Tu empresa usa ChatGPT con datos de clientes; estás infringiendo el RGPD

Tu empresa usa ChatGPT con datos de clientes: estás infringiendo el RGPD | SCANDO UP
Evalúa tu exposición ahora · Gratis · 30 min
IA Generativa · RGPD · Riesgo legal España 2026

Tu empresa usa ChatGPT
con datos de clientes:
estás infringiendo el RGPD

La AEPD abrió una investigación formal contra OpenAI. Italia ya multó a ChatGPT con 15 millones de euros. El responsable ante el RGPD cuando un empleado pega datos de clientes en ChatGPT no es OpenAI; eres tú. Esta guía explica qué está pasando exactamente, qué normas se infringen y cómo corregirlo en 7 días.

Álvaro Ruipérez Candón · SCANDO UP Global Legal Mayo 2026 · 9 min
Lo que está ocurriendo ahora mismo

La AEPD abrió 147 expedientes relacionados con el uso de IA en 2025-2026, un 340% más que en el período anterior. El presidente de la Agencia anunció actuaciones de oficio contra empresas en las que la IA no esté cumpliendo la normativa. El uso de herramientas de IA con datos personales sin DPA, sin base legal y sin EIPD es una de sus prioridades inspectoras declaradas para 2026.

El problema que nadie en tu empresa está viendo

Cada día, en miles de empresas españolas, ocurre lo mismo. Un comercial abre ChatGPT en su navegador, pega un Excel con la cartera de clientes y le pide que "haga un resumen ejecutivo para la reunión de mañana". Un técnico de soporte copia el historial de conversaciones de un usuario para que la IA le ayude a redactar una respuesta. Una persona de RRHH sube el CV de un candidato para que el modelo le sugiera preguntas de entrevista.

Cada uno de esos actos es, técnicamente, una transferencia de datos personales a un tercero sin contrato formal, sin base legal verificada y sin garantías de que esos datos no vayan a usarse para entrenar el modelo. Y el responsable ante la AEPD no es OpenAI. Eres tú.

"El comercial pegó en ChatGPT un Excel con nuestra cartera de clientes para que le hiciera un resumen ejecutivo. Nuestra empresa acaba de incumplir el DPA que firmamos con esos clientes hace dos años. Multa potencial: hasta 20 M€ o el 4% de la facturación por RGPD, más la resolución contractual." Caso real documentado · Javadex, abril 2026

Esto no es un riesgo teórico ni una alerta exagerada. Es lo que está ocurriendo en la mayoría de empresas tech, SaaS, fintech y healthtech españolas que han adoptado IA generativa sin haber resuelto la capa legal primero.

Por qué usar ChatGPT con datos de clientes infringe el artículo 28 del RGPD

El artículo 28 del RGPD es claro: cuando un responsable del tratamiento (tu empresa) utiliza a un tercero para tratar datos personales (OpenAI procesando los prompts que contienen esos datos), ese tercero actúa como encargado del tratamiento y la relación debe estar formalizada mediante un contrato específico de encargo del tratamiento (DPA por sus siglas en inglés).

ChatGPT Free y ChatGPT Plus son planes de consumo individual. No incluyen DPA empresarial. No ofrecen garantías RGPD para uso profesional. Si tu equipo usa cuentas individuales para trabajar con datos de clientes, la empresa está tratando datos personales a través de un encargado no formalizado. Eso es infracción del artículo 28, tipificada como grave, con sanción de hasta 300.000 euros bajo la LOPDGDD o hasta 20 millones o el 4% de la facturación mundial bajo el RGPD, lo que sea mayor.

La multa de 15 millones de euros impuesta a OpenAI en Italia en diciembre de 2024 fue por procesamiento de datos personales sin base legal adecuada. La AEPD tiene un procedimiento paralelo activo contra OpenAI desde 2023. Las autoridades ya se mueven; la pregunta es si tu empresa va a esperar a que lleguen a ti.

Los tres planes de ChatGPT y lo que implica cada uno para el RGPD

No todos los planes de ChatGPT tienen el mismo tratamiento legal. La mayoría de empleados usa los planes de consumo. Ese es el problema.

