¿Microsoft 365 Copilot es conforme al RGPD?
Desde el punto de vista del derecho a la protección de datos, Microsoft 365 Copilot está claramente mejor posicionado que las variantes de consumo de otros LLM en la nube: contrato de encargo presente, EU Data Boundary disponible, sin entrenamiento del modelo con contenido del cliente. No obstante, quedan tres asuntos: Microsoft es una empresa estadounidense (CLOUD Act), el Bing Grounding puede enviar datos fuera del tenant, y para los profesionales sujetos al secreto del § 203 del Código Penal alemán la combinación sigue siendo arriesgada.
Utilizable de forma realista con una configuración de empresa y EU Data Boundary – pero no para todo caso de uso ni para todos los sectores.
- Contrato de encargo en el Enterprise Agreement
- EU Data Boundary configurable
- La CLOUD Act estadounidense sigue siendo aplicable
- El Bing Grounding envía datos fuera del tenant
¿De qué variante de Copilot hablamos?
« Copilot » es la marca paraguas de Microsoft para varios productos con perfiles de privacidad muy distintos. Confundirlos lleva directamente al incidente de cumplimiento.
El clásico para empresas: Microsoft 365 E3/E5 más la licencia de Copilot. Con contrato de encargo, vinculación al tenant y procesamiento de datos en la UE como opción. Para uso profesional en la región DACH la única variante realmente auditable.
Versión personal para usuarios privados. Sin contrato, sin tenant, inadecuada para uso empresarial. Quien introduce datos de clientes aquí infringe el RGPD con regularidad.
La versión web gratuita. Las entradas pueden procesarse en servicios en la nube de Microsoft fuera de la UE. No está prevista para contenido profesional.
Herramienta para construir agentes de IA sobre Copilot. Hereda las propiedades de privacidad del tenant subyacente – tan seguro como su configuración.
Por qué Microsoft va por delante aquí en protección de datos
Frente a las versiones de consumo de ChatGPT o Claude, Copilot Enterprise ofrece tres ventajas sólidas – y una cuarta más blanda que solo funciona con una configuración rigurosa.
Contrato de encargo sin coste adicional
El Enterprise Agreement de Microsoft 365 incluye el contrato de encargo por defecto. A diferencia de ChatGPT Plus o Claude Pro, desaparece el obstáculo « sin contrato disponible ».
EU Data Boundary
Modo configurable que mantiene el procesamiento de Microsoft 365 y Copilot principalmente en centros de datos de la UE. Reduce el riesgo de tercer país – pero no lo elimina por completo debido a la CLOUD Act.
Sin entrenamiento con contenido del cliente
Microsoft se compromete contractualmente a no entrenar sus modelos fundacionales con contenidos de tu tenant M365. Es una diferencia importante respecto a los planes de consumo de otros proveedores.
Sensitivity Labels y Purview
Microsoft Purview permite clasificar documentos y correos. Copilot respeta esas etiquetas y oculta los contenidos protegidos en consecuencia – si Purview está bien configurado.
Seis preguntas RGPD que siguen abiertas incluso con Copilot
Incluso en la variante Enterprise con EU Data Boundary quedan riesgos residuales que las autoridades alemanas de protección de datos plantean sistemáticamente.
La CLOUD Act estadounidense sigue siendo aplicable
Microsoft es una empresa estadounidense. La CLOUD Act obliga a las matrices estadounidenses a entregar los datos de sus filiales – incluso con almacenamiento en la UE. La sentencia Schrems II sigue siendo el problema de fondo.
El Bing Grounding sale del tenant
Cuando Copilot incluye resultados de búsqueda web (Bing Grounding), el contenido del prompt abandona el tenant protegido y se procesa en servicios en la nube de Bing. Activo por defecto, desactivable en el centro de administración.
La EIPD es obligatoria
Antes del despliegue de Copilot es obligatoria una evaluación de impacto en la protección de datos. En la práctica a menudo se omite – falta entonces la prueba de justificación ante las autoridades de control.
El secreto profesional sigue siendo arriesgado
Médicos, abogados, asesores fiscales, farmacéuticos, aseguradoras, bancos: incluso con M365 Copilot Enterprise, la transferencia a un tercer país en el sentido del secreto profesional sigue siendo problemática. La responsabilidad penal no está excluida.
Complementos y conectores
Las extensiones de Copilot (Salesforce, ServiceNow, SAP) reenvían datos a los respectivos proveedores. Cada extensión requiere su propia evaluación legal y contrato de encargo.
Deberes de información hacia los clientes
Si se procesan datos de clientes en flujos de Copilot, los afectados deben ser informados de forma transparente – sobre destinatarios, transferencia a terceros países y base legal. La mayoría de las políticas de privacidad no lo recogen.
¿Cuándo puedo usar Copilot – y cuándo no?
Una autoevaluación rápida: si tu configuración y tu caso de uso coinciden con la columna izquierda, Copilot suele ser aceptable. Si algo de la columna derecha aplica, necesitas una mejor solución.
Muy probablemente OK
- Enterprise Agreement M365 E3/E5 activo
- EU Data Boundary configurado, Bing Grounding desactivado
- EIPD realizada y documentada
- Sensitivity Labels configuradas vía Purview
No sin medidas adicionales
- Copilot Pro o variante de consumo de Bing en uso
- Secreto profesional según § 203 StGB implicado
- Categorías especiales del art. 9 RGPD (salud, etc.)
- Evaluación de impacto pendiente
¿Qué alternativas existen?
Tres vías – ordenadas por nivel de protección. Si Copilot no encaja o los riesgos residuales son demasiado altos, aquí tienes tus opciones.
KOSMO on-premise
KOSMO funciona en tu propio hardware. Sin empresa estadounidense, sin CLOUD Act, sin transferencia a terceros países, acceso completo a las fuentes internas. Apto también para profesiones del § 203 StGB.
- Ningún dato sale de tu red
- Sin contrato de encargo necesario (sin encargado externo)
- RAG sobre tus propias fuentes de conocimiento
M365 Copilot con política estricta
Si mantienes Copilot: desactivar Bing Grounding, políticas de uso claras, formación de los empleados, controles aleatorios regulares y EIPD documentada.
- Desactivar Bing Grounding
- Etiquetar contenidos sensibles con Purview
- Actualizar la EIPD anualmente
Proveedor UE con contrato
Proveedores europeos especializados con alojamiento en la UE, contrato de encargo y política de modelo transparente. Menor riesgo de tercer país que Copilot, pero integración con Microsoft normalmente más engorrosa.
- Verificar contrato y alojamiento en la UE
- Comprobar matriz y exposición a la CLOUD Act
- Exclusión del entrenamiento con tus entradas
FAQ – las preguntas detalladas sobre Copilot
Microsoft 365 Copilot es la variante Enterprise con contrato de encargo, vinculación al tenant y EU Data Boundary como opción. Copilot Pro es la variante de consumo sin contrato, pensada para particulares. Para uso profesional con datos de clientes, solo M365 Copilot es una opción seria – Copilot Pro prácticamente nunca cumple el RGPD para empresas.
Fuentes y lecturas complementarias
Esta página se basa en las siguientes fuentes públicas y oficiales:
- Microsoft Learn – Microsoft 365 Copilot: Data, Privacy & Security
- Microsoft – EU Data Boundary for the Microsoft Cloud
- DSK – Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz (Mai 2024, PDF)
- DSK – Technische & organisatorische Maßnahmen für KI-Systeme (Juni 2025, PDF)
- BSI – Generative KI-Modelle: Chancen und Risiken
- EuGH – Urteil C-311/18 „Schrems II" (16. Juli 2020)
- EUR-Lex – Verordnung (EU) 2016/679 (DSGVO) im Volltext
Pleno control en lugar de riesgo residual
KOSMO funciona en tu propio hardware o en centros de datos soberanos europeos. Sin empresa estadounidense, sin CLOUD Act, sin Bing Grounding – solo tus datos y tu conocimiento.
Esta página ofrece una visión general y no sustituye al asesoramiento jurídico. En casos concretos – especialmente con datos especialmente protegidos, secreto profesional o transferencias transfronterizas – consulta a tu delegado de protección de datos o a un despacho especializado.
