Privedge
ChatGPT AEPD RGPD empresas cumplimiento

¿Es ChatGPT Legal en tu Empresa? Lo que Dice la AEPD en 2026

La AEPD incrementó notablemente sus investigaciones sobre IA en 2025-2026. Esta guía explica qué implica usar ChatGPT y herramientas de IA en el entorno empresarial bajo el RGPD.

P
Privedge Team
· 7 min de lectura
Puntos clave
  • La AEPD investiga activamente el uso de IA sin garantías adecuadas — “tenemos CCT” ya no es suficiente
  • Cualquier prompt con datos personales enviado a ChatGPT = transferencia internacional bajo RGPD Art. 44
  • Datos de empleados, clientes y documentos internos tienen bases legales distintas — la mayoría de empresas no las han documentado
  • La solución no es prohibir la IA sino canalizarla: anonimizar antes de que los datos abandonen la organización

La pregunta ya no es teórica. Desde 2024, la AEPD y otras autoridades europeas de protección de datos han dejado de lado la postura observacional y han comenzado a investigar y sancionar activamente el uso empresarial de herramientas de IA que procesan datos personales sin las garantías adecuadas. ChatGPT, Copilot, y otros asistentes de IA generativa están en el punto de mira.

¿Puede tu empresa usar ChatGPT legalmente? La respuesta es: depende de cómo lo uses — y la mayoría de las empresas lo están usando de formas que crean exposición legal real.

La Posición de la AEPD en 2026

La Agencia Española de Protección de Datos ha publicado guías específicas sobre IA, incluyendo un “Marco de auditoría de IA” y orientaciones sobre el uso de modelos de lenguaje en entornos empresariales. La postura regulatoria actual se puede resumir en cuatro puntos:

1. El uso de IA que procesa datos personales requiere base legal. Artículo 6 del RGPD: el tratamiento solo es lícito si existe alguna de las bases legitimadoras (consentimiento, contrato, interés legítimo, obligación legal, etc.). “Hace más eficiente el trabajo” no es una base legal.

2. Los datos de empleados tienen protección especial. El uso de ChatGPT para procesar información sobre empleados — evaluaciones de desempeño, correos internos, datos de RRHH — requiere una base legal específica y, en muchos casos, consulta al comité de empresa o representación sindical.

3. Las transferencias internacionales siguen siendo el punto de mayor riesgo. Cada vez que un empleado pega información de un cliente en ChatGPT, está realizando una transferencia de datos personales a EE.UU. Las CCT de OpenAI cubren esto contractualmente, pero la AEPD ha señalado que no son suficientes sin medidas técnicas complementarias.

4. El Reglamento de IA de la UE (en vigor desde 2025) añade una capa adicional. Los sistemas de IA de “alto riesgo” — incluyendo aplicaciones en RRHH, educación, servicios esenciales y administración de justicia — tienen requisitos adicionales de transparencia, supervisión humana y documentación.

Qué Dice el RGPD Sobre el Uso de IA que Procesa Datos de Empleados y Clientes

El RGPD no prohíbe el uso de IA. Lo que exige es que cualquier tratamiento de datos personales — incluido el envío de datos a un modelo de lenguaje — cumpla los principios del artículo 5:

  • Licitud, lealtad y transparencia: los interesados (empleados, clientes) deben saber cómo se usan sus datos, incluido el uso de IA
  • Limitación de la finalidad: los datos recogidos para un fin no pueden usarse libremente para fines distintos (por ejemplo, datos de RR.HH. para entrenar modelos internos)
  • Minimización de datos: solo los datos necesarios para el fin específico deben procesarse
  • Exactitud, limitación del plazo de conservación, integridad y confidencialidad

Cuando un empleado copia el expediente de un cliente en ChatGPT para redactar una respuesta, se están procesando datos personales del cliente con una herramienta externa. ¿Está esto cubierto en tu política de privacidad? ¿Lo sabe el cliente? ¿Existe una base legal para esa transferencia? ¿Has realizado la evaluación de impacto de protección de datos (EIPD) correspondiente?

En la mayoría de las empresas, la respuesta a todas estas preguntas es no.

Los Riesgos Concretos: Categorías por Tipo de Dato

Datos de empleados (RRHH)

El uso de IA para procesar evaluaciones de desempeño, comunicaciones internas, datos salariales o información médica de empleados activa las protecciones más estrictas del RGPD. El artículo 88 permite tratamientos en el contexto laboral, pero con condiciones: finalidad específica, medidas adecuadas de salvaguarda, y en muchos casos, obligación de informar a la representación de los trabajadores.

El uso no informado de ChatGPT para analizar correos de empleados, resumir evaluaciones de desempeño, o procesar datos de nómina constituye tratamiento ilícito en la mayoría de los escenarios.

Información de clientes

Cuando el departamento comercial pega información de un CRM en ChatGPT para redactar propuestas, o cuando atención al cliente usa un asistente de IA para gestionar tickets, los datos personales del cliente están siendo procesados por OpenAI en EE.UU. La política de privacidad de tu empresa hacia los clientes probablemente no menciona este hecho. Si no lo menciona, tienes un problema de transparencia bajo el artículo 13.

Documentos internos confidenciales

Más allá del RGPD, el uso de herramientas de IA con documentos internos — estrategia comercial, contratos, propiedad intelectual — crea riesgos de confidencialidad empresarial que van más allá de la protección de datos. Una fuga de información a través de un modelo de lenguaje puede constituir una brecha de secreto comercial.

Las empresas que están abordando esto correctamente no prohíben el uso de IA — lo canalizan. Privedge permite que los empleados usen asistentes de IA con normalidad, pero intercepta automáticamente los datos personales antes de que lleguen a OpenAI u otros proveedores. El empleado escribe un prompt, Privedge anonimiza los datos personales en milisegundos, el modelo responde sobre datos anonimizados, y la respuesta llega completa al empleado.

El resultado: uso de IA sin fricción, cumplimiento del RGPD por arquitectura.

Usos generalmente legítimos (con las medidas adecuadas):

  • Generación de texto a partir de datos no personales (redacción de documentación técnica, código, contenido genérico)
  • Uso con datos ya anonimizados o seudonimizados correctamente
  • Uso con datos ficticios para testing y desarrollo
  • Uso con base legal documentada, EIPD completada y cláusulas de privacidad actualizadas

Usos que requieren análisis cuidadoso:

  • Procesamiento de datos de clientes en atención al cliente basada en IA (requiere base legal, información al interesado, y medidas técnicas)
  • Uso en RRHH para procesar información de empleados (requiere consulta con representación laboral en muchos casos)
  • Automatización de decisiones con efecto significativo sobre personas (puede requerir revisión humana obligatoria)

Usos que generalmente NO son legales sin medidas adicionales significativas:

  • Procesar datos especiales del artículo 9 (salud, origen racial, religión, orientación sexual) con herramientas de IA sin consentimiento explícito o base legal robusta
  • Usar datos de empleados para entrenar modelos propios sin base legal y transparencia
  • Tomar decisiones automatizadas sobre personas con efecto jurídico sin revisión humana (artículo 22)

Cómo Hacer el Uso de IA Conforme Técnicamente

Las políticas no son suficientes. “Prohibido pegar datos de clientes en ChatGPT” en el reglamento interno no cumple el RGPD si el tratamiento sigue siendo técnicamente posible y la empresa no lo controla activamente.

Los pasos concretos para un uso de IA conforme:

  1. Inventario de usos de IA: mapea qué herramientas de IA se están usando, para qué, y qué datos procesan
  2. Evaluación de impacto (EIPD): obligatoria para tratamientos de alto riesgo; recomendable para cualquier uso de IA con datos personales a escala
  3. Capa técnica de protección: implementa seudonimización antes de que los datos lleguen a los proveedores de IA
  4. Actualización de políticas de privacidad: informa a empleados y clientes del uso de IA de forma clara y específica
  5. DPA con los proveedores: asegúrate de que tienes contratos de tratamiento de datos adecuados con todos los proveedores de IA

Próximos Pasos para Empresas

La situación regulatoria está evolucionando rápidamente. Lo que era una zona gris en 2023 se está convirtiendo en obligaciones claras en 2026. Las empresas que actúen ahora — implementando controles técnicos, no solo políticas — estarán en una posición muy diferente a las que sigan asumiendo que “ya lo regularizaremos cuando sea necesario”.

La AEPD tiene autoridad para imponer multas de hasta el 4% del volumen de negocio global anual. Para la mayoría de las empresas, el coste de implementar controles técnicos preventivos es una fracción de esa exposición.

Si quieres entender cómo hacer que el uso de IA en tu empresa sea conforme con el RGPD de forma técnica y no solo documental, Privedge ofrece la capa de protección que separa lo que tus empleados procesan de lo que efectivamente abandona tu organización.

Protege los prompts de tu IA con Privedge

Intercepta datos personales antes de que lleguen a OpenAI u otros proveedores. Un cambio de una línea. Sin refactoring.

Empieza gratis

Lectura relacionada

Cómo usar la API de OpenAI sin violar el RGPD ¿Es ChatGPT legal en tu empresa? Lo que dice la AEPD Proxy de IA con privacidad: qué es y por qué lo necesitan las empresas europeas