Incompatible con RGPD empresarial ChatGPT Free y Plus

Planes individuales de consumo. Sin DPA empresarial. Retienen conversaciones por defecto 30 días. Pueden usar prompts para entrenar el modelo. Ilegales para procesar datos de clientes.

Viable con configuración ChatGPT Enterprise / Team

Permite firmar DPA. Zero data retention configurable. Residencia de datos en Europa seleccionable. Requiere gestión corporativa activa y política interna documentada.

Opción más controlable API de OpenAI

No entrena con datos de clientes desde marzo 2023. DPA disponible. Control total sobre retención y flujo de datos. Requiere integración técnica propia.

El problema del Cloud Act que nadie te explica

Firmar un DPA con OpenAI te protege frente a OpenAI como empresa. No te protege frente al gobierno de Estados Unidos como jurisdicción. El Cloud Act (2018) permite a las agencias federales estadounidenses acceder a datos almacenados por empresas americanas con independencia de dónde estén físicamente los servidores. Para datos de categoría especial (salud, finanzas, datos biométricos) esto tiene implicaciones adicionales que hay que evaluar caso por caso.

¿Sabes exactamente qué herramientas de IA están usando tus empleados con datos de clientes? La mayoría de empresas no lo sabe. Es el primer paso del diagnóstico.
Reservar evaluación gratuita

El Shadow AI: el riesgo que tu departamento legal no controla

Shadow AI es el uso de herramientas de inteligencia artificial por parte de empleados sin conocimiento ni autorización del departamento jurídico, de cumplimiento o de TI. No es un fenómeno marginal: en 2026 es la norma en la mayoría de empresas tech de tamaño medio.

El riesgo legal del Shadow AI es doble. Por un lado, la empresa pierde la trazabilidad de los datos tratados, incumpliendo el artículo 30 del RGPD sobre el Registro de Actividades de Tratamiento. Si la AEPD pregunta qué datos personales se han compartido con qué herramientas de IA y con qué garantías, la empresa no puede responder. Por otro lado, la empresa no puede acreditar que el encargado del tratamiento tiene las garantías exigidas por el artículo 28. Y en caso de brecha o sanción, la empresa responde aunque la dirección no supiera que ese uso estaba ocurriendo.

El desconocimiento no es circunstancia eximente bajo el RGPD. Es circunstancia agravante.

Las 6 obligaciones que tu empresa incumple sin saberlo

Si tu empresa usa herramientas de IA generativa y no ha trabajado específicamente la capa legal, con altísima probabilidad incumple alguna de estas seis obligaciones. Cada una puede derivar en un expediente independiente de la AEPD.

  • 1
    DPA firmado con cada proveedor de IA (art. 28 RGPD). Cada herramienta de IA que accede a datos personales de tus clientes o empleados necesita un contrato de encargo del tratamiento vigente, con las cláusulas mínimas del artículo 28. Esto incluye ChatGPT, Copilot, Gemini, Claude, herramientas de transcripción de reuniones, asistentes de CRM y cualquier API de IA que integres en tu producto.
  • 2
    Base legal identificada para cada tratamiento (art. 6 RGPD). No basta con tener el DPA. También necesitas una base legal válida para el tratamiento concreto que estás haciendo con la IA. El interés legítimo no funciona para todo. El consentimiento no puede ser la respuesta automática a todo. Cada caso de uso de IA con datos personales necesita su análisis propio.
  • 3
    Evaluación de Impacto (EIPD) cuando procede (art. 35 RGPD). Si el sistema de IA realiza perfilado de personas, toma o informa decisiones automatizadas con efectos significativos, o trata datos de categoría especial (salud, biométricos, financieros, ideología...), la EIPD es obligatoria antes de empezar a usarlo. No después de recibir el requerimiento de la AEPD.
  • 4
    Política interna de uso de IA documentada. Lista de herramientas autorizadas y prohibidas, datos que pueden introducirse en cada una, reglas de revisión humana según criticidad del output, y procedimiento de reporte de incidentes. La AEPD lo está considerando una obligación implícita derivada del principio de accountability del artículo 5.2 RGPD y del AI Act.
  • 5
    Actualización del Registro de Actividades de Tratamiento (art. 30 RGPD). Cada nuevo caso de uso de IA con datos personales es un tratamiento nuevo que tiene que estar documentado en el RAT. Si incorporas una herramienta de IA que analiza datos de clientes y no lo añades al registro, el registro está desactualizado. Eso lo detecta la AEPD en cualquier inspección.
  • 6
    Información a los interesados cuando corresponde (art. 13-14 RGPD y AI Act). Si tu producto o servicio usa IA para tomar o informar decisiones sobre tus clientes o usuarios, tienes obligación de informarles. El AI Act añade obligaciones específicas de transparencia para sistemas de IA que interactúan con personas. Un chatbot sin aviso de que es IA ya es infracción exigible desde 2025.
¿Cuántas de estas 6 obligaciones tiene tu empresa documentadas y operativas? El AIM Integrity Check de SCANDO UP lo audita y te entrega un plan de acción concreto.
Solicitar diagnóstico

