Servicios Digitales (DSA)
    • Aplicable a plataformas y servicios intermediarios
  4. Directiva (UE) 2019/770 - Contenidos y servicios digitales
  5. Directiva 85/374/CEE - Responsabilidad por productos defectuosos (en revisión)

B) Normativa Española:

  1. Ley Orgánica 3/2018 (LOPDGDD) - Protección de Datos
  2. Real Decreto Legislativo 1/2007 - Ley General de Consumidores y Usuarios
  3. Ley 34/2002 - Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE)
  4. Real Decreto 3/2010 - Esquema Nacional de Seguridad (para sector público)
  5. Código Civil y Código de Comercio (en materia de responsabilidad contractual y extracontractual)

10.1.2 Monitorización de Cambios Normativos

El Proveedor se compromete a:

  • Monitorizar activamente cambios en la normativa aplicable a sistemas de IA
  • Notificar al Cliente con al menos 60 días de antelación cuando cambios normativos requieran:
    • Modificaciones en el sistema SKAI
    • Cambios en procedimientos del Cliente
    • Actualizaciones contractuales
  • Facilitar adaptaciones necesarias para mantener cumplimiento normativo, diferenciando:
    • Adaptaciones incluidas en mantenimiento ordinario (sin coste adicional)
    • Desarrollos específicos que puedan generar coste adicional (a negociar)

10.2 Comité de Gobernanza de IA

10.2.1 Constitución (para Clientes con Contratos Complejos o de Alto Riesgo)

Las partes podrán acordar constituir un Comité de Gobernanza de IA, compuesto por:

a) Representantes del Proveedor:

  • Responsable técnico de SKAI
  • Delegado de Protección de Datos (DPO) del Proveedor
  • Asesor legal (si necesario)

b) Representantes del Cliente:

  • Responsable de Tecnología o Sistemas
  • Delegado de Protección de Datos (DPO) del Cliente
  • Responsable de Cumplimiento Normativo

10.2.2 Funciones del Comité

a) Supervisión de cumplimiento:

  • Revisión trimestral de métricas de calidad y seguridad del sistema
  • Análisis de incidentes relevantes
  • Evaluación de reclamaciones de usuarios

b) Gestión de riesgos:

  • Actualización de análisis de riesgos de IA
  • Identificación de nuevos riesgos emergentes
  • Aprobación de medidas correctivas

c) Evolución normativa:

  • Seguimiento de cambios legislativos
  • Planificación de adaptaciones necesarias
  • Coordinación en evaluaciones de impacto (EIPD)

d) Mejora continua:

  • Revisión de KPIs y objetivos de calidad
  • Propuesta de mejoras en procesos y configuración
  • Validación de actualizaciones mayores del sistema

10.2.3 Funcionamiento

  • Reuniones ordinarias: Trimestrales (mínimo)
  • Reuniones extraordinarias: A solicitud de cualquier parte ante incidentes graves
  • Actas: Documentación escrita de decisiones y acuerdos
  • Comunicación: Canal de comunicación prioritario para temas de gobernanza

10.3 Evaluaciones de Impacto

10.3.1 Evaluación de Impacto en Protección de Datos (EIPD/DPIA)

Responsabilidad del Cliente como Responsable del Tratamiento:

Conforme al artículo 35 del RGPD, el Cliente deberá realizar una Evaluación de Impacto en Protección de Datos antes del tratamiento cuando este:

  • Pueda entrañar alto riesgo para derechos y libertades de personas físicas
  • Implique evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (incluida elaboración de perfiles)
  • Implique tratamiento a gran escala de categorías especiales de datos o datos relativos a condenas e infracciones penales
  • Implique observación sistemática a gran escala de zonas de acceso público

Obligación de Asistencia del Proveedor:

El Proveedor asistirá al Cliente en la realización de la EIPD mediante:

a) Facilitación de información técnica:

