De un vistazo
Lo que explicamos
La pregunta más frecuente en cada taller de ahead-future-labs: «¿Puedo hacer esto siquiera? Vuelco datos de clientes en ChatGPT, eso no puede ser legal.»
La respuesta corta: depende. Del plan, de qué datos, de qué base jurídica. La respuesta detallada viene ahora, en un formato que, tras 10 minutos, te permite decidir qué es viable en tu caso.
La base del GDPR (en 5 frases)
- Los datos personales solo pueden tratarse cuando existe una base jurídica (Art. 6 del GDPR).
- En el tratamiento externo se necesita un contrato de encargo de tratamiento (DPA).
- Sin DPA, la transmisión de datos personales a proveedores externos es ilícita, también hacia «la nube», también hacia EE. UU.
- Lo que es personal abarca más de lo que la mayoría piensa: nombre, correo electrónico, dirección IP, identificadores de dispositivo, a menudo también número de teléfono + sector.
- En datos sensibles (salud, religión, sindicato, orientación sexual) rige el Art. 9, más estricto.
¿Qué planes te dan cumplimiento del GDPR?
| Proveedor | Plan | ¿Apto para GDPR? | ¿DPA disponible? | Ubicación de datos |
|---|---|---|---|---|
| ChatGPT (OpenAI) | Free | No | No | EE. UU. |
| ChatGPT Plus | Privado | No | No | EE. UU. |
| ChatGPT Team | B2B | Sí* | Sí | EE. UU. + opciones UE |
| ChatGPT Enterprise | Enterprise | Sí | Sí | Región UE seleccionable |
| OpenAI API | API | Sí* | Sí (DPA) | según la región |
| Claude (Anthropic) | Free / Pro | Privado: no | No | EE. UU. |
| Claude for Work | B2B | Sí | Sí | EE. UU. + UE |
| Microsoft Copilot (Office 365) | Business | Sí | Sí (DPA de Microsoft) | Región UE seleccionable |
| Google Gemini Workspace | Workspace | Sí | Sí | Región UE seleccionable |
| Mistral / Aleph Alpha | API | Sí | Sí | UE |
«Sí» con asterisco: además, activar la configuración de privacidad, desactivar «Train on my data».
El árbol de decisión sencillo
1. ¿Se ha firmado un DPA / contrato de encargo de tratamiento con el proveedor?
├── No → No pegar datos personales. Nada de cláusulas de contratos, nada de correos de clientes.
└── Sí → continuar a 2
2. ¿Hay datos sensibles implicados (salud, religión, etc.)?
├── Sí → Comprobación adicional de la base jurídica (Art. 9 del GDPR). En caso de duda: no.
└── No → continuar a 3
3. ¿Es el tratamiento compatible con la finalidad original de recogida?
├── No → Obtener el consentimiento de las personas afectadas o comprobar otra base jurídica.
└── Sí → De acuerdo, al prompt con ello. Pero: atención al registro de logs, plazos de conservación.Lo que realmente pasa en el día a día
En la mayoría de las pymes, el día a día tiene este aspecto:
- Las personas empleadas usan cuentas privadas de ChatGPT («así es más rápido»)
- En ellas acaban datos de clientes
- Nadie tiene un DPA
- Infracción del GDPR: sí
- Probabilidad de que alguien lo note: baja
- Probabilidad de que haya problemas cuando alguien lo nota: alta
La solución no es «prohibirlo y amenazar con sanciones», eso impulsa la TI en la sombra. La solución es: adquirir un plan autorizado, formar, documentar.
Tres reglas prácticas para el día a día
1. Antes de pegar, anonimiza. En vez de «Maria Huber, mariahuber@firma.at, se ha quejado de…» → «Una clienta se ha quejado de…». Funciona en el 80 % de los casos.
2. Para lo sensible: modelo local o Enterprise. Expedientes de personal, datos de salud, contratos con cláusulas → o bien en local (Llama, Mistral alojados por uno mismo) o bien Enterprise con región UE.
3. Revisa la salida. Si el modelo te responde «Anna K. vive en Hauptstr. 12», aunque tú no lo hayas introducido, la IA también puede alucinar con datos de personas. Nunca lo transmitas tal cual.
Pasos contractuales para tu empresa
| Paso | ¿Qué pasa? |
|---|---|
| Firmar un DPA | Con cada proveedor de IA que uséis |
| Registro de actividades de tratamiento (RAT) | Documento obligatorio; incluir ahí las herramientas de IA |
| TIA / evaluación de impacto en la protección de datos | En casos de uso de alto riesgo (RR. HH., candidatos/as) |
| Documentar la formación | Quién recibió formación, cuándo y sobre qué herramientas |
| Plazos de conservación | Qué prompts/respuestas se almacenan y durante cuánto tiempo |
Malentendidos frecuentes
«Usamos Microsoft 365 Copilot, así que todo cumple el GDPR.» Falso. Microsoft tiene el DPA, pero tú debes haberlo firmado. Además: configurar la región en la configuración del tenant a UE.
«La IA no aprende de mis entradas.» Depende. En la mayoría de los planes Enterprise: correcto. En Free / Plus / Pro: a menudo sí lo hace, hasta que lo desactivas manualmente.
«Con la seudonimización basta.» A menudo no basta. Los datos seudonimizados siguen siendo personales si pueden volver a atribuirse. La anonimización estricta es la única variante segura.
«Alojamos Llama nosotros mismos, así que no es un tema de protección de datos.» Sí lo es. El GDPR se aplica con independencia del alojamiento. Lo que cambia: no hace falta un DPA con un tercero externo. Pero: RAT, base jurídica, evaluación de impacto, permanecen.
Aviso legal: Este artículo es de carácter editorial y no sustituye el asesoramiento jurídico. Para el cumplimiento concreto del GDPR en la propia empresa: recurrir a un/a abogado/a especializado/a o a un/a delegado/a de protección de datos.
Etiquetas
Compartir
LinkedIn