Skip to main content

Selección de proveedores de IA para pymes: checklist de 12 puntos 2026

Cómo encuentra una pyme el proveedor de IA adecuado: conforme a la DSGVO, sin vendor lock-in y con las cláusulas contractuales bien negociadas. La base de decisión estructurada para 2026.

Reservar evaluación de proveedores como consultoríaWito Digital Audit (WDA) gratuito

Por qué la elección del proveedor decide entre el éxito y el fracaso de los proyectos de IA

La elección del proveedor de IA adecuado es una de las decisiones de mayor calado que toma una mediana empresa al digitalizarse y, a la vez, una de las más subestimadas. Según el Forrester Wave: AI Vendors 2024, el 47 % de todos los proyectos de IA en las empresas fracasan principalmente por una elección errónea del proveedor: una mala adecuación, la falta de conformidad con la DSGVO, unas bases contractuales poco claras o un vendor lock-in infravalorado son las causas más frecuentes.

El Gartner Magic Quadrant for AI Platforms 2024 lo subraya: las empresas que comparan de forma sistemática menos de tres proveedores caen cuatro veces más a menudo en una dependencia a largo plazo con altos costes de cambio, la llamada trampa del vendor lock-in. En la mediana empresa europea este riesgo es especialmente acusado, porque muchas pymes deciden bajo presión de tiempo y sin criterios de selección estructurados.

¿Qué caracteriza a una buena selección de proveedores de IA? No es una mera comparación de precios ni un simple checklist de funciones. Una evaluación profesional de proveedores para pymes valora al menos cuatro dimensiones a la vez: la adecuación técnica (¿puede la herramienta cubrir realmente los casos de uso definidos?), la conformidad regulatoria (DSGVO, EU AI Act, implicaciones de Schrems II), la sostenibilidad comercial (transparencia de precios, riesgo de lock-in, opciones de salida) y la adecuación organizativa (idioma del soporte, documentación, transparencia del roadmap para el mercado local).

Especialmente crítico para las pymes: el mercado de soluciones de IA conformes a la DSGVO con alojamiento en la UE es bastante más reducido de lo que se suele suponer. Según el Statista DACH AI Market Report 2024, solo el 23 % de los proveedores de IA activos en el mercado ofrece un alojamiento en la UE demostrablemente conforme a la DSGVO y sin transferencia de datos a terceros países. La presión de cumplimiento derivada de Schrems II eleva de forma notable la necesidad de un proceso de selección estructurado: las decisiones informales basadas en demos de producto simplemente no bastan aquí.

Las consecuencias económicas de una decisión equivocada son graves: según un estudio de Wito AI (2025), los costes de cambio a otro proveedor de IA ascienden a entre 1,5 y 3 veces la inversión inicial, incluyendo la migración de datos, la nueva integración, la formación y el periodo de transición sin productividad. Por eso, un proceso de selección estructurado no es solo una decisión de calidad, sino una medida directa de protección de la inversión.

47%

Fracaso de proyectos por la elección del proveedor

Quelle: Forrester Wave, 2024
8años

Vinculación media al proveedor con lock-in

Quelle: Gartner Magic Quadrant, 2024
23%

Proveedores UE conformes a la DSGVO en el mercado

Quelle: Statista DACH, 2024
1.5–3×

Costes de cambio frente a la inversión inicial

Quelle: Wito AI, 2025

La checklist de 12 puntos para la selección de proveedores de IA en la pyme

Esta checklist se ha desarrollado a partir de más de 30 evaluaciones de proveedores para pymes y cubre todas las dimensiones críticas, desde la conformidad con la DSGVO hasta la estrategia de salida. Los doce puntos deberían estar evaluados antes de una decisión de compra.

1. Conformidad con la DSGVO y prueba de alojamiento en la UE

Exija una prueba por escrito de que todos los datos se procesan y almacenan exclusivamente en servidores dentro de la UE (o del EEE). Una promesa verbal o una política de privacidad genérica no bastan. Pregunte de forma explícita: ¿dónde se ubican los centros de datos? ¿Qué subcontratistas intervienen? ¿Existen transferencias de datos a terceros países, aunque sean temporales?

2. AVV conforme al art. 28 de la DSGVO

Un contrato de encargo de tratamiento (AVV) conforme al art. 28 de la DSGVO es obligatorio, no opcional, cuando un proveedor de IA trata datos personales. Compruebe si el proveedor ofrece un AVV completo que documente todas las medidas técnicas y organizativas (TOM). Los proveedores estadounidenses suelen emplear denominaciones distintas, como "Data Processing Agreement" (DPA); en su contenido debe ajustarse al art. 28 de la DSGVO.

3. Protección frente a la exfiltración de datos y entrenamiento del modelo

Aclare de forma vinculante: ¿se utilizan sus datos de entrada para entrenar los modelos de IA? Muchos proveedores emplean mecanismos de opt-out que, por defecto, permiten el entrenamiento con datos. Esto supone un riesgo de cumplimiento considerable cuando hay datos personales o críticos para el negocio. Exija un compromiso por escrito de que sus datos no se utilizarán para entrenar el modelo, o elija un proveedor con garantía de "aislamiento de datos" (data isolation).

4. Auditabilidad y explicabilidad del modelo

Para los sistemas de IA en el ámbito de alto riesgo conforme al EU AI Act (art. 13, Reglamento (UE) 2024/1689), la explicabilidad de las decisiones es obligatoria. Pero incluso fuera de la clasificación de alto riesgo, las pymes deberían insistir en que el proveedor pueda explicar de forma comprensible cómo llega el modelo a sus resultados. Los sistemas de "caja negra" sin posibilidad de auditoría son, a largo plazo, un riesgo de gobernanza.

5. Evaluación del vendor lock-in

Analice: ¿qué grado de propiedad tienen los formatos de datos? ¿Existe un proceso de exportación de datos documentado? ¿Se pueden exportar los modelos entrenados o los fine-tunings? ¿Hasta qué punto se integra el sistema en su infraestructura y cuánto esfuerzo supondría cambiar de proveedor al cabo de 24 meses? Un lock-in alto no es un criterio de exclusión automático, pero debe incluirse de forma explícita en la decisión.

6. Escalabilidad y transparencia de precios

Comprenda el modelo de precios por completo: ¿hay costes ocultos al aumentar el volumen de uso? ¿Cómo evoluciona el precio con 10× o 100× el volumen de uso actual? Muchos proveedores de IA en modo SaaS tienen precios que escalan de forma agresiva con el uso de la API: lo que en el piloto parece más barato puede volverse rápidamente inviable en el despliegue.

7. SLA: disponibilidad y tiempos de respuesta

Revise el acuerdo de nivel de servicio (SLA) en cuanto a: uptime garantizado (al menos un 99,5 % para sistemas en producción), tiempo máximo de caída al mes, tiempo de reacción ante incidentes críticos y si existe compensación económica (service credits) en caso de incumplimiento del SLA. Atención: muchos proveedores definen la "fuerza mayor" de forma muy amplia; revise bien las cláusulas.

8. Soporte en su idioma

No subestime el factor del idioma del soporte: ante problemas críticos en producción, su personal (y no solo la dirección de TI) tiene que poder comunicarse con el soporte. Un soporte solo en inglés suele ser una barrera de uso oculta para las pymes. Compruebe: ¿hay soporte en español? ¿Qué horarios de soporte rigen para la zona horaria europea?

9. Transparencia del roadmap

Un proveedor de IA serio comunica su roadmap de producto de forma abierta y periódica. Pregunte: ¿qué estabilidad tiene la interfaz de la API? ¿Con cuánta antelación se anuncian los breaking changes? ¿Cuál es la política de deprecación de las versiones antiguas del modelo? Los proveedores que no ofrecen transparencia de roadmap generan un alto esfuerzo de mantenimiento interno por culpa de migraciones forzadas.

10. Clientes de referencia comparables

Solicite al menos tres clientes de referencia comparables de su mismo mercado, de un sector y un tamaño de empresa similares. Hable directamente con esos clientes de referencia (y no solo con los casos de éxito preparados por el proveedor). Pregunte: ¿qué salió mejor de lo esperado? ¿Qué resultó decepcionante? ¿Cómo es la calidad real del soporte en el día a día?

