5 consideraciones clave en materia de contratación para las empresas de salud digital que trabajan con proveedores de IA

La inteligencia artificial (IA) está transformando rápidamente la salud digital: desde la participación de los pacientes hasta la toma de decisiones clínicas, los cambios son revolucionarios. La contratación de proveedores de IA presenta nuevos riesgos legales, operativos y de cumplimiento. Los directores generales y los equipos jurídicos del sector de la salud digital deben adaptar las estrategias tradicionales de contratación para hacer frente a la realidad de los sistemas de IA que manejan datos sanitarios sensibles y altamente regulados.

Para garantizar resultados óptimos, aquí hay cinco áreas críticas que las empresas de salud digital deben abordar en el proceso de negociación de contratos con posibles proveedores de IA:

1. Definir las capacidades, el alcance y el rendimiento de la IA.

Tu contrato debe especificar explícitamente:

• Describa lo que hace la herramienta de IA, sus limitaciones, puntos de integración y resultados esperados.
• Establecer estándares de rendimiento medibles e incorporarlos a los acuerdos de nivel de servicio.
• Incluya pruebas de aceptación por parte del usuario y soluciones, como créditos de servicio o rescisión si no se cumplen los estándares de rendimiento. Esto protege su inversión en servicios basados en IA y alinea la responsabilidad del proveedor con sus objetivos operativos.

2. Aclarar la propiedad de los datos y los derechos de uso.

La IA se nutre de datos, por lo que es esencial que haya claridad en cuanto a la propiedad, el acceso y las licencias de los datos. El contrato debe especificar los datos concretos a los que el proveedor puede acceder y utilizar, incluyendo si dichos datos incluyen información sanitaria protegida (PHI), otra información personal o datos operativos, y si pueden utilizarse para entrenar o mejorar los modelos del proveedor. Es importante que el contrato garantice que cualquier uso de los datos por parte del proveedor se ajuste a la HIPAA, las leyes estatales de privacidad y las políticas internas de la empresa, incluida la restricción del reutilización de la PHI u otros datos sanitarios sensibles para fines distintos al de la prestación de servicios a la empresa por parte del proveedor u otros fines permitidos por la ley. Existe una mayor flexibilidad para conceder licencias de acceso al proveedor para que utilice los datos anonimizados con el fin de entrenar o desarrollar modelos de IA, si la empresa está interesada en conceder dichas licencias de datos. 

También debe examinar detenidamente las licencias de datos generales. Tenga cuidado de no asumir responsabilidad alguna por el uso que un proveedor haga de sus datos, a menos que el caso de uso esté claramente autorizado en el contrato.

3. Exigir transparencia y capacidad de explicación

Los reguladores y los pacientes esperan transparencia en las decisiones sanitarias basadas en la inteligencia artificial. Exija documentación que explique cómo funciona el modelo de IA, la lógica detrás de los resultados y qué medidas de seguridad se han implementado para mitigar los sesgos y las imprecisiones.

Tenga cuidado con los proveedores que revenden o incorporan herramientas de IA de terceros sin los conocimientos suficientes o sin obligaciones de transferencia. El proveedor debe poder auditar o explicar las herramientas que licencia de terceros si dichas herramientas de IA manejan datos confidenciales de atención médica de su empresa.

4. Abordar la responsabilidad y la asignación de riesgos

La responsabilidad relacionada con la IA, especialmente por errores, alucinaciones o incidentes de ciberseguridad, puede tener consecuencias considerables. Asegúrese de que el contrato incluya indemnizaciones personalizadas y asignaciones de riesgos basadas en la sensibilidad de los datos y la función de la herramienta de IA.

Tenga cuidado con los proveedores que excluyen la responsabilidad por el contenido generado por IA. Esto puede ser aceptable para herramientas internas, pero no para resultados que llegan a pacientes, pagadores o reguladores. Las herramientas de bajo coste con alta exposición de datos pueden suponer un riesgo de responsabilidad desproporcionado, lo que es especialmente cierto si los límites de responsabilidad están vinculados únicamente a las tarifas del contrato. 

5. Plan para el cumplimiento normativo y el cambio

Con la evolución de las normas de los organismos reguladores federales y estatales en materia de privacidad, los proveedores deben comprometerse a cumplir de forma continua con los requisitos actuales y futuros. Los contratos deben permitir flexibilidad para futuros cambios en la legislación o en las mejores prácticas. Esto ayudará a garantizar que las herramientas de IA en las que confía su empresa no se queden atrás en cuanto a la normativa, o peor aún, que no expongan a su empresa a riesgos de incumplimiento debido a la falta de conformidad o a un comportamiento obsoleto de los modelos.

Incorporar esta lista de verificación para la contratación de proveedores de IA en su proceso de selección de proveedores ayudará a los directores generales a gestionar de forma sistemática los riesgos, el cumplimiento normativo y las oportunidades de innovación al trabajar con proveedores de IA.

Lista de verificación para la contratación de proveedores de IA:

• Definir el alcance, las capacidades y las expectativas de rendimiento de la IA.
• Aclarar las obligaciones relativas a la propiedad, el acceso y la privacidad de los datos.
• Exigir transparencia y explicabilidad en los procesos de IA.
• Establecer responsabilidades claras en materia de responsabilidad civil, riesgos y cumplimiento normativo.
• Establecer condiciones para las actualizaciones, la adaptabilidad y la estrategia de salida.

Las soluciones de IA en el ámbito de la atención sanitaria siguen evolucionando rápidamente. Por lo tanto, las empresas de salud digital deben seguir de cerca cualquier novedad y seguir tomando las medidas necesarias para protegerse durante el proceso de contratación. Si tiene alguna pregunta sobre la IA y la incorporación de nuevas soluciones de IA, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores jurídicos séniordel Grupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica de Atención Sanitaria de Foley.