RGPD e Inteligencia Artificial: Guía Práctica para Empresas Europeas

Q: "Es ChatGPT conforme al RGPD?"

"No, no en su configuracion estandar. ChatGPT transfiere datos a los servidores de OpenAI en EE.UU., donde estan sujetos al CLOUD Act estadounidense. Incluso la version Enterprise tiene problemas con las transferencias de datos fuera de la UE. Italia ya ha multado a OpenAI con 15 millones de euros por violaciones del RGPD."

Q: "Que arriesgo si mis empleados usan ChatGPT con datos de la empresa?"

"Como responsable del tratamiento, tu empresa es responsable incluso del uso no autorizado de IA por parte de los empleados (shadow AI). Las multas del RGPD alcanzan hasta el 4 % de la facturacion anual. Ademas, arriesgas violacion del secreto profesional y danos reputacionales."

Q: "La Ley de IA sustituye al RGPD?"

"No, ambos reglamentos coexisten y se solapan. El RGPD regula la proteccion de datos personales, la Ley de IA regula los sistemas de IA. Una empresa que usa IA debe cumplir con ambos. La IA privada on-premise simplifica el cumplimiento de ambos simultaneamente."

Q: "Necesito hacer una EIPD para usar IA en mi empresa?"

"Depende. Si la IA trata datos personales a gran escala, perfila individuos o toma decisiones automatizadas que afectan a las personas, una EIPD (Evaluacion de Impacto en la Proteccion de Datos) es obligatoria segun el art. 35 RGPD. Con IA privada on-premise el riesgo es tipicamente menor."

Q: "Como puedo usar IA respetando el art. 22 RGPD sobre decisiones automatizadas?"

"El art. 22 prohibe las decisiones totalmente automatizadas con efectos significativos sobre las personas. La clave es garantizar la supervision humana: la IA sugiere, el humano decide. Con ORCA y MANTA de HTX, este principio esta integrado en el diseno del sistema."

Q: "Son los modelos open source mas seguros para el RGPD?"

"Los modelos open source on-premise eliminan de raiz el problema de la transferencia de datos a terceros, que es el principal riesgo RGPD con servicios cloud como ChatGPT. No hay encargado del tratamiento externo, no hay transferencia fuera de la UE, los datos no se usan para entrenamiento. Es la configuracion mas compatible con el RGPD."

AI Privata per le Imprese - Este artículo es parte de una serie.

Parte : Vibe Coding para Empresas: Cómo Usar IA para Desarrollo de Software Sin Riesgos

Parte : IA en anestesia: cómo KOI reduce los errores de clasificación ASA-PS en un 89 %

Parte : Este artículo

Parte : Como elegir una infraestructura IA privada para tu empresa

Parte : IA On-Premise vs Nube: Cuál Elegir para tu PYME — Análisis Completo

Parte : Natural Language to SQL: interrogar las bases de datos empresariales sin escribir codigo

Parte : IA para Despachos Profesionales: Guía RGPD Completa + 15 Casos de Uso Concretos

Parte : AI Act 2026: guia practica para las PYME europeas

Parte : Coste de la IA para PYMES: Desglose Completo de Costes y Calculadora de ROI

Parte : ORCA vs ChatGPT: por que tu chatbot empresarial debe ser privado

Parte : Alternativas a ChatGPT para Empresas: Comparacion Completa RGPD, Costes y Seguridad

Parte : Por que tu empresa necesita IA privada (y no ChatGPT)

Parte : Como Implementar IA en tu Empresa: La Hoja de Ruta Completa de Cero a Produccion

Parte : IA Privada para PYMES: La Guía Completa 2026 para Empresas Europeas

IA + RGPD = confusion. Las empresas quieren usar inteligencia artificial pero temen las sanciones. Los asesores legales dicen “no se puede” porque no saben como hacerlo de forma segura. Esta guia explica lo que REALMENTE necesitas hacer — en la practica, sin jerga juridica innecesaria.

El estado de la cuestion
#

El panorama regulatorio europeo para la IA se compone de dos pilares:

RGPD (Reg. UE 2016/679): en vigor desde 2018, regula la proteccion de datos personales
Ley de IA (Reg. UE 2024/1689): entra en vigor progresivamente desde 2025, regula los sistemas de IA

Ambas normativas coexisten y se solapan. Una empresa que usa IA con datos personales debe cumplir con ambas. Parece complicado, pero en la practica la solucion es mas sencilla de lo que piensas — si tomas las decisiones correctas.

El problema real no es la complejidad normativa. Es que el 77 % de los empleados ya esta usando IA (ChatGPT, Copilot, Gemini) sin que la empresa haya evaluado las implicaciones del RGPD. La adopcion ya ha ocurrido. El cumplimiento no.

RGPD: los puntos criticos con la IA
#

1. Transferencia de datos a terceros paises (el problema principal)
#

Cuando un empleado usa ChatGPT, los datos introducidos viajan a servidores en Estados Unidos. Tras la invalidacion del Privacy Shield (sentencia Schrems II, 2020), la transferencia de datos personales a EE.UU. es problematica.

