TL;DR — Lo esencial en 8 puntos:
- ChatGPT Plus individual no es GDPR seguro para uso empresarial: datos de clientes en servidores EEUU, cuentas personales compartidas, sin control de empresa.
- ChatGPT privado real = interfaz con tu marca + multi-modelo (Claude, GPT, Gemini, Llama) + datos en tu infraestructura EU + RAG sobre tus documentos propios.
- Esto NO es ChatGPT Enterprise (solo GPT-4o, datos en EEUU por defecto, sin marca, ~30-60$/usuario/mes).
- Tampoco es Microsoft Copilot (solo Office, solo GPT-4o, lock-in Microsoft).
- Cortex by Javadex es la plataforma que despliego llave en mano: tu dominio (chat.tuempresa.com), tus colores, todos los modelos, datos en Hetzner Frankfurt o AWS Frankfurt.
- Precio: desde 5.000€ one-time + 250-400€/mes de infraestructura (no por usuario).
- GDPR real: ningún dato sale a EEUU, DPA explícito, procesamiento solo en EU.
- Plazo: 4-6 semanas desde el inicio hasta que tu equipo lo usa en producción.
Por qué ChatGPT Plus individual es un problema de GDPR (y de control) para tu empresa
Cuando tus empleados usan ChatGPT Plus con sus cuentas personales para trabajar, estás asumiendo riesgos de GDPR que probablemente no has evaluado. No es alarmismo: es lo que establece el RGPD desde 2018 y lo que la AEPD (Agencia Española de Protección de Datos) ha empezado a señalar en guías específicas para IA en empresas (mayo 2025).
El problema tiene tres capas:
Capa 1 — Datos en servidores de EEUU sin base legal adecuada. ChatGPT Plus almacena tus conversaciones en servidores de OpenAI en EEUU. Aunque OpenAI se acoge al Data Privacy Framework UE-EEUU (desde julio 2023), el marco sigue siendo cuestionado judicialmente y la AEPD española ha señalado que las empresas no pueden asumir automáticamente que es suficiente para datos de clientes regulados.
Capa 2 — Cuentas personales mezclando datos de empresa. Cuando tu empleado de ventas pega una propuesta comercial en su ChatGPT personal, esos datos van a la cuenta de OpenAI que es del empleado, no de la empresa. Si el empleado se va, OpenAI no tiene obligación de borrar esos datos a petición de la empresa. No hay inventario de qué datos han salido ni control sobre ello.
Capa 3 — Sin inventario de tratamiento. El RGPD exige que puedas documentar qué herramientas de terceros procesan datos personales de tus clientes. Si 15 empleados usan ChatGPT Plus de forma individual, tienes 15 "tratamientos" distintos que no puedes controlar ni documentar de forma centralizada.
La solución no es prohibir la IA — eso ya no funciona y genera shadow IT. La solución es darle a tu equipo una plataforma IA privada que cumpla GDPR desde el día 1, con tu marca y tus reglas.
Qué significa "ChatGPT privado" de verdad
Un ChatGPT privado real para empresas tiene cuatro elementos no negociables: interfaz con tu marca, todos los modelos que necesites, datos en tu infraestructura EU y RAG sobre tu documentación interna.
Hay mucho ruido con este concepto, así que vamos a definir exactamente qué incluye y qué no:
Lo que SÍ es un ChatGPT privado empresarial
- Tu marca completa: logo, colores, nombre, dominio propio (
chat.tuempresa.com). Tus empleados ven tu empresa, no OpenAI ni Anthropic. - Multi-modelo: Claude 3.7 Sonnet para redacción de contratos, GPT-4o para análisis de datos, Gemini 2.0 Flash para documentos mixtos texto+imagen, Llama 3.3 70B para procesamiento on-premise sin coste de API. Todo desde una sola interfaz.
- Datos en tu infraestructura EU: el servidor está en Frankfurt, Ámsterdam, Madrid o en tu propio datacenter. Ninguna conversación sale a EEUU.
- RAG sobre tus documentos: el asistente conoce tus manuales internos, tus contratos tipo, tu catálogo de productos, tu base de conocimiento de atención al cliente. Responde con cita a la fuente, no con alucinaciones.
