Ir al contenido principal

¿Dónde Van tus Datos si Usas IA en tu Empresa? Guía RGPD para PYME

13 min

"¿Los datos se quedan dentro de nuestra infraestructura?" es la pregunta que más se repite en cada proyecto de IA con documentos internos. Te explico, sin tecnicismos, dónde van tus datos según cómo uses la IA y qué garantías necesitas exigir.

📧¿Te gusta este contenido?

Únete a 547+ profesionales que reciben tips de IA cada semana. Sin spam, cancela cuando quieras.

TL;DR — respuesta directa para dirección:
- Cuando usas ChatGPT, Claude o Gemini con cuentas personales o de equipo estándar, tus datos viajan a servidores del proveedor (mayoritariamente EEUU) y quedan sujetos a sus políticas, no a las tuyas.
- Los proveedores serios (OpenAI, Anthropic, Google) no usan tus conversaciones para entrenar sus modelos en los planes de empresa, pero sí las procesan y almacenan según sus términos, no según tu política interna.
- Un DPA (Data Processing Agreement) es el contrato que obliga al proveedor a tratar tus datos como responsable/encargado bajo RGPD. Sin DPA firmado, no tienes garantía contractual real.
- La diferencia clave: "en la nube de un proveedor en EEUU con DPA" vs "en infraestructura desplegada en España/UE bajo tu control" no es matiz legal, es una decisión de riesgo.
- Una plataforma de IA privada como Cortex by Javadex resuelve esto de fábrica: datos en Europa, cifrado, procesamiento sin entrenar modelos externos y DPA claro.

La pregunta que se repite en cada proyecto de IA con documentos

Cuando un cliente quiere conectar IA a sus documentos internos, contratos, datos de clientes o histórico comercial, la primera pregunta que hace dirección —y con razón— es siempre la misma: "¿los datos se quedan dentro de nuestra infraestructura?"

Es la pregunta correcta, y merece una respuesta clara, no un "sí, tranquilo" genérico. Vamos a desglosarlo sin tecnicismos legales.

Qué pasa realmente con tus datos según cómo uses la IA

Escenario 1: Empleados usan ChatGPT/Claude gratuito o personal

Aquí es donde más riesgo hay. Si un empleado copia datos de un cliente en la versión gratuita de ChatGPT desde su cuenta personal, esos datos:

  • Se envían a los servidores del proveedor (normalmente en EEUU).
  • Pueden usarse para mejorar el producto o entrenar modelos, salvo que el usuario desactive esa opción manualmente.
  • No hay ningún contrato entre tu empresa y el proveedor. La relación es entre el empleado y OpenAI/Anthropic/Google, no entre tu empresa y ellos.
  • Si esos datos incluyen información de clientes, estás delegando responsabilidad RGPD sin ningún control ni trazabilidad.

Esto es lo que en el sector se llama shadow AI: uso de IA sin que la empresa lo sepa, lo apruebe ni lo controle.

Escenario 2: Empresa contrata ChatGPT Team/Enterprise o Claude para empresas

Mejor, pero no es lo mismo que tener infraestructura propia:

  • Existe un contrato entre tu empresa y el proveedor, normalmente con un DPA incluido.
  • El proveedor se compromete contractualmente a no usar tus datos para entrenar modelos.
  • Los datos siguen procesándose y almacenándose en la infraestructura del proveedor, típicamente centros de datos en EEUU (algunos con opción de región UE, dependiendo del plan y proveedor).
  • Tienes más control que en el escenario 1, pero sigues dependiendo de la política de retención y seguridad de un tercero que no puedes auditar directamente.

Escenario 3: Plataforma de IA privada con infraestructura propia

Aquí cambia el planteamiento:

  • Los documentos y datos de la empresa se almacenan en infraestructura desplegada específicamente para ti, con opción de ubicarla en España o la UE.
  • El procesamiento por parte de los modelos de IA (Claude, GPT, Gemini, etc.) es transitorio: los datos se envían para generar una respuesta y no quedan almacenados ni se usan para entrenar esos modelos.
  • Tienes trazabilidad completa: quién accedió a qué documento, cuándo, y con qué finalidad.
  • El DPA se firma con cada proveedor de modelo usado, y la capa de almacenamiento y control la gestionas (o gestiona tu proveedor de plataforma) bajo condiciones que tú defines.

