Hadri Law
Toronto skyline

Contracte SaaS per a Serveis d'IA: El que les Empreses d'Ontario han de Saber

Com funciona

Tres passos senzills per treballar amb els nostres Toronto business lawyers.

1
Primer pas

Trucada inicial

Un dels nostres especialistes d'admissió us trucarà per obtenir la vostra informació.

2
Segon pas

Consulta

Un dels nostres advocats experimentats us contactarà per explicar la nostra proposta i respondre breument a les vostres preguntes.

3
Tercer pas

Signatura del contracte

Un cop signat el contracte, ens posarem a treballar per resoldre els vostres problemes.

Hadri LawMay 28, 20265 min read

Un contracte SaaS per a serveis d'IA és un acord pel qual un proveïdor proporciona programari allotjat al núvol i impulsat per intel·ligència artificial en règim de subscripció. A Ontario, ha d'abordar els drets sobre les dades d'entrenament, la titularitat dels resultats del model, les clàusules sobre precisió i al·lucinacions, les restriccions imposades pels proveïdors de models base de tercers i les obligacions de privacitat derivades de la Personal Information Protection and Electronic Documents Act (PIPEDA). Una plantilla genèrica de SaaS no cobreix cap d'aquestes qüestions.

Per a les empreses d'Ontario que compren o venen programari amb IA integrada, aquesta bretxa és el risc legal més gran de l'operació. La pàgina de preus pot semblar familiar. El contracte subjacent no ho és. Aquesta guia analitza el que un contracte SaaS per a serveis d'IA ha d'abordar en el marc del dret canadenc i ontarià, clàusula per clàusula, i on se situen els punts de pressió de la negociació tant per als clients com per als proveïdors.

Per Què una Plantilla Genèrica de SaaS No Serveix per als Serveis d'IA

Els contractes SaaS tradicionals es van escriure per a programari determinístic. Entrada X, sortida Y. El proveïdor és titular de l'arquitectura del programari. El client és titular de les seves dades. Res del que el client carregui millora el producte tret que hi consenti expressament. La precisió és binària: el programari fa el que diu la documentació o no ho fa.

Cap d'aquestes premisses es manté en un servei SaaS d'IA. Els resultats són probabilístics. Molts proveïdors, per defecte, utilitzen les entrades del client per avaluar o millorar els seus models. La majoria de proveïdors de SaaS d'IA no son titulars del model base; el llicencien d'OpenAI, Anthropic, Google, Mistral o AWS Bedrock, de manera que les restriccions de la cadena ascendent arriben al client tant si el contracte les esmenta com si no. I la precisió no es pot garantir de la mateixa manera, perquè el model pot al·lucinar.

Un client que signa una plantilla genèrica de SaaS per a un servei d'IA sovint accepta, sense adonar-se'n, que les seves dades empresarials confidencials entrin en l'entrenament del model del proveïdor, que rebi resultats sobre els quals pot no tenir cap dret, i que assumeixi el risc d'infracció de la propietat intel·lectual que el proveïdor ha exclòs de les seves responsabilitats. Un proveïdor que faci servir la mateixa plantilla sovint incompleix el seu propi contracte anterior amb el proveïdor del model base. Les dues parts necessiten un contracte dissenyat per a aquesta tecnologia.

Drets sobre les Dades d'Entrenament: La Clàusula Més Important

La clàusula més determinant d'un contracte SaaS per a serveis d'IA és la que estableix el que el proveïdor pot fer amb les dades del client. Si el comprador s'equivoca en aquest punt, la informació confidencial acaba en l'entrenament del model. Si s'equivoca el venedor, el proveïdor del model base de la cadena ascendent té motius per rescindir el contracte.

Hi ha tres categories de dades del client que importen:

  1. Entrades i instruccions. El text, els fitxers i les consultes que el client introdueix al servei.
  2. Resultats. El que el model genera com a resposta.
  3. Dades d'ús i metadades. Registres, marques temporals, telemetria i patrons agregats.