Plan de acción en 7 días: cómo corregirlo sin parar tu operativa

El objetivo no es prohibir el uso de IA en tu empresa. Es estructurarlo legalmente para que puedas seguir usándola sin exposición regulatoria. Esto es lo que hacemos en SCANDO UP cuando un cliente llega con este problema.

  • 1Día
    Inventario de herramientas de IA en uso

    Antes de cualquier acción legal, necesitas saber qué herramientas de IA están usando tus empleados, con qué datos, para qué finalidades y desde qué cuentas (corporativas o personales). Esto incluye el Shadow AI. Sin este inventario no puedes saber qué exposición tienes.

  • 2Día
    Clasificación por nivel de riesgo

    Cada herramienta se clasifica según el tipo de datos que procesa y el impacto potencial sobre personas. Bajo riesgo (apoyo interno, sin datos sensibles), riesgo medio (outputs que llegan a clientes), alto riesgo (decisiones sobre personas, datos de salud, scoring). Esta clasificación determina qué obligaciones aplican a cada una.

  • 3Día
    DPA con los proveedores que lo requieren

    Para las herramientas de nivel medio y alto, obtener y firmar el DPA correspondiente. OpenAI, Anthropic, Google y Microsoft tienen DPAs estándar descargables para planes empresariales. Si usas plataformas menores, el DPA se negocia o se exige contractualmente antes de continuar el uso.

  • 4Día
    EIPD para los tratamientos que lo exigen

    Para cada caso de uso de alto riesgo, una Evaluación de Impacto documentada antes de continuar el tratamiento. No es un documento genérico: es un análisis específico del riesgo para las personas afectadas y de las medidas que lo mitigan.

  • 5Día
    Política interna de uso de IA

    Documento interno que recoge qué herramientas están autorizadas, qué datos pueden introducirse en cada una, qué está prohibido (datos de salud en planes gratuitos, contratos completos con cláusulas de confidencialidad, listados de clientes en cuentas no corporativas), y el procedimiento de reporte de incidentes.

  • 6Día
    Actualización del Registro de Actividades de Tratamiento

    Cada nuevo tratamiento identificado se añade al RAT con su descripción, base legal, encargado del tratamiento, medidas de seguridad y plazo de conservación. El registro actualizado es lo primero que pide la AEPD en cualquier inspección o requerimiento.

  • 7Día
    Formación del equipo y revisión de avisos a usuarios

    El personal que usa IA con datos personales necesita saber exactamente qué puede y no puede hacer. Y si tu producto o servicio usa IA para interactuar con o tomar decisiones sobre tus clientes, los avisos y políticas de privacidad tienen que reflejarlo correctamente.

Lo que cambia cuando tienes esto en orden

Una empresa con el uso de IA correctamente documentado puede responder en horas a un requerimiento de la AEPD. Puede responder con confianza al cuestionario de seguridad de un cliente enterprise. Puede entrar en una due diligence de ronda sin que la capa de IA sea un bloqueante. Puede desplegar nuevas herramientas con un protocolo interno ya establecido. El cumplimiento no frena la operativa; la blinda.

¿Tu empresa está usando IA sin haber resuelto la capa legal?

Descúbrelo en una llamada de 30 minutos. Sin coste. Sin compromiso. Con un análisis real de tu exposición, no un formulario genérico.

Reservar evaluación gratuita

Álvaro Ruipérez Candón · Abogado especialista en Derecho Digital, Datos e IA · SCANDO UP Global Legal

Preguntas frecuentes sobre IA y RGPD en empresas

Depende del plan y de cómo lo uses. ChatGPT Free y Plus no incluyen DPA ni garantías RGPD para uso empresarial. Si un empleado usa una cuenta personal de ChatGPT para procesar datos de clientes, la empresa incumple el artículo 28 del RGPD. ChatGPT Enterprise y la API de OpenAI sí permiten firmar un DPA con cláusulas art. 28, pero requieren configuración específica y gestión corporativa activa.
En los planes gratuitos y Plus, las conversaciones se retienen por defecto hasta 30 días y pueden usarse para mejorar el modelo salvo que el usuario desactive activamente el historial. La API de OpenAI de pago no entrena con datos de clientes desde marzo de 2023. ChatGPT Enterprise permite configurar zero data retention. El problema principal es que la mayoría de empleados usa planes individuales sin control corporativo ni conocimiento de la empresa.
El Cloud Act es una ley federal estadounidense de 2018 que permite al gobierno de EE.UU. acceder a datos almacenados por empresas americanas con independencia de dónde estén físicamente los servidores. OpenAI es una empresa americana. Un DPA firmado con OpenAI protege frente a OpenAI como empresa, pero no frente a una orden judicial o de inteligencia del gobierno de EE.UU. Para datos de categoría especial bajo el RGPD, esto tiene implicaciones que hay que analizar y documentar.
Shadow AI es el uso de herramientas de IA por empleados sin conocimiento ni autorización del departamento legal o de TI. El riesgo legal es doble: la empresa pierde trazabilidad de los datos tratados (incumplimiento del art. 30 RGPD) y no puede acreditar que el encargado del tratamiento tiene las garantías exigidas por el art. 28 RGPD. En caso de brecha o sanción, la empresa responde aunque desconociera el uso. El desconocimiento no es eximente; bajo el RGPD es circunstancia agravante.
Sí. La AEPD abrió una investigación formal contra OpenAI en 2023. En 2025-2026 ha abierto 147 expedientes relacionados con el uso de IA, un 340% más que en el período anterior. El presidente de la AEPD anunció actuaciones de oficio sobre empresas en las que la IA no esté cumpliendo la normativa. El uso de herramientas de IA con datos personales sin DPA, sin base legal y sin EIPD cuando procede es una de las prioridades inspectoras declaradas para 2026.
ChatGPT Free y Plus son planes de consumo individual. No incluyen DPA empresarial, retienen conversaciones por defecto y pueden usar datos para mejorar el modelo. Son incompatibles con el uso empresarial de datos personales bajo el RGPD. ChatGPT Enterprise y la API de OpenAI permiten firmar un DPA, configurar zero data retention y seleccionar residencia de datos en Europa. Son las únicas opciones legalmente viables para procesar datos de clientes en contexto profesional.
Al menos seis. DPA firmado con cada proveedor de IA (art. 28 RGPD); base legal identificada para el tratamiento (art. 6); evaluación de impacto cuando el sistema implica perfilado, decisiones automatizadas o datos sensibles (art. 35); política interna de uso de IA con herramientas autorizadas y prohibidas; actualización del Registro de Actividades de Tratamiento (art. 30); e información a los interesados cuando el uso de IA en decisiones que les afecten lo requiera.
Á
Álvaro Ruipérez Candón Abogado · Fundador de SCANDO UP Global Legal · Docente en ISDE Law & Business School

Experto en Derecho Digital y negocios tecnológicos. Datos e IA. Abogado estratégico para empresas Tech, IA y SaaS que diseña la infraestructura legal que permite vender, desplegar IA y escalar sin fricción ni sanciones (AIM Integrity™). Colaborador en APTIE, Confilegal y Europapress.