- Permisos por rol: el departamento de ventas accede a los agentes de ventas; el departamento legal accede a los agentes jurídicos. Cada empleado ve solo lo que necesita.
- Agentes preconfigurados: cada departamento tiene su agente con sus prompts, sus herramientas conectadas y su contexto específico. No es el "ChatGPT genérico" — es una versión entrenada en tu empresa.
Lo que NO es un ChatGPT privado empresarial
- ChatGPT Enterprise: es el producto SaaS de OpenAI, con tus datos en sus servidores, solo GPT-4o, sin marca propia, precio por usuario elevado. Es "privado" en el sentido de que no usa tus datos para entrenar el modelo, pero los datos siguen estando en la infraestructura de OpenAI, no en la tuya.
- Microsoft Copilot M365: no tiene tu marca, está atado a GPT-4o, el RAG solo funciona sobre SharePoint/OneDrive, y el lock-in con Microsoft es estructural.
- Un wrapper de GPT con prompt system: algunos integradores venden "tu ChatGPT privado" que es simplemente una API call a OpenAI con un prompt de sistema personalizado. Los datos siguen yendo a los servidores de OpenAI.
Tabla: qué necesitas vs qué te da cada opción
| Necesidad | ChatGPT Plus individual | ChatGPT Enterprise | Copilot M365 | Cortex (plataforma propia) |
|---|---|---|---|---|
| Tu marca (logo, colores, dominio) | No | No | No (solo Microsoft) | Sí — chat.tuempresa.com |
| Multi-modelo (Claude, GPT, Gemini, Llama) | No (solo GPT-4o) | No (solo GPT-4o) | No (solo GPT-4o) | Sí — 200+ modelos |
| Datos en infraestructura EU propia | No | No por defecto | Con M365 E3+ y config extra | Sí — siempre, desde el día 1 |
| RAG sobre documentos propios | No (solo upload) | Parcial, sin fuente verificable | Solo SharePoint/OneDrive | Sí — cualquier fuente, con cita |
| Permisos por departamento | No | Básicos | Básicos (M365 roles) | Sí — granulares por rol y agente |
| Agentes personalizados | GPTs básicos | GPTs básicos | Copilot Studio (extra) | Sí — preconfigurados por dpto |
| GDPR completo sin configuración | No | Con DPA (datos en EEUU) | Con M365 E3 + EU Data Boundary | Sí — datos en EU por diseño |
| Sin lock-in | N/A | No (lock-in OpenAI) | No (lock-in Microsoft+OpenAI) | Sí — código open source tuyo |
| Precio (20 usuarios, 24 meses) | ~4.800€ (20€×12×20) | ~14.400-28.800$ | ~21.360€ | ~11.000-17.600€ total |
| Integración con tus herramientas | No | Limitada | M365 ecosystem | 2.200+ conectores MCP + custom |
Cómo funciona el despliegue de Cortex: tu ChatGPT privado en 4-6 semanas
En 4-6 semanas tu empresa tiene operativo su propio ChatGPT privado con tu marca, todos los modelos y los datos en Europa. Este es el proceso exacto que sigo con cada cliente:
Semana 1: diagnóstico y diseño de infraestructura
Empezamos con una sesión de diagnóstico (1 hora) donde mapeamos:
- Qué herramientas IA usa tu equipo actualmente y para qué
- Qué datos sensibles están saliendo de la empresa y por qué canal
- Qué integraciones necesitas (CRM, ERP, documentación interna, email…)
- Qué presupuesto de infraestructura tienes (esto determina si vamos a cloud dedicado o on-premise)
A partir del diagnóstico, diseño la arquitectura: servidor dedicado en Hetzner Frankfurt (opción estándar, desde 80€/mes por servidor), AWS Frankfurt (opción premium, más cara pero con SLA enterprise) u on-premise en tu datacenter (para sectores muy regulados como banca, salud, defensa).
