¿Puedes subir datos de clientes a ChatGPT sin saltarte el RGPD?
Pegar datos de clientes en ChatGPT no es ilegal por defecto, pero depende del plan, de tu base legal y de si puedes anonimizar. Guía sin hype para decisores.
Tu equipo lleva semanas pegando cosas en ChatGPT: correos de clientes para redactar la respuesta, una hoja de pedidos para sacar un resumen, la lista de contactos para limpiarla. Funciona, va rápido, y a nadie se le ha ocurrido preguntar si eso se puede hacer. Y entonces alguien lo pregunta.
La respuesta corta: técnicamente puedes pegar lo que quieras, legalmente depende, y en la práctica casi nunca deberías hacerlo con la versión gratuita. No es que el RGPD prohíba usar ChatGPT con datos de clientes. Es que la forma más común de usarlo (la cuenta gratuita, con nombres y correos reales dentro) es también la más fácil de convertir en un problema. Aquí te explico de qué depende de verdad y qué puedes hacer esta misma semana. Aviso desde ya: esto no es asesoramiento jurídico, es una guía para que sepas qué preguntas hacer.
¿Qué cuenta como “dato de cliente”?
Cualquier información que identifique a una persona, o que permita identificarla, es un dato personal. Y eso es más de lo que parece. El nombre y el correo, sí, pero también el teléfono, la dirección, un número de pedido asociado a una persona, el texto de un ticket de soporte donde el cliente cuenta su caso, o incluso una reseña con su nombre. Si al leerlo puedes decir “esto es de Fulanito”, es un dato personal y el RGPD aplica.
Esto importa porque marca la línea. Pedirle a ChatGPT que te redacte una plantilla de bienvenida genérica no toca ningún dato personal. Pegarle el correo real de una clienta con su nombre, su pedido y su queja, sí. La misma herramienta, dos situaciones legales completamente distintas.
¿ChatGPT aprende de lo que le pego?
Depende del plan que uses, y esta es la distinción que casi nadie tiene clara. En la versión de consumo (la cuenta gratuita y ChatGPT Plus), OpenAI puede usar tus conversaciones para entrenar sus modelos salvo que lo desactives tú en los ajustes. En los planes de empresa (ChatGPT Team/Business, ChatGPT Enterprise y la API para desarrolladores), OpenAI no entrena con tus datos por defecto.
¿Qué significa “entrenar” en cristiano? Que el contenido que escribes puede pasar a formar parte del material con el que el modelo mejora. No es que un empleado de OpenAI lea tu hoja de clientes por la mañana. Es que ese dato entra en una tubería automática de la que, en el peor de los casos, algo podría reaparecer de forma indirecta más adelante. Para un dato de cliente identificable, ese riesgo no compensa.
| Plan | ¿Entrena con tus datos? | Retención | ¿Contrato (DPA)? |
|---|---|---|---|
| Gratuito / Plus (consumo) | Sí, salvo que lo desactives en Ajustes | Hasta que borras el historial | No |
| Team / Business | No, por defecto | 30 días para control de abuso y luego se borra | Sí |
| Enterprise | No, por defecto | Configurable; retención cero disponible bajo solicitud | Sí |
| API (desarrolladores) | No, por defecto | 30 días para control de abuso y luego se borra | Sí |
Que un plan no entrene con tus datos no significa que ya no tengas nada de qué preocuparte. Significa que has cerrado uno de los tres riesgos. Quedan los otros dos, y son los que pone el RGPD.
El RGPD no te prohíbe usar IA, te pide tres cosas
El RGPD no dice “no uses ChatGPT”. Dice que, si vas a tratar datos personales, cumplas tres condiciones. La primera es tener una base legal: una razón válida para tratar ese dato, de la lista que fija el reglamento en su artículo 6. “Me venía bien para ir más rápido” no es una de ellas. El consentimiento de la persona, la ejecución de un contrato con ella o tu interés legítimo bien justificado, sí pueden serlo, según el caso.
La segunda es transparencia. La persona cuyos datos tratas tiene derecho a saber qué haces con ellos, y “los meto en una herramienta de IA de terceros” es exactamente el tipo de cosa que tu política de privacidad debería reflejar. La tercera es el contrato. Cuando dejas que otra empresa procese datos personales por ti, esa empresa es lo que el RGPD llama encargado del tratamiento, y necesitas un contrato con ella que fije las reglas. Es el artículo 28. OpenAI lo ofrece como un DPA (un contrato de tratamiento de datos) para sus planes de empresa, no para las cuentas de consumo.
La diferencia entre responsable y encargado es sencilla si la piensas así: tú eres el responsable porque tú decides qué datos tratas y para qué; OpenAI es el encargado porque los procesa siguiendo tus instrucciones. El responsable de que todo esto esté bien hecho eres tú, no la herramienta. Por eso el Comité Europeo de Protección de Datos, que reúne a las autoridades de la UE, publicó un informe sobre ChatGPT[1]: la duda es real y la vigilancia también.
