Hadri Law
Toronto skyline

Acuerdo SaaS para Servicios de Inteligencia Artificial: Lo Que Deben Saber las Empresas en Ontario

Cómo funciona

Tres pasos sencillos para trabajar con nuestros Toronto business lawyers.

1
Paso uno

Llamada inicial

Uno de nuestros especialistas de admisión le llamará para obtener su información.

2
Paso dos

Consulta

Uno de nuestros abogados experimentados le contactará para explicar nuestra propuesta y responder brevemente a sus preguntas.

3
Paso tres

Firma del contrato

Una vez firmado el contrato, nos pondremos a trabajar para resolver sus problemas.

Hadri LawMay 28, 20265 min read

Un acuerdo SaaS para servicios de inteligencia artificial es un contrato mediante el cual un proveedor suministra software alojado en la nube y basado en IA a cambio de una suscripción. En Ontario, ese contrato debe abordar los derechos sobre los datos de entrenamiento, la titularidad de los resultados generados por el modelo, las advertencias sobre exactitud y alucinaciones, las restricciones de los modelos base de terceros, y las obligaciones de privacidad establecidas en la Personal Information Protection and Electronic Documents Act (PIPEDA). Una plantilla genérica de SaaS no contempla ninguno de esos aspectos.

Para las empresas en Ontario que compran o venden software impulsado por IA, esta brecha es el mayor riesgo legal del negocio. La página de precios puede parecerles familiar. El contrato subyacente, no. Esta guía analiza cláusula por cláusula lo que debe contener un acuerdo SaaS para servicios de IA conforme al derecho canadiense y ontariano, y dónde se concentran los puntos de presión en la negociación para cada parte.

Por Qué una Plantilla Genérica de SaaS No Funciona para Servicios de IA

Los contratos SaaS tradicionales fueron redactados para software determinístico: entrada X, salida Y. El proveedor es dueño del software. El cliente es dueño de sus datos. Nada de lo que el cliente sube mejora el producto salvo que así lo acuerde expresamente. La exactitud es binaria: el software hace lo que la documentación dice o no lo hace.

Ninguno de esos supuestos se sostiene en un servicio SaaS de IA. Los resultados son probabilísticos. Muchos proveedores utilizan por defecto las entradas del cliente para evaluar o mejorar sus modelos. La mayoría no son propietarios del modelo base que utilizan: lo licencian de OpenAI, Anthropic, Google, Mistral o AWS Bedrock, lo que implica que las restricciones del contrato de origen se trasladan al cliente aunque el contrato no las mencione. Y la exactitud no puede garantizarse del mismo modo, porque el modelo puede generar contenido incorrecto o inventado.

Un cliente que firma una plantilla genérica para un servicio SaaS de IA suele estar aceptando, sin advertirlo, que sus datos confidenciales entrenen el modelo del proveedor, que reciba resultados cuya titularidad puede no corresponderle, y que asuma riesgos de infracción de propiedad intelectual que el proveedor ha excluido expresamente. Un proveedor que utiliza la misma plantilla puede estar incumpliendo su propio contrato con el proveedor del modelo base. Ambas partes necesitan un contrato construido para esta tecnología.

Derechos sobre los Datos de Entrenamiento: La Cláusula Más Importante

La cláusula más determinante de un acuerdo SaaS para servicios de IA es la que establece qué puede hacer el proveedor con los datos del cliente. Un error como comprador puede derivar en que información confidencial se filtre al entrenamiento del modelo. Un error como vendedor puede darle al proveedor del modelo base motivos para resolver el contrato.

Hay tres categorías de datos del cliente que importan:

  1. Entradas y consultas. El texto, los archivos y las instrucciones que el cliente introduce en el servicio.
  2. Resultados. Lo que el modelo produce en respuesta.
  3. Datos de uso y metadatos. Registros, marcas de tiempo, telemetría y patrones agregados.