Qué es un DPA y por qué te debe importar

Un DPA (Data Processing Agreement / Acuerdo de Tratamiento de Datos) es el contrato obligatorio bajo RGPD entre quien decide para qué se usan los datos (tu empresa, "responsable del tratamiento") y quien los procesa técnicamente (el proveedor de IA, "encargado del tratamiento").

Sin DPA firmado con cada proveedor de IA que toque datos de tu empresa, no tienes:

  • Garantía contractual de qué hace el proveedor con tus datos.
  • Obligación exigible de notificarte una brecha de seguridad.
  • Claridad sobre dónde se almacenan físicamente los datos.
  • Base legal sólida si la AEPD (Agencia Española de Protección de Datos) pregunta.

Regla práctica: si tu empresa procesa datos de clientes o empleados a través de una herramienta de IA, exige y guarda el DPA de cada proveedor. Si no te lo pueden dar en 24-48h, es una señal de alarma.

"En la nube de OpenAI/Anthropic en EEUU" vs "infraestructura en España/UE"

Esta es la distinción que de verdad importa para una PYME española, más allá del marketing:

Nube del proveedor (EEUU, DPA estándar)Infraestructura propia España/UE
Dónde viven físicamente los datosCentros de datos del proveedor, mayoritariamente EEUUPuedes elegir región UE/España
Quién controla el accesoPolíticas del proveedor + tus permisos internosTu empresa define permisos completos, con trazabilidad propia
Transferencias internacionalesSujetas a mecanismos como cláusulas contractuales tipo (RGPD art. 46)Se minimizan o eliminan si todo queda en UE
AuditoríaDependes de certificaciones del proveedor (SOC 2, ISO 27001)Puedes auditar directamente tu propia infraestructura
Riesgo ante cambio de política del proveedorAlto: si el proveedor cambia condiciones, te afecta automáticamenteBajo: las condiciones las define tu contrato con quien gestiona la plataforma

Ninguna de las dos opciones es "ilegal". Usar la nube de un proveedor de EEUU con DPA y cláusulas contractuales tipo es una práctica extendida y aceptada. Pero si tu empresa maneja datos sensibles (salud, menores, datos financieros de clientes, información de RRHH), tener los datos en infraestructura europea reduce riesgo y simplifica la conversación con tu departamento legal o tu asesoría.

El framework de garantías que deberías exigir

Antes de dar acceso a IA a datos de tu empresa, pide estas cuatro garantías, sea cual sea el proveedor:

  1. Ubicación de los datos: ¿en qué país/región se almacenan? ¿Puedes elegir UE?
  2. Cifrado: ¿los datos están cifrados en tránsito y en reposo?
  3. No entrenamiento: ¿el proveedor confirma por contrato (no solo en un FAQ) que no usa tus datos para entrenar modelos?
  4. DPA firmado: ¿existe un contrato de tratamiento de datos específico, no solo términos de uso genéricos?

Si un proveedor no puede responder con claridad a estos cuatro puntos, no deberías conectarle datos de clientes ni de empleados.

Una nota sobre el EU AI Act

En paralelo al RGPD, el Reglamento de IA de la Unión Europea (EU AI Act) va añadiendo obligaciones de transparencia y gestión de riesgo según el tipo de sistema de IA que uses. Para la mayoría de PYMEs que usan IA como asistente interno (no para decisiones automatizadas de alto riesgo como contratación o scoring crediticio), el impacto directo es menor, pero conviene tenerlo mapeado si tu proyecto de IA evoluciona hacia automatización de decisiones. No es el foco de esta guía, pero sí una pieza más del mismo puzzle de cumplimiento.

