Logotipo Servicios Integrales Para Pymes
Cita online
,

IA en la empresa: lo cómodo no siempre es legal

Errores frecuentes al usar ChatGPT u otras IA con datos personales

La inteligencia artificial generativa ya ha entrado en la empresa. Redacta correos, resume reuniones, clasifica incidencias, prepara informes, traduce documentos y ayuda a ganar tiempo. El problema no es usar IA. El problema es usarla mal.

En muchas organizaciones, el uso de herramientas como ChatGPT, copilots, asistentes conversacionales o generadores de texto se ha extendido antes de que exista una política interna clara. Y ahí aparece el riesgo real: lo cómodo, lo rápido y lo aparentemente eficiente no siempre es legal.

Cuando una persona empleada pega en una IA un correo de un cliente, una reclamación, un currículum, una historia disciplinaria o una hoja con datos de trabajadores, no está haciendo una acción neutra. Está realizando un tratamiento de datos personales. Y si además el sistema reutiliza información, se apoya en terceros proveedores, opera desde fuera del Espacio Económico Europeo o se integra en procesos sensibles, el nivel de exposición sube mucho.

Desde la perspectiva del RGPD y de la LOPDGDD, usar IA con datos personales exige exactamente lo mismo que cualquier otro tratamiento: licitud, minimización, limitación de la finalidad, seguridad, responsabilidad proactiva y capacidad de demostrar cumplimiento. No hay una “zona gris tecnológica” que permita saltarse estas reglas. El hecho de que una herramienta sea popular o muy útil no convierte su uso en conforme a derecho.

Error 1. Copiar y pegar datos personales reales en una IA por pura comodidad

Es uno de los fallos más frecuentes. Se pega una reclamación con nombre y apellidos, un Excel con clientes, un expediente de personal o una consulta médica “para que la IA lo ordene mejor”.

Aquí el riesgo no está solo en la confidencialidad. También está en la minimización. Muchas veces la tarea podría hacerse con datos anonimizados, seudonimizados o con un caso ficticio. Si la finalidad era resumir un texto, probablemente no hacía falta incluir nombre, DNI, correo, teléfono o referencias internas.

Desde el RGPD, la empresa debe preguntarse:

  • ¿Era necesario usar datos reales?
  • ¿Podía hacerse con menos datos?
  • ¿La herramienta está autorizada?
  • ¿Existe una instrucción interna que lo permita?

La AEPD viene insistiendo en un uso responsable de la IA y en evitar compartir más información de la necesaria. Esa prudencia no es solo una recomendación técnica. Es una consecuencia directa del principio de minimización y de la protección de datos desde el diseño y por defecto.

Error 2. Usar la IA sin base de legitimación clara

Otro error muy habitual consiste en pensar que “como la empresa ya tiene los datos”, puede usarlos libremente en cualquier herramienta de IA.

No es así. Tener acceso a los datos no significa que se puedan reutilizar para cualquier finalidad. Si una empresa recogió datos para gestionar nóminas, atender clientes o tramitar pedidos, no puede redirigirlos sin más a un sistema de IA para experimentar, entrenar flujos, generar perfiles o tomar decisiones auxiliares, salvo que ese uso sea compatible o tenga una base jurídica adecuada.

Las bases de legitimación no desaparecen con la IA. Siguen siendo las del artículo 6 del RGPD: ejecución de contrato, obligación legal, interés legítimo debidamente ponderado, consentimiento cuando proceda, etc. Además, el EDPB ha recordado expresamente que el uso de interés legítimo en modelos o sistemas de IA requiere un análisis serio, no automático.

En empresa, esto obliga a documentar algo básico:

  • para qué se usa la IA,
  • qué datos entran,
  • con qué base jurídica,
  • quién accede,
  • y qué impacto tiene sobre las personas.

Error 3. Introducir datos sensibles o información especialmente confidencial

Aquí el riesgo se dispara. No es lo mismo resumir un texto neutro que cargar en una IA datos de salud, bajas médicas, discapacidad, afiliación sindical, información biométrica, sanciones internas, violencia, menores o datos económicos delicados.

Si se introducen categorías especiales de datos del artículo 9 del RGPD, la exigencia jurídica y técnica es muy superior. En muchos casos, directamente no debería hacerse en herramientas genéricas de IA abiertas al uso cotidiano. Y si se hace en un entorno corporativo controlado, tendría que existir una justificación muy robusta, medidas reforzadas y evaluación previa.

También es problemático cargar secretos empresariales, estrategias comerciales, expedientes jurídicos, investigaciones internas o credenciales. Aunque no todo eso sea “dato personal”, sí entra en el terreno de la seguridad de la información, del deber de confidencialidad y del riesgo de fuga.

La pregunta correcta no es “¿la IA puede hacerlo?”. La pregunta correcta es “¿la empresa puede permitirse jurídica y operativamente que esa información salga de su circuito controlado?”.