La posición negociadora del comprador es que el proveedor no puede utilizar ninguno de esos datos para entrenar, ajustar, evaluar ni mejorar modelo alguno, incluidos modelos base de terceros, sin consentimiento escrito específico. Los mecanismos de exclusión voluntaria no son suficientes, porque para cuando el cliente descubre que la configuración predeterminada es "consentimiento tácito", los datos ya forman parte del conjunto de entrenamiento.

La posición del proveedor suele partir de una licencia más amplia que permite telemetría agregada y anonimizada, lo cual constituye un término medio razonable si el contrato define esos conceptos con precisión y prohíbe cualquier reidentificación del cliente. Cuando las partes acuerden el ajuste fino del modelo con datos del cliente, el contrato debe precisar el alcance, exigir la supresión al término de la relación y obligar al proveedor a destruir cualquier modelo derivado entrenado con esos datos.

Una nota práctica de redacción: conviene distinguir entre "Datos del Cliente" (datos operativos que circulan a través del servicio) y "Datos de Entrenamiento del Cliente" (conjuntos de datos que el cliente licencia expresamente para el entrenamiento del modelo). Confundirlos es el origen de la mayoría de las disputas.

Propiedad Intelectual sobre los Resultados

¿A quién pertenecen los resultados generados por el modelo? En derecho canadiense, la respuesta no está resuelta, y esa incertidumbre debe quedar reflejada en el contrato.

La Ley de derechos de autor de Canadá (Copyright Act) exige autoría humana para que una obra esté protegida por derechos de autor. Cuando un modelo genera resultados con una intervención humana mínima, puede no existir derecho de autor alguno, de modo que la promesa del proveedor de "ceder todos los derechos de propiedad intelectual sobre los resultados al cliente" no cede nada porque no hay nada que ceder. La Oficina de Propiedad Intelectual de Canadá (CIPO) no ha adoptado una norma vinculante sobre la autoría exclusiva de la IA, y una solicitud presentada ante el Tribunal Federal en 2024 (el caso Suryast) puede perfilar la respuesta. Hasta entonces, la redacción contractual debe asumir que la situación es incierta.

La solución negociada a la que llegan la mayoría de los compradores y proveedores combina dos mecanismos. Primero, el proveedor concede al cliente una licencia perpetua, universal y libre de regalías para utilizar los resultados con cualquier finalidad lícita. Segundo, el proveedor cede al cliente los derechos de propiedad intelectual sobre los resultados en la medida en que existan. Juntos, estos mecanismos otorgan al cliente certeza comercial sin hacer promesas imposibles.

El proveedor necesita las reservas correspondientes. Conserva la titularidad de los pesos del modelo base, la infraestructura del servicio, cualquier mejora al modelo que no incorpore datos del cliente, y los indicadores de rendimiento agregados y no identificadores. Propiedad de los resultados para el cliente; propiedad del servicio para el proveedor. Esa línea debe quedar expresamente delimitada.

Exactitud, Alucinaciones y Supervisión Humana

Una garantía estándar en un contrato SaaS establece algo como: "el software se ajustará en todos los aspectos materiales a la documentación". Esa garantía no funciona para la IA generativa, porque la IA generativa no se ajusta de manera predecible: produce contenido plausible que puede ser incorrecto.

Los proveedores gestionan esto descargando toda responsabilidad por la exactitud de los resultados. Los resultados se entregan "tal cual", el cliente es responsable de verificarlos, y el proveedor no responde por las consecuencias de confiar en resultados inexactos. Para muchos casos de uso (asistencia en la redacción, resumen, generación de ideas), esta distribución es razonable.

Para casos de uso de mayor riesgo, el comprador debe plantear dos contrapropuestas. En primer lugar, donde la exactitud sea medible, conviene negociar un nivel mínimo de servicio (SLA) de exactitud. Las herramientas de extracción de documentos, los sistemas de clasificación y los resultados estructurados pueden evaluarse mediante pruebas comparativas, y el proveedor debe revelar su metodología de evaluación. En segundo lugar, cuando los resultados llegan a clientes finales o fundamentan decisiones que afectan a personas, se debe incorporar un requisito de supervisión humana: el contrato reconoce que el cliente mantendrá revisión humana para categorías definidas de resultados, y la distribución de responsabilidad del proveedor se interpreta en ese contexto.