11. Estrategia de salida y supresión de datos

¿Qué pasa con sus datos si rescinde el contrato? Aclárelo por contrato: plazo para la exportación completa de los datos, formato de la exportación (legible por máquina, no propietario), confirmación por escrito de la supresión total de los datos tras el fin del contrato y durante cuánto tiempo puede conservar el proveedor los datos tras la rescisión (plazos de supresión conformes a la DSGVO según el art. 5, apdo. 1, letra e, de la DSGVO).

12. Clasificación de alto riesgo del EU AI Act en el proveedor

Aclare si el proveedor clasifica el sistema de IA como sistema de IA de alto riesgo conforme al anexo III del EU AI Act. Si es así, tanto el proveedor como su empresa, en calidad de responsable del despliegue, quedan sujetos a requisitos de cumplimiento reforzados. Pregunte por el estado de cumplimiento del EU AI Act y por la fecha prevista del marcado CE (obligatorio para los sistemas de alto riesgo a partir del 2 de agosto de 2027 para los nuevos sistemas, y antes para los ya presentes en el mercado).

En la selección de proveedores de IA, las pymes deberían evaluar al menos 3 proveedores en paralelo: la elección de una sola fuente conduce 4 veces más a menudo a un vendor lock-in con altos costes de cambio.
Gartner Research, Magic Quadrant for AI Platforms 2024, Gartner, 2024

Evaluación DSGVO: proveedores de la UE frente a proveedores de EE. UU. tras Schrems II

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE C-311/18) de julio de 2020 cambió de raíz la situación jurídica para el uso de servicios de nube e IA estadounidenses. El mecanismo del Privacy Shield fue declarado inválido; desde entonces, la transmisión de datos personales a EE. UU. sin medidas de protección adecuadas es ilícita.

El EU-US Data Privacy Framework (DPF), que entró en vigor en julio de 2023 como sucesor del Privacy Shield, vuelve a permitir, bajo determinadas condiciones, las transferencias de datos a EE. UU. No obstante, las autoridades de protección de datos —entre ellas el Comisionado Federal de Protección de Datos alemán (BfDI)— siguen valorando el DPF con cautela: se considera probable una nueva impugnación judicial (Schrems III). Las empresas que apuestan por proveedores estadounidenses asumen el riesgo de que su base jurídica vuelva a quedar sin efecto.

Reviste especial importancia la cuestión de los datos de entrenamiento del modelo: si un proveedor estadounidense utiliza por defecto sus datos de entrada para entrenar sus modelos, los datos personales salen de la UE, aun cuando el centro de datos esté en Europa. Desde el punto de vista de la protección de datos, esto debe valorarse como una transferencia a un tercer país cuando la infraestructura de entrenamiento se opera en EE. UU.

Para el EU AI Act rige además lo siguiente: los sistemas de IA que se utilizan en la UE deben cumplir los requisitos europeos con independencia de la sede del proveedor. También los proveedores estadounidenses deben designar un representante en la UE para sus sistemas de alto riesgo utilizados en la Unión (art. 22 del EU AI Act). Las pymes deberían comprobar si su proveedor de IA ya ha designado a ese representante en la UE; de lo contrario, asumen de facto parte de la responsabilidad de cumplimiento.

Cláusulas contractuales que conviene negociar en la selección de proveedores de IA

La guía de Bitkom sobre contratación de IA 2024 identifica cinco cláusulas contractuales que faltan en la oferta estándar de muchos proveedores de IA, pero que resultan imprescindibles para las pymes. Quien no exija proactivamente estas cláusulas asume riesgos considerables.

AVV conforme al art. 28 de la DSGVO, completo y detallado

El contrato de encargo de tratamiento debe incluir todos los contenidos exigidos por el art. 28 de la DSGVO: objeto y duración del tratamiento, naturaleza y finalidad, tipo de datos personales, categorías de personas afectadas y una lista completa de los subcontratistas empleados (subencargados del tratamiento). Cláusulas como "empleamos subencargados cuya lista se facilita previa solicitud" no bastan: la lista debe adjuntarse al contrato y los cambios deben anunciarse con antelación.

