RGPD e IA para pymes: qué hacen Claude, ChatGPT y Gemini con tus datos
Pablo Cabrera
Fundador de OperandIA · Experto en IA aplicada a negocio
"¿Es seguro pegar esto en el chat?" Es la pregunta que más nos hacen en OperandIA cuando visitamos una pyme por primera vez, y casi nunca hay una política escrita que la responda: cada empleado decide solo, con su criterio, qué dato de cliente, de nómina o de contrato le pasa a una IA. La respuesta corta es que depende casi por completo de una variable que casi nadie revisa: si tu equipo usa una cuenta personal gratuita o un plan de empresa. La diferencia no es matiz técnico, es la diferencia entre cumplir el RGPD o no. En este artículo te explico, verificado esta semana, qué hace cada proveedor con tus datos según el plan, qué cambia con el aviso que Anthropic acaba de mandar a los usuarios de Claude, dónde se procesan los datos en Europa y qué debes preguntar por escrito antes de firmar.
La variable que decide todo: cuenta personal gratuita vs. plan de empresa
Esto es lo primero que hay que entender, porque condiciona todo lo demás: en los tres proveedores grandes, el plan gratuito o personal y el plan de empresa juegan en ligas de privacidad distintas.
- Claude (Anthropic): en los planes de consumo (Free, Pro, Max), Anthropic puede usar tus conversaciones para entrenar sus modelos por defecto, salvo que el usuario lo desactive en Ajustes → Privacidad → "Help improve Claude". Si lo dejas activado, la retención de esos datos sube a 5 años; si lo desactivas, se queda en 30 días. En los planes de empresa —Claude for Work, que incluye Team y Enterprise, y el acceso vía API— no se usan los datos del cliente para entrenar, por defecto y sin necesidad de tocar ningún ajuste.
- ChatGPT (OpenAI): mismo patrón. En Free, Go, Plus y Pro, tus conversaciones se usan para mejorar el modelo salvo que desactives el historial o el uso de datos en Ajustes → Privacidad. En ChatGPT Business y Enterprise, no se entrena con tus datos por defecto, con garantía contractual incluida en el contrato de empresa.
- Gemini (Google): aquí el salto es aún mayor. En la app de consumo de Gemini, Google avisa expresamente de que las conversaciones pueden ser revisadas por personas y que el producto no está pensado para que un empleado trate ahí datos personales por cuenta de su empresa: no hay ni contrato de tratamiento de datos (DPA) de por medio. En Google Workspace (Business Standard, Business Plus, Enterprise), en cambio, los chats y archivos no se revisan manualmente ni se usan para entrenar modelos de IA generativa, y el DPA se incorpora automáticamente a tus condiciones de pago.
La conclusión práctica es incómoda pero simple: si en tu empresa alguien usa hoy una cuenta gratuita o personal de cualquiera de estos tres para trabajar con datos de clientes, empleados o proveedores, tienes ya mismo un problema de RGPD, sin importar cuál sea "el mejor" proveedor. Es, con diferencia, el motivo más común de exposición que encontramos al auditar una pyme, más que cualquier fallo de configuración.
El aviso que Anthropic acaba de mandar (y qué significa para ti)
Esta semana hay una pieza de actualidad que conecta directamente con este tema. Anthropic ha anunciado una actualización de su política de privacidad de consumo que entra en vigor el 8 de julio de 2026, es decir, dentro de dos días desde que escribo esto. Dos cambios importan a una empresa:
- Verificación de identidad y edad. Anthropic podrá pedir a algunos usuarios de Claude Free, Pro o Max un documento de identidad, un selfie o un vídeo corto con datos biométricos (geometría facial) para confirmar quién eres. El procesamiento de esa verificación lo hacen encargados externos (Persona y Yoti); Anthropic dice no almacenar las imágenes del documento en sus propios servidores.
- Colaboración con autoridades sin orden judicial previa. La política añade una cláusula que permite a Anthropic compartir de forma proactiva conversaciones con las fuerzas de seguridad si internamente considera, de "buena fe", que hay indicios de riesgo grave, sin exigir un mandato judicial previo. El criterio de esa "buena fe" lo decide la propia compañía.
El matiz que de verdad importa para tu empresa: este cambio afecta solo a las cuentas de consumo (Free, Pro, Max), no a Claude for Work (Team, Enterprise) ni al acceso vía API, que se rigen por los Términos Comerciales, no por estos Términos de Consumo. Dicho de otra forma: si tu equipo comercial usa una cuenta Pro personal para redactar propuestas con datos de clientes, ahora mismo entra dentro del alcance de esta política; si usa Claude Team, no. Es exactamente el mismo argumento del apartado anterior, pero con fecha y nombre propio esta semana: la frontera entre "cuenta personal" y "plan de empresa" no es solo un tema de funciones, es un tema de qué reglas de privacidad te aplican.
Residencia de datos en la Unión Europea: qué hay y qué no
"¿Dónde se guardan físicamente mis datos?" es la segunda pregunta que más nos hacen, sobre todo en sectores regulados (salud, legal, financiero). Aquí sí hay diferencias reales entre proveedores, verificadas esta semana:
- OpenAI ofrece residencia de datos en Europa tanto para la API como, desde una ampliación posterior, para nuevos espacios de trabajo de ChatGPT Enterprise y ChatGPT Edu: puedes elegir que el contenido (textos, archivos, imágenes) se almacene en reposo dentro de la UE, sin coste adicional. El matiz importante: esta opción solo se puede activar al crear un espacio de trabajo nuevo; los ya existentes no se pueden migrar con carácter retroactivo. OpenAI ha extendido después la misma opción a otras regiones (Reino Unido, Japón, Canadá, Corea del Sur, entre otras).
- Google Workspace tiene un compromiso de residencia de datos ya asentado para el contenido en reposo (correo, Drive, documentos), con regiones europeas específicas. El matiz que casi nadie te cuenta: que el dato se almacene en la UE no significa necesariamente que toda la inferencia de Gemini (el cálculo que genera la respuesta) se quede dentro de esa misma frontera en todos los casos. Si tu sector exige "todo el procesamiento en la UE, sin excepción", pregúntalo explícitamente y pide que te lo confirmen por escrito.
- Anthropic no tiene, hasta donde hemos podido verificar esta semana, un anuncio propio de región de datos europea nativa para Claude for Work equivalente al de OpenAI. Existe la posibilidad de acceder a Claude a través de infraestructuras cloud con presencia en la UE (por ejemplo, vía Amazon Bedrock en Irlanda o Estocolmo), pero es una vía de despliegue de terceros, no una oferta de residencia de datos directa de Anthropic. Si la residencia europea es un requisito no negociable para tu empresa, es la pregunta número uno que hacer antes de firmar con ellos.
DPA, SCC, ¿qué es todo eso en cristiano?
Dos siglas que vas a ver en cualquier contrato de empresa con un proveedor de IA, explicadas sin jerga:
- DPA (Data Processing Agreement, o Acuerdo de Tratamiento de Datos): es el contrato que exige el RGPD entre tu empresa (responsable del tratamiento) y el proveedor de IA (encargado del tratamiento) cuando ese proveedor procesa datos personales por tu cuenta. Sin DPA firmado, no puedes usar esa herramienta con datos personales de clientes o empleados de forma legal, punto.
- SCC (Standard Contractual Clauses, o Cláusulas Contractuales Tipo): es el mecanismo estándar que aprueba la Comisión Europea para justificar que los datos personales salgan de la UE hacia un país sin el mismo nivel de protección (como Estados Unidos), garantizando protecciones equivalentes al RGPD.
Los tres proveedores ofrecen DPA en sus planes de empresa, con matices:
| Proveedor | DPA en plan de empresa | Dónde consultarlo |
|---|---|---|
| Claude (Anthropic) | Sí, para Claude for Work (Team/Enterprise) y API | trust.anthropic.com |
| ChatGPT (OpenAI) | Sí, para Business, Enterprise y API | openai.com/enterprise-privacy |
| Gemini (Google Workspace) | Sí, incorporado automáticamente a las condiciones de pago de Workspace | Términos de Workspace (DPA) |
Tener el DPA del proveedor firmado es condición necesaria, no suficiente. Te falta, además: actualizar tu propio registro de actividades de tratamiento (el documento interno que exige el RGPD listando qué datos tratas y para qué), y una política interna de uso de IA que diga por escrito qué se puede pegar en un chat y qué no. Eso no te lo da ningún proveedor por muy caro que sea el plan: es trabajo tuyo.
El Reglamento europeo de IA se retrasa: qué cambia para tu pyme
Otra pieza de actualidad de las últimas dos semanas que conviene tener en el radar. El 29 de junio de 2026, el Consejo de la Unión Europea dio luz verde final al llamado "Digital Omnibus" sobre IA, que retrasa el calendario del Reglamento Europeo de IA (AI Act) tras el visto bueno del Parlamento Europeo el 16 de junio.
Qué cambia en la práctica:
- Las obligaciones más exigentes, las de los sistemas de IA de "alto riesgo" (por ejemplo, IA usada en selección de personal, scoring crediticio o ciertos usos sanitarios), se posponen del 2 de agosto de 2026 al 2 de diciembre de 2027 para sistemas autónomos, y al 2 de agosto de 2028 para IA embebida dentro de otros productos.
- Las obligaciones de transparencia (marcar contenido generado por IA, avisar cuando hablas con un chatbot) mantienen en general la fecha original del 2 de agosto de 2026, con una prórroga hasta diciembre de 2026 solo para sistemas ya en el mercado antes de esa fecha.
Para una pyme española que usa IA como apoyo (redactar, resumir, analizar) y no despliega sistemas de "alto riesgo" propios, este retraso no cambia gran cosa hoy: tu obligación sigue siendo el RGPD, que ya está en vigor desde 2018 y no se ha tocado. Pero si tu empresa está evaluando construir o comprar un sistema de decisión automatizada (por ejemplo, un scoring de clientes o un filtro automático de candidatos), el nuevo calendario te da más margen del que tenías la semana pasada. No lo interpretes como "la IA se desregula": las obligaciones de transparencia siguen firmes para este verano.
Checklist: qué preguntar antes de firmar con cualquier proveedor de IA
Esta es la lista que usamos en las auditorías de IA que hacemos en OperandIA. Cópiala y llévala a la próxima negociación de licencias:
- ¿Qué plan estamos contratando exactamente? Confirma por escrito que es un plan de empresa (Team, Business, Enterprise, Workspace), no de consumo. El nombre comercial cambia cada año; el contrato firmado, no.
- ¿Se usan nuestros datos para entrenar modelos? Pide la respuesta por escrito, no de palabra del comercial.
- ¿Dónde se procesan y almacenan los datos? Si necesitas residencia UE, pide confirmación explícita y, si aplica, que se active en el contrato (recuerda: en algunos proveedores solo aplica a espacios de trabajo nuevos).
- ¿Tienen DPA disponible y lo han firmado con nosotros? Sin DPA firmado, no hay tratamiento legal de datos personales.
- ¿Qué certificaciones de seguridad declaran? SOC 2, ISO 27001 e ISO 42001 (gestión de IA) son las que verás con más frecuencia en los tres proveedores; pide el informe o el enlace a su centro de confianza, no te fíes solo del logo en la web.
- ¿Tenemos una política interna escrita de qué se puede pegar en un chat de IA? Si la respuesta es no, esta semana es un buen momento para redactar una de una página: qué datos nunca se comparten (nóminas, historiales médicos, datos bancarios de clientes) y qué canal de IA usa cada equipo.
Dos casos reales, con números
Caso 1: asesoría laboral, 22 empleados. En una revisión rutinaria descubrimos que 9 personas del equipo de nóminas usaban cuentas gratuitas y personales de ChatGPT para redactar comunicaciones a trabajadores, pegando datos de nómina reales para "que sonara mejor". Ningún DPA, ningún control, riesgo de sanción de hasta 20 millones de euros o el 4% de la facturación global (el techo que marca el RGPD para infracciones graves, con independencia del proveedor). Migramos a ChatGPT Business (mínimo 2 usuarios, 20 $/usuario/mes en anual): coste añadido de unos 2.400 € al año para 9 licencias, frente a un riesgo que, aunque improbable en la práctica, no tenía ningún control encima. Además, redactamos con ellos una política interna de una página que ahora firma cada empleado nuevo.
Caso 2: clínica dental, 14 empleados. Manejan historiales clínicos, un dato de categoría especial bajo el RGPD que exige medidas reforzadas. Ya pagaban Google Workspace Business Plus para el correo y la agenda, así que activar Gemini no supuso coste de licencia adicional. Antes de usarlo con cualquier dato de paciente, pedimos por escrito a Google la confirmación del DPA de Workspace y del compromiso de residencia de datos en la UE para el contenido en reposo, y limitamos el uso de IA a tareas sin datos identificativos (plantillas de recordatorios genéricos, resúmenes de protocolos internos), dejando fuera cualquier prompt con nombre, historial o diagnóstico de un paciente concreto. El ahorro de tiempo fue modesto —unas 3 horas semanales en redacción de comunicaciones— pero el objetivo aquí no era ahorrar, era no generar un riesgo nuevo sobre un dato ya de por sí sensible.
Límites y riesgos: lo que ningún comercial te va a contar
- Tener DPA no es tener "cero riesgo". Es la base legal mínima. Te siguen faltando el registro de actividades de tratamiento actualizado y la política interna de uso. Un proveedor con todos los certificados del mundo no te libra de una mala praxis interna.
- "Sin retención cero" no viene incluido salvo que lo pidas. Anthropic ofrece un modo de retención cero de datos (ZDR) solo bajo acuerdo específico para clientes de API, no como ajuste por defecto en ningún plan de consumo ni en Claude Team. Si tu proceso lo necesita, pregúntalo expresamente; no asumas que "plan de empresa" es sinónimo automático de ello.
- Las certificaciones no sustituyen la lectura del contrato. SOC 2 e ISO 27001 hablan de cómo de bien protegido está el proveedor por dentro, no de qué hace exactamente con tus datos ni de dónde los procesa. Son necesarias, no suficientes.
- La app de consumo de Gemini lo dice ella misma: no está pensada para datos de empresa. Si alguien en tu equipo usa la app gratuita de Gemini para trabajar con datos de clientes, no hay DPA cubriendo esa actividad. Es el mismo problema que las cuentas gratuitas de Claude o ChatGPT, con el aviso además explícito por parte del propio proveedor.
- Todo esto cambia rápido. La política de Anthropic que citamos entra en vigor esta misma semana; el calendario del AI Act se ha movido hace diez días. Una política interna de uso de IA no es un documento que se escribe una vez y se archiva: revísala cada trimestre.
Conclusión: la pregunta correcta no es "¿cuál es más seguro?"
Los tres proveedores grandes ofrecen un nivel de privacidad razonable en sus planes de empresa, con DPA, sin entrenamiento por defecto y con certificaciones de seguridad reconocidas. La pregunta que de verdad determina tu riesgo de RGPD no es "¿Claude, ChatGPT o Gemini?", es "¿está mi equipo usando el plan de empresa, con contrato firmado, o cuentas personales sueltas?". El primer paso que puedes dar hoy, sin gastar un euro: pregunta en tu próxima reunión de equipo qué herramienta de IA usa cada persona y con qué cuenta. Si aparece una sola cuenta gratuita con datos de un cliente detrás, ya sabes por dónde empezar esta semana.
Si quieres que revisemos con detalle qué proveedor, qué plan y qué política interna encajan con los datos concretos que maneja tu empresa, en OperandIA lo hacemos dentro de nuestra auditoría de IA: operandia.es.
Fuentes
- Is my data used for model training? — Anthropic Privacy Center
- Updates to our privacy policy — Anthropic Privacy Center
- API and data retention — Claude Platform Docs
- Anthropic says Claude may want to see your ID — TechCrunch (22/06/2026)
- Anthropic's privacy policy update clarifies identity verification and data sharing — Cybernews
- How your data is used to improve model performance — OpenAI Help Center
- Enterprise privacy at OpenAI
- Introducing data residency in Europe — OpenAI
- Expanding data residency access to business customers worldwide — OpenAI
- Gemini Apps Privacy Hub — Google
- Generative AI in Google Workspace Privacy Hub
- Google Workspace Data Processing Amendment
- Artificial Intelligence: Council gives final green light to simplify and streamline rules — Consilium (29/06/2026)
- EU lawmakers reach provisional agreement to delay key EU AI Act obligations — Sidley (22/06/2026)
- Trust Center — Anthropic
- Trust Portal — OpenAI