Hay un ángulo de protección al consumidor en Ontario que los proveedores frecuentemente pasan por alto. Cuando un servicio SaaS de IA genera contenido que se muestra a los consumidores, la Ley de Protección del Consumidor (Consumer Protection Act, 2002) prohíbe las prácticas desleales. El artículo 14(1) establece que constituye práctica desleal realizar una declaración falsa, engañosa o que induzca a error, y el artículo 14(2) enumera ejemplos que incluyen declaraciones de que los bienes o servicios poseen características que no tienen. Un resultado generado por IA puede constituir una representación del proveedor del servicio. Un proveedor cuyo modelo genera precios o atributos de producto incorrectos en un chatbot dirigido al consumidor puede crear responsabilidad para su cliente. El contrato debe asignar ese riesgo.

Restricciones de los Modelos Base de Terceros

La mayoría de los proveedores de SaaS de IA no operan sus propios modelos base: construyen sobre OpenAI, Anthropic, Google Gemini, AWS Bedrock o modelos de código abierto de Mistral y otros. Los contratos con esos proveedores de origen imponen restricciones: no utilizar el servicio para entrenar modelos competidores, no realizar pruebas comparativas sin consentimiento, no realizar usos de alto riesgo (diagnóstico médico, asesoramiento legal en ciertas jurisdicciones, determinadas decisiones de empleo) sin términos adicionales.

Esas restricciones deben trasladarse al cliente. Si no se trasladan, el proveedor incumple su contrato de origen cada vez que un cliente contrata el servicio. La mayoría de los proveedores gestionan esto mediante un anexo de "términos de terceros" que incorpora por referencia las restricciones de origen. El cliente acepta esas restricciones como condición para utilizar el servicio.

Para el cliente, esto tiene dos implicaciones. El cliente necesita saber qué modelos base se utilizan, porque las restricciones varían según el proveedor y pueden cambiar. Y el cliente debe comprender que la indemnización del proveedor frecuentemente no puede cubrir reclamaciones derivadas de los resultados del modelo de origen. Un contrato razonable pone de manifiesto esta asimetría en lugar de ocultarla.

Los proveedores también deben tener en cuenta que los términos de origen pueden cambiar. El contrato con el cliente debe reservarse el derecho de actualizar el anexo de terceros con previo aviso, con derecho de resolución para el cliente si el cambio es sustancial y perjudicial.

Residencia de Datos, PIPEDA y Transferencias Transfronterizas

PIPEDA se aplica a la mayoría de los acuerdos SaaS de IA en el sector privado cuando se procesan datos personales. El Principio 1 del Anexo 1 (Responsabilidad) establece que la organización que transfiere datos personales a un proveedor de servicios sigue siendo responsable de esa información, incluso cuando el procesador se encuentra en otra jurisdicción. La Oficina del Comisionado de Privacidad de Canadá (OPC) ha publicado directrices para el tratamiento de datos personales transfronterizos, que confirman que las transferencias están permitidas pero la organización transferidora debe utilizar medios contractuales u otros mecanismos para garantizar que el procesador ofrezca un nivel de protección comparable.

Para un acuerdo SaaS de servicios de IA, esto se traduce en varios requisitos de redacción. El contrato debe identificar dónde se procesan y almacenan los datos del cliente, incluida la información personal. Debe enumerar los subprocesadores aprobados y exigir notificación, con derecho de objeción del cliente, antes de añadir nuevos. Debe obligar al proveedor a mantener salvaguardas comparables a las exigidas por PIPEDA, incluida la notificación de cualquier violación de privacidad. Y, según las directrices de la OPC, el cliente generalmente debe informar a sus propios usuarios finales de que sus datos pueden transferirse fuera de Canadá.

Cuando la residencia de los datos en Canadá es una obligación contractual, el contrato debe precisar que la ruta de inferencia, es decir, la llamada real al modelo que utiliza los datos, permanece en Canadá, no solo el almacenamiento principal. Muchos proveedores de SaaS de IA almacenan datos en Canadá pero redirigen las llamadas de inferencia a servidores de modelos ubicados en Estados Unidos. El cliente debe comprender esa distinción.

