Proveïdors d'IA amb DPA, SCCs i TIA
Usar OpenAI sense DPA és una transferència internacional sense base legal.
Marc / norma: GDPR Cap. V + Art. 28 · EU AI Act Art. 25 · ISO/IEC 42001 A.10
Habilitar autodescripcions amb OpenAI sona innocu. Legalment és enviar dades a un sub-encarregat, possiblement fora de la UE. Tens el DPA signat? Les SCCs? El TIA?
Linedat modela cada proveïdor d'IA com una entitat versionada, amb la seva cadena de responsabilitat i l'estat de la seva documentació legal.
La cadena controller → processor → sub-processor
Cada proveïdor registra el seu tipus, jurisdicció, mecanisme de transferència (SCCs, adequació, BCR), dates de signatura del DPA i les SCCs, el resultat del TIA (post-Schrems II) i els seus sub-encarregats. Abans d'habilitar una feature d'IA, pots demostrar que la base legal de la transferència és al seu lloc.
Versionat i renovació
L'estat del DPA/SCCs/TIA es versiona, amb historial, i es marca la data de renovació. Converteixes "crec que sí, és en algun lloc" en "aquí és, versió 3, signada el 12/03".
Els límits (què no afirmem)
El pas a proveïdor "actiu" exigeix DPA registrat, però el TIA i els sub-encarregats són declaratius (registre manual, no qüestionari ni verificació del que el proveïdor declara realment). El gate de runtime que impedeixi usar un proveïdor no permès encara no existeix: és registre documental i auditat, no bloqueig en calent.
Com t'ajuda Linedat
Linedat fica el vendor risk d'IA dins del catàleg, no en un full a part: abans que la teva IA parli amb un tercer, ja saps si aquest tercer té papers — i els seus sub-encarregats.
Capacitats relacionades
Abans que un DNI o un IBAN surtin cap a OpenAI, es redacten — en el camí crític, no com a opció.
Inventari de sistemes d'IA per riscL'AI Act audita sistemes, no crides. Cada IA, inventariada amb la seva classe de risc.
Drets de l'interessat (DSR) amb rellotge legalEl dret del ciutadà no es gestiona per correu electrònic: amb rellotge de l'Art. 12 i localització de la dada via RoPA.