Notificación de actualizaciones del modelo y estabilidad de versiones

Los modelos de IA se actualizan de forma continua, a menudo sin que los usuarios se enteren. Una actualización del modelo puede cambiar de raíz los resultados de su sistema de IA y provocar comportamientos inesperados en los procesos de producción. Acuerde: un plazo mínimo de aviso de 30 días antes de los breaking changes, la opción de seguir usando una versión anterior del modelo durante al menos 90 días tras la introducción de la actualización y una obligación de pruebas de regresión por parte del proveedor.

Acuerdo de nivel de servicio: disponibilidad y tiempo de respuesta

Un SLA completo para sistemas de IA en producción incluye: una garantía de uptime de al menos el 99,5 % por mes natural (lo que equivale a un máximo de 3,6 horas de caída al mes), una latencia máxima de la API (p95) para las solicitudes estándar, un vía de escalado para incidentes críticos con tiempos de reacción inferiores a 4 horas y service credits económicos en caso de incumplimiento del SLA. Unos términos de servicio (ToS) estándar sin cláusulas de SLA específicas no ofrecen base alguna para reclamar daños y perjuicios por caídas de producción.

Derecho de auditoría y pruebas de cumplimiento

Las empresas tienen derecho a comprobar el cumplimiento de las medidas de protección de datos acordadas. Acuerde el derecho a realizar auditorías propias o encargadas (al menos una vez al año) o, como alternativa —y más habitual en la práctica—, la entrega periódica de certificaciones actualizadas: ISO 27001, SOC 2 Type II, BSI C5 (el catálogo de criterios de conformidad para computación en la nube de la Oficina Federal alemana de Seguridad de la Información, BSI).

Cláusula de salida con exportación y supresión de datos

Acuerde por contrato: tras el fin del contrato, el proveedor pone a su disposición todos sus datos en un plazo de 30 días, en un formato estandarizado y legible por máquina (por ejemplo, JSON o CSV, no un formato propietario). Tras la exportación, el proveedor suprime por completo todas las copias de sus datos y lo confirma por escrito. El periodo de transición (operación en paralelo durante el cambio de proveedor) debe quedar asegurado por contrato, idealmente 90 días tras la rescisión.

Häufige Fragen zur KI-Vendor-Auswahl im Mittelstand

El Gartner Magic Quadrant for AI Platforms 2024 recomienda al menos 3 proveedores para una comparación estructurada. Menos de 3 proveedores conducen, estadísticamente, cuatro veces más a menudo al vendor lock-in. Más de 5 o 6 proveedores en una primera evaluación no suele tener sentido para una pyme: el esfuerzo supera el conocimiento que se obtiene. Ha dado buenos resultados un proceso en dos fases: una long-list de 8 a 10 proveedores (filtro grueso por DSGVO, precio y funcionalidad) y, después, una short-list de 3 o 4 proveedores para una evaluación en profundidad que incluya una prueba piloto.
Una evaluación estructurada de proveedores para un caso de uso de IA concreto cuesta, con apoyo de consultoría externa, entre 3.000 y 8.000 EUR, según el alcance (número de proveedores a evaluar, complejidad de los requisitos técnicos, profundidad de la revisión DSGVO). Sin apoyo externo, el esfuerzo interno suele ser mayor, ya que la experiencia para evaluar la DSGVO y las cláusulas contractuales rara vez está disponible en la pyme. La ayuda de consultoría BAFA es aplicable a las evaluaciones de proveedores cuando forman parte de un proyecto de consultoría de digitalización más amplio.
Sí, bajo determinadas condiciones. El EU-US Data Privacy Framework (DPF) de julio de 2023 permite transferencias de datos a empresas estadounidenses certificadas. Compruebe: (1) ¿está el proveedor inscrito en el registro del DPF (consultable en dataprivacyframework.gov)? (2) ¿ofrece el proveedor un Data Processing Agreement (DPA) completo conforme a los requisitos de la DSGVO? (3) ¿existe una opción de región UE que mantenga el tratamiento íntegramente dentro de la Unión? Importante: el DPF sigue siendo impugnado en los tribunales (se considera probable un Schrems III). Una estrategia EU-first en la elección del proveedor reduce de forma notable los riesgos de cumplimiento a largo plazo.
Un contrato de encargo de tratamiento (AVV) conforme al art. 28 de la DSGVO es siempre obligatorio cuando un prestador trata datos personales por encargo suyo, lo que ocurre con casi todos los proveedores de IA en modo SaaS en cuanto los datos de entrada tienen, aunque sea potencialmente, carácter personal. El AVV regula: el objeto, la duración y la finalidad del tratamiento, qué categorías de datos se tratan, todos los subcontratistas empleados (subencargados del tratamiento) y las medidas técnicas y organizativas de protección (TOM). La ausencia de un AVV es una infracción directa de la DSGVO, con independencia de que se produzca o no un incidente de protección de datos.
El vendor lock-in puede reducirse de forma significativa con cuatro medidas: (1) Asegurar la portabilidad de los datos por contrato: exportación legible por máquina de todos los datos en un plazo de 30 días tras el fin del contrato. (2) Preferir interfaces estandarizadas: los proveedores que ofrecen APIs propietarias sin alternativas estándar generan más esfuerzo de cambio que los proveedores con estándares abiertos (por ejemplo, una API compatible con OpenAI). (3) Mantener portables el fine-tuning y las adaptaciones del modelo: prefiera enfoques (por ejemplo, RAG en lugar de fine-tuning) que puedan reconstruirse de forma neutral respecto al proveedor. (4) Pensar el escenario de salida ya al firmar el contrato y asegurarlo por escrito.
No existe ninguna obligación legal de dar preferencia a los proveedores de IA europeos. En la práctica, sin embargo, elegir un proveedor europeo ofrece ventajas claras: menor riesgo DSGVO (sin el problema de Schrems II), una aplicabilidad más clara del EU AI Act, a menudo un mejor soporte en el idioma local y una mejor adecuación cultural a los requisitos del mercado europeo (por ejemplo, plantillas de documentos conformes a derecho y estándares de protección de datos según la normativa nacional). Recomendación: elija un proveedor europeo cuando sea funcionalmente equivalente o solo marginalmente inferior, ya que el ahorro en cumplimiento supera con creces las diferencias de prestaciones.
El reparto de responsabilidades es complejo y depende de varios factores. Como responsable del despliegue de un sistema de IA, usted es, en principio, responsable de su uso conforme al EU AI Act y al régimen general de responsabilidad por producto, aun cuando el sistema lo facilite el proveedor. El proveedor responde de los fallos imputables a defectos del propio sistema (responsabilidad por producto según la Directiva de responsabilidad por producto de la UE revisada en 2024). En la práctica, una delimitación clara de la responsabilidad en el contrato es decisiva: acuerde que el proveedor responda de los daños derivados de fallos del sistema acreditados, mientras que usted, como responsable del despliegue, responde del uso y la supervisión correctos. En el ámbito de alto riesgo del EU AI Act, una instancia de supervisión humana ("human oversight") es obligatoria.
Una evaluación estructurada de proveedores para una solución de IA con una prueba piloto realista dura por lo general de 4 a 8 semanas: semanas 1-2: elaborar la long-list, aplicar el filtro grueso (DSGVO, precio, funcionalidad) y solicitar las primeras demos. Semanas 3-4: short-list con 3 o 4 proveedores, revisión técnica en profundidad y evaluación de la DSGVO y de las cláusulas contractuales. Semanas 5-6: prueba piloto en paralelo de todos los proveedores de la short-list sobre el caso de uso propio con datos propios. Semanas 7-8: documentación de la decisión, negociación del contrato y firma del AVV. Este marco temporal resulta adecuado para la mayoría de los casos de uso de IA; solo para integraciones estándar muy sencillas (por ejemplo, un chatbot estándar sobre contenidos públicos) puede reducirse a 2 o 3 semanas.

Reservar la evaluación de proveedores como consultoría

Wito AI le acompaña en todo el proceso de selección de proveedores: desde el análisis de requisitos y la evaluación estructurada según la checklist de 12 puntos hasta la redacción de un contrato conforme a la DSGVO. Ayuda BAFA aplicable.

Reservar sesión de consultoríaWito Digital Audit (WDA) gratuito
  • Ayuda BAFA aplicable a la prestación de consultoría
  • Proceso de selección conforme a la DSGVO
  • Resultado: una base contractual lista para firmar

Selección de proveedores de IA para pymes: checklist de 12 puntos 2026

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen