Alguien del equipo de ventas usa ChatGPT para redactar propuestas. Para que el output sea útil, pega nombres de clientes, detalles de contratos, información del sector. Lo hace cada semana. Nadie se lo ha prohibido porque nadie lo sabe. Hasta hoy.
Esto ocurre en más empresas de lo que parece. No por mala fe, sino porque nadie ha definido qué se puede hacer con las herramientas de IA y qué no. Y cuando no hay criterio compartido, cada persona decide por sí misma.
Si acabas de descubrir que esto está pasando en tu empresa, esta guía te dice qué hacer en las próximas horas y qué necesitas construir para que no vuelva a ocurrir.
No es un problema de tecnología, es un problema de criterio que nadie ha establecido. |
Primero: entiende qué ha pasado exactamente
Antes de actuar, necesitas saber:
¿Qué datos se han procesado?
¿Son datos personales de clientes — nombres, emails, datos de contratos? ¿Son datos confidenciales de negocio — precios, estrategias, información de proveedores? ¿O son datos genéricos sin identificación? La respuesta determina qué riesgos reales tienes.
¿Con qué herramienta y en qué condiciones?
ChatGPT tiene distintas condiciones según el plan: la versión gratuita puede usar los inputs para entrenar modelos; la versión Enterprise incluye garantías de no uso de datos para entrenamiento. Si el equipo usaba la versión gratuita con datos de clientes, el riesgo es diferente que si usaba la Enterprise. Lo mismo aplica a otras herramientas: Gemini, Claude.
¿Con qué frecuencia y quién?
¿Es un caso aislado o una práctica extendida? ¿Solo una persona o varios departamentos? Esto determina el alcance del problema y la urgencia de la respuesta.
El riesgo real: GDPR y responsabilidad
Si los datos procesados son personales en el sentido del GDPR ( cualquier información que identifique o permita identificar a una persona física) la empresa tiene un problema legal potencial.
El GDPR establece que el responsable del tratamiento, la empresa , debe tener una base legal para procesar datos personales y, si usa terceros para hacerlo, debe tener un contrato de encargado del tratamiento. ChatGPT, Gemini o cualquier herramienta de IA es un tercero. Si no hay contrato, no hay base legal para ese procesamiento.
La responsabilidad no recae en el empleado. Recae en la empresa. Lo que el equipo ha hecho es síntoma de un problema organizacional, no individual.
Qué hacer en las próximas horas
1. No dramatizar ni escalar antes de tener datos
Antes de convocar reuniones o enviar comunicaciones al equipo, recoge la información que necesitas: qué datos, qué herramienta, con qué condiciones, quién y durante cuánto tiempo. Sin esos datos, cualquier acción es precipitada.
2. Consulta con tu DPO o asesoría jurídica
Si tienes Delegado de Protección de Datos, este es el momento de consultarle. Necesitas saber si el procesamiento que ha ocurrido requiere notificación a la Agencia Española de Protección de Datos. Solo hay obligación de notificar si hay una quiebra de seguridad con riesgo para los derechos de los afectados. No todo uso indebido de IA con datos personales constituye automáticamente una quiebra notificable, pero el criterio jurídico importa aquí.
3. Comunica al equipo con claridad, sin culpar
El equipo no actuó de mala fe, actuó en ausencia de criterio. La comunicación interna debería transmitir tres cosas: que la empresa ha detectado un uso de herramientas de IA que necesita revisarse, que se va a establecer un criterio claro próximamente y que mientras tanto hay una indicación provisional sobre qué no hacer.
4. Establece una indicación provisional inmediata
Hasta que exista una política formal: no usar herramientas de IA externas con datos personales de clientes, datos confidenciales de contratos ni información estratégica de negocio. Eso se puede comunicar en un email corto hoy mismo.
Una indicación provisional enviada hoy vale más que una política perfecta que llegará en tres meses. |
Qué necesitas construir para que no vuelva a ocurrir
Una indicación provisional resuelve la urgencia, no resuelve el problema. Lo que resuelve el problema es una política de uso de IA que el equipo entienda, pueda aplicar y sepa por qué existe.
Esa política necesita responder al menos estas preguntas:
— Qué herramientas de IA están aprobadas para uso profesional en la empresa.
— Qué tipos de datos pueden usarse con IA y cuáles no.
— Qué proceso existe para aprobar el uso de una herramienta nueva.
— Quién responde si algo sale mal.
Sin esas respuestas por escrito, la empresa seguirá dependiendo de que cada persona tome la decisión correcta individualmente. Y eso es confianza sin estructura.
Preguntas frecuentes
¿Es ilegal que mis empleados usen ChatGPT con datos de clientes?
Depende. Si los datos son personales, procesarlos con una herramienta de IA de terceros sin base legal ni contrato de encargado del tratamiento puede vulnerar el GDPR. La responsabilidad recae en la empresa, no en el empleado. Lo primero es entender qué datos se han procesado y con qué herramienta.
¿Tengo que notificar esto a la AEPD?
Solo si hay una quiebra de seguridad que implique riesgo para los derechos de las personas afectadas. El uso indebido de herramientas de IA con datos personales no siempre constituye una quiebra notificable, pero sí puede serlo si hay transferencia internacional de datos sin garantías. Ante la duda, consultar con el DPO o asesoría jurídica.
¿Cómo evito que vuelva a ocurrir?
Con una política de uso de IA que establezca qué herramientas están aprobadas, qué datos pueden usarse con IA y quién autoriza las excepciones. Sin esa política, el equipo seguirá tomando decisiones individuales sobre algo que tiene consecuencias colectivas.