Error 4. Usar herramientas de IA sin contrato, sin revisar proveedor y sin analizar transferencias

Muchas empresas permiten usar herramientas de IA sin haber validado antes al proveedor. Ese es un fallo serio.

Si el proveedor trata datos personales por cuenta de la empresa, puede ser necesario un contrato de encargo del tratamiento con las garantías del artículo 28 del RGPD. Además, hay que revisar:

  • condiciones de uso reales,
  • políticas de privacidad,
  • subencargados,
  • ubicación de tratamientos,
  • transferencias internacionales,
  • medidas de seguridad,
  • opciones de desactivar entrenamiento o retención,
  • y nivel real de control empresarial.

No basta con que la herramienta sea conocida. Tampoco basta con que “la use todo el mundo”. Hay que verificar si la organización está actuando como responsable, como corresponsable o si existe un proveedor encargado. Y si hay transferencias internacionales, deben analizarse conforme al RGPD.

Aquí falla mucho la gobernanza. Se compra una licencia, se activa un chatbot o se conecta un asistente a correo y documentos sin pasar por privacidad, seguridad, compras o compliance.

Error 5. Automatizar respuestas, evaluaciones o decisiones sin control humano real

La IA puede ayudar a clasificar candidaturas, priorizar reclamaciones, puntuar riesgos, redactar respuestas a clientes o proponer medidas disciplinarias. Pero cuando su uso empieza a afectar de forma relevante a personas, el control humano ya no es opcional.

Desde la perspectiva del RGPD, esto conecta con las decisiones automatizadas y con el deber de garantizar transparencia, intervención humana significativa, posibilidad de revisión y prevención de sesgos o errores. Además, el marco europeo de IA ya impone obligaciones crecientes de gobernanza y alfabetización en IA para organizaciones que despliegan estos sistemas. Las obligaciones de alfabetización en IA son aplicables desde el 2 de febrero de 2025, y la Comisión Europea ha aclarado que las organizaciones deben formar a su personal según el contexto y el riesgo del uso.

El gran error empresarial es pensar que revisar “por encima” lo que dice la IA ya equivale a supervisión humana. No siempre es así. Si la persona solo valida mecánicamente lo que genera el sistema, el control humano puede ser meramente aparente.

¿Hace falta una EIPD?

No siempre, pero en muchos proyectos con IA sí puede ser necesaria.

La obligación de realizar una Evaluación de Impacto en Protección de Datos aparece cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas. En proyectos con IA, esto puede ocurrir, por ejemplo, si hay:

  • evaluación sistemática de personas,
  • perfiles,
  • uso de categorías especiales,
  • gran volumen de datos,
  • vigilancia,
  • combinaciones de fuentes,
  • impacto laboral,
  • decisiones con efectos significativos,
  • o uso innovador con opacidad relevante.

La AEPD mantiene recursos específicos sobre gestión del riesgo, listas de tratamientos que requieren EIPD y modelos para sector privado y administraciones. Por tanto, no puede afirmarse de forma seria que “usar IA no obliga nunca a una EIPD”. Dependerá del caso, pero en entornos empresariales sensibles esa revisión previa es muchas veces aconsejable e incluso obligatoria.

Medidas de proporcionalidad y buenas prácticas

Para un uso razonable y defendible de IA con datos personales en empresa, conviene aplicar al menos estas medidas:

  • aprobar una política interna de uso de IA;
  • definir herramientas autorizadas y herramientas prohibidas;
  • impedir el uso de cuentas personales para tareas corporativas;
  • prohibir volcar datos sensibles o no necesarios;
  • anonimizar o seudonimizar siempre que sea posible;
  • revisar contratos y roles con proveedores;
  • analizar transferencias internacionales;
  • registrar finalidades y bases de legitimación;
  • formar al personal;
  • establecer supervisión humana efectiva;
  • activar medidas de seguridad, registro y control de accesos;
  • valorar si procede una EIPD antes de desplegar casos sensibles.

Conclusión

La IA puede aportar agilidad, productividad y ventaja competitiva. Eso es cierto. Pero también puede abrir una puerta a incumplimientos silenciosos: exceso de datos, reutilización ilícita, fugas de información, decisiones opacas y proveedores no controlados.

En protección de datos, la pregunta no es si la IA ahorra tiempo. La pregunta es si su uso es necesario, proporcionado, seguro y jurídicamente justificable.

Porque en empresa, con datos personales, lo cómodo no siempre es legal.

Límite de esta información: este contenido es divulgativo y orientativo. Para implantar un caso concreto de IA en la empresa conviene revisar el tratamiento específico, los flujos de datos, el proveedor, el contrato, las transferencias y el nivel de riesgo real.

#sipylopd #SIPY #ProteccionDeDatos #RGPD #LOPDGDD #InteligenciaArtificial #ChatGPT #Privacidad #Ciberseguridad #Compliance

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones