Si usas ChatGPT, Copilot o cualquier herramienta de IA con nombres o datos de clientes en España, hay algo que la AEPD quiere que sepas antes de que sea tarde.

No es alarmismo. Es que la mayoría de autónomos y pymes están usando estas herramientas sin tener claro dónde está el límite — y ese límite existe, está escrito, y lleva tiempo ahí. Lo que pasa es que nadie te lo ha explicado en lenguaje normal.

Esto no va de prohibir la IA ni de paralizarte. Va de saber exactamente qué puedes hacer, qué no, y cómo seguir sacándole partido sin que te llegue una carta de la AEPD.

Qué dice exactamente la AEPD sobre IA

La AEPD no ha prohibido la IA. Lo que ha hecho — a través de guías, resoluciones y comunicados desde 2023 — es dejar claro que el RGPD se aplica plenamente a cualquier herramienta de IA que procese datos personales . Sin excepciones por ser autónomo. Sin excepciones por ser pyme pequeña.

¿Qué cuenta como dato personal? Cualquier información que identifique o pueda identificar a una persona real: nombre, email, teléfono, NIF, dirección, historial médico, situación económica, geolocalización. Más de lo que parece a primera vista.

En su Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial , la AEPD lo deja por escrito: cuando introduces datos personales en un sistema de IA gestionado por un tercero, estás realizando lo que se llama una cesión de datos — o incluso una transferencia internacional de datos , dependiendo de dónde estén los servidores de ese tercero. Y eso tiene consecuencias legales concretas.

«El responsable del tratamiento debe asegurarse de que el uso de sistemas de IA no vulnera los principios del RGPD, en especial los de minimización de datos, limitación de finalidad y seguridad.» — AEPD, Guía sobre IA y protección de datos, 2023.

Traducido: si le das a ChatGPT el nombre, el email y el historial de compras de tu cliente Juan García para que te redacte un email personalizado, estás cediendo esos datos a OpenAI. Y tú — no OpenAI — eres el responsable legal de haber hecho eso.

Usos seguros: esto sí puedes hacer

Buenas noticias: la mayoría de lo que haces con IA en el día a día no tiene ningún riesgo. Estos son los casos en los que puedes ir tranquilo:

  • Generar textos con ejemplos ficticios. «Escríbeme un email de bienvenida para un cliente que acaba de contratar mi servicio de diseño web.» No hay datos reales, no hay problema.
  • Crear contenido de marketing genérico. Posts para redes, descripciones de producto, copies publicitarios — siempre que no incluyas datos de personas identificables.
  • Resumir documentos internos sin datos personales. Un manual de procesos, una guía de estilo, tus propias notas de reunión sin nombres.
  • Generar imágenes sin representar personas reales. Ilustraciones, banners, conceptos visuales.
  • Hacer análisis sobre datos propios anonimizados. «Mis ventas del último trimestre fueron de X euros en el sector Y» — sin nombres de clientes.
  • Automatizar tareas administrativas internas. Redactar plantillas, formatear documentos, generar ideas de contenido.

La regla de oro es sencilla: si no hay datos que identifiquen a una persona real, el riesgo RGPD es prácticamente nulo.

Usos problemáticos: aquí está el riesgo

Aquí es donde la mayoría mete la pata — y normalmente sin darse cuenta:

  • Introducir nombres y datos de contacto de clientes reales en el prompt para personalizar comunicaciones.
  • Pegar contratos firmados o presupuestos que incluyan datos de la otra parte (nombre, empresa, NIF, condiciones económicas).
  • Compartir historiales médicos, datos de salud o información financiera de pacientes o clientes — categorías especialmente protegidas bajo el RGPD.
  • Usar IA para tomar decisiones automatizadas sobre personas (aceptar o rechazar un crédito, hacer una selección de personal) sin informar a los afectados.
  • Subir listados de clientes o bases de datos para que la IA los analice o segmente.
  • Datos de menores de 14 años — requieren consentimiento parental y tienen protección reforzada.

Lo importante aquí es esto: el responsable de ese tratamiento eres tú , no OpenAI ni Microsoft. Tú decides qué metes en el sistema. Eso te convierte en el responsable legal — aunque la herramienta la haya fabricado otra empresa al otro lado del Atlántico.

ChatGPT gratuito vs. de pago: no es lo mismo

Este es el punto que más confunde. Y tiene sentido, porque desde fuera parece que «ChatGPT es ChatGPT». No lo es.

ChatGPT versión gratuita (Free): Por defecto, OpenAI puede usar tus conversaciones para entrenar sus modelos. Lo que escribes en el chat — incluyendo cualquier dato que metas — puede acabar siendo material de entrenamiento. Puedes desactivarlo en los ajustes, pero viene activado por defecto. La mayoría no lo sabe.

ChatGPT Plus y Team (de pago): OpenAI ofrece la opción de no usar tus conversaciones para entrenar el modelo. Además, en la versión Team, las conversaciones no se usan para entrenamiento de forma predeterminada. Esto mejora el perfil de privacidad considerablemente.

ChatGPT Enterprise o API con acuerdo DPA: Esta es la única opción que permite un uso profesional con garantías legales sólidas bajo el RGPD. OpenAI firma un Data Processing Agreement (DPA) — un acuerdo de encargado del tratamiento — que es exactamente lo que exige la normativa europea cuando cedes datos a un tercero.