La posició negociadora del comprador és que el proveïdor no pot fer servir cap d'aquestes dades per entrenar, ajustar, avaluar ni millorar cap model, inclosos els models base de tercers, sense un consentiment escrit específic. Els mecanismes d'exclusió voluntària no son suficients, perquè quan el client s'adona que la configuració per defecte és "inclusió automàtica", les dades ja formen part del conjunt d'entrenament.

La posició del proveïdor sol partir d'una llicència més àmplia que permet la telemetria agregada i anonimitzada, cosa que és un terme intermedi raonable si el contracte defineix amb precisió aquests termes i prohibeix qualsevol reidentificació del client. Quan les parts acorden un ajust fi sobre les dades del client, el contracte ha d'especificar l'abast, obligar a l'eliminació de les dades en acabar la relació contractual i exigir al proveïdor que destrueixi qualsevol model derivat entrenat amb aquelles dades.

Una nota pràctica de redacció: cal distingir entre "Dades del Client" (dades operacionals que flueixen a través del servei) i "Dades d'Entrenament del Client" (conjunts de dades que el client llicencia expressament per a l'entrenament del model). Confondre-les és l'origen dels conflictes.

Titularitat de la PI sobre els Resultats

A qui pertanyen els resultats del model? Segons el dret canadenc, la resposta és incerta, i aquesta incertesa s'ha de reflectir en el contracte.

La Llei de drets d'autor del Canadà exigeix autoria humana perquè una obra pugui gaudir de protecció. Si un model genera resultats amb una intervenció humana mínima, és possible que no hi hagi cap dret d'autor, en aquest cas la promesa del proveïdor de "cedir tots els drets de PI sobre els resultats al client" no cedeix res, perquè no hi ha res a cedir. La Canadian Intellectual Property Office (CIPO) no ha adoptat cap norma vinculant sobre l'autoria exclusivament generada per IA, i una sol·licitud presentada al Federal Court el 2024 (el cas Suryast) podria configurar la resposta. Mentrestant, la redacció ha de partir del fet que la situació és incerta.

La solució negociada a la qual arriben la majoria de compradors i proveïdors empresarials combina dos mecanismes. En primer lloc, el proveïdor atorga al client una llicència perpètua, mundial i exempta de royalties per fer servir els resultats per a qualsevol finalitat lícita. En segon lloc, el proveïdor cedeix al client tots els drets de PI sobre els resultats en la mesura en que existeixin. Conjuntament, això proporciona al client seguretat comercial sense fer promeses impossibles.

El proveïdor necessita les exclusions corresponents. El proveïdor conserva la titularitat dels pesos del model base, la infraestructura del servei, les millores al model que no incorporen dades del client i les mètriques de rendiment agregades i no identificadores. La titularitat dels resultats per al client; la titularitat del servei per al proveïdor. Cal delimitar aquesta línia clarament.

Precisió, Al·lucinacions i Revisió Humana

Una garantia estàndard de SaaS diu quelcom com: "el programari complirà en tots els aspectes materials amb la documentació." Aquesta garantia no funciona per a la IA generativa, perquè la IA generativa no compleix de manera predictible. Genera contingut versemblant que pot ser incorrecte.

Els proveïdors gestionen això renunciant totalment a la garantia de precisió dels resultats. Els resultats es proporcionen "tal com son," el client és responsable de verificar-los i el proveïdor no es fa responsable de les conseqüències de confiar en resultats imprecisos. Per a molts casos d'ús (ajuda en la redacció, resum, generació d'idees), aquesta és una assignació de riscos raonable.

Per als casos d'ús d'alt risc, el comprador ha de negociar en dos sentits. En primer lloc, quan la precisió és mesurable, cal negociar un SLA de precisió mínima. Les eines d'extracció de documents, els sistemes de classificació i els resultats estructurats es poden mesurar amb punts de referència, i el proveïdor ha de revelar la seva metodologia d'avaluació. En segon lloc, quan els resultats arriben a clients finals o fonamenten decisions que afecten persones, cal establir un requisit de revisió humana. El contracte reconeix que el client mantindrà la revisió humana per a categories definides de resultats, i l'assignació de responsabilitat del proveïdor s'interpreta en aquest context.