El Data Privacy Framework (DPF) adoptado en 2023 ofrece una base legal, pero:

No todos los expertos lo consideran estable (un “Schrems III” es probable)
No cubre todos los casos de uso empresariales
Las clausulas contractuales tipo (CCT) a menudo no bastan por si solas

La solucion mas segura: eliminar la transferencia de raiz, usando IA que funcione en la UE u on-premise.

2. Decisiones automatizadas (Art. 22 RGPD)
#

El art. 22 RGPD establece que el interesado tiene derecho a no ser objeto de una decision basada unicamente en el tratamiento automatizado, incluida la elaboracion de perfiles, que produzca efectos juridicos en el o le afecte significativamente de modo similar.

En la practica: si la IA toma decisiones que afectan a las personas — evaluacion crediticia, seleccion de personal, diagnostico medico, precios personalizados — se requieren garantias especificas:

Supervision humana: un ser humano debe poder intervenir en la decision
Derecho de impugnacion: el interesado debe poder impugnar la decision
Explicabilidad: debe ser posible explicar como la IA llego a su decision

3. Derecho a la explicacion
#

El RGPD (arts. 13-15) exige que el interesado sea informado sobre la existencia de un proceso de toma de decisiones automatizado y reciba “informacion significativa sobre la logica aplicada”. Con modelos de caja negra como GPT-4, esto es un problema serio.

Con modelos open source on-premise, la trazabilidad es mejor: se conoce el modelo, los datos de entrada, el prompt y la salida. Con ORCA y MANTA, cada interaccion queda registrada con pista de auditoria completa.

4. Minimizacion de datos vs datos de entrenamiento
#

El principio de minimizacion (art. 5(1)(c) RGPD) exige tratar solo los datos estrictamente necesarios para la finalidad. Con servicios cloud como ChatGPT, los datos introducidos pueden usarse para entrenar futuras versiones del modelo — un tratamiento que va mucho mas alla de la finalidad original.

Con IA privada, los datos se usan solo para la finalidad especifica para la que el empleado los introdujo. Sin entrenamiento secundario, sin uso indebido.

5. Contrato con el encargado del tratamiento (DPA)
#

Cuando usas un servicio de IA en la nube, el proveedor (ej. OpenAI) actua como encargado del tratamiento (data processor). Se necesita un DPA conforme al art. 28 RGPD que especifique:

Finalidad y duracion del tratamiento
Tipos de datos personales tratados
Obligaciones y derechos del responsable
Medidas de seguridad tecnicas y organizativas
Gestion de subencargados

Con IA on-premise, no hay encargado del tratamiento externo. La empresa es a la vez responsable y operador del sistema. Menos complejidad contractual, menos riesgos.

Ley de IA: como se cruza con el RGPD
#

La Ley de IA no sustituye al RGPD — lo complementa. Estos son los puntos de interseccion mas relevantes para las empresas.

Niveles de riesgo de la Ley de IA
#

Nivel	Ejemplos	Obligaciones
Riesgo inaceptable	Puntuacion social, manipulacion subliminal	Prohibido
Alto riesgo	Seleccion de personal, credito, diagnostico, vigilancia biometrica	Evaluacion de conformidad, documentacion, supervision humana, transparencia
Riesgo limitado	Chatbots, deepfakes	Obligacion de transparencia (el usuario debe saber que interactua con IA)
Riesgo minimo	Filtros de spam, juegos IA	Sin obligaciones especificas

Que cambia para las empresas en la practica
#

Obligacion de AI literacy (en vigor desde febrero 2025): todos los empleados que usen IA deben recibir formacion adecuada. No basta con decir “usad ChatGPT” — se requiere formacion estructurada sobre riesgos, limitaciones y uso responsable.

Obligaciones para sistemas de alto riesgo (agosto 2026): si tu empresa usa IA para decisiones significativas (RRHH, credito, sanidad), aplican obligaciones importantes de documentacion, pruebas, monitorizacion y supervision humana.

Transparencia: los clientes y usuarios deben saber cuando interactuan con un sistema de IA o cuando un contenido ha sido generado por IA.

El efecto combinado RGPD + Ley de IA
#

Una empresa que usa ChatGPT para analizar CV de candidatos debe cumplir simultaneamente con:

RGPD: base legal del tratamiento, EIPD, informacion a los interesados, derecho a la explicacion, DPA con OpenAI
Ley de IA: documentacion del sistema, evaluacion de riesgos, supervision humana, pista de auditoria, formacion del personal

Con IA privada on-premise, muchas de estas obligaciones se simplifican drasticamente porque los datos no salen del perimetro empresarial y el control es total.

Checklist practica de cumplimiento (10 puntos)
#

Esto es lo que tu empresa necesita hacer concretamente para usar IA conforme al RGPD y la Ley de IA.

1. Mapear el uso de IA
#

Identifica todos los sistemas de IA usados en la empresa — incluyendo el shadow AI (ChatGPT usado por