Contratos de IA en el sector sanitario: cómo evitar el caos de los datos

Para las empresas de IA del sector sanitario, los datos lo son todo. Impulsan el rendimiento de los modelos, favorecen la diferenciación de los productos y pueden determinar la escalabilidad. Sin embargo, con demasiada frecuencia, los derechos sobre los datos se definen de forma imprecisa o se pasan por alto por completo en los acuerdos comerciales. Se trata de un error grave.

Ya sea que esté contratando con un sistema de salud, integrándose a una plataforma de salud digital o asociándose con un proveedor empresarial, su estrategia de datos debe reflejarse de manera clara y precisa en sus contratos. De lo contrario, podría encontrarse excluido de los activos que necesita para crecer o, lo que es peor, responsable de infracciones normativas que nunca había previsto.

Este artículo describe tres áreas en las que consideramos que las empresas de IA sanitaria están más expuestas al riesgo: derechos de formación, condiciones de revocación y retención, y responsabilidad compartida. No se trata solo de cuestiones técnicas del contrato. Son fundamentales para su valoración, su postura de cumplimiento normativo y su capacidad de defensa a largo plazo.

1. Derechos de formación: defínalos con precisión

La mayoría de los proveedores de IA sanitaria quieren tener algún derecho a utilizar los datos de los clientes para mejorar o entrenar sus modelos. Eso es de esperar. El problema es que muchos acuerdos utilizan un lenguaje impreciso, como «mejorar los servicios» o «fines analíticos», para describir lo que el proveedor puede hacer realmente con los datos. En el contexto de la atención sanitaria, esto puede ser problemático desde el punto de vista legal.

Según la HIPAA, el uso de información médica protegida (PHI) para fines que no sean el tratamiento del paciente por parte de una entidad cubierta, el pago o las operaciones de atención médica, generalmente requiere la autorización del paciente. Como resultado, los casos de uso como el entrenamiento de modelos o la mejora de productos requieren un argumento sólido que demuestre que la actividad califica como operaciones de atención médica de la entidad cubierta; de lo contrario, se requerirá la autorización del paciente. Incluso los datos denominados «anonimizados» o «desidentificados» no siempre son seguros si no se han desidentificado de forma adecuada y completa según la norma HIPAA para la desidentificación.

Si su modelo de negocio se basa en el uso de datos de clientes para el entrenamiento de modelos generalizados, debe dejarlo claro en su contrato. Esto incluye aclarar si los datos son identificables o anonimizados, qué método de anonimización se utiliza y si los resultados de ese entrenamiento se limitan al modelo específico del cliente o pueden utilizarse en toda su plataforma.

Por otro lado, si ofreces un modelo como servicio personalizado para cada cliente y que no se basa en datos de entrenamiento compartidos, debes indicarlo claramente y asegurarte de que el contrato respalda esa estructura. De lo contrario, corres el riesgo de que surja una disputa más adelante sobre cómo se pueden utilizar los datos o si los resultados se compartieron de forma inadecuada entre los clientes.

También es fundamental armonizar esta disposición con su acuerdo de socio comercial (BAA) si está procesando información médica protegida (PHI). Una discrepancia entre los términos comerciales y el BAA puede plantear problemas de cumplimiento y levantar sospechas, especialmente durante la diligencia debida. Recuerde que, en la mayoría de los casos, si su acuerdo comercial establece que puede desidentificar los datos, pero su BAA dice que la desidentificación está prohibida, es probable que prevalezca el BAA, debido a la típica cláusula de conflicto del BAA que favorece al BAA cuando se trata de PHI. 

2. Revocación y retención: abordar lo que ocurre cuando finaliza el contrato.

Demasiados contratos de IA no especifican qué ocurre con los datos, los modelos y los resultados tras la finalización del contrato. Esa falta de especificidad genera riesgos para ambas partes.

Desde la perspectiva del cliente, permitir que un proveedor continúe utilizando los datos del cliente después de la rescisión para entrenar modelos futuros puede ser problemático según la HIPAA e incluso parecer un abuso de confianza. Desde la perspectiva del proveedor, perder los derechos sobre los datos a los que se ha accedido anteriormente o los resultados entrenados puede perturbar la continuidad del producto o las ventas futuras.

La clave está en definir si los derechos de uso de los datos o los resultados de los modelos siguen vigentes tras la rescisión y en qué condiciones. Si desea conservar la capacidad de utilizar los datos o los modelos entrenados tras la rescisión, eso debe ser un derecho expreso y negociado. De lo contrario, debe estar preparado para cancelar ese acceso, destruir cualquier dato conservado y, posiblemente, volver a entrenar los modelos desde cero.

Esto es especialmente importante cuando se trata de modelos derivados. Una trampa habitual es permitir que el proveedor afirme que, una vez que los datos se utilizan para entrenar un modelo, este ya no está vinculado a los datos subyacentes. Es posible que los tribunales y los organismos reguladores no estén de acuerdo si ese modelo sigue reflejando información confidencial de los pacientes.

Como mínimo, su acuerdo debe responder a tres preguntas:

1. ¿Puede el proveedor conservar y seguir utilizando los datos a los que ha tenido acceso durante la vigencia del contrato?
2. ¿Sobreviven a la rescisión los derechos sobre los modelos entrenados o los resultados?
3. ¿Existe la obligación de destruir, desidentificar o devolver los datos una vez finalizada la relación?

Para relaciones de mayor valor, considere negociar una licencia que sobreviva a la rescisión, junto con una compensación adecuada y obligaciones de confidencialidad. En el contexto de la atención médica, esta licencia posterior a la rescisión generalmente solo incluirá datos anonimizados. De lo contrario, incluya una cláusula de devolución o destrucción de datos que describa cómo y cuándo se deben devolver o destruir los datos.

3. Responsabilidad compartida: aclarar la responsabilidad por los daños derivados

Una de las cuestiones más ignoradas en los contratos de IA en el ámbito de la salud es la asignación de responsabilidades. Las recomendaciones generadas por la IA pueden influir en las decisiones médicas, las prácticas de facturación y la comunicación con los pacientes. Cuando algo sale mal, la pregunta es: ¿quién es responsable?

Los proveedores de IA suelen posicionarse como meras herramientas para los proveedores de atención sanitaria e intentan eximirse de responsabilidad por cualquier uso posterior. Por su parte, los proveedores de atención sanitaria esperan cada vez más que los proveedores respalden sus productos. Esto es especialmente cierto si dichos productos generan notas clínicas, sugerencias de diagnóstico u otros resultados regulados.

La realidad es que ambas partes asumen riesgos, y su contrato debe reflejarlo. Las exenciones de responsabilidad son importantes, pero no sustituyen a una estrategia de asignación de riesgos bien pensada.

En primer lugar, los proveedores deben exigir a sus clientes que incluyan declaraciones en las que se indique que el cliente cuenta con las autorizaciones o consentimientos adecuados en virtud de las leyes aplicables, incluidas la HIPAA, la Ley de la FTC y las leyes estatales de privacidad, para todo el tratamiento de datos por parte del proveedor contemplado en el acuerdo. El uso de los datos de los clientes para formación y procesamiento, o para cualquier otro fin, debe quedar claramente articulado en el acuerdo. Esto le ayuda a protegerse si un cliente afirma posteriormente que no era consciente de cómo se utilizaban sus datos o que estos se utilizaron de forma inadecuada.

En segundo lugar, tenga en cuenta las disposiciones de indemnización relacionadas con el uso indebido de la propiedad intelectual de terceros, la violación de la privacidad de los pacientes o las medidas de aplicación de la normativa. Por ejemplo, si su modelo se basa en información médica protegida (PHI) que no ha sido debidamente autorizada o anonimizada según la HIPAA, y eso da lugar a una investigación por parte de la Oficina de Derechos Civiles, usted podría verse en apuros.

En tercer lugar, hay que tener en cuenta las limitaciones de responsabilidad. Muchos acuerdos de software como servicio (SaaS) utilizan un límite máximo estándar vinculado a las tarifas pagadas en los 12 meses anteriores. Esto puede resultar insuficiente en el contexto de la IA aplicada a la salud, especialmente si el modelo se utiliza en un entorno clínico. Puede ser más adecuado un límite máximo escalonado basado en el caso de uso (por ejemplo, documentación frente a apoyo a la toma de decisiones clínicas).

Lo más destacado

Los términos relativos a los datos no son cláusulas estándar en los contratos de IA sanitaria. Son una parte fundamental de su modelo de negocio, su postura de cumplimiento normativo y su capacidad de defensa en el mercado. Si no define sus derechos en materia de formación, revocación y responsabilidad, lo hará otra persona, normalmente en un juicio o en una acción regulatoria.

Para los proveedores de IA, el objetivo debe ser generar confianza a través de la transparencia. Eso significa un lenguaje claro, limitaciones razonables y casos de uso defendibles. Las empresas que tengan éxito en este ámbito no solo crearán buenos modelos, sino que también elaborarán buenos contratos en torno a ellos.

Si desea poner en práctica esta estrategia, revise sus cinco contratos más importantes de este trimestre. Señale cualquier derecho de datos ambiguo, acuerdos de confidencialidad incompatibles o lagunas en la rescisión. Y, si es necesario, renegocie antes de que se ponga a prueba el rendimiento de su modelo, la confianza de sus clientes o su exposición legal.

Para obtener más información sobre IA, telemedicina, telesalud, salud digital y otras innovaciones sanitarias, incluyendo el equipo, las publicaciones y la experiencia representativa, póngase en contacto con Aaron Maguregui oJennifer Hennessy, o con cualquiera de los socios o asesores jurídicos sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.