Semana 2-3: configuración del stack y brandbook
Configuro el stack técnico (no entraré en detalles de nombres de componentes en este post, porque lo relevante para ti es el resultado, no la fontanería). Lo que te entrego al final de esta fase:
- Tu dominio activo:
chat.tuempresa.com(con SSL y acceso solo desde tu red o con VPN, según prefieras) - Tu marca aplicada: logo en alta resolución, paleta de colores, tipografía corporativa
- Todos los modelos disponibles: Claude, GPT-4o, Gemini, Llama, Mistral… los que necesites
Semana 3-4: RAG y agentes por departamento
Esta es la parte que más valor entrega. Configuro:
- Base de conocimiento empresarial: indexo tus documentos internos (manuales, contratos tipo, FAQ, catálogo de productos, procedimientos…). El asistente responde citando la fuente exacta — no inventa.
- Agentes por departamento: cada departamento tiene su agente con prompts específicos, acceso a las herramientas que necesita y permisos granulares. El agente de ventas conoce tu catálogo y precios actualizados. El agente de RRHH conoce tus políticas internas. El agente legal conoce tu base de jurisprudencia.
- Integraciones: conecto las herramientas que usas — CRM (HubSpot, Salesforce, Pipedrive), correo (Gmail, Outlook), calendario, facturación, base de datos…
Semana 5-6: pruebas, formación y handover
Realizamos pruebas con usuarios reales de tu empresa. Ajustamos prompts, permisos y agentes según el feedback. La formación al equipo es de 2-4 horas (no necesitan conocimientos técnicos). El handover incluye documentación completa, acceso de administrador para ti y todo el código base.
GDPR real: qué significa que los datos estén en Europa
GDPR real para una plataforma IA empresarial significa que ningún dato de tus conversaciones, documentos o usuarios sale de servidores dentro del Espacio Económico Europeo (EEE). Esto es lo que verifica en la práctica:
- Localización del servidor: verificable con un
tracerouteo con la factura del proveedor cloud. Hetzner Frankfurt o AWS eu-central-1 (Frankfurt) son los más habituales para empresas españolas que buscan GDPR + buena latencia. - APIs de modelos: los modelos de Claude (Anthropic), GPT-4o (OpenAI) y Gemini (Google) procesan las peticiones en sus servidores, que están fuera de EU. Esto es un matiz importante: las peticiones al modelo pasan por la API del proveedor, pero los datos de tu empresa (documentos RAG, historial de conversaciones) se almacenan en tu servidor EU. Si esto no es aceptable para tu sector (banca, salud, defensa), la solución es usar modelos locales (Llama 3.3 70B o Qwen 2.5) que se ejecutan directamente en tu servidor, sin ninguna llamada externa.
- DPA: Javier Santos Criado firma un Data Processing Agreement con tu empresa antes del inicio del proyecto. No es una cláusula enterrada en términos y condiciones — es un contrato explícito.
- Modelo de amenaza real: el riesgo GDPR no suele venir de un ataque externo sino del uso inadecuado interno. Cortex lo mitiga con permisos granulares, registro de actividad y acceso solo a los datos necesarios para cada rol.
Sectores donde Cortex es la única opción GDPR viable
Hay sectores donde ni ChatGPT Enterprise ni Copilot M365 son viables desde el punto de vista GDPR sin una configuración muy específica que pocas PYMEs pueden gestionar:
- Despachos de abogados: datos de clientes, expedientes, contratos — todo regulado. El abogado que manda un contrato de cliente a ChatGPT Plus está incumpliendo RGPD y potencialmente el secreto profesional.
- Asesorías fiscales y laborales: datos de nóminas, declaraciones de impuestos, datos personales de trabajadores. La AEPD ha sancionado a asesorías por usar herramientas cloud sin DPA explícito.
- Clínicas y centros de salud: datos de salud — categoría especial del RGPD, nivel de protección más alto. Ningún dato de paciente puede salir de EU sin base legal explícita.
- Ingeniería y consultoría con clientes industriales: proyectos bajo NDA, know-how técnico, datos de infraestructuras. Sectores que trabajan con administraciones públicas tienen restricciones adicionales.