Cómo resuelve esto una plataforma de IA privada

Este es exactamente el problema que aborda Cortex by Javadex desde el diseño: en lugar de que cada empleado use su cuenta personal de ChatGPT o que la empresa dependa de la política de un único proveedor, se monta una plataforma con:

  • Infraestructura desplegada con opción de región España/UE.
  • DPA claro con cada proveedor de modelo usado (Claude, GPT, Gemini u otros, según el caso).
  • Procesamiento transitorio: los datos se usan para generar la respuesta y no se destinan a entrenar modelos externos.
  • Permisos por usuario y trazabilidad de accesos, algo que no existe en cuentas personales de ChatGPT.

Si además quieres entender qué cambia frente a seguir con ChatGPT Team/Enterprise en otros ejes (marca, integraciones, coste), lo tienes desglosado en Cortex vs ChatGPT Team/Enterprise: Qué Cambia Realmente para tu PYME. Y si quieres el contexto completo de qué significa tener "tu propio ChatGPT corporativo" con datos en Europa, está en IA Privada para Empresas: Tu Propio ChatGPT Corporativo con Datos en Europa. Si el freno para dar el paso es presupuestario, revisa también Agente Digitalizador y Kit Digital: Cómo Usar la Subvención para tu IA Privada.

FAQ: RGPD e IA en la empresa

¿ChatGPT entrena sus modelos con los datos de mi empresa?

En los planes de empresa (Team, Enterprise) y en las APIs empresariales, OpenAI, Anthropic y Google se comprometen contractualmente a no usar tus datos para entrenar modelos. En cuentas gratuitas o personales, esto puede no ser así por defecto, y depende de la configuración de privacidad de cada usuario.

¿Es ilegal usar ChatGPT en mi empresa sin plataforma propia?

No es ilegal en sí mismo. El riesgo aparece cuando se procesan datos personales sin DPA, sin política interna de uso, o cuando empleados usan cuentas personales para tratar información de clientes. Con un DPA firmado y política de uso clara, el riesgo baja considerablemente.

¿Necesito los datos en España o basta con la UE?

Para la mayoría de PYMEs basta con que los datos permanezcan en la Unión Europea. Exigir España específicamente solo es necesario en sectores muy regulados o por requisito contractual de un cliente concreto.

¿Qué pregunto a mi proveedor de IA para saber si cumple RGPD?

Pide el DPA firmable, la ubicación de los centros de datos, la política de retención y si tienen certificación ISO 27001 o SOC 2. Si no pueden aportar esto por escrito, no es un proveedor apto para datos sensibles.

¿Una plataforma privada elimina el riesgo por completo?

Reduce el riesgo significativamente porque centraliza el control, pero no elimina la responsabilidad de tu empresa como responsable del tratamiento. Sigues necesitando una política interna de uso y formación básica al equipo.

¿Quieres saber exactamente dónde irían tus datos con tu proyecto de IA?

Te hago un diagnóstico de 30 minutos: qué datos quieres conectar, qué garantías necesitas y si te conviene una plataforma privada o basta con ajustar cómo usáis las herramientas actuales.

Cuéntame tu caso y revisamos juntos las garantías que necesitas.

¿Quieres todo esto en una plataforma con TU marca?

Cortex by Javadex te monta tu propio ChatGPT corporativo en 30 días: multi-modelo, conectado a tu stack, datos en Europa y con tu logo. Sin SaaS, sin lock-in, sin coste por usuario. Desde 5.000€.

Ver Cortex en detallejavi@javadex.es
📬

¿Te ha gustado? Hay más cada semana

Únete a "IA Sin Humo" — la newsletter donde comparto lo que realmente funciona en inteligencia artificial. Sin teoría innecesaria, sin postureo.

📚

1 Tutorial

Paso a paso, práctico

🛠️

3 Herramientas

Probadas y útiles

💡

0 Bullshit

Solo lo que importa

+547 suscriptores • Cada martes • Cancela cuando quieras

Javier Santos - Especialista en IA & Machine Learning

Javier Santos

Consultor de IA para empresas. Comparto contenido sobre inteligencia artificial, automatización y desarrollo cada semana.