RGPD e inteligencia artificial: qué puedes y qué no con los datos

El RGPD no te prohíbe usar IA. Regula qué haces con los datos de las personas. Guía sin hype para decisores: cuándo puedes meter datos en una IA y cuándo no.

RGPD e inteligencia artificial: qué puedes y qué no con los datos

El RGPD no te prohíbe usar inteligencia artificial. Esa es la primera idea que quiero quitarte de encima, porque casi todo el miedo que rodea este tema nace de confundir las dos cosas. Lo que el reglamento regula es qué haces con los datos de las personas, y da la casualidad de que meter información en una herramienta de IA de otro es, a ojos de la ley, hacer algo con esos datos.

Así que la línea que separa lo que puedes hacer de lo que te mete en un lío no la marca la herramienta. La marcan cuatro decisiones tuyas: qué datos metes, con qué motivo, con qué contrato por detrás y a dónde acaban viajando esos datos. Este artículo es el mapa de esas cuatro decisiones, en lenguaje de negocio y sin venderte horas de abogado.

Un aviso antes de seguir, y va en serio. Esto no es asesoramiento jurídico. Es un mapa mental para que sepas qué preguntar y por dónde empezar. Para tu caso concreto, con tu sector y tus datos encima de la mesa, habla con un profesional. Lo de aquí te sirve para llegar a esa conversación sabiendo de qué va.

¿El RGPD me prohíbe usar IA?

No. El RGPD, la ley europea de protección de datos que se aplica desde 2018 [1], ni menciona la inteligencia artificial como algo a prohibir. Lo que regula es una cosa mucho más antigua: el tratamiento de datos personales. Y “tratamiento” es casi cualquier cosa que hagas con esos datos, incluido copiarlos y pegarlos dentro de un chat.

Un dato personal es cualquier información sobre una persona identificada o que se pueda identificar [1]. Un nombre, un correo, un teléfono, una foto, un currículum, la conversación de un cliente con tu soporte. Todo eso, en el momento en que lo introduces en una herramienta de IA, deja de ser “un texto que le paso a una máquina” y pasa a ser un tratamiento de datos con todas las obligaciones legales que arrastra.

Por eso la pregunta correcta no es “¿puedo usar IA?”. Es “¿estoy metiendo datos de personas en ella?”. Y ahí empieza lo interesante.

La primera decisión: ¿hay una persona detrás de esos datos?

Si lo que metes en la herramienta no identifica a nadie, el RGPD se relaja mucho. Pedirle a una IA que te redacte un correo genérico, que te resuma un informe de mercado o que te traduzca un texto sin nombres propios no toca datos personales, y ahí tienes vía libre.

El problema es que la gente cree que anonimizar es más fácil de lo que es. El error clásico suena así: “no pasa nada, le he quitado el nombre”. Quitar el nombre no convierte un dato personal en anónimo si la persona sigue siendo reconocible por lo demás. Un historial de compras con la fecha, el código postal y el importe puede señalar a una única persona aunque el nombre no aparezca por ningún lado. La ley mira si alguien podría reidentificar a esa persona con medios razonables, no si tú has borrado la casilla del nombre.

Anonimizar de verdad es difícil y muchas veces destruye justo el valor que querías analizar. Así que, en la práctica, si dudas de si un dato es personal, trátalo como si lo fuera. Es la postura barata y segura.

Comparación entre un dato personal reidentificable, un registro sin nombre pero con fecha, código postal e importe que todavía señala a una única persona, y un dato realmente anónimo que ya no identifica a nadie
Quitar el nombre no anonimiza: si el resto de la información todavía apunta a una persona, sigue siendo un dato personal bajo el RGPD.

Supongamos que sí, que hay datos de personas de por medio. Entonces toca la segunda decisión.

¿Con qué motivo tratas esos datos?

El RGPD exige que todo tratamiento de datos personales tenga una base legal, un motivo válido de los que la ley reconoce. El artículo 6 del reglamento enumera seis [1], y no necesitas sabértelas de memoria. Necesitas saber que tener uno, identificarlo y poder explicarlo es obligatorio antes de empezar, no algo que se justifica después si preguntan.