¿Esto suena a tu caso? Si tu equipo usa ChatGPT de forma individual y tienes datos sensibles de clientes que no deberían salir de la empresa, cuéntame en 2 minutos tu situación y te digo cómo lo resolvemos. → Hablemos →
ROI dual: para el profesional individual y para la empresa
Para el profesional o autónomo (trabajo individual con datos sensibles)
| Situación | Coste actual | Con plataforma propia | Ahorro / Ganancia |
|---|---|---|---|
| ChatGPT Plus + Claude Pro (2 suscripciones) | 40€/mes | Cortex con ambos modelos (infra ~80€/mes) | -40€/mes diferencia + datos en EU + marca propia |
| Propuestas personalizadas (3h/cliente) | 3h × 60€/h = 180€/propuesta | 45 min con agente preconfigurado + RAG | 2h15 recuperadas por propuesta |
| Búsqueda en documentación interna (1h/día) | 5h/semana de fricción | 15 min/semana con RAG | ~4h/semana × 52 semanas = 208h/año |
| Payback de la inversión (5.000€) | — | — | < 6 meses para un autónomo que cobra >50€/h |
Para empresa (20 personas, inversión Cortex 6.500€ + 300€/mes)
| Métrica | Situación actual (herramientas dispersas) | Con Cortex | Ahorro anual |
|---|---|---|---|
| Suscripciones IA dispersas | ~800€/mes (40€/usuario promedio) | 300€/mes infraestructura | 6.000€/año |
| Horas buscando información interna | 60h/semana (3h/persona promedio) | 15h/semana (RAG) | 45h × €25/h × 52 = 58.500€/año |
| Tiempo onboarding empleados nuevos | 8h por empleado | 2h (agente responde preguntas iniciales) | 6h × 50€/h × 10 nuevos/año = 3.000€/año |
| Riesgo GDPR (multa potencial) | Alto (hasta 4% facturación anual) | Muy bajo (datos en EU, DPA firmado) | Mitigación de riesgo cuantificable |
| Total ahorro cuantificable año 1 | — | — | ~67.500€ |
| Inversión Cortex año 1 | — | — | ~10.100€ (6,5k + 3,6k infra) |
| Payback | — | — | < 2 meses |
Casos reales anonimizados
Caso 1 — Consultoría de RRHH, 14 personas, Barcelona (febrero 2026)
Cuatro consultores usaban ChatGPT Plus con sus cuentas personales para redactar informes de selección y evaluaciones de competencias — datos personales de candidatos de alto nivel. La directora detectó el riesgo GDPR tras una auditoría interna y necesitaba solución en menos de 4 semanas. Desplegamos Cortex con Claude como modelo principal (mejor en redacción de informes cualitativos), RAG sobre metodologías propias y permisos distintos para junior y senior. Los datos de candidatos nunca salen de Hetzner Frankfurt. Coste: 5.500€ implantación + 180€/mes. En tres meses, el tiempo de redacción de informes bajó un 40% (de 3h a 1h45 por informe).
Caso 2 — Asesoría fiscal y laboral, 6 personas, Valencia (diciembre 2025)
La asesoría procesaba declaraciones de renta y nóminas con una combinación de ChatGPT Plus (el director) y Excel manual (el equipo). El riesgo era doble: GDPR y errores por inconsistencia. Desplegamos Cortex on-premise en un mini-servidor en su propia oficina (sin nube, sin internet para los datos) con Llama 3.3 70B como modelo local. El modelo conoce la normativa fiscal vigente actualizada manualmente cada trimestre. Cero llamadas a APIs externas — datos 100% internos. Coste: 6.800€ implantación (más caro por on-premise y hardware) + 0€/mes de infra (hardware propio).
