¿Tiene un contrato de SaaS en vigor? Es posible que necesites un apéndice de IA

 Resultado de imagen de contrato SaaS

Prácticamente todas las empresas han firmado un acuerdo con un proveedor de software como servicio ("SaaS") en un momento u otro. Y ahora, prácticamente todos los proveedores de SaaS (al menos, al menos) están lanzando una función o servicio relacionado con la IA. La introducción de servicios relacionados con la IA, y de servicios relacionados con la IA generativa («GenAI») en particular, por parte de un proveedor requiere la inclusión de determinadas condiciones contractuales propias de este tipo de servicio. Debido a que muchos contratos de SaaS se firmaron antes del actual auge de la GenAI, es posible que las empresas necesiten un apéndice de IA a sus contratos, es decir, modificaciones contractuales diseñadas para aclarar el uso de la IA, definir responsabilidades y mitigar la exposición legal.

La primera cuestión que hay que tener en cuenta es si su empresa quiere que sus proveedores de software utilicen programas GenAI en primer lugar. Si bien la IA tiene el potencial de mejorar la eficiencia y automatizar tareas complejas, las organizaciones deben tener la opción de evaluar y controlar cuándo y cómo se aplica la IA. Sin limitaciones contractuales claras, un proveedor puede introducir funciones de IA que procesen datos confidenciales o realicen funciones comerciales críticas sin suficiente supervisión. Exigir a los proveedores que obtengan el consentimiento previo antes de implementar la IA garantiza que su uso se alinee con las políticas internas y la tolerancia al riesgo, brinda la oportunidad de evaluar el cumplimiento de las regulaciones pertinentes y evita que la IA procese o analice datos confidenciales de manera involuntaria. Si una herramienta de IA se introduce a mitad del contrato sin una investigación adecuada, una organización podría verse expuesta a riesgos inesperados, como violaciones de la normativa, toma de decisiones sesgada o resultados poco fiables.

En consecuencia, si el uso de programas GenAI es un problema para su empresa, querrá asegurarse de que el apéndice incluya un lenguaje que indique que el proveedor no puede utilizar programas GenAI en relación con la prestación de servicios a su empresa o introducir los datos de su empresa en un programa GenAI. Alternativamente, puede establecer barreras de seguridad con respecto a los tipos de usos que están permitidos y los que no.

Titularidad de la propiedad intelectual

Otra cuestión clave es la propiedad y el uso de los datos procesados por los sistemas de IA. Dado que los modelos de IA generan información, texto, imágenes, vídeos y otras formas de contenido, es fundamental determinar quién es el propietario de estos resultados generados por la IA. Muchos proveedores reclaman amplios derechos sobre los datos producidos por sus modelos de IA, lo que genera preocupaciones sobre la propiedad intelectual y la confidencialidad. Las empresas deben asegurarse de que los contratos definan explícitamente quién es el propietario del contenido generado por IA, especialmente en aplicaciones creativas o estratégicas. Como mínimo, las empresas deben asegurarse de que el proveedor ceda a la empresa los derechos que pueda tener sobre la salida. En algunos casos, los proveedores intentan conservar ciertos derechos sobre los resultados generados por IA o ciertos tipos de productos. Esto puede crear complicaciones si una organización tiene la intención de utilizar esos resultados con fines comerciales o mantener el control exclusivo sobre la información comercial confidencial. Sin un lenguaje contractual claro, las empresas corren el riesgo de perder el control sobre los datos patentados y la propiedad intelectual, lo que puede dar lugar a desventajas competitivas.

Capacitación de sistemas GenAI con datos de clientes

Estrechamente relacionada con la propiedad de los datos está la preocupación sobre si los datos de los clientes se utilizan para entrenar los modelos de IA de los proveedores. Varios proveedores de IA están aprovechando los datos de los clientes para refinar y mejorar sus sistemas de aprendizaje automático, a veces sin revelar claramente esta práctica. Si bien algunas organizaciones pueden sentirse cómodas con los datos anónimos, si es que los datos se anonimizan, que se utilizan para mejorar el modelo, otras organizaciones no pueden permitirse correr tales riesgos. El uso de datos confidenciales o patentados para entrenar modelos de IA puede crear una exposición legal significativa, especialmente si el sistema de IA produce resultados sesgados o inexactos o da lugar a la divulgación de información confidencial. La mejor práctica es agregar un lenguaje al apéndice de IA que impida que el proveedor use los datos de la empresa para entrenar sus modelos, y solo permita que el proveedor use esos datos con el fin de cumplir con sus obligaciones en virtud del contrato. Esta restricción es particularmente crucial en industrias como la atención médica, las finanzas y los servicios legales, donde el uso inadecuado de los datos podría resultar en violaciones de la privacidad de los datos, violaciones de cumplimiento, sanciones regulatorias o violaciones de la confidencialidad del cliente.

Indemnización y limitación de responsabilidad

Otro aspecto crucial de los acuerdos con proveedores relacionados con la IA es la responsabilidad y la indemnización. Los grandes modelos de lenguaje se entrenan utilizando cantidades masivas de datos disponibles públicamente, muchos de los cuales pueden estar sujetos a derechos de autor. Las salidas generadas por IA pueden infringir derechos de autor de terceros u otros derechos de propiedad intelectual. Muchos de los términos de uso asociados con las versiones empresariales de los proveedores populares de GenAI indemnizan a los usuarios por reclamaciones de infracción de derechos de autor de terceros basadas en los resultados de sus programas. Pero es muy poco probable que un contrato SaaS preexistente lo haga. Las empresas deben buscar cláusulas de indemnización que las protejan de demandas o sanciones regulatorias que surjan, por ejemplo, de reclamaciones de infracción de propiedad intelectual de terceros basadas en una violación de la ley aplicable resultante del uso del modelo de IA autorizado por el proveedor. Sin tales protecciones, las empresas pueden verse expuestas a riesgos significativos sin recurrir contra el proveedor.

