RFI (Request for Information) de privacidad en IA: qué preguntar antes de contratar software

¿Por qué necesitas un RFI de privacidad antes de contratar software con IA?

Tu equipo de compras acaba de recibir tres propuestas de CRM con funcionalidades de IA. Todos prometen automatización, insights predictivos y productividad. Pero ¿cuál de ellos trata tus datos de forma transparente? ¿Cuál usa IA responsable? ¿Cuál presenta menor riesgo regulatorio?

Un RFI (Request for Information) bien estructurado responde estas preguntas antes de que firmes cualquier contrato.

RFI es la solicitud formal de información enviada a proveedores antes de la fase de negociación. Funciona como un filtro inicial que identifica riesgos de privacidad, transparencia y cumplimiento — especialmente críticos cuando el software utiliza inteligencia artificial.

En esta guía, entenderás cuándo usar un RFI de privacidad, qué preguntas hacer y cómo puntuar las respuestas para tomar decisiones más seguras.

¿Qué es RFI y por qué es esencial en la contratación de software con IA?

Request for Information (RFI) es una etapa anterior al RFP (Request for Proposal) o a la cotización final. Mientras que el RFP se enfoca en precios y detalles comerciales, el RFI mapea capacidades, prácticas y riesgos del proveedor.

Para software que usa IA, el RFI de privacidad gana importancia redoblada porque:

IA procesa datos personales de forma automatizada, generando decisiones que pueden impactar derechos de los titulares (Art. 20 de la LGPD)

Falta de transparencia algorítmica es uno de los principales riesgos regulatorios hoy

Entrenamiento de modelos con tus datos corporativos puede violar políticas internas y legislaciones

Decisiones automatizadas sin revisión humana pueden exponer tu empresa a pasivos legales

Un RFI bien aplicado reduce hasta 60% del tiempo de due diligence y evita sorpresas desagradables después de la contratación.

¿Cuándo usar un RFI de privacidad en procesos de compra de software?

El RFI debe aplicarse en tres momentos principales:

1. Filtro inicial de nuevos proveedores Antes de invertir tiempo en demostraciones y pruebas de concepto, usa el RFI para eliminar proveedores con prácticas inadecuadas de privacidad e IA.

2. Renovación de contratos de alto riesgo Software que procesa datos sensibles (salud, finanzas, niños) o que implementó funcionalidades de IA recientemente merece reevaluación vía RFI.

3. Comparación entre alternativas de mercado Cuando tienes múltiples opciones similares en funcionalidad y precio, el RFI funciona como criterio objetivo de desempate basado en transparencia y gobernanza.

Regla práctica: si el software declara uso de IA, realiza puntuaciones/clasificaciones automáticas o toma decisiones sin intervención humana, aplica el RFI especializado.

¿Cuáles son las preguntas esenciales de un RFI de privacidad para IA?

Un RFI eficaz de privacidad e IA debe cubrir seis áreas críticas, totalizando cerca de 24 preguntas objetivas:

¿Cómo identificar si el software realmente usa IA?

¿El software utiliza inteligencia artificial o aprendizaje automático en alguna funcionalidad?

¿Qué funcionalidades específicas utilizan IA? (ej: recomendaciones, clasificaciones, predicciones, análisis de sentimiento)

¿El uso de IA es obligatorio u opcional para el usuario final?

Por qué esto importa: Muchos proveedores usan el término "IA" de forma genérica. Necesitas identificar si hay, de hecho, decisión automatizada o solo automatización de reglas fijas.

¿Cuál es la finalidad y alcance del procesamiento con IA?

¿Cuál es el objetivo del sistema de IA? (ej: optimizar procesos, detectar fraudes, personalizar experiencia)

¿Qué tipos de datos personales son procesados por la IA?

¿Los datos son usados exclusivamente para entregar el servicio contratado o también para otros fines?

Por qué esto importa: La LGPD exige que el tratamiento de datos tenga finalidad legítima, específica e informada al titular. IA entrenada para fines secundarios sin consentimiento viola la legislación.

¿Cómo funciona la decisión automatizada y hay revisión humana?

¿El sistema toma decisiones automatizadas que impactan derechos de los usuarios? (ej: aprobación de crédito, selección de currículums, precios dinámicos)

¿Existe posibilidad de revisión humana de esas decisiones? ¿Cómo solicitarla?

¿Cuánto tiempo demora el proceso de revisión humana?

Por qué esto importa: El Art. 20 de la LGPD garantiza al titular el derecho de contestar decisiones automatizadas y exigir revisión humana. Ausencia de este mecanismo es red flag regulatoria.