5 errores comunes al montar un "ChatGPT privado" para tu empresa
Error 1 — Confundir "privado" con "seguro"
Problema: Algunos proveedores te venden un "ChatGPT privado" que es simplemente una interfaz que hace llamadas a la API de OpenAI con tu logo encima. Los datos siguen yendo a los servidores de OpenAI en EEUU. Solución: Pregunta siempre dónde se almacenan los datos en reposo (conversaciones, documentos RAG) y dónde se procesa cada petición al modelo. Si la respuesta incluye servidores de OpenAI/Google/Anthropic para el almacenamiento, no es privado de verdad.Error 2 — Pensar que el RAG es solo "subir PDFs" Problema: Muchas plataformas permiten subir documentos, pero el modelo "alucina" igualmente porque el sistema de recuperación es demasiado básico o el chunking está mal configurado. El resultado es un asistente que cita documentos incorrectos o que inventa información. Solución: Exige una demo en producción con TUS documentos reales antes de contratar. Si el proveedor no puede hacer una demo con documentos propios y mostrar citas verificables a fuente, el RAG no está bien implementado.
Error 3 — No configurar permisos desde el principio Problema: Despliegas la plataforma sin permisos por rol y en dos semanas el equipo de ventas accede a contratos de nóminas o el equipo de marketing lee propuestas confidenciales de otros clientes. Solución: Define los roles y permisos antes del despliegue, no después. La configuración de permisos granulares es más difícil de añadir a posteriori que de diseñar desde el inicio.
Error 4 — Subestimar el trabajo de prompts y agentes Problema: Instalas la plataforma técnicamente, pero no configuras agentes específicos por departamento. El equipo usa el modelo genérico, lo encuentra peor que ChatGPT Plus y abandona la plataforma en 3 semanas. Solución: Dedica al menos el 30% del tiempo del proyecto a configurar agentes con prompts específicos y a probarlos con casos reales del equipo. Un agente de ventas que conoce tu catálogo y precios actuales es 10 veces más útil que un ChatGPT genérico.
Error 5 — Ignorar las actualizaciones de modelos Problema: Instalas la plataforma con los modelos disponibles en Q1 2026 y en Q3 2026 hay modelos significativamente mejores disponibles. Si el sistema no está diseñado para añadir modelos fácilmente, te quedas desactualizado. Solución: Elige una plataforma donde añadir un nuevo modelo es tan sencillo como añadir una clave de API. Cortex permite añadir cualquier modelo compatible con el protocolo OpenAI en minutos.
Cómo implantar tu ChatGPT privado con Cortex
Si reconoces tu empresa en alguno de estos escenarios, montar tu propia plataforma IA privada es probablemente la decisión correcta:
- Tus empleados usan ChatGPT Plus individualmente y mezclan datos de empresa con cuentas personales.
- Tienes datos de clientes regulados (datos personales, datos financieros, datos de salud, contratos confidenciales).
- Tu equipo usa 3 o más herramientas IA distintas y no hay consistencia en cómo se trabaja.
- Quieres que la IA conozca tu empresa: tus productos, tus procesos, tus documentos internos, tu terminología.
- Tu empresa está en un sector donde GDPR es crítico (legal, fiscal, salud, ingeniería con NDA, administración pública).
El proceso comienza con un diagnóstico gratuito de 1 hora donde evaluamos tu situación actual, tus requisitos de cumplimiento y el alcance del proyecto. A partir del diagnóstico, te entrego una propuesta con scope cerrado, precio fijo y plazo concreto.
Solicita el diagnóstico gratuito →
Ver también: comparativa completa ChatGPT Enterprise vs Copilot M365 vs Cortex →
FAQ
¿Un ChatGPT privado con mi marca cumple GDPR para datos de clientes?
Sí, si los datos en reposo (conversaciones, documentos) se almacenan en servidores dentro del EEE y firmas un DPA con el proveedor de la plataforma. En el caso de Cortex, el servidor está en Hetzner Frankfurt u otra ubicación EU de tu elección, y firmo un DPA antes del inicio del proyecto. El matiz importante: las peticiones al modelo de IA (Claude, GPT, Gemini) pasan por las APIs de Anthropic, OpenAI y Google, que procesan en EEUU. Si esto no es aceptable, la solución es usar modelos locales (Llama 3.3 70B) que se ejecutan en tu propio servidor.
¿Cuánto cuesta mantener la plataforma después de la implantación?
El coste mensual de infraestructura para una empresa de 10-30 personas suele estar entre 250 y 400€/mes. Este coste incluye el servidor dedicado (~80-150€/mes) y las APIs de modelos según uso real (~170-250€/mes). No hay coste por usuario: puedes añadir empleados sin que el coste suba. El soporte post-implantación es opcional: 30 días de soporte incluidos, después puedes contratar soporte por incidencias o un retainer mensual.