  • Descripción detallada de tratamientos de datos que realiza SKAI
  • Medidas de seguridad implementadas
  • Procesos de seudonimización/anonimización disponibles
  • Políticas de retención y supresión de datos

b) Plantillas y guías: Modelos de EIPD adaptados a sistemas de IA conversacional

c) Revisión conjunta: Participación en sesiones de análisis de riesgos

10.3.2 Evaluación de Impacto en Derechos Fundamentales (AIIA)

Para usos de SKAI que puedan considerarse de alto riesgo según Anexo III del Reglamento de IA (aunque no sea la configuración estándar), el Cliente deberá realizar una Algorithmic Impact Assessment (AIIA) que evalúe:

a) Impacto en derechos fundamentales:

  • Libertad de expresión
  • Derecho a la no discriminación
  • Derecho a la dignidad humana
  • Derechos específicos de grupos vulnerables

b) Riesgos de sesgo y discriminación:

  • Identificación de posibles sesgos en datos o algoritmos
  • Evaluación de impacto en grupos protegidos
  • Medidas de mitigación implementadas

c) Transparencia y explicabilidad:

  • Capacidad de explicar decisiones automatizadas
  • Información proporcionada a afectados
  • Mecanismos de recurso y rectificación

Asistencia del Proveedor: Similar a EIPD, facilitando información técnica necesaria.

10.3.3 Consulta Previa a Autoridad de Control

Si la EIPD o AIIA revela alto riesgo residual que no puede ser mitigado adecuadamente:

  • El Cliente, como Responsable del Tratamiento, deberá consultar a la Agencia Española de Protección de Datos (AEPD) antes de iniciar el tratamiento (art. 36 RGPD)
  • El Proveedor asistirá en la preparación de la consulta y facilitará información técnica requerida por la autoridad
  • El Cliente no podrá iniciar el uso de SKAI para dicha finalidad hasta obtener respuesta favorable de la autoridad

10.4 Formación y Concienciación

10.4.1 Formación del Personal del Cliente

El Proveedor facilitará al Cliente:

a) Formación inicial (incluida en contrato):

  • Sesión de 4 horas sobre funcionamiento de SKAI
  • Buenas prácticas de supervisión humana
  • Cumplimiento normativo básico (RGPD, IA Act)
  • Casos de uso y limitaciones del sistema

b) Formación continua (opcional):

  • Webinars trimestrales sobre actualizaciones
  • Documentación técnica actualizada
  • FAQs y base de conocimiento online

c) Formación especializada (coste adicional):

  • Para equipos de compliance o legal
  • Para personal técnico que deba configurar SKAI
  • Certificaciones específicas si se desarrollan

10.4.2 Concienciación de Usuarios Finales

El Cliente, con soporte del Proveedor, implementará programas de concienciación para usuarios finales sobre:

  • Naturaleza de la IA: Cómo funcionan los sistemas conversacionales, sus capacidades y limitaciones
  • Uso responsable: Qué tipo de consultas son apropiadas, cuáles requieren atención humana
  • Derechos: Información sobre derechos RGPD, derecho a intervención humana, cómo ejercerlos
  • Seguridad: Buenas prácticas de protección de datos personales en interacciones con SKAI

Materiales proporcionados por el Proveedor:

  • Infografías y posters
  • Vídeos explicativos cortos
  • Textos modelo para avisos legales y políticas de privacidad

10.5 Incumplimientos y Resolución

10.5.1 Incumplimientos Graves del Proveedor

Se considerarán incumplimientos graves que habilitan la resolución inmediata del contrato por el Cliente:

a) Violación grave de protección de datos:

  • Transferencias internacionales no autorizadas o sin garantías
  • Violaciones de seguridad por negligencia grave del Proveedor
  • Tratamiento de datos para finalidades no autorizadas

b) Incumplimiento de obligaciones de seguridad:

  • No mantener seguro de responsabilidad civil vigente por más de 30 días
  • Vulnerabilidades críticas no parcheadas en plazos comprometidos

c) Uso de sub-encargados no autorizados:

  • Incorporación de proveedores LLM no notificados o tras oposición expresa del Cliente

d) Indisponibilidad prolongada del servicio:

  • Caídas superiores a [24 horas consecutivas] sin causa de fuerza mayor
  • Incumplimiento reiterado de SLAs (>3 veces en un trimestre)

10.5.2 Incumplimientos Graves del Cliente

Se considerarán incumplimientos graves que habilitan la resolución inmediata del contrato por el Proveedor:

  • Impago de facturas: Impago superior a [60 días] tras requerimiento
  • Uso ilícito del sistema: Uso manifiesto para finalidades prohibidas por la ley o términos de uso de proveedores LLM
  • Falta de cooperación: Negativa reiterada a colaborar en investigaciones de incidentes o auditorías de autoridades

10.5.3 Procedimiento de Resolución

a) Notificación: La parte que invoca el incumplimiento deberá notificarlo por escrito de forma fehaciente (burofax, correo certificado, email con acuse de recibo)

b) Plazo de subsanación: La parte incumplidora dispondrá de [15 días hábiles] para subsanar, salvo que el incumplimiento sea de imposible o muy difícil reparación

c) Efectos de la resolución:

  • Cese inmediato de la prestación del servicio
  • Devolución o supresión de datos del Cliente conforme a procedimientos acordados
  • Liquidación económica: Facturación prorrateada hasta fecha de resolución, sin penalizaciones adicionales salvo daños acreditados
  • Portabilidad: El Proveedor facilitará exportación de datos y documentación técnica necesaria para migración

10.5.4 Resolución Voluntaria

Cualquiera de las partes podrá resolver el contrato con preaviso de [90 días] sin necesidad de causa, abonando los servicios prestados hasta la fecha efectiva de resolución.

11. DISPOSICIONES FINALES

11.1 Modificaciones Contractuales

11.1.1 Modificaciones Ordinarias

Las modificaciones al presente documento requerirán acuerdo expreso por escrito de ambas partes, mediante addenda o anexos numerados.

11.1.2 Modificaciones por Cambio Normativo

Si cambios en la normativa aplicable (especialmente en Reglamento de IA o RGPD) requieren adaptaciones:

  • El Proveedor notificará al Cliente con 60 días de antelación las modificaciones necesarias
  • Si las modificaciones no implican coste adicional para el Cliente ni alteran sustancialmente el servicio, se considerarán aceptadas tácitamente
  • Si implican cambios sustanciales, el Cliente podrá:
    • Aceptar las modificaciones
    • Negociar condiciones alternativas
    • Resolver el contrato sin penalización con preaviso de 30 días

11.2 Notificaciones

11.2.1 Canales de Comunicación Oficial

Las notificaciones formales entre las partes (incidentes graves, modificaciones contractuales, resolución) deberán realizarse mediante:

a) Correo electrónico certificado a las direcciones designadas:

  • Proveedor: [legal@solverkey.com]
  • Cliente: [dirección a especificar en contrato]

b) Correo postal certificado con acuse de recibo para notificaciones especialmente relevantes (resolución, reclamaciones)

c) Burofax en casos que requieran máxima constancia fehaciente

11.2.2 Plazo de Eficacia

Las notificaciones se entenderán efectuadas:

  • Correo electrónico: En el momento de recepción (acuse de lectura o 24h desde envío)
  • Correo postal: A los 3 días hábiles desde envío
  • Burofax: Según fecha de recepción acreditada

11.3 Confidencialidad

11.3.1 Información Confidencial

Ambas partes se comprometen a mantener confidencialidad sobre:

  • Términos económicos del contrato
  • Información técnica y comercial de la otra parte
  • Datos de clientes y usuarios finales
  • Configuraciones específicas de SKAI
  • Vulnerabilidades de seguridad detectadas

Excepciones:

  • Información de dominio público sin culpa de la parte receptora
  • Información requerida por ley o autoridad competente
  • Información necesaria para ejercer derechos o defenderse judicialmente

11.3.2 Duración de la Obligación

La obligación de confidencialidad se mantendrá durante la vigencia del contrato y 5 años adicionales tras su finalización.

11.4 Propiedad Intelectual

11.4.1 Propiedad de SKAI

El Proveedor retiene todos los derechos de propiedad intelectual e industrial sobre:

  • El sistema SKAI en su conjunto (código, arquitectura, diseño)
  • Componentes desarrollados específicamente (workflows N8N, integraciones)
  • Documentación técnica genérica
  • Marca "SKAI" y elementos de branding

11.4.2 Licencia de Uso al Cliente

El Cliente obtiene una licencia no exclusiva, intransferible y limitada para utilizar SKAI durante la vigencia del contrato, únicamente para los usos acordados.

11.4.3 Propiedad de Datos del Cliente

El Cliente retiene todos los derechos sobre:

  • Sus datos corporativos integrados en SKAI
  • Conversaciones y contenidos generados en interacción con sus usuarios finales
  • Configuraciones y Knowledge Bases específicas que haya aportado

11.4.4 Outputs Generados por IA

Los outputs (respuestas, contenidos) generados por los modelos LLM:

  • Pertenecen al Cliente en tanto sean resultado de sus inputs y configuraciones
  • Sin embargo, el Cliente reconoce las limitaciones de derechos de autor sobre contenidos generados por IA conforme a normativa aplicable
  • El Cliente será responsable de verificar que dichos outputs no infrinjan derechos de terceros antes de su uso comercial

11.5 Fuerza Mayor

Ninguna de las partes será responsable por incumplimientos derivados de causas de fuerza mayor, entendidas como acontecimientos imprevisibles, inevitables e independientes de la voluntad de las partes, tales como:

  • Catástrofes naturales (terremotos, inundaciones, etc.)
  • Guerras, actos terroristas, disturbios civiles
  • Huelgas generales o del sector
  • Pandemias declaradas por autoridades sanitarias
  • Cortes generalizados de servicios públicos esenciales (electricidad, internet)
  • Ataques cibernéticos masivos tipo DDoS de gran escala

Obligación de notificación: La parte afectada deberá notificar a la otra en un plazo máximo de 48 horas y proporcionar evidencia razonable.

Si la situación de fuerza mayor se prolonga más de [60 días], cualquiera de las partes podrá resolver el contrato sin penalización.

11.6 Ley Aplicable y Jurisdicción

11.6.1 Ley Aplicable

El presente contrato se regirá e interpretará conforme a la legislación española, incluyendo:

  • Código Civil español
  • Código de Comercio español
  • Normativa específica en materia de protección de datos (LOPDGDD)
  • Normativa europea de aplicación directa (RGPD, Reglamento IA)

11.7 Divisibilidad

Si cualquier disposición del presente documento fuera declarada nula o inaplicable por autoridad competente, dicha nulidad no afectará a la validez del resto de cláusulas, que permanecerán en vigor en toda su extensión.

Las partes se comprometen a negociar de buena fe una disposición sustitutiva que se ajuste al espíritu original de la cláusula invalidada.

11.8 Integridad del Acuerdo

Este documento, junto con sus anexos (si los hubiere), constituye el acuerdo completo entre las partes en relación con el objeto del mismo, y sustituye a cualquier acuerdo verbal o escrito anterior.

Anexos integrantes:

  • Anexo I: Especificaciones Técnicas de SKAI
  • Anexo II: SLAs (Service Level Agreements)
  • Anexo III: Política de Precios y Facturación
  • Anexo IV: Listado de Sub-encargados (Proveedores LLM)
  • Anexo V: Procedimientos de Seguridad y Respuesta ante Incidentes
  • Anexo VI: Modelo de Evaluación de Impacto (EIPD)

11.9 Entrada en Vigor

El presente documento de cláusulas legales entrará en vigor en la fecha de firma del contrato de prestación de servicios SKAI entre las partes, y permanecerá vigente durante toda la duración del mismo.