La salida más barata: no subas el dato identificable
La mejor forma de no tener un problema de datos es no subir el dato. Suena obvio, pero es la opción que casi nadie considera antes de saltar a “necesito el plan Enterprise”. La mayoría de las tareas por las que tu equipo usa ChatGPT (redactar, resumir, clasificar, corregir el tono) no necesitan el nombre real del cliente para nada.
Si le pides que reescriba una respuesta de soporte, puedes sustituir “Estimada Ana Martínez, sobre tu pedido 48213” por “Estimado/a [cliente], sobre tu pedido [número]” y pegar solo eso. El modelo redacta igual de bien. Esto es anonimizar: quitar el dato del todo. O seudonimizar: cambiarlo por una etiqueta que solo tú sabes reconstruir. Es la medida más barata, más rápida y la que menos depende de leer la letra pequeña de nadie.
Trabajar con criterio esta parte (cuándo un dato es realmente necesario, cómo montar una política sencilla de qué se puede pegar y qué no) es justo lo que hacemos en el curso de IA sin hype: usar estas herramientas con cabeza, sin creerte ni el bombo ni el miedo. Para el marco legal completo, con el RGPD y el AI Act juntos, tienes la guía de IA, RGPD y AI Act para empresas.
Qué hacer esta semana
No hace falta un proyecto de seis meses para reducir el riesgo de golpe. Con estos pasos cubres lo esencial.
- Mientras sigas en cuentas de consumo, entra en Ajustes y desactiva el uso de tus conversaciones para entrenar el modelo
- Pasa al equipo a un plan de empresa (Team, Enterprise o la API) si va a tratar datos de clientes de forma habitual
- Firma el DPA que ofrece OpenAI para ese plan y guárdalo con el resto de tus contratos de proveedores
- Escribe una regla interna clara: qué datos NO se pegan nunca (nombres, correos, teléfonos, datos de salud o económicos) sin anonimizar antes
- Enseña al equipo a seudonimizar en treinta segundos antes de pegar, con un par de ejemplos reales
- Revisa que tu política de privacidad menciona que usas proveedores de IA para tratar datos
Si quieres profundizar en qué pasa exactamente cuando un dato sale hacia un tercero, lo desarrollo en datos a terceros y modelos de IA, y el panorama general de RGPD e inteligencia artificial te da el contexto completo.
Un concepto nuevo cada semana
Fuentes
- Comité Europeo de Protección de Datos, informe del grupo de trabajo sobre ChatGPT. Respalda que las autoridades de la UE han examinado el cumplimiento del RGPD por parte de ChatGPT.
- OpenAI, privacidad de datos para empresas. Respalda que OpenAI no entrena con datos de Team, Enterprise ni la API por defecto, la retención de 30 días y la disponibilidad del DPA.
Preguntas frecuentes
¿Es ilegal pegar datos de clientes en ChatGPT?
No es ilegal por defecto. Lo que dice el RGPD es que, si tratas datos personales, necesitas una base legal, transparencia con la persona afectada y un contrato con quien procesa esos datos por ti. Con la versión gratuita no tienes ese contrato y además puede usarse tu conversación para entrenar el modelo, así que ahí el riesgo es alto. Con un plan de empresa y sus datos anonimizados, el riesgo baja mucho.
¿ChatGPT se queda con los datos de clientes que le paso?
Depende del plan. En los planes de empresa (Team, Enterprise y la API), OpenAI retiene las entradas hasta 30 días para controlar abusos y después las borra, y no las usa para entrenar. En la versión de consumo, tu historial se guarda mientras no lo borres y puede usarse para entrenar salvo que desactives esa opción en los ajustes.
¿Qué es un DPA y por qué lo necesito?
Un DPA es el contrato de tratamiento de datos que el RGPD exige (artículo 28) cuando otra empresa procesa datos personales por ti. Fija qué puede hacer con ellos, cuánto los guarda y qué medidas de seguridad aplica. OpenAI lo ofrece para sus planes de empresa. Sin ese contrato firmado, tratar datos de clientes en la herramienta te deja expuesto.
¿No es más fácil anonimizar y ya está?
En muchos casos, sí. Si sustituyes nombres, correos y números por etiquetas genéricas antes de pegar el texto, ya no estás tratando datos personales identificables y buena parte del problema desaparece. La mayoría de tareas de redacción o resumen no necesitan el dato real. No cubre todos los escenarios, pero es la medida más barata y la primera que deberías aplicar.
¿Y el AI Act cambia algo de esto?
El AI Act regula sobre todo qué sistemas de IA se pueden usar y con qué obligaciones según su riesgo, mientras que quién puede tocar los datos de tus clientes lo sigue marcando el RGPD. Los dos conviven. Para el mapa completo de ambas normas aplicado a una empresa, mira la guía de IA, RGPD y AI Act para empresas. Y recuerda: esto es orientación general, no asesoramiento jurídico; para tu caso concreto, consulta con quien lleve tu protección de datos.