¿El sistema ofrece explicabilidad de las decisiones de IA?

¿El software proporciona explicaciones sobre cómo llegó a una determinada decisión o resultado?

¿Esas explicaciones son comprensibles para usuarios no técnicos?

¿La documentación técnica sobre el modelo está disponible públicamente?

Por qué esto importa: Transparencia algorítmica es exigencia creciente en regulaciones globales (GDPR Art. 22, EU AI Act) y normas ISO de IA. Proveedores que no pueden explicar sus decisiones presentan alto riesgo.

¿Cómo son tratados los datos de entrenamiento y reentrenamiento?

¿Los datos de los clientes son utilizados para entrenar o reentrenar modelos de IA?

¿Hay posibilidad de opt-out del uso de datos para entrenamiento?

¿Dónde están ubicados los datos de entrenamiento? ¿Son transferidos internacionalmente?

¿Cómo la empresa garantiza que datos sensibles o propietarios no se filtren vía modelo?

Por qué esto importa: Uso no autorizado de datos corporativos para entrenamiento de IA es una de las mayores preocupaciones de CISOs y DPOs. Casos como GitHub Copilot y ChatGPT empresarial evidenciaron este riesgo.

¿Cuál es la gobernanza de IA de la organización?

¿La empresa posee política formal de IA y gobernanza algorítmica?

¿Hay evaluación de impacto de IA (AI Impact Assessment) documentada?

¿Cómo la empresa monitorea sesgo, discriminación y calidad del modelo a lo largo del tiempo?

¿Existe canal específico para reportar problemas relacionados a decisiones de IA?

Por qué esto importa: Proveedores con gobernanza madura de IA presentan menor riesgo de incidentes, discriminación y no cumplimiento futuro.

¿Cómo puntuar las respuestas del RFI de privacidad?

Después de recibir las respuestas, aplica un sistema de puntuación simple basado en tres categorías:

🟢 GREEN FLAG (2 puntos): Respuesta completa, documentada, con evidencias públicas y prácticas alineadas a las mejores normas (ISO/IEC 42001, LGPD, GDPR)

🟡 YELLOW FLAG (1 punto): Respuesta parcial, con lagunas o prácticas básicas que exigen cláusulas contractuales adicionales

🔴 RED FLAG (0 puntos): Respuesta ausente, evasiva, o práctica claramente inadecuada (ej: uso de datos para entrenamiento sin opt-out, ausencia de revisión humana en decisiones críticas)

Clasificación final:

38-48 puntos (80-100%): Proveedor de bajo riesgo, transparencia alta

24-37 puntos (50-79%): Riesgo medio, exige cláusulas contractuales específicas

0-23 puntos (<50%): Alto riesgo, considera alternativas o auditoría profunda

Usa esta puntuación para comparar objetivamente diferentes proveedores y justificar decisiones para comités internos.

¿Cómo usar las respuestas del RFI para negociar mejores contratos?

El RFI no es solo un ejercicio de cumplimiento — es munición para negociación. Ve cómo:

Para cada RED FLAG identificada:

Exige cláusula contractual específica que mitigue el riesgo

Ejemplo: si no hay opt-out para entrenamiento de IA, incluye cláusula: "El Proveedor no utilizará datos del Cliente para entrenamiento, fine-tuning o mejora de modelos de IA sin consentimiento previo y explícito"

Para YELLOW FLAGS:

Solicita roadmap de mejoras con plazos definidos

Ejemplo: proveedor promete implementar revisión humana en 6 meses — esto va al contrato como obligación

Para múltiples GREEN FLAGS:

Usa como justificación para elegir un proveedor aunque el precio sea ligeramente superior

Documenta en el proceso de compra: "Proveedor X presenta 15% más transparencia en gobernanza de IA que alternativas"

Tip de oro: DPOs y jurídicos valoran contratos con menos excepciones y riesgos residuales. Un RFI bien hecho reduce drásticamente el retrabajo entre áreas.

¿Cuáles son los errores más comunes al aplicar RFI de privacidad?

Incluso empresas maduras cometen estos equívocos:

Error 1: Preguntas genéricas demás Evita: "¿Están en cumplimiento con la LGPD?" Prefiere: "¿Cómo garantizan la revisión humana de decisiones automatizadas conforme Art. 20 de la LGPD?"

Error 2: No adaptar el RFI al tipo de software Un CRM con IA necesita preguntas diferentes de una herramienta de RRHH o de seguridad. Personaliza el RFI para el contexto.

Error 3: Aceptar respuestas vagas como suficientes Si el proveedor responde "seguimos las mejores prácticas de mercado" sin especificar, eso es RED FLAG. Pide evidencias concretas.

Error 4: Aplicar RFI tarde en el proceso Si ya estás en negociación de precio, el RFI perdió utilidad. Aplica en el filtro inicial, antes de demostraciones y POCs.

Error 5: No documentar las respuestas RFIs sin documentación adecuada no sirven para auditorías futuras ni para justificar decisiones. Siempre exporta y archiva.

¿Cómo Trust This puede acelerar tu proceso de RFI?

Aplicar un RFI completo manualmente puede tomar días o semanas. La plataforma Trust This ofrece tres recursos que aceleran drásticamente este proceso:

1. Score AITS instantáneo: Análisis automatizado de 86 criterios de transparencia en privacidad e IA basado en documentos públicos del proveedor. Descubres en minutos qué áreas presentan riesgo.

2. Benchmark por categoría: Compara instantáneamente el proveedor con alternativas de mercado. Sabe si su transparencia está arriba o abajo del promedio.

3. Templates de RFI personalizados: Recibe sugerencias de preguntas adicionales basadas en los gaps identificados en el análisis AITS.

Caso real: Una empresa del sector financiero redujo de 3 semanas a 2 días el proceso de filtro de 8 proveedores de software de análisis de crédito con IA, usando el AITS para precalificación y aplicando RFI detallado solo a los 3 finalistas.

¿Cuál es la diferencia entre RFI, RFP y RFQ en compras de software?

Es común confundir estos tres términos. Aquí está la diferencia práctica:

RFI (Request for Information)

Objetivo: Entender capacidades, prácticas y riesgos

Momento: Fase inicial, filtro de proveedores

Enfoque: Calificación técnica, transparencia, gobernanza

Resultado: Shortlist de proveedores calificados

RFP (Request for Proposal)

Objetivo: Recibir propuestas detalladas de solución

Momento: Después del shortlist del RFI

Enfoque: Funcionalidades, arquitectura, integraciones, precio

Resultado: Elección del proveedor

RFQ (Request for Quotation)

Objetivo: Comparar precios de soluciones ya definidas

Momento: Cuando ya sabes exactamente lo que quieres

Enfoque: Solo precio y condiciones comerciales

Resultado: Contratación rápida

Para software con IA, el flujo ideal es: RFI (filtro de privacidad) → RFP (solución técnica) → Negociación con cláusulas basadas en el RFI.

Próximos pasos: implementa RFI de privacidad en tu empresa

Ahora tienes el conocimiento necesario para estructurar RFIs eficaces de privacidad e IA. Para poner en práctica:

Semana 1: Identifica qué procesos de compra de software necesitan RFI (prioriza software con IA, datos sensibles o alto volumen de datos personales)

Semana 2: Adapta el modelo de RFI para el contexto de tu empresa y crea templates por categoría de software (CRM, RRHH, seguridad, marketing)

Semana 3: Establece el sistema de puntuación y define criterios de aprobación (ejemplo: mínimo de 60% del score para avanzar a RFP)

Semana 4: Entrena equipos de compras, TI y jurídico en el uso del RFI e implementa regla de "compare-first" en los procesos de intake

¿Quieres acelerar aún más? Explora la plataforma Trust This para análisis automatizados de transparencia en privacidad e IA. Descubre el score AITS de más de 1.000 software corporativos.

Materiales de Apoyo para Implementación del RFI de Privacidad en Software con IA

Disponibilizamos gratuitamente tres infografías de referencia para estructurar tu proceso de evaluación de proveedores:

Flujo RFI → RFP → Contrato: visualiza las tres etapas del proceso de compra con preguntas clave de privacidad e IA en cada fase

Tabla Comparativa de Proveedores: ejemplo práctico de evaluación con sistema de flags verde/amarillo/rojo aplicado a criterios de IA y privacidad

Diagrama de los 6 Pilares del RFI: mapeo visual de las áreas esenciales que no pueden faltar en la evaluación de software con inteligencia artificial

Descargar kit completo en PDF

IMÁGENES SUGERIDAS PARA EL CONTENIDO:

Infografía visual mostrando el flujo de RFI → RFP → Contrato, con destaque para preguntas clave en cada etapa

Tabla comparativa de 3 proveedores ficticios con puntuación Green/Yellow/Red Flags en diferentes criterios de IA

Diagrama mostrando los 6 pilares esenciales del RFI de privacidad (Identificación de IA, Finalidad, Decisión Automatizada, Explicabilidad, Entrenamiento de Datos, Gobernanza)