Auditoría, Registro y Obligaciones de Transparencia

El uso de IA genera problemas probatorios que el SaaS tradicional no plantea. Si un resultado causa daño, ¿quién puede reconstruir qué se preguntó, qué se respondió, qué versión del modelo lo produjo y qué datos se recuperaron en el momento de la inferencia? Sin un registro adecuado, nadie puede.

Para los sectores regulados (servicios financieros, atención sanitaria, sector público), las obligaciones de auditoría y registro no son negociables. Incluso fuera de los sectores regulados, un comprador empresarial debería exigir:

  • Registro de la versión del modelo, la entrada, el resultado y la marca de tiempo de cada llamada.
  • Conservación por parte del proveedor de los registros del sistema durante un periodo definido (habitualmente entre 30 y 90 días).
  • Acceso a los registros del lado del cliente para que éste pueda construir su propio historial de auditoría.
  • Derechos de auditoría, con previo aviso razonable, para revisión de cumplimiento.

Los proveedores resistirán el registro completo de entradas y salidas, en parte por el coste y en parte porque los registros se convierten en un objetivo de divulgación en litigios. Un compromiso razonable es el registro controlado por el cliente: el proveedor expone los datos, y el cliente decide qué conservar.

Indemnización: Tres Riesgos Diferenciados en un Contrato con Proveedor de IA

La indemnización en un acuerdo SaaS de servicios de IA debe abordar tres riesgos separados. Con frecuencia se confunden, lo que genera lagunas contractuales.

Riesgo 1: El servicio en sí infringe propiedad intelectual. La indemnización estándar en contratos SaaS cubre este supuesto: el proveedor garantiza que es titular o tiene licencia del software.

Riesgo 2: Los datos de entrenamiento infringen propiedad intelectual. Algunos proveedores entrenaron sus modelos con material protegido por derechos de autor. Los litigios en Estados Unidos y otras jurisdicciones están poniendo a prueba si eso constituye infracción. Un comprador sofisticado solicitará indemnización específica por reclamaciones derivadas de los datos de entrenamiento del proveedor.

Riesgo 3: El resultado infringe propiedad intelectual o causa daños. Este es el punto controvertido. Los proveedores ofrecen cada vez con mayor frecuencia alguna forma de indemnización por resultados, pero generalmente limitada en cuantía y condicionada a que el cliente utilice el servicio según lo previsto, aplique los filtros de seguridad proporcionados por el proveedor y no modifique los resultados. Los compradores deben examinar cuidadosamente las exclusiones, porque una indemnización por resultados que excluya las "modificaciones" puede vaciarse de contenido si se requiere cualquier postprocesamiento.

Aparte de lo anterior, la indemnización por privacidad y violación de datos frecuentemente se ubica en una categoría propia, a menudo con un límite más elevado o sin límite en absoluto para reclamaciones derivadas de PIPEDA, dado que la exposición por incumplimiento puede ser existencial para el cliente.

Resolución por Cambio Regulatorio

La regulación de la IA en Canadá está en proceso de definición. El Proyecto de Ley C-27, que habría promulgado la Ley de Inteligencia Artificial y Datos (AIDA, por sus siglas en inglés), decayó cuando el Parlamento fue prorrogado en enero de 2025 y no fue reintroducido antes de la publicación de este artículo. Canadá carece actualmente de una ley federal general sobre IA. A nivel provincial, el Proyecto de Ley 194 de Ontario, Strengthening Cyber Security and Building Trust in the Public Sector Act, 2024, recibió Sanción Real el 25 de noviembre de 2024, aunque se aplica únicamente al sector público.

Esa incertidumbre regulatoria es en sí misma un riesgo contractual. Un comprador en un sector regulado debería negociar una cláusula de resolución por cambio regulatorio: si una nueva ley federal o provincial hace que el uso continuado del servicio resulte inviable o no conforme, el cliente puede resolver el contrato con un periodo de preaviso definido, recibir el reembolso de los honorarios prepagados y exigir al proveedor asistencia en la transición. Los proveedores acotan el supuesto desencadenante (la regulación debe prohibir directamente el uso, no simplemente incrementar los costes de cumplimiento), pero la cláusula en sí es razonable incluirla.

Otras Cláusulas con Mayor Peso en Contratos de IA

Varias cláusulas adicionales tienen más relevancia en los contratos de IA que en los contratos SaaS tradicionales.

Control de versiones del modelo. Los proveedores actualizan los modelos. Un nuevo modelo puede modificar el comportamiento de manera sustancial. El contrato debe exigir notificación de los cambios materiales en el modelo y dar al cliente tiempo suficiente para realizar pruebas antes de que el cambio entre en vigor.

Derechos de suspensión. Muchos términos del proveedor permiten la suspensión por "uso abusivo" o incumplimiento de una política de seguridad de IA. El cliente debe acotar el supuesto y exigir notificación y posibilidad de subsanación donde sea posible.

Confidencialidad de las consultas. Las consultas son un importante vector de exposición confidencial. La cláusula de confidencialidad del contrato debe cubrir expresamente las entradas y los resultados, no sólo los términos comerciales.

Niveles de servicio. Los SLA de tiempo de actividad son útiles pero insuficientes. Donde sea medible, los SLA de exactitud y latencia tienen mayor relevancia.

Preguntas Frecuentes

¿En qué se diferencia un contrato SaaS de IA de un contrato SaaS tradicional?

Un contrato SaaS de IA debe abordar los derechos sobre los datos de entrenamiento, la titularidad de los resultados probabilísticos, las advertencias sobre exactitud y las restricciones de los modelos base de terceros. Los contratos SaaS tradicionales parten del supuesto de un software determinístico, una pila de propiedad intelectual propia del proveedor y una exactitud binaria. Ninguno de esos supuestos se sostiene para los servicios de IA generativa o de aprendizaje automático en Ontario o en el resto de Canadá.

¿A quién pertenecen los resultados de una herramienta SaaS de IA en Canadá?

La titularidad de los resultados en Canadá no está resuelta. La Ley de derechos de autor de Canadá exige autoría humana, por lo que los resultados con intervención humana mínima pueden no estar protegidos por derechos de autor. La solución negociada habitual combina una licencia perpetua y libre de regalías del proveedor al cliente con una cesión de los derechos de propiedad intelectual en la medida en que existan.

¿Puede un proveedor SaaS entrenar su modelo de IA con mis datos?

Sólo si su contrato lo permite. Muchos proveedores de SaaS de IA incluyen amplios derechos de uso de datos en sus términos predeterminados. Los compradores empresariales deben prohibir el uso de entradas, consultas, resultados y datos de uso para el entrenamiento, ajuste fino o evaluación del modelo sin consentimiento escrito específico. Los mecanismos de exclusión voluntaria no ofrecen protección suficiente.

¿Se aplica PIPEDA a los servicios SaaS de IA alojados fuera de Canadá?

Sí, cuando se procesan datos personales. El principio de responsabilidad de PIPEDA en el Anexo 1 hace a la organización transferidora responsable de los datos personales enviados a un procesador en el extranjero. El contrato debe exigir al proveedor que ofrezca un nivel de protección comparable, y los clientes generalmente deben notificar a sus usuarios finales que sus datos pueden procesarse fuera de Canadá.

¿Cuál es el estado de la legislación canadiense sobre IA?

El Proyecto de Ley C-27, que contenía la propuesta de Ley de Inteligencia Artificial y Datos (AIDA), decayó cuando el Parlamento fue prorrogado en enero de 2025. Canadá carece actualmente de una ley federal general sobre IA. El Proyecto de Ley 194 de Ontario recibió Sanción Real en noviembre de 2024, pero se aplica únicamente al sector público.

Fuentes y Recursos Oficiales

Leyes Federales Citadas

  1. Personal Information Protection and Electronic Documents Act (PIPEDA)
  2. Copyright Act (R.S.C., 1985, c. C-42) -- Ley de derechos de autor de Canadá

Leyes Provinciales de Ontario Citadas 3. Consumer Protection Act, 2002 -- Ley de Protección del Consumidor, artículo 14 (Prácticas desleales) 4. Strengthening Cyber Security and Building Trust in the Public Sector Act, 2024 (Proyecto de Ley 194 de Ontario)

Orientación del Comisionado de Privacidad 5. Oficina del Comisionado de Privacidad de Canadá, Principio 1 de PIPEDA: Responsabilidad 6. Oficina del Comisionado de Privacidad de Canadá, Directrices para el tratamiento de datos personales transfronterizos

Registros Parlamentarios 7. Proyecto de Ley C-27 (44-1), LEGISinfo, Parlamento de Canadá (estado: decayó) 8. Ley de Inteligencia Artificial y Datos (AIDA), Documento de acompañamiento, Innovación, Ciencia y Desarrollo Económico de Canadá

Contacte con Hadri Law

Ya sea que su empresa negocie un acuerdo SaaS para servicios de IA como cliente o como proveedor, la diferencia entre una plantilla genérica y un contrato diseñado para la IA es donde reside el verdadero riesgo. Hadri Law es una firma boutique de Toronto especializada en contratos comerciales, acuerdos de servicios y operaciones tecnológicas internacionales para empresas de Canadá y del exterior.

Para hablar sobre su contrato SaaS de IA, llame al (437) 974-2374 para una consulta gratuita. La firma atiende a sus clientes en inglés, francés, español y catalán, con experiencia en los mercados norteamericano, europeo y africano.

Compartir este artículo

Client reviews on Google

5 Star Rating
Georjo Tabucan

Georjo Tabucan

What truly sets Nassira and Hadri Law apart is their genuine commitment to helping people. I had the benefit of experiencing Nassira’s unwavering support with my matter, and it made an enormous difference during a stress…

Stephanie McDonald

Stephanie McDonald

Nassira at Hadri Law has built a strong reputation in Toronto as a business lawyer for corporate, commercial, and M&A transactions. When my clients need help with incorporations, shareholders' agreements, and other busin…

Tricia Armstrong

Tricia Armstrong

Narissa is an exceptional lawyer who brings both professionalism and a genuine commitment to her clients. I reached out to her regarding a situation and she responded with clear, insightful feedback in under 24 hours. He…

Sachi Antkowiak

Sachi Antkowiak

Nassira is nothing short of amazing. From the very first moment I worked with her, I could tell she genuinely cared about me and my goals. She took the time to truly understand not just the legal aspects of my business b…

Rachael McManus

Rachael McManus

Hadri Law was excellent to work with! Nassira was helpful, professional, accommodating and knowledgeable. We engaged the firm to help gather documents for an out-of-country wedding. Would definitely recommend.

Chigozie Agbasi

Chigozie Agbasi

I approached Nassira of Hadri Law via Linkedln in March 2023 on our quest for a corporate legal representative. Hadri Law has never seized to impress us with their on-time approach to documents drafting and review. Most…

Steven Greene

Steven Greene

I hired Nassira to settle a legal dispute for me. Nassira was one of the best lawyers I have ever hired. She was very communicative, making sure I understood the steps we had to take to resolve the issues I had. She was…

Aseemjot Kaur

Aseemjot Kaur

The firm is very professional. It delivers work on time and does it perfectly without saying much. I connected with Nassira on LinkedIn and instantly I realized that this lady can do wonders. I would recommend everyone g…

Al servicio de Ontario y el Área Metropolitana de Toronto

Desde nuestras oficinas en First Canadian Place, servimos a empresas y emprendedores en todo Ontario.

TorontoMississaugaOakvilleBurlingtonHamiltonKitchenerNiagaraVaughanMarkham

Programe su consulta gratuita

Analice sus necesidades legales con nuestro equipo experimentado. Ofrecemos consultas en inglés, francés, español y catalán.

First Canadian Place, 100 King Street West, Suite 5700, Toronto, ON M5X 1C7

Envíenos un mensaje

¿Prefiere escribir? Responderemos en un día hábil.