El uso de ChatGPT y de otros asistentes de inteligencia artificial se ha extendido con enorme rapidez en empresas de todos los tamaños. Hoy se utilizan para redactar correos, resumir documentos, preparar propuestas, responder consultas internas o acelerar tareas comerciales y administrativas, pero esa comodidad también ha abierto una pregunta importante: qué datos puede compartir realmente una empresa con estas herramientas sin asumir riesgos innecesarios.

La cuestión no es menor. El marco europeo recuerda que el desarrollo y uso de sistemas de IA debe respetar las normas de protección de datos, y que el uso de datos personales en estos entornos exige revisar bases jurídicas, transparencia, definición de roles y medidas de control adecuadas. En otras palabras, la IA no deja al RGPD en pausa.

Por qué este tema preocupa cada vez más a las empresas

Muchas organizaciones han empezado a utilizar asistentes de IA de forma espontánea, sin una política interna clara y sin valorar qué información se introduce en los prompts. Eso hace que datos de clientes, empleados, expedientes, presupuestos, incidencias, contratos o correos internos puedan terminar expuestos en un entorno que no siempre se está gestionando con el nivel de precaución adecuado.

Además, el debate ya no se limita a una cuestión teórica. Las autoridades europeas de protección de datos han insistido en la necesidad de aplicar salvaguardas robustas, transparencia real y mecanismos efectivos para proteger a las personas cuando se desarrollan o utilizan sistemas de IA capaces de generar contenido o tratar información identificable.

Qué no debería compartir una empresa en un asistente de IA

Como regla general, una empresa debería evitar introducir en estos sistemas datos personales innecesarios o información confidencial que permita identificar directa o indirectamente a personas físicas. Cuanto menos justificada esté la introducción de ese dato, mayor será el riesgo desde el punto de vista de privacidad, confidencialidad y control del tratamiento.

Especialmente delicado resulta compartir:

  • Datos de salud, biométricos o de otras categorías especiales.
  • Documentación de clientes o empleados con datos identificativos.
  • Contratos, expedientes o correos internos completos con información personal.
  • Datos financieros, incidencias disciplinarias o historiales personales.
  • Prompts que permitan reconstruir perfiles concretos o decisiones automatizadas sobre personas.

El riesgo no solo está en “subir un documento”, sino también en copiar fragmentos de conversaciones, resumir casos reales o pedir al sistema que proponga respuestas usando datos demasiado específicos.

Qué sí puede hacerse con más seguridad

Eso no significa que la empresa no pueda usar estas herramientas. Lo razonable es utilizarlas con criterios claros, minimizando datos, anonimizado ejemplos cuando sea posible y evitando cualquier información sensible o identificable que no sea estrictamente necesaria.

Por ejemplo, es mucho más prudente pedir al sistema que redacte una respuesta comercial tipo, que resuma un procedimiento interno sin datos personales o que mejore un texto genérico, que introducir una reclamación real con nombres, teléfonos, correos, diagnósticos o circunstancias detalladas de un cliente o trabajador.

La empresa necesita una política interna, no solo sentido común

Uno de los mayores errores actuales es confiar en que cada empleado sabrá por intuición qué puede compartir y qué no. En la práctica, si no existen pautas internas, el uso de la IA termina siendo desigual, difícil de supervisar y mucho más arriesgado desde la óptica de cumplimiento.

Por eso conviene definir normas internas sobre qué herramientas están autorizadas, para qué usos, qué datos están prohibidos, cuándo debe anonimizarse la información y quién valida tratamientos más sensibles. Este enfoque es coherente con lo que ya se viene observando en el blog cuando se habla de datos, IA y nuevos riesgos, donde la clave está en preparar a la empresa antes de que el problema aparezca .

IA y evaluación de riesgos: una combinación cada vez más importante

Cuando el uso de asistentes de IA implica tratamientos más intensivos, decisiones con efectos sobre personas o incorporación de datos personales de forma estructurada, puede ser necesario realizar un análisis más profundo del riesgo. La orientación europea reciente insiste en que, en escenarios de alto riesgo, debe valorarse una evaluación de impacto y una definición clara de los roles de responsable y encargado del tratamiento.

Esto enlaza directamente con la necesidad de revisar procesos de protección de datos para autónomos y empresas que están incorporando estas herramientas sin una metodología previa. A veces el problema no está en la tecnología, sino en integrarla sin reglas internas, sin revisar proveedores y sin adaptar las medidas de cumplimiento al nuevo contexto.

Una oportunidad útil, pero con límites claros

Los asistentes de IA pueden mejorar la productividad, pero no deberían convertirse en un espacio donde todo vale. Cuanto más claros estén los límites sobre qué compartir, cómo anonimizar, qué usos evitar y qué controles internos aplicar, más fácil será aprovechar la herramienta sin comprometer la privacidad de clientes, empleados o colaboradores.

Para profundizar en este marco, conviene revisar la posición del EDPB sobre modelos de IA y RGPD, así como el reciente pronunciamiento del EDPB sobre sistemas de IA generativa e imágenes realistas, que refuerzan la importancia de la transparencia, las salvaguardas y la protección efectiva de las personas . Si la empresa quiere ordenar este uso desde el principio, puede ser un buen momento para revisar también servicios de adaptación LOPD y asegurar que la innovación no avance más rápido que el cumplimiento.