¿Puedo usar ChatGPT con datos de clientes en mi empresa?

Solo si tienes un contrato de encargado de tratamiento (DPA) con OpenAI en vigor y has verificado que los datos no se usan para entrenar el modelo. Esto requiere un plan de pago con DPA firmado. Las versiones gratuitas no son aptas para datos personales de clientes bajo RGPD.

¿Qué datos están prohibidos en herramientas de IA externas?

Datos personales identificables de clientes (nombre, email, teléfono, dirección), datos financieros, datos de salud, secretos comerciales, contraseñas o credenciales, y cualquier información cubierta por acuerdos de confidencialidad. Sin DPA firmado con el proveedor de IA, ningún dato personal debería introducirse en la herramienta.

¿Las versiones Enterprise de ChatGPT o Gemini son RGPD-compatibles?

Los planes Enterprise generalmente excluyen el uso de datos para entrenamiento del modelo y ofrecen DPA firmable. Pero 'compatible' no es automático: hay que firmar el DPA, verificar las garantías para transferencias internacionales (SCCs o decisiones de adecuación) y documentarlo en el registro de actividades de tratamiento.

¿Qué es un DPA y cuándo hace falta?

DPA (Data Processing Agreement) es el contrato de encargado de tratamiento que el RGPD exige cuando una empresa comparte datos personales con un tercero que los procesa en su nombre. Hace falta con cualquier proveedor de IA que vaya a procesar datos personales de tus clientes, empleados o contactos.

¿Qué multa arriesga una pyme si usa IA sin cumplir el RGPD?

El RGPD prevé sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, la mayor de las dos cifras. En la práctica, para pymes españolas las sanciones de la AEPD por incidentes leves suelen oscilar entre 3.000 y 50.000€, pero los expedientes de advertencia son mucho más frecuentes y obligan a corregir sin coste inmediato.

¿Es necesario un DPO para una pyme que usa IA?

El DPO (Delegado de Protección de Datos) es obligatorio solo en empresas que procesan datos de forma masiva o datos especialmente sensibles como salud. La mayoría de pymes no tienen esta obligación. Sí es obligatorio tener el registro de actividades de tratamiento actualizado, independientemente del tamaño.

¿Qué pasa si un empleado introduce datos de clientes en IA sin saber que no puede?

La responsabilidad es de la empresa, no del empleado. Si hay un incidente de seguridad como consecuencia, la empresa debe notificarlo a la AEPD en 72 horas si hay riesgo para los titulares. Esto refuerza la necesidad de tener políticas escritas y formación documentada antes del incidente, no después.

RGPD para pymes que usan IA generativa: lo que sí o sí toca revisar

"Si alguien de tu equipo está pegando datos de clientes en ChatGPT, tienes un incidente de seguridad que todavía no sabes que tienes."

La adopción de IA generativa en pymes españolas está acelerando sin que la mayoría haya revisado las implicaciones legales. El RGPD no distingue entre una empresa grande y una pequeña: el tamaño no exime de las obligaciones de protección de datos. Y el uso de herramientas de IA generativa introduce riesgos específicos que no existían antes: transferencias internacionales de datos, introducción de datos personales en sistemas de terceros y posible uso de datos confidenciales para entrenar modelos. Estos son los puntos que hay que revisar antes de permitir el uso libre de IA en el equipo.

1. Por qué la IA generativa crea riesgos RGPD que el software tradicional no tenía

Con el software tradicional (CRM, ERP, email), los datos se quedan dentro de sistemas con contratos claros y ubicaciones conocidas. La IA generativa rompe ese modelo de tres formas: los datos se envían a servidores de terceros (generalmente en EEUU) para ser procesados en tiempo real, pueden usarse para mejorar el modelo si no hay cláusulas contractuales explícitas, y el equipo los usa de forma autónoma sin revisión centralizada.

El riesgo más inmediato y más frecuente es el uso informal. Un comercial que pega el historial de un cliente en ChatGPT para redactar una propuesta. Un administrativo que sube una factura con datos de proveedor a un servicio de OCR no verificado. Un técnico que comparte el log de un sistema con datos de usuarios en un chat de IA. En todos estos casos los datos están siendo transferidos a un tercero sin contrato de encargado de tratamiento, sin verificar las garantías del proveedor y sin que el titular de los datos haya sido informado.

El Reglamento de IA de la UE (AI Act), en vigor desde agosto de 2024, añade otra capa de obligaciones para sistemas de IA de alto riesgo, especialmente en procesos de RRHH, crédito o acceso a servicios. Para la mayoría de usos de IA generativa en pymes (redacción, análisis, resumen), el AI Act impone principalmente obligaciones de transparencia, no prohibiciones. Pero conviene tenerlo en el radar.

2. Bases legales: en qué te apoyas para usar datos con IA

Cualquier tratamiento de datos personales con IA generativa necesita una base legal bajo el RGPD. No puedes procesar datos de clientes simplemente porque tienes acceso a ellos. Las bases legales más relevantes en contexto empresarial son tres: el consentimiento del titular, el interés legítimo del responsable del tratamiento y la ejecución de un contrato. La base legal no es una formalidad: define qué puedes hacer con los datos y qué derechos tiene el titular para limitarlo.

El consentimiento explícito se necesita si vas a usar datos de clientes para personalizar una herramienta de IA o para entrenarla. Debe ser específico para ese uso (el consentimiento genérico de la política de privacidad no es suficiente), informado (el titular sabe exactamente qué IA usas y cómo) y libre (puede negarse sin consecuencias).

El interés legítimo puede aplicar para usos internos de análisis donde el beneficio es claro y el impacto sobre el titular es mínimo. Pero requiere una evaluación de intereses documentada que justifique por qué el interés de la empresa prevalece sobre los derechos del titular. No es una base "comodín": tiene límites y puede ser cuestionada por la AEPD.

Actualizar el registro de actividades de tratamiento es obligatorio independientemente de la base legal elegida. Si usas IA para procesar datos de clientes, ese tratamiento debe aparecer en el registro con su base legal, finalidad, categorías de datos, destinatarios y plazo de conservación.

3. Transferencias internacionales: el problema de los proveedores fuera de la UE

OpenAI, Google, Anthropic y Microsoft procesan datos en EEUU. Para que una transferencia de datos personales a EEUU sea legal bajo RGPD, el proveedor necesita garantías adecuadas. El marco vigente es el Data Privacy Framework (DPF), que reemplazó al Privacy Shield invalidado en 2020. Los proveedores adheridos al DPF pueden recibir datos personales desde la UE sin cláusulas contractuales adicionales, pero solo si están certificados y el tratamiento entra dentro de los propósitos cubiertos.

Las cláusulas contractuales estándar (SCCs) son la alternativa cuando el proveedor no está adherido al DPF. Implican que el contrato incluye los términos específicos aprobados por la Comisión Europea para proteger los datos en la transferencia. Muchos proveedores de IA las incluyen automáticamente en sus DPA.

Proveedor	Plan gratuito (datos)	Plan pago / Enterprise	DPA disponible
ChatGPT (OpenAI)	Puede usarse para entrenamiento	No entrenamiento, DPA firmable	Sí (Enterprise)
Gemini (Google)	Revisión humana posible	No revisión, DPA en Workspace	Sí (Workspace Enterprise)
Copilot (Microsoft)	Datos en Microsoft 365	DPA incluido en M365	Sí (M365 comercial)
Claude (Anthropic)	Puede usarse para entrenamiento	API y Teams: no entrenamiento	Sí (API/Teams)

La conclusión práctica: antes de usar cualquier herramienta de IA con datos de clientes, firma el DPA con el proveedor, guarda una copia y añade el tratamiento al registro de actividades. Esto es lo mínimo legal, no una opción.

4. Políticas internas: lo mínimo que necesitas implementar hoy

La tecnología no resuelve el problema RGPD si el equipo no sabe qué puede y qué no puede hacer. El primer control que hay que implementar es una política escrita, no una tecnología. Esta política debe responder a tres preguntas que cualquier empleado pueda entender sin formación técnica.

La lista blanca de herramientas aprobadas define exactamente qué herramientas de IA puede usar el equipo, para qué tareas y con qué datos. Todo lo que no está en la lista no se usa. No hace falta que sea exhaustiva desde el primer día, pero sí que exista. Una lista de tres herramientas aprobadas es mejor que ninguna lista.

Los datos prohibidos en herramientas externas deben listarse explícitamente: datos personales identificables de clientes (nombre, email, teléfono, dirección), información financiera de la empresa, datos de salud si aplica el sector, secretos comerciales y cualquier información cubierta por acuerdos de confidencialidad con clientes. Sin DPA firmado con el proveedor de IA, ningún dato personal debería introducirse en la herramienta, aunque parezca inofensivo.

El canal de incidentes define cómo reportar internamente si alguien detecta que se han introducido datos inapropiadamente en una herramienta de IA. Los incidentes de seguridad que afectan a datos personales deben notificarse a la AEPD en 72 horas si hay riesgo para los titulares. Tener el proceso definido antes del incidente, no después, es la diferencia entre una notificación ordenada y un problema mayor.

5. Caso real: consultoría de RRHH, 12 empleados, Sevilla

Una consultoría de RRHH con 12 empleados en Sevilla detectó durante una auditoría interna que 4 de sus consultores usaban regularmente la versión gratuita de ChatGPT para redactar informes de candidatos. Los informes incluían nombre, CV, resultados de pruebas y notas de entrevista de los candidatos que gestionaban para sus clientes corporativos.

El problema era múltiple: datos personales de terceros (los candidatos) transferidos a OpenAI sin DPA, sin base legal documentada, sin que los candidatos hubieran sido informados de ese uso en la política de privacidad, y sin contrato con los clientes corporativos que cubriera ese subencargado de tratamiento.

La resolución implicó: actualizar la política de privacidad para candidatos incluyendo el uso de IA en procesos de selección, firmar DPA con OpenAI (migrando a ChatGPT Team), añadir una cláusula de subencargo en los contratos con clientes, crear una política interna de uso de IA con lista blanca de herramientas y datos prohibidos, y sesión de formación de 90 minutos para todo el equipo. El coste total fue de aproximadamente 2.400€ entre asesoría legal y tiempo interno. Sin el incidente previo, se hubiera detectado antes y evitado cualquier exposición.

Si tu empresa usa IA generativa y no has revisado estos puntos, el artículo sobre cómo formar al equipo en IA sin perder productividad incluye cómo integrar la formación en cumplimiento dentro del proceso de adopción.

6. El AI Act europeo: qué cambia para pymes en 2025-2026

El Reglamento de IA de la UE está en aplicación progresiva desde agosto de 2024. Las obligaciones más relevantes para pymes en 2025-2026 se concentran en dos áreas: los sistemas de IA de alto riesgo y las obligaciones de transparencia con usuarios finales.

Los sistemas de IA de alto riesgo incluyen, entre otros, los usados en procesos de selección de personal, evaluación de crédito, acceso a servicios esenciales y sistemas de infraestructura crítica. Si usas IA para filtrar CVs, puntuar candidatos o tomar decisiones de crédito de forma automatizada, tienes obligaciones específicas: evaluación de conformidad, documentación técnica, supervisión humana obligatoria y registro en la base de datos de la UE.

Para los usos más comunes de IA generativa en pymes (redacción de textos, resumen de documentos, análisis de datos, chatbots de atención), el AI Act impone principalmente obligaciones de transparencia: los usuarios deben saber que están interactuando con IA cuando no es obvio. Esto aplica especialmente a chatbots de atención al cliente.

La sanción máxima del AI Act es 35 millones de euros o el 7% de la facturación anual global. Aunque las pymes tienen alguna flexibilidad en el cumplimiento proporcional, la recomendación es hacer un mapeo básico de qué sistemas de IA usa la empresa y si alguno podría clasificarse como alto riesgo.

Por dónde empezar mañana

El cumplimiento RGPD en uso de IA no requiere meses de proyecto. Con estos pasos puedes reducir el riesgo de forma significativa en menos de dos semanas.

Inventario de herramientas IA actuales: pregunta a cada área qué herramientas de IA usan hoy y para qué datos. Haz la lista sin juzgar. Sin inventario, no puedes evaluar el riesgo real.
Firma DPAs con los proveedores en uso: para cada herramienta del inventario que procese datos personales, verifica si existe DPA firmado. Si no, firma el disponible (OpenAI, Google, Microsoft los tienen accesibles en sus portales) o migra a un plan que lo incluya.
Escribe la política interna de uso de IA: una página con lista blanca de herramientas aprobadas, datos prohibidos y canal de incidentes. Compártela con el equipo y documenta que se ha comunicado.
Actualiza el registro de actividades: añade los tratamientos de datos que involucren IA con su base legal, finalidad y destinatarios (los proveedores de IA). Esto es el mínimo legal para cualquier empresa que procesa datos personales.

Si la situación actual es compleja (múltiples herramientas, datos sensibles, contratos con clientes que incluyen cláusulas de subencargo), el servicio de RGPD y cumplimiento de LaEsencia hace el mapeo completo y te deja con la documentación necesaria. El servicio de formación en IA para equipos incluye módulos específicos sobre uso responsable y cumplimiento normativo.