IA y privacidad: ¿puede tu empresa usar ChatGPT sin riesgo legal?

Tu equipo ya está usando ChatGPT. La pregunta es: ¿con qué datos?

No hace falta que lo hayas autorizado. No hace falta que lo hayas planteado siquiera. Según las encuestas más recientes, más de la mitad de los empleados europeos ya usan herramientas de inteligencia artificial generativa en su trabajo diario. ChatGPT, Copilot, Claude, Gemini. Algunos lo hacen abiertamente, otros de manera discreta. Y la mayoría lo hace sin ningún tipo de directriz interna sobre qué datos pueden compartir y cuáles no.

Esto no es un problema de productividad. Es un problema legal. Porque cada prompt que un empleado envía con nombres de clientes, datos financieros, fragmentos de contratos o información médica es, potencialmente, una transferencia internacional de datos personales. Y eso tiene consecuencias bajo el RGPD.

En los artículos anteriores de esta serie hablamos de la CLOUD Act y de dónde duermen tus datos. Hoy toca hablar de algo que avanza más rápido que cualquier regulación: la adopción masiva de inteligencia artificial en las empresas, y lo que eso implica para la privacidad de tus clientes.

Las multas ya están cayendo

Esto no es un riesgo teórico. Las autoridades europeas de protección de datos ya están actuando contra los proveedores de IA.

Italia fue la primera en mover ficha. En marzo de 2024, el Garante (la autoridad italiana de protección de datos) impuso a OpenAI una multa de 15 millones de euros por múltiples infracciones del RGPD: falta de base legal para el tratamiento de datos personales, ausencia de verificación de edad, y falta de transparencia sobre el uso de datos de usuarios para entrenar sus modelos. Italia ya había bloqueado temporalmente ChatGPT en marzo de 2023, convirtiéndose en el primer país europeo en hacerlo.

España no se queda atrás. La AEPD (Agencia Española de Protección de Datos) abrió en 2025 una investigación formal contra OpenAI. El resultado todavía no se ha publicado, pero la dirección es clara.

Y las empresas privadas también están reaccionando. Samsung prohibió internamente el uso de ChatGPT en 2023 después de que varios empleados filtraran código propietario a través de la herramienta. No fue un ataque externo ni un fallo de seguridad. Fueron empleados haciendo su trabajo, pegando código confidencial en un chatbot para que les ayudara a depurarlo. JP Morgan, Apple, Deutsche Bank y Verizon tomaron medidas similares: o prohibieron o restringieron severamente el uso de herramientas de IA generativa.

Cuando los bancos y las tecnológicas más grandes del mundo deciden que el riesgo es demasiado alto, quizá merezca la pena que una pyme se pare a pensarlo también.

¿Qué pasa realmente con tus datos cuando usas ChatGPT?

Aquí es donde la cosa se pone concreta. No todos los planes de ChatGPT funcionan igual, y las diferencias importan mucho.

Si usas la versión gratuita o el plan Plus: OpenAI utiliza explícitamente tus conversaciones para entrenar y mejorar sus modelos. Cada prompt que envías, cada documento que pegas, cada dato que compartes pasa a formar parte del material de entrenamiento. Puedes desactivar esta opción manualmente en los ajustes, pero por defecto está activada. Y seamos realistas: ¿cuántos de tus empleados han revisado los ajustes de privacidad de ChatGPT?

Si usas ChatGPT Teams o Enterprise: OpenAI garantiza que tus datos no se usan para entrenar modelos. Eso es un avance. Pero hay un problema que el plan de pago no resuelve: tus datos siguen almacenados en servidores en Estados Unidos. Y como explicamos en el artículo sobre la CLOUD Act, eso significa que están sujetos a la jurisdicción estadounidense. Una orden judicial bajo la CLOUD Act o FISA 702 puede obligar a OpenAI a entregar esos datos, sin notificarte.

El Data Processing Agreement (DPA) de OpenAI no resuelve esto. Un contrato entre empresas privadas no puede anular una ley federal. El DPA te protege frente a OpenAI como empresa, pero no frente al gobierno de Estados Unidos como jurisdicción.

El resultado práctico: si un empleado pega en ChatGPT una lista de clientes, un historial médico, un contrato con cláusulas de confidencialidad o datos financieros de la empresa, esos datos pueden acabar en un modelo de entrenamiento (plan gratuito) o en un servidor accesible para las agencias de inteligencia estadounidenses (cualquier plan). En ambos casos, como responsable del tratamiento de esos datos, tú respondes ante el RGPD.

El AI Act europeo: un nuevo marco desde 2025

A la protección de datos del RGPD se suma ahora una nueva capa regulatoria. El Reglamento Europeo de Inteligencia Artificial (AI Act), que entró en vigor en agosto de 2025, clasifica los sistemas de IA por niveles de riesgo y establece obligaciones diferenciadas.

Sistemas de alto riesgo (decisiones de recursos humanos, scoring crediticio, análisis legal, evaluaciones educativas) están sujetos a requisitos estrictos de transparencia, supervisión humana y documentación técnica. Si tu empresa usa IA para filtrar currículos, evaluar solicitudes de crédito o asistir en decisiones legales, necesitas cumplir con obligaciones específicas.

Obligaciones de transparencia: a partir de 2026, los proveedores de IA deben publicar resúmenes del contenido protegido por derechos de autor que han utilizado para entrenar sus modelos. Esto va a revelar exactamente qué datos alimentan estas herramientas.

Exención para código abierto: los modelos con licencia abierta y parámetros públicos están exentos de algunas obligaciones del AI Act, salvo que supongan un riesgo sistémico. Esto es relevante porque abre la puerta a alternativas que no pasan por los grandes proveedores estadounidenses.

Hay un matiz importante: el AI Act regula al proveedor de la IA, pero el RGPD sigue regulándote a ti como usuario. Da igual que OpenAI cumpla con el AI Act. Si tú introduces datos personales de tus clientes en su plataforma sin base legal, sin informar a los afectados y sin las garantías adecuadas, la responsabilidad es tuya. Son dos marcos que se suman, no que se sustituyen.

El Comité Europeo de Protección de Datos (CEPD) lo ha dejado claro en sus directrices: entrenar modelos de IA con datos personales a costa de los derechos de los interesados no es aceptable. Las empresas que adopten IA deben considerar tecnologías como la computación confidencial o la ejecución local para minimizar la exposición.

Alternativas europeas: la IA privada ya existe

Si la conclusión fuera "no uses IA", este artículo no tendría sentido. La IA es una ventaja competitiva real, y una pyme que renuncie a ella se queda atrás. La cuestión no es si usar IA, sino cómo usarla sin poner en riesgo los datos de tus clientes.

Y aquí viene la buena noticia: las alternativas existen, son funcionales y están madurando rápido.

Nextcloud Assistant 3.0

Nextcloud, la plataforma europea de colaboración que mencionamos en el artículo sobre alternativas europeas, ha lanzado lo que ellos mismos describen como "la respuesta soberana a Copilot y Gemini AI." Su asistente integra modelos de lenguaje que se ejecutan localmente o en infraestructura europea. Chat con IA, generación de esquemas, transcripción de reuniones e incluso lo que llaman "AI Agency" (agentes que ejecutan tareas automatizadas). Todo sin que un solo byte de datos salga a servidores de terceros fuera de Europa. Incluido en su plan Ultimate, a 204,75 euros por usuario y año.

Proyecto ALIA

ALIA es una familia de modelos fundacionales de lenguaje entrenados específicamente en español y lenguas cooficiales (incluido el gallego). Es un proyecto respaldado por el Gobierno de España, de código abierto y orientado a la soberanía lingüística y tecnológica. Para una pyme española, esto significa modelos de IA que entienden tu idioma de verdad, no como traducción del inglés.

Mistral (Francia)

Mistral es la empresa de IA europea más competitiva del momento. Sus modelos rivalizan en calidad con GPT-4 y ofrecen tanto API como opciones de despliegue autoalojado. Empresa francesa, jurisdicción europea.

Modelos de código abierto en infraestructura europea

Modelos como Llama, Qwen o DeepSeek pueden descargarse y ejecutarse en servidores propios o en proveedores europeos como OVH o Hetzner. Tú controlas el hardware, tú controlas los datos, ninguna agencia de inteligencia extranjera tiene jurisdicción.

El concepto clave: el modelo no es suficiente

Hay un error que veo con frecuencia: pensar que usar un modelo de código abierto ya te hace soberano. No es así. Un modelo Llama ejecutándose en Amazon Web Services sigue sujeto a la CLOUD Act. La soberanía requiere dos cosas: un modelo libre y una infraestructura europea. Sin las dos, estás en el mismo sitio.

La arquitectura que garantiza privacidad real se llama RAG (Retrieval Augmented Generation): la IA consulta tus documentos internos para generar respuestas, pero esos documentos nunca salen de tu servidor. No se usan para entrenar nada. La IA hace inferencia, no aprendizaje. Y los datos jamás cruzan el Atlántico.

Qué hacer en tu empresa (sin drama)

No estoy diciendo que desinstales ChatGPT mañana. Estoy diciendo que necesitas tomar decisiones conscientes. Aquí van cuatro pasos concretos:

1. Crea una política interna de uso de IA

No tiene que ser un documento de 50 páginas. Basta con definir qué tipo de datos pueden y no pueden compartirse con herramientas de IA externas. Regla simple: si contiene nombres de clientes, datos financieros, información médica, propiedad intelectual o cualquier dato personal, no va a ChatGPT. Para consultas genéricas (redactar un correo tipo, resumir un concepto, generar ideas), las herramientas comerciales funcionan perfectamente.

2. Segmenta por sensibilidad

No todo tiene el mismo nivel de riesgo. Un empleado que usa ChatGPT para corregir la gramática de un email genérico no está en la misma situación que uno que pega un contrato completo para que lo resuma. Identifica los flujos de trabajo donde se manejan datos sensibles y aplica controles específicos ahí.

3. Para datos sensibles, usa alternativas soberanas

Si necesitas que la IA trabaje con documentos de clientes, historiales, contratos o datos financieros, hazlo con herramientas que se ejecuten en infraestructura europea o, idealmente, en tu propia infraestructura. Las opciones existen. No son tan pulidas como ChatGPT (todavía), pero la brecha se cierra cada mes.

4. Documenta tus decisiones

El RGPD se basa en el principio de responsabilidad proactiva (accountability). Si mañana un regulador te pregunta qué haces con la IA en tu empresa, necesitas poder explicarlo. ¿Qué herramientas usáis? ¿Qué datos se comparten con ellas? ¿Qué medidas habéis tomado para proteger los datos personales? Documentar esto no es burocracia. Es tu defensa legal.

El ángulo Galicia: ecosistema para la IA soberana

Si tu empresa está en Galicia, tienes un contexto particularmente interesante. La Ley 2/2025 de impulso de la inteligencia artificial en Galicia no es una barrera regulatoria para las pymes. Es exactamente lo contrario: un marco de apoyo que incluye acceso a infraestructura, programas de aceleración y modelos lingüísticos propios.

El proyecto ALIA, con sus modelos entrenados en español y gallego, ofrece una capacidad de procesamiento de lenguaje natural que no existe en los modelos americanos. La convergencia en A Coruña de la AESIA (Agencia Española de Supervisión de IA), el CESGA (supercomputación) y la Cidade das TIC crea un ecosistema que pocas regiones europeas pueden replicar. Programas como IA360 del Igape están diseñados específicamente para que las pymes den el salto a la IA aplicada con acompañamiento técnico.

No es que la IA soberana sea algo que vendrá algún día. En Galicia, ya se está construyendo.

La IA no es el problema. La arquitectura sí.

El 78% de las empresas europeas reportaron intentos de acceso a sus datos por parte de terceros países en 2024. Italia ya ha multado a OpenAI. España está investigando. Samsung, Apple y JP Morgan han restringido el uso interno de estas herramientas. El AI Act está desplegando nuevas obligaciones. Y tus empleados, mientras tanto, están pegando datos de clientes en chatbots que almacenan todo en servidores estadounidenses.

La solución no es prohibir la IA. Eso sería como prohibir internet en 1998: una decisión que te deja fuera del juego. La solución es elegir la arquitectura correcta. Modelos abiertos, infraestructura europea, datos que nunca salen de tu control. Eso existe hoy. No es ciencia ficción.

En el próximo artículo voy a hablar de IA soberana en la práctica: qué significa montar un sistema de inteligencia artificial privado para tu empresa, cuánto cuesta realmente y qué puede hacer hoy por una pyme. Si quieres que te avise cuando se publique, suscríbete a la newsletter.