5 considerações importantes sobre contratos para empresas de saúde digital que trabalham com fornecedores de IA

A Inteligência Artificial (IA) está a transformar rapidamente a saúde digital — desde o envolvimento dos pacientes até à tomada de decisões clínicas, as mudanças são revolucionárias. A contratação de fornecedores de IA apresenta novos riscos legais, operacionais e de conformidade. Os CEOs e as equipas jurídicas da área da saúde digital devem adaptar os manuais tradicionais de contratação para lidar com a realidade dos sistemas de IA que lidam com dados de saúde sensíveis e altamente regulamentados.

Para garantir resultados ótimos, aqui estão cinco áreas críticas que as empresas de saúde digital devem abordar no processo de negociação de contratos com potenciais fornecedores de IA:

1. Definir as capacidades, o âmbito e o desempenho da IA

O seu contrato deve explicitamente:

• Descreva o que a ferramenta de IA faz, as suas limitações, pontos de integração e resultados esperados.
• Estabeleça padrões de desempenho mensuráveis e incorpore-os nos acordos de nível de serviço.
• Inclua testes de aceitação do utilizador e soluções, como créditos de serviço ou rescisão, caso os padrões de desempenho não sejam cumpridos. Isso protege o seu investimento em serviços baseados em IA e alinha a responsabilidade do fornecedor com os seus objetivos operacionais.

2. Esclarecer a propriedade dos dados e os direitos de utilização

A IA prospera com dados, por isso é essencial que haja clareza em relação à propriedade, acesso e licenciamento dos dados. O contrato deve indicar os dados específicos aos quais o fornecedor pode aceder e utilizar — incluindo se esses dados incluem informações de saúde protegidas (PHI), outras informações pessoais ou dados operacionais — e se podem ser utilizados para treinar ou melhorar os modelos do fornecedor. É importante que o seu contrato garanta que qualquer utilização dos dados pelo fornecedor esteja em conformidade com a HIPAA, as leis estaduais de privacidade e as suas políticas internas, incluindo a restrição da reutilização de PHI ou outros dados de saúde sensíveis para fins que não sejam a prestação de serviços à sua empresa pelo fornecedor ou outros fins permitidos por lei. Há uma flexibilidade muito maior para licenciar o acesso do fornecedor para utilizar os seus dados anonimizados para treinar ou desenvolver modelos de IA, se a empresa tiver interesse nesse tipo de licenciamento de dados. 

Você também deve examinar cuidadosamente as licenças de dados amplas. Tenha cuidado para não assumir responsabilidade pela forma como um fornecedor reutiliza os seus dados, a menos que o caso de uso esteja claramente autorizado no contrato.

3. Exija transparência e explicabilidade

Os reguladores e os pacientes esperam transparência nas decisões de saúde baseadas em IA. Exija documentação que explique como o modelo de IA funciona, a lógica por trás dos resultados e quais salvaguardas estão em vigor para mitigar preconceitos e imprecisões.

Tenha cuidado com fornecedores que revendem ou incorporam ferramentas de IA de terceiros sem conhecimento suficiente ou obrigações de repasse. O fornecedor deve ser capaz de auditar ou explicar as ferramentas que licencia de terceiros se essas ferramentas de IA estiverem a lidar com dados confidenciais de saúde da sua empresa.

4. Abordar a responsabilidade e a repartição de riscos

A responsabilidade relacionada à IA, especialmente por erros, alucinações ou incidentes de cibersegurança, pode ter consequências consideráveis. Certifique-se de que o contrato inclua indenizações personalizadas e alocações de risco com base na sensibilidade dos dados e na função da ferramenta de IA.

Tenha cuidado com fornecedores que excluem a responsabilidade por conteúdos gerados por IA. Isso pode ser aceitável para ferramentas internas, mas não para resultados que chegam a pacientes, pagadores ou reguladores. Ferramentas de baixo custo com alta exposição de dados podem representar um risco de responsabilidade desproporcional, o que é especialmente verdadeiro se os limites de responsabilidade estiverem vinculados apenas às taxas contratuais. 

5. Plano para conformidade regulatória e mudanças

Com a evolução das regras dos reguladores federais e estaduais de privacidade, os fornecedores devem comprometer-se a cumprir continuamente os requisitos atuais e futuros. Os contratos devem permitir flexibilidade para futuras alterações na legislação ou nas melhores práticas. Isso ajudará a garantir que as ferramentas de IA nas quais a sua empresa confia não fiquem para trás em relação às regulamentações — ou, pior ainda, exponham a sua empresa a riscos de fiscalização devido à não conformidade ou ao comportamento desatualizado do modelo.

Incorporar esta lista de verificação para contratação de fornecedores de IA ao seu processo de seleção de fornecedores ajudará os CEOs a gerir sistematicamente os riscos, a conformidade e as oportunidades de inovação ao se envolverem com fornecedores de IA.

Lista de verificação para contratação de fornecedores de IA:

• Defina o âmbito, as capacidades e as expectativas de desempenho da IA.
• Esclareça as obrigações relativas à propriedade, acesso e privacidade dos dados.
• Exigir transparência e explicabilidade dos processos de IA.
• Defina responsabilidades claras em matéria de responsabilidade civil, risco e conformidade.
• Estabeleça termos para atualizações, adaptabilidade e estratégia de saída.

As soluções de IA na área da saúde continuam a evoluir rapidamente. Assim, as empresas de saúde digital devem acompanhar de perto quaisquer novos desenvolvimentos e continuar a tomar as medidas necessárias para se protegerem durante o processo de contratação. Se tiver alguma dúvida sobre IA e a integração de novas soluções de IA, entre em contacto com qualquer um dos autores ou com qualquer um dos sócios ou consultores senioresdo Grupo de Cibersegurança e Privacidade de Dadosoudo Grupo de Prática de Saúde da Foley.