Para clasificar bajo AI Act necesito el inventario completo. Pero los SaaS están metiendo features de IA cada release sin notificación clara. ¿Mantenéis un AI BoM por proveedor? ¿Pedís SBOM extendido al vendor o vais con scraping de release notes?
3 respuestas
Yo incluí cláusula en contratos de renovación: "el proveedor notificará en 30 días cualquier nuevo componente de IA generativa o decisional añadido al servicio". Procurement se quejó pero pasó.
Confluence interno con tabla por SaaS: vendor, módulos IA detectados, base legal de tratamiento, riesgo AI Act. Lo actualiza el AI literacy champion de cada BU. Funciona razonablemente.
Gracias. Voy a juntar ambos enfoques: cláusula contractual + tabla viva auditable.
Inicia sesión para responder y votar.