¿Puede cualquier empleado usar la plataforma o necesita formación técnica?
Cualquier empleado puede usar la plataforma desde el primer día sin formación técnica. La interfaz es similar a WhatsApp o ChatGPT — intuitiva y familiar. La formación del equipo dura 2-4 horas y cubre cómo usar los agentes, cómo subir documentos al RAG y cómo elegir el mejor modelo para cada tarea. No necesitas programadores internos para el uso diario.
¿Puedo añadir nuevos modelos de IA cuando salgan?
Sí — añadir un nuevo modelo es tan sencillo como añadir su clave de API al sistema. Cortex está diseñado para ser agnóstico al modelo: cuando salga Claude 4, GPT-5 o el siguiente Llama, puedes añadirlo en minutos sin tocar la configuración de los agentes ni los permisos. Esta es una de las ventajas más grandes frente a ChatGPT Enterprise o Copilot, donde no tienes control sobre qué modelos se actualizan ni cuándo.
¿Qué pasa si un empleado intenta acceder a datos de otro departamento?
Los permisos granulares por rol evitan que un empleado acceda a agentes o documentos para los que no tiene permiso. Un empleado del departamento de ventas puede usar el agente de ventas pero no el agente de legal ni acceder a los documentos indexados de nóminas de RRHH. Los permisos se configuran durante la implantación y se gestionan desde el panel de administración.
¿Es posible integrar la plataforma con mi CRM o mi ERP?
Sí — Cortex tiene 2.200+ conectores estándar (catálogo MCP) y desarrollo conectores custom para cualquier herramienta. Las integraciones más habituales que configuro son HubSpot, Salesforce, Pipedrive (CRM), Holded, Odoo, SAP Business One (ERP), Gmail, Outlook (correo), Notion, Confluence (documentación), y Google Drive, OneDrive, SharePoint (archivos). Si usas una herramienta que no está en el catálogo estándar, puedo desarrollar el conector como parte del proyecto.
¿Cuál es la diferencia entre Cortex y un chatbot de atención al cliente?
Cortex es una plataforma IA completa para toda la empresa, no un chatbot de atención al cliente. Un chatbot de atención al cliente es una herramienta puntual que responde preguntas de clientes en tu web. Cortex es una plataforma interna donde todos los departamentos de tu empresa trabajan con IA: ventas hace propuestas, RRHH gestiona candidatos, legal revisa contratos, finanzas analiza datos, atención al cliente responde incidencias. Si además necesitas un agente de atención al cliente externo (en tu web), también lo puedo configurar — pero es una funcionalidad más, no el producto en sí.
En Resumen
- ChatGPT Plus individual es un problema de GDPR para uso empresarial: datos en servidores EEUU, cuentas personales sin control de empresa, sin DPA gestionable a nivel empresa.
- ChatGPT privado real incluye cuatro elementos: tu marca, multi-modelo, datos en tu infraestructura EU y RAG sobre tus documentos internos.
- ChatGPT Enterprise y Copilot M365 NO son ChatGPT privados: siguen siendo servicios SaaS de OpenAI/Microsoft donde no tienes control real sobre la infraestructura.
- Cortex by Javadex despliega tu plataforma IA privada en 4-6 semanas:
chat.tuempresa.com, 200+ modelos, Hetzner Frankfurt, RAG sobre tus documentos, agentes por departamento. - El ROI para una empresa de 20 personas es positivo antes del segundo mes de operación, gracias al ahorro en suscripciones IA dispersas y al tiempo recuperado en búsqueda de información interna.
- Los sectores con mayor necesidad urgente son: despachos de abogados, asesorías fiscales, clínicas, consultoras con NDA, ingenierías y cualquier empresa que procese datos personales de clientes regulados.
- El precio es desde 5.000€ one-time + 250-400€/mes de infraestructura total (no por usuario). Sin lock-in — el código es tuyo desde el día 1.
Lecturas relacionadas:
