RGPD · IA en la nube en la empresa

¿Puedo usar ChatGPT, Claude y Cía. con datos de clientes?

Respuesta corta: no – no en sus versiones estándar.

ChatGPT, Claude, Gemini y Copilot son servicios en la nube estadounidenses. En el momento en que datos personales entran en un prompt comienza una transferencia a un tercer país (EE. UU.) – con todas las obligaciones del RGPD que las empresas suelen subestimar. Quien trabaja sin contrato de encargo o usa la versión gratuita infringe el RGPD ya con el primer prompt.

Ver la alternativa soberana Solicitar asesoramiento
No

Con cuentas estándar y sin medidas adicionales, el uso no es conforme al RGPD.

  • Sin contrato de encargo en Free/Plus/Pro
  • Transferencia de datos a EE. UU.
  • El secreto profesional puede vulnerarse penalmente
De qué hablamos

ChatGPT, Claude y Cía. – estas son las herramientas

Los cuatro asistentes de IA líderes son servicios en la nube de proveedores estadounidenses. Cada texto que introduces sale así de tu empresa y de Europa.

ChatGPT
OpenAI · USA

Líder de mercado de OpenAI. Las entradas se procesan en EE. UU. Las cuentas Free y Plus no tienen contrato de encargo y pueden usar las entradas para entrenar el modelo.

Claude
Anthropic · USA

Modelo de lenguaje de Anthropic. Alojado en AWS US. Las cuentas estándar no están diseñadas para tratar datos personales en empresas europeas.

Gemini
Google · USA

Modelo de lenguaje de Google. Las entradas fluyen al ecosistema Google. La interrelación con otros servicios estadounidenses agrava la problemática de la transferencia.

Copilot
Microsoft · USA

El asistente de IA de Microsoft (basado en los modelos de OpenAI). Incluso con un tenant M365 en la UE, el proveedor sigue sujeto a la CLOUD Act estadounidense.

Los puntos críticos legales

Seis preguntas del RGPD que los LLM en la nube rara vez responden con claridad

Quien introduce datos de clientes en ChatGPT, Claude o Gemini suele tropezar con varios de estos puntos a la vez.

01

Falta contrato de encargo

Art. 28 RGPD

Las cuentas Free, Plus y Pro no incluyen contrato de encargo. Sin este contrato, ceder datos personales al proveedor ya es ilícito.

02

Transferencia a un tercer país (EE. UU.)

Art. 44–49 RGPD · Schrems II

Los datos acaban en servidores estadounidenses. El EU-US Data Privacy Framework de 2023 es un puente político cuya seguridad jurídica vuelven a cuestionar autoridades de protección y tribunales. La CLOUD Act sigue intacta.

03

Sin base jurídica sólida

Art. 6 RGPD

Un consentimiento real de tus clientes para el tratamiento por OpenAI o Anthropic prácticamente nunca se obtiene. El interés legítimo rara vez supera los riesgos de una transferencia internacional.

04

Deberes de información incumplidos

Art. 13 y 14 RGPD

Los clientes deben ser informados de forma transparente de que sus datos se comparten con LLM estadounidenses – incluidos destinatarios, transferencia y base jurídica. En la práctica, ninguna política de privacidad lo refleja.

05

Secreto profesional vulnerado

§ 203 del Código Penal alemán

Médicos, abogados, asesores fiscales, farmacéuticos, aseguradoras, bancos: introducir datos de clientes o pacientes en LLM en la nube puede constituir un delito según el § 203 StGB – castigado con multa o prisión.

06

Secretos empresariales expuestos

Ley de secretos empresariales

En cuanto borradores de contrato, precios, código fuente o estrategias llegan a LLM en la nube, normalmente dejan de considerarse suficientemente protegidos a efectos de la Ley de secretos empresariales.

En concreto

Qué datos de clientes son especialmente críticos

Es personal todo lo que hace identificable a una persona: nombres, direcciones de correo, números de cliente, números de teléfono, direcciones IP. Basta uno de estos campos en el prompt para activar las obligaciones del RGPD.