Hi ha un aspecte de protecció del consumidor d'Ontario que els proveïdors sovint passen per alt. Quan un servei SaaS d'IA genera contingut que es mostra als consumidors, la Consumer Protection Act, 2002 prohibeix les pràctiques injustes. La secció 14(1) estableix que constitueix una pràctica injusta fer una declaració falsa, enganyosa o que indueixi a error, i la secció 14(2) enumera exemples, incloses les declaracions que els béns o serveis tinguin característiques que no tenen. Un resultat de la IA pot constituir una declaració del proveïdor. Un proveïdor el model del qual al·lucina preus o atributs de productes en el context d'un xatbot orientat al consumidor pot generar una exposició legal per al seu client. El contracte ha d'assignar aquest risc.

Flux de Restriccions dels Models Base de Tercers

La majoria de proveïdors de SaaS d'IA no fan servir models base propis. Construeixen sobre OpenAI, Anthropic, Gemini de Google, AWS Bedrock o models de pesos oberts de Mistral i d'altres. Els contractes anteriors amb aquests proveïdors imposen restriccions: no fer servir el servei per entrenar models competidors, no fer anàlisis comparatives sense consentiment, no fer servir el servei per a usos d'alt risc (diagnòstic mèdic, assessorament legal en algunes jurisdiccions, certes decisions d'ocupació) sense condicions addicionals.

Aquestes restriccions han de fluir cap al client. Si no ho fan, el proveïdor incompleix el seu contracte de la cadena ascendent cada cop que un client s'hi subscriu. La majoria de proveïdors gestionen això mitjançant un annex de "condicions de tercers" que incorpora per referència les restriccions de la cadena ascendent. El client accepta aquestes restriccions com a condició per fer servir el servei.

Per al client, això és important en dos aspectes. El client necessita saber quins models base s'utilitzen, perquè les restriccions varien per proveïdor i poden canviar. I el client ha d'entendre que la indemnització del proveïdor sovint no pot cobrir les reclamacions derivades dels resultats del model de la cadena ascendent. Un contracte raonable fa visible aquesta asimetria en lloc d'amagar-la.

Els proveïdors també han de tenir en compte que les condicions de la cadena ascendent poden canviar. El contracte amb el client hauria de reservar el dret d'actualitzar l'annex de tercers prèvia notificació, amb un dret de resolució del client si el canvi és material i advers.

Residència de les Dades, PIPEDA i Transferències Transfrontereres

La PIPEDA s'aplica a la majoria dels acords SaaS d'IA del sector privat que impliquen informació personal. L'Annex 1, Principi 1 (Responsabilitat) estableix que l'organització que transfereix informació personal a un proveïdor de serveis continua sent responsable d'aquella informació, fins i tot quan el processador es troba en una altra jurisdicció. L'Office of the Privacy Commissioner of Canada (OPC) ha publicat les Guidelines for processing personal data across borders, que confirmen que les transferències transfrontereres estan permeses, però l'organització transferidora ha de fer servir mitjans contractuals o d'altre tipus per garantir que el processador proporcioni un nivell de protecció comparable.

Per a un contracte SaaS de serveis d'IA, això es tradueix en diversos requisits de redacció. El contracte ha d'identificar on es processen i emmagatzemen les dades del client, inclosa la informació personal. Ha de llistar els subprocessadors aprovats i exigir notificació (amb dret d'oposició del client) abans d'afegir-ne de nous. Ha d'obligar el proveïdor a mantenir les salvaguardes comparables a les exigides per la PIPEDA, inclosa la notificació de qualsevol violació de la privacitat. I, d'acord amb les directrius de l'OPC, el client normalment ha d'informar els seus propis usuaris finals que la seva informació pot ser transferida fora del Canadà.