Estas son las que de verdad usa una empresa normal:

Base legalQué significa en tu negocioEjemplo con IA
ConsentimientoLa persona te ha dicho que sí, de forma clara y libreAnalizar respuestas de una encuesta en la que avisaste de que usarías IA
Ejecución de un contratoTratas el dato para cumplir lo que le prometiste a esa personaUsar IA para gestionar el pedido de un cliente que te ha comprado
Interés legítimoTienes un motivo razonable de negocio y no pisa los derechos de la personaClasificar correos de soporte para responder antes, tras valorar el impacto
Obligación legalUna ley te obliga a tratar ese datoConservar facturación que Hacienda te exige guardar

La tabla no es para que elijas al azar. Es para que veas que “porque me viene bien” no está en la lista. Si no sabes decir bajo cuál de estos motivos estás metiendo el dato de un cliente en una IA, ese es exactamente el hueco que tienes que tapar. La Agencia Española de Protección de Datos publica orientaciones sobre IA y datos escritas para que las entienda alguien de negocio [2]. Si solo vas a leer una fuente oficial, que sea esa.

Tener una base legal, eso sí, no te da barra libre para volcarlo todo.

Minimización: mete solo lo que necesitas

Aquí está el principio que más se salta la gente sin darse cuenta. El RGPD obliga a tratar solo los datos adecuados, pertinentes y limitados a lo necesario para tu finalidad [1]. En cristiano: metes en la herramienta lo justo para la tarea, no el fichero entero por comodidad.

El gesto que incumple esto es tan cotidiano que casi no se ve. Quieres que una IA te ayude a redactar la respuesta a una reclamación, y en lugar de pegarle el texto de esa reclamación, le pegas la exportación completa de tu CRM “para que tenga contexto”. Acabas de mandar los datos de cientos de clientes que no tenían nada que ver con esa tarea. Si algo sale mal con ese proveedor, tu exposición no es una persona: son todas.

Minimizar es aburrido y da algo de pereza. También es lo que convierte un incidente enorme en uno pequeño. Antes de pegar nada, quita lo que no haga falta para la tarea concreta.

Y ahora la decisión que más cambia el resultado de todas: con quién estás tratando.

El contrato que lo cambia todo: encargado del tratamiento

Cuando usas una IA de un tercero con datos de tus clientes, ese proveedor está tratando datos por cuenta tuya. La figura que la ley pone ahí se llama encargado del tratamiento: alguien que procesa datos siguiendo tus instrucciones, con obligaciones de seguridad y confidencialidad, y atado a ti por un contrato [1]. El artículo 28 del RGPD exige que esa relación esté por escrito.

Esto es lo que separa, en la práctica, usar una herramienta bien de usarla mal, y casi siempre se reduce a qué versión contrataste:

Versión de consumo (gratuita o personal)Versión empresarial (con contrato)
Para qué está pensadaUso personalUso profesional con datos de terceros
Contrato de encargadoNo, normalmenteSí, el proveedor firma como encargado
Qué hacen con tus datosPuede que los usen para mejorar el modeloSe comprometen a tratarlos solo por cuenta tuya
¿Apta para datos de clientes?NoSí, si el contrato cubre lo que necesitas

La palabra clave de todo este artículo, si tuviera que quedarme con una, es contrato. Las versiones de consumo están pensadas para que un particular las use con sus cosas, y sus condiciones a menudo permiten que el proveedor aproveche lo que escribes para entrenar sus modelos. Las versiones empresariales existen precisamente para cerrar esa puerta. El caso de pegar datos en un chat gratuito lo desmenuzo en subir datos de clientes a ChatGPT, porque es el error más común y el más caro. Y qué pasa exactamente con los datos que salen hacia un tercero lo tienes en enviar datos a modelos de IA de terceros.

Firmar la versión de pago tampoco es un cheque en blanco. Cumplir sigue siendo cosa tuya. Pero sin ese contrato, partes ya en falta.

¿A dónde viajan tus datos?

Falta la cuarta decisión, y es la que más gente ignora porque no se ve. Muchos de estos proveedores procesan los datos en servidores fuera de la Unión Europea. El RGPD no prohíbe que tus datos salgan de Europa, pero pone condiciones a esas transferencias internacionales [1], porque quiere que fuera reciban una protección equivalente a la de aquí.

Que un proveedor tenga servidores en Estados Unidos no lo convierte automáticamente en ilegal. Lo que tienes que poder responder es si esa transferencia está cubierta por alguno de los mecanismos que la ley acepta. Las versiones empresariales serias suelen documentar esto y ofrecer opciones, a veces incluyendo procesamiento dentro de la UE. Es una pregunta que haces antes de firmar, no después de un susto.

Con esas cuatro decisiones tomadas, el riesgo real baja muchísimo. Lo difícil no es entenderlas, es acordarse de aplicarlas con prisa un martes cualquiera.

Cuatro preguntas antes de pegar cualquier dato en una IA

No necesitas un departamento legal para esto. Necesitas pararte cuatro segundos antes de pulsar Enter y responder a esto:

Flujo de decisión de cuatro puertas antes de introducir datos en una IA de terceros: hay un dato personal, con qué base legal, minimización, y contrato de encargado del tratamiento; si falla una puerta, hay que parar y corregir
Las cuatro puertas antes de pegar un dato en una IA. Si fallas una, párate y corrige antes de seguir.
  1. ¿Hay datos de una persona identificable aquí? Si dudas, la respuesta es sí, y sigues.
  2. ¿Bajo qué motivo los estoy tratando? Si no sabes nombrar la base legal, párate y averígualo antes.
  3. ¿Estoy metiendo solo lo necesario? Quita todo lo que no haga falta para esta tarea concreta.
  4. ¿Esta herramienta tiene contrato de empresa detrás? Si es la versión gratuita de consumo, no metas datos de clientes.

Ese pequeño hábito, repartido entre tu equipo, tapa la mayor parte del riesgo real. Distinguir lo que una IA sí puede hacer por tu negocio de lo que te van a vender que puede, y usarla con criterio en lugar de por moda, es justo lo que trabajamos en el curso IA sin hype. No va de aprender a programar. Va de tomar mejores decisiones sobre dónde meter esta tecnología y dónde no.

Si quieres el mapa completo, con el AI Act además del RGPD, lo tienes en la guía de IA, RGPD y AI Act para empresas, que es el punto de partida de todo este tema.

Un concepto nuevo cada semana

Fuentes

  1. Reglamento (UE) 2016/679 (RGPD), EUR-Lex: concepto de dato personal y tratamiento (art. 4), licitud y bases legales (art. 6), principio de minimización (art. 5.1.c), encargado del tratamiento (art. 28) y transferencias internacionales (capítulo V).
  2. Agencia Española de Protección de Datos (AEPD): autoridad española de protección de datos y sus orientaciones sobre inteligencia artificial y RGPD para responsables y encargados.

Preguntas frecuentes

¿Puedo usar ChatGPT con datos de mis clientes?

Depende de la versión. En la versión gratuita de consumo, pensada para uso personal, meter datos de clientes es un tratamiento de datos personales sin las garantías que exige el RGPD, y ahí llegan los problemas. En una versión empresarial contratada, donde el proveedor firma como encargado del tratamiento, la respuesta puede ser sí, siempre que el contrato cubra tu caso.

¿Si anonimizo los datos me libro del RGPD?

Solo si la anonimización es real, y eso es más difícil de lo que parece. Quitar el nombre no basta si la persona sigue siendo identificable por el resto de la información. La ley mira si alguien podría reidentificarla con medios razonables. Cuando dudes, trata el dato como personal.

¿La versión de pago cumple el RGPD por mí?

No del todo. El contrato de encargado del tratamiento es un requisito imprescindible, pero seguir cumpliendo con la base legal, la minimización y el resto sigue siendo responsabilidad tuya. La versión empresarial te pone en la casilla de salida correcta, no te lleva hasta la meta.

Una de las del artículo 6 del RGPD que encaje con lo que haces: normalmente el consentimiento de la persona, la ejecución de un contrato con ella o tu interés legítimo bien valorado. Lo importante no es cuál elijas al azar, sino que la tengas identificada y la puedas explicar antes de empezar el tratamiento.

¿El proveedor entrena su modelo con mis datos?

En muchas versiones de consumo, puede hacerlo, porque sus condiciones lo permiten. En las versiones empresariales serias suele estar excluido por contrato. Es una de las primeras cosas que debes leer en las condiciones antes de meter cualquier dato de un cliente.

¿Por dónde empiezo mañana sin gastarme un dineral?

Por un inventario simple: qué herramientas de IA usa tu equipo, para qué, y cuáles tocan datos de personas. Con eso solo ya ves dónde está tu riesgo real, que casi nunca es teórico y casi siempre es un dato de cliente en una herramienta gratuita. Cambiar esas a una versión con contrato y avisar al equipo de las cuatro preguntas es el segundo paso, y tampoco cuesta dinero.