Los datos especialmente protegidos del art. 9 RGPD – salud, religión, origen étnico, orientación sexual – prácticamente nunca deberían entrar en LLM en la nube. El riesgo es máximo.

Nunca introducir en LLM en la nube

  • Nombres reales, direcciones, fechas de nacimiento de clientes
  • Datos sanitarios o de tratamiento (Art. 9)
  • Candidaturas, CV
  • Datos contractuales, de precio y condiciones
  • Código fuente con lógica interna o credenciales
  • Intercambios de correo 1:1 con clientes
  • Datos de clientes, pacientes o mandantes
Las consecuencias

¿Qué puede pasar si sale mal?

⚖️

Multa RGPD

hasta 20 M €

O el 4 % de la facturación global del grupo. Se aplica el importe mayor (art. 83 RGPD).

👥

Indemnización

Art. 82 RGPD

Cada persona afectada puede reclamar daños morales – incluso sin prueba concreta del perjuicio.

🚨

Responsabilidad penal

§ 203 StGB

Para profesionales obligados al secreto se añaden multas o prisión personal a las sanciones empresariales.

📉

Reputación

difícil de medir

Las multas publicadas e incidentes de privacidad siguen visibles en buscadores y prensa especializada durante años.

Soluciones

¿Cómo usar IA en la empresa de forma segura?

Tres caminos – ordenados por nivel de protección. La opción más sólida es aquella en la que tus datos nunca salen de tu sede.

Recomendado · protección máxima

IA on-premise – los datos se quedan en casa

Una IA que funciona en tu propio hardware. Sin transferencia a terceros países, sin contrato de encargo necesario, acceso completo a fuentes internas sin riesgo de cumplimiento.

  • Ningún dato sale de tu red
  • RGPD fuera de alcance (sin encargado externo)
  • Apto también para profesiones del § 203
Más sobre KOSMO On-Premise
Apto con condiciones

Proveedor IA con sede en la UE y contrato de encargo

Proveedores europeos especializados con alojamiento en la UE, contrato de encargo y política de entrenamiento transparente. Menor riesgo, pero revisión periódica necesaria.

  • Verificar contrato de encargo y alojamiento en la UE
  • Excluir el entrenamiento con tus entradas
  • Revisar la matriz y la exposición a la CLOUD Act
Arriesgado · usar con precaución

Anonimización sistemática

Si los LLM en la nube son imprescindibles: elimina las referencias personales antes del prompt. Sustituye nombres reales por marcadores, omite direcciones, sin texto en claro de los contratos.

  • Política de uso clara en la empresa
  • Formar a los empleados
  • Riesgo residual – la re-identificación es posible
Preguntas frecuentes

FAQ – las preguntas de detalle más habituales

ChatGPT Enterprise ofrece contrato de encargo, no entrenar el modelo con tus entradas y tratamiento de datos en la UE como opción. Es mucho mejor que la variante Plus. El problema de fondo se mantiene: OpenAI es una empresa estadounidense y la CLOUD Act permite a las autoridades de EE. UU. acceder a los datos. Es obligatoria una evaluación de impacto del RGPD, y para datos especialmente protegidos o profesiones del § 203 Enterprise suele ser insuficiente.

Fuentes y lecturas complementarias

Esta página se basa en las siguientes fuentes públicas y oficiales:

Temas relacionados en Splitbot.ai

RAG & Datenschutz
Qué significa la orientación de la DSK sobre sistemas RAG para las pymes
On-Premise KI
Ejecutar KOSMO en local — soberanía de los datos con tu propio hardware
EU AI Act
Splitblog: qué significa la EU AI Act para administraciones y empresas
Chatbots im Vergleich
¿Qué chatbot para qué caso de uso? Comparativa de funciones

Soberano en vez de arriesgado

KOSMO funciona en tu propio hardware o en centros de datos soberanos europeos. Sin nube estadounidense, sin transferencia a terceros países, control total.

Descubre KOSMO On-Premise Consulta gratuita

Esta página ofrece una visión general y no sustituye el asesoramiento jurídico. En casos concretos – especialmente con datos especialmente protegidos o secreto profesional – consulta a tu delegado de protección de datos o a un despacho especializado.

Socios y patrocinadores