Quan la residència de les dades al Canadà es garanteix contractualment, el contracte ha de ser explícit que la ruta d'inferència (la trucada al model que fa servir les dades) es manté al Canadà, no només l'emmagatzematge principal. Molts proveïdors de SaaS d'IA emmagatzemen les dades al Canadà però encaminen les trucades d'inferència a endpoints del model situats als Estats Units. El client ha d'entendre aquesta distinció.

Obligacions d'Auditoria, Registre i Transparència

L'ús de la IA crea problemes probatoris que el SaaS tradicional no genera. Si un resultat causa un perjudici, qui pot reconstruir el que es va demanar, el que es va retornar, quina versió del model el va produir i quines dades es van recuperar en el moment de la inferència? Sense un registre adequat, ningú no pot fer-ho.

Per a les indústries regulades (serveis financers, sanitat, sector públic), les obligacions d'auditoria i registre no son negociables. Fins i tot fora dels sectors regulats, un comprador empresarial hauria d'esperar:

  • Registre de la versió del model, l'entrada, el resultat i la marca temporal de cada trucada.
  • Conservació pel proveïdor dels registres a nivell de sistema durant un període definit (normalment de 30 a 90 dies).
  • Connectors de registre del costat del client per tal que el client pugui construir la seva pròpia pista d'auditoria.
  • Drets d'auditoria, amb preavís raonable, per a la revisió del compliment.

Els proveïdors s'oposaran al registre complet d'entrades i sortides, en part pel cost i en part perquè els registres es converteixen en un objectiu de divulgació en litigi. Una solució de compromís raonable és el registre controlat pel client: el proveïdor exposa les dades i el client decideix el que vol conservar.

Indemnització: Tres Riscos Diferenciats en un Contracte amb un Proveïdor d'IA

La indemnització en un contracte SaaS per a serveis d'IA ha d'abordar tres riscos separats. Sovint es confonen, cosa que genera llacunes.

Risc 1: El propi servei infringe la PI. La indemnització SaaS estàndard cobreix aquest cas. El proveïdor garanteix que és titular o té llicència sobre l'arquitectura del programari.

Risc 2: Les dades d'entrenament infringeixen la PI. Alguns proveïdors han entrenat els seus models amb material protegit per drets d'autor. Litigis als Estats Units i en altres llocs estan posant a prova si això constitueix una infracció. Un comprador sofisticat demana indemnització específica per a les reclamacions derivades de les dades d'entrenament del proveïdor.

Risc 3: El resultat infringe la PI o causa un dany. Aquest és el punt de conflicte. Els proveïdors ofereixen cada cop més alguna forma d'indemnització pels resultats, però generalment amb un límit, sovint condicionada al fet que el client faci servir el servei tal com s'ha previst, apliqui els filtres de seguretat que proporciona el proveïdor i no modifiqui els resultats. Els compradors han de mapejar les exclusions amb cura, perquè una indemnització pels resultats que exclou les "modificacions" pot tornar-se inoperant si cal algun postprocessament.

Per separat, la indemnització per privacitat i violació de dades sovint se situa en la seva pròpia categoria, freqüentment amb un límit més elevat o sense límit en absolut per a les reclamacions de PIPEDA, perquè l'exposició per violació pot ser existencial per al client.

Resolució per Canvi Regulatori

La regulació de la IA al Canadà està en plena transformació. El Projecte de Llei C-27, que hauria aprovat la Llei d'intel·ligència artificial i de dades (LIAD), va caducar quan el Parlament va quedar en suspens el gener del 2025 i no s'havia reintroduït en el moment de la redacció d'aquest article. Actualment el Canadà no disposa de cap estatut federal general sobre IA. A nivell provincial, el Projecte de Llei 194 d'Ontario, la Strengthening Cyber Security and Building Trust in the Public Sector Act, 2024, va rebre la sanció reial el 25 de novembre de 2024, pero s'aplica nomes al sector públic.

Aquesta incertesa regulatoria és en si mateixa un risc contractual. Un comprador d'un sector regulat hauria de negociar una clàusula de resolució per canvi regulatori: si una nova llei federal o provincial fa que la continuació del servei sigui impracticable o no conforme, el client pot resoldre el contracte amb un període de preavís definit, rebre un reemborsament de les tarifes prepagades i exigir al proveïdor una assistència de transició. Els proveïdors restringiran el desencadenant (la regulació ha de prohibir directament l'ús, no nomes augmentar el cost del compliment), però la clàusula en si mateixa és raonable d'incloure.

Altres Clàusules que Importen Més en Contractes d'IA

Algunes clàusules addicionals tenen més pes en els contractes d'IA que en els de SaaS tradicional.

Control de versió del model. Els proveïdors actualitzen els models. Un model nou pot canviar el comportament de manera substancial. El contracte ha d'exigir notificació dels canvis materials en el model i donar al client temps per fer proves abans que el canvi entri en vigor.

Drets de suspensió. Moltes condicions dels proveïdors permeten la suspensió per "ús abusiu" o per violació d'una política de seguretat de la IA. El client hauria de restringir el desencadenant i exigir preavís i possibilitat d'esmena sempre que sigui possible.

Confidencialitat de les instruccions. Les instruccions son un vector de confidencialitat important. La clàusula de confidencialitat del contracte ha de cobrir expressament les entrades i els resultats, no nomes les condicions comercials.

Nivells de servei. Els SLA de disponibilitat son útils però insuficients. Quan siguin mesurables, els SLA de precisió i latència son més rellevants.

Preguntes Freqüents

En que es diferencia un contracte SaaS d'IA d'un acord SaaS tradicional?

Un contracte SaaS d'IA ha d'abordar els drets sobre les dades d'entrenament, la titularitat dels resultats probabilístics, les clàusules sobre precisió i les restriccions dels models base de tercers. Els contractes SaaS tradicionals parteixen d'un programari determinístic, estructures de PI de titularitat del proveïdor i precisió binaria. Cap d'aquestes premisses es manté per als serveis d'IA generativa o d'aprenentatge automatitzat a Ontario o a qualsevol lloc del Canadà.

A qui pertanyen els resultats d'una eina SaaS d'IA al Canadà?

La titularitat dels resultats al Canadà és incerta. La Llei de drets d'autor del Canadà exigeix autoria humana, de manera que els resultats amb una intervenció humana mínima poden no gaudir de cap protecció per drets d'autor. La solució negociada és normalment una llicència perpètua i exempt de royalties del proveïdor al client, juntament amb una cessió de qualsevol dret de PI en la mesura en que existeixi.

Pot un proveïdor de SaaS entrenar el seu model d'IA amb les meves dades?

Nomes si el vostre contracte ho permet. Molts proveïdors de SaaS d'IA inclouen drets d'ús de dades amplis en les seves condicions per defecte. Els compradors empresarials haurien de prohibir l'ús d'entrades, instruccions, resultats i dades d'ús per a l'entrenament, l'ajust fi o l'avaluació del model sense un consentiment escrit específic. Els mecanismes d'exclusió voluntaria no son una protecció suficient.

S'aplica la PIPEDA als serveis SaaS d'IA allotjats fora del Canadà?

Sí, quan hi ha informació personal implicada. El principi de responsabilitat de la PIPEDA de l'Annex 1 fa responsable l'organització transferidora de la informació personal enviada a un processador a l'estranger. El contracte ha d'exigir al proveïdor que ofereixi un nivell de protecció comparable, i els clients normalment han de notificar als usuaris finals que les seves dades poden ser processades fora del Canadà.

Quin és l'estat de la llei d'IA del Canadà?

El Projecte de Llei C-27, que contenia la proposta de Llei d'intel·ligència artificial i de dades (LIAD), va caducar quan el Parlament va quedar en suspens el gener del 2025. Actualment el Canadà no disposa de cap estatut federal general sobre IA. El Projecte de Llei 194 d'Ontario va rebre la sanció reial el novembre del 2024, pero s'aplica nomes al sector públic.

Fonts i Recursos Oficials

Lleis Federals Citades

  1. Personal Information Protection and Electronic Documents Act (PIPEDA)
  2. Copyright Act (R.S.C., 1985, c. C-42)

Lleis d'Ontario Citades 3. Consumer Protection Act, 2002, S.O. 2002, c. 30, Sch. A, Section 14 (Unfair Practices) 4. Strengthening Cyber Security and Building Trust in the Public Sector Act, 2024 (Ontario Bill 194)

Directrius del Comissari de Privacitat 5. Office of the Privacy Commissioner of Canada, PIPEDA Fair Information Principle 1: Accountability 6. Office of the Privacy Commissioner of Canada, Guidelines for processing personal data across borders

Registres Parlamentaris 7. Bill C-27 (44-1), LEGISinfo, Parliament of Canada (status: caducat) 8. Artificial Intelligence and Data Act (AIDA), Companion Document, Innovation, Science and Economic Development Canada

Contacteu amb Hadri Law

Tant si negocieu un contracte SaaS per a serveis d'IA com a client com a proveïdor, la bretxa entre una plantilla genèrica de SaaS i un contracte dissenyat per a la IA és on resideix el risc real. Hadri Law és un bufet boutique de Toronto que assessora en contractes comercials, acords de serveis i operacions tecnològiques internacionals per a empreses de tot el Canadà i de l'estranger.

Per parlar del vostre contracte SaaS d'IA, truqueu al (437) 974-2374 per a una consulta gratuïta. El bufet atèn clients en anglès, francès, espanyol i català, amb experiència en els mercats nord-americà, europeu i africà.

Compartir aquest article

Client reviews on Google

5 Star Rating
Georjo Tabucan

Georjo Tabucan

What truly sets Nassira and Hadri Law apart is their genuine commitment to helping people. I had the benefit of experiencing Nassira’s unwavering support with my matter, and it made an enormous difference during a stress…

Stephanie McDonald

Stephanie McDonald

Nassira at Hadri Law has built a strong reputation in Toronto as a business lawyer for corporate, commercial, and M&A transactions. When my clients need help with incorporations, shareholders' agreements, and other busin…

Tricia Armstrong

Tricia Armstrong

Narissa is an exceptional lawyer who brings both professionalism and a genuine commitment to her clients. I reached out to her regarding a situation and she responded with clear, insightful feedback in under 24 hours. He…

Sachi Antkowiak

Sachi Antkowiak

Nassira is nothing short of amazing. From the very first moment I worked with her, I could tell she genuinely cared about me and my goals. She took the time to truly understand not just the legal aspects of my business b…

Rachael McManus

Rachael McManus

Hadri Law was excellent to work with! Nassira was helpful, professional, accommodating and knowledgeable. We engaged the firm to help gather documents for an out-of-country wedding. Would definitely recommend.

Chigozie Agbasi

Chigozie Agbasi

I approached Nassira of Hadri Law via Linkedln in March 2023 on our quest for a corporate legal representative. Hadri Law has never seized to impress us with their on-time approach to documents drafting and review. Most…

Steven Greene

Steven Greene

I hired Nassira to settle a legal dispute for me. Nassira was one of the best lawyers I have ever hired. She was very communicative, making sure I understood the steps we had to take to resolve the issues I had. She was…

Aseemjot Kaur

Aseemjot Kaur

The firm is very professional. It delivers work on time and does it perfectly without saying much. I connected with Nassira on LinkedIn and instantly I realized that this lady can do wonders. I would recommend everyone g…

Al servei d'Ontario i l'Àrea Metropolitana de Toronto

Des de les nostres oficines a First Canadian Place, servim empreses i emprenedors a tot Ontario.

TorontoMississaugaOakvilleBurlingtonHamiltonKitchenerNiagaraVaughanMarkham

Programeu la vostra consulta gratuïta

Analitzeu les vostres necessitats legals amb el nostre equip experimentat. Oferim consultes en anglès, francès, espanyol i català.

First Canadian Place, 100 King Street West, Suite 5700, Toronto, ON M5X 1C7

Envieu-nos un missatge

Preferiu escriure? Respondrem en un dia laborable.