Si vas a usar IA con datos de clientes en un contexto profesional, necesitas estar en esta categoría o usar una herramienta que ofrezca las mismas garantías . Sin DPA, estás operando en zona gris legal.

5 reglas prácticas para usar IA sin infringir el RGPD

No hace falta contratar a un abogado para aplicar esto. Son cinco criterios de sentido común que, bien interiorizados, te cubren el 90% de los casos:

  1. Anonimiza antes de introducir. Si necesitas que la IA trabaje con datos reales, sustitúyelos antes: «cliente A», «empresa X», «usuario con ticket #1234».
  2. Usa la versión profesional con DPA si tu negocio requiere procesar datos personales de forma recurrente con IA.
  3. Revisa la política de privacidad de cada herramienta que uses — especialmente las que permiten subir documentos o conectar con tu CRM.
  4. Actualiza tu política de privacidad si ya estás usando IA en procesos que afectan a clientes. Debes informarles.
  5. Nunca uses IA para decisiones automatizadas con impacto significativo sobre personas sin un proceso de revisión humana y sin informar al afectado.

Cuánto puede costar no cumplir

Las sanciones del RGPD no son simbólicas. El reglamento tiene dos niveles, y el segundo asusta:

  • Infracciones menos graves: hasta 10 millones de euros o el 2% de la facturación global anual (la cantidad que sea mayor).
  • Infracciones graves (entre ellas, transferencias internacionales de datos sin garantías): hasta 20 millones de euros o el 4% de la facturación global anual .

Para un autónomo, evidentemente no hay multas de 20 millones. Pero la AEPD sí puede llegar a imponer sanciones de miles de euros, ordenar que pares el tratamiento y — lo que más duele en ciertos sectores — publicar la resolución. El daño de imagen a veces es peor que la multa.

En 2023, la propia AEPD abrió un procedimiento de investigación contra OpenAI por estas mismas cuestiones. No fue la única autoridad europea en hacerlo.

Automatizar con IA de forma legal: así es como se hace

Cumplir con la AEPD no significa renunciar a la IA. Significa diseñar bien los flujos desde el principio — y eso es exactamente lo que hacemos.

En Spacio Digital trabajamos con autónomos y pymes para implementar automatizaciones con IA que funcionan y que están bien construidas legalmente. Eso implica elegir las herramientas correctas, configurarlas como toca, firmar los acuerdos de encargado que correspondan y diseñar los flujos para que los datos no salgan donde no deben.

¿Es complicado? No, cuando sabes lo que estás haciendo. El resultado es un negocio que ahorra tiempo, trabaja mejor y duerme tranquilo.

Automatiza mi negocio con IA

30 minutes. We review your current AI usage and map out a compliant, efficient automation plan for your business.

Preguntas frecuentes

¿Es ilegal usar ChatGPT en mi negocio?

No es ilegal por defecto. El problema surge cuando introduces datos personales de clientes sin las garantías legales adecuadas. Si usas ChatGPT con ejemplos ficticios o datos propios sin identificar personas, no hay infracción. Si introduces nombres, emails o contratos reales de clientes sin un acuerdo de encargado del tratamiento (DPA) con OpenAI, estás en territorio de riesgo bajo el RGPD.

¿Qué diferencia hay entre la versión gratuita y la de pago de ChatGPT?

La versión gratuita puede usar tus conversaciones para entrenar el modelo de IA por defecto. La versión de pago (Plus, Team) permite desactivar esto. Solo la versión Enterprise y el acceso vía API con DPA firmado ofrecen las garantías que exige el RGPD para un tratamiento profesional de datos personales.

¿Tengo que actualizar mi política de privacidad si uso IA?

Sí, si usas IA en procesos que afectan a tus clientes — aunque sea indirectamente — debes informarles en tu política de privacidad. La AEPD exige transparencia sobre quién trata los datos y con qué herramientas. Ignorar este punto es uno de los errores más comunes en pymes y autónomos.

¿Puedo usar IA para seleccionar personal o tomar decisiones sobre clientes?

Puedes usarla como herramienta de apoyo, pero no para tomar decisiones automatizadas con impacto significativo sobre personas (como rechazar una solicitud de crédito o filtrar candidatos de forma autónoma) sin informar al afectado y sin revisión humana. El RGPD reconoce el derecho de las personas a no ser objeto de decisiones tomadas exclusivamente por algoritmos.

¿Cuánto puede multar la AEPD a un autónomo?

Las sanciones del RGPD son proporcionales al tamaño del negocio, pero no son irrelevantes para autónomos y pymes. La AEPD puede imponer multas de miles de euros, ordenar el cese del tratamiento ilegal y publicar la resolución — lo que puede tener un impacto reputacional importante en ciertos sectores. La prevención siempre es más barata que la sanción.

¿Existe alguna herramienta de IA que cumpla el RGPD por defecto?

Varias herramientas ofrecen acuerdos DPA y servidores dentro del Espacio Económico Europeo (EEE), lo que facilita el cumplimiento. Microsoft Copilot con licencia empresarial, algunas versiones de Google Workspace con IA, y soluciones con modelos alojados en Europa son opciones más seguras desde el punto de vista regulatorio. La clave siempre es revisar la documentación legal antes de usar cualquier herramienta con datos de clientes.