Proveedores de IA con DPA, SCCs y TIA
Usar OpenAI sin DPA es una transferencia internacional sin base legal.
Marco / norma: GDPR Cap. V + Art. 28 · EU AI Act Art. 25 · ISO/IEC 42001 A.10
Habilitar autodescripciones con OpenAI suena inofensivo. Legalmente es enviar datos a un sub-encargado, posiblemente fuera de la UE. ¿Tienes el DPA firmado? ¿Las SCCs? ¿El TIA?
Linedat modela cada proveedor de IA como entidad versionada, con su cadena de responsabilidad y el estado de su documentación legal.
La cadena controller → processor → sub-processor
Cada proveedor registra su tipo, jurisdicción, mecanismo de transferencia (SCCs, adecuación, BCR), fechas de firma del DPA y las SCCs, el resultado del TIA (post-Schrems II) y sus sub-encargados. Antes de habilitar una feature de IA, puedes demostrar que la base legal de la transferencia está en su sitio.
Versionado y renovación
El estado del DPA/SCCs/TIA se versiona, con historial, y se marca la fecha de renovación. Conviertes "creo que sí, está en algún sitio" en "aquí está, versión 3, firmada el 12/03".
Los límites (lo que no afirmamos)
El paso a proveedor "activo" exige DPA registrado, pero el TIA y los sub-encargados son declarativos (registro manual, no cuestionario ni verificación de lo que el proveedor declara realmente). El gate de runtime que impida usar un proveedor no permitido aún no existe: es registro documental y auditado, no bloqueo en caliente.
Cómo te ayuda Linedat
Linedat mete el vendor risk de IA dentro del catálogo, no en una hoja aparte: antes de que tu IA hable con un tercero, ya sabes si ese tercero tiene papeles — y sus sub-encargados.
Capacidades relacionadas
Antes de que un DNI o un IBAN salgan hacia OpenAI, se redactan — en el camino crítico, no como opción.
Inventario de sistemas de IA por riesgoEl AI Act audita sistemas, no llamadas. Cada IA, inventariada con su clase de riesgo.
Derechos del interesado (DSR) con reloj legalEl derecho del ciudadano no se gestiona por email: con reloj del Art. 12 y localización del dato vía RoPA.