Más allá del uso de datos, las organizaciones también deben asegurarse de que los proveedores cumplan con las leyes y regulaciones relacionadas con la IA en evolución. El panorama legal que rodea a la IA está cambiando rápidamente, y los gobiernos y los organismos reguladores de todo el mundo están introduciendo nuevos marcos para abordar preocupaciones como la privacidad de los datos, la transparencia algorítmica y la mitigación de sesgos. Dada la dificultad inherente a la aprobación de una legislación integral sobre IA a nivel federal, es probable que los estados intervengan para llenar el vacío, al igual que lo han hecho en el contexto de la privacidad de datos. Solo en Estados Unidos, se presentaron más de 600 proyectos de ley relacionados con la IA a nivel estatal. Las empresas deben asegurarse de que las disposiciones contractuales relacionadas con la IA obliguen a los proveedores a cumplir con todas las leyes y estándares de la industria aplicables. Esto incluye el cumplimiento de las principales normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA), así como las leyes específicas del sector que rigen las aplicaciones de IA en áreas como los servicios financieros, la atención sanitaria y el empleo.

Las empresas también deben considerar agregar el cumplimiento de la ley al alcance de la cláusula de indemnización, y exceptuar el cumplimiento de la sección de cualquier limitación de responsabilidad. Además, y de manera óptima, los contratos deben exigir a los proveedores que implementen un seguimiento y evaluaciones continuas de sus herramientas de IA para garantizar que sigan cumpliendo a medida que evolucionan las normas legales. Sin estas disposiciones, las organizaciones podrían ser responsables de infracciones regulatorias relacionadas con la IA, incluso si un proveedor es responsable de la tecnología subyacente.

Predisposición

El uso ético y responsable de la IA es otra área crítica que puede requerir garantías contractuales explícitas. Las decisiones impulsadas por la IA pueden ser opacas y, en algunos casos, en estas o discriminatorias. Dado que las empresas dependen cada vez más de la IA para la toma de decisiones, los acuerdos de los vendedores deben establecer expectativas claras en torno a la transparencia, la mitigación de los perjuicios y la rendición de cuentas. De forma óptima, y dependiendo del tipo de producto GenAI que se proporcione, las empresas deben tratar de incluir el idioma que requiere que los vendedores divulguen información sobre como operan sus sistemas de IA, proporcionar explicaciones para decisiones automatizadas y ofrecer mecanismos para que las organizaciones auditen los resultados. La mitigación de los perjuicios es particularmente importante en las aplicaciones de IA que incluyen contratación, préstamos, asistencia sanitaria y otros procesos de toma de decisiones de alta participación. Muchas de las leyes relacionadas con la IA han proliferado a nivel estatal e incluso municipal se relacionaron con resultados en disnero. Sin guardas contractuales, las organizaciones arriesgan daños reputacionales o desafíos legales si las herramientas de IA producen resultados injustos, discriminatorios o engañosos.

Conclusión clave

A medida que la tecnología de IA continúa evolucionando, los contratos de proveedores de software preexistentes deben seguir el ritmo de estos cambios. Al abordar de forma proactiva los riesgos relacionados con la IA a través de disposiciones contractuales claras en un apéndice de IA, las empresas pueden aprovechar mejor los beneficios de la IA y, al mismo tiempo, minimizar la exposición a desafíos legales y operativos imprevistos. Las organizaciones que no actualicen sus contratos para tener en cuenta los riesgos de la IA pueden enfrentarse a importantes responsabilidades, a un escrutinio normativo o a la pérdida de control sobre las funciones empresariales críticas. Un apéndice de IA bien redactado es fundamental para minimizar el riesgo y garantizar que las empresas mantengan el control sobre cuándo y cómo sus proveedores emplean soluciones de IA.

 Fuente: JDSupra

Comentarios

Publicar un comentario

Entradas populares de este blog

Ransomware ataca ESXi a través de túneles SSH ocultos

Imagen
 Grupos de ransomware y actores de amenazas están utilizando técnicas de "vivir fuera de la tierra" y utilizando herramientas nativas como SSH para establecer un túnel SOCKS entre sus servidores C2 y el entorno comprometido. "Los dispositivos ESXi, que no están monitoreados, se explotan cada vez más como un mecanismo de persistencia y una puerta de acceso para acceder a las redes corporativas de forma generalizada" , dijeron los investigadores de Sygnia Aaron (Zhongyuan) Hau y Ren Jie Yow en un   informe publicado   la semana pasada. La idea es mezclar datos exfiltrados con el tráfico legítimo y establecer una persistencia a largo plazo en la red comprometida con poca o ninguna detección por parte de los controles de seguridad. La empresa de ciberseguridad Sygnia dijo que en muchos los incidentes analizado, los sistemas ESXi se vieron comprometidos ya sea mediante el uso de credenciales de administrador o aprovechando una vulnerabilidad de seguridad conocida para el...
Leer más

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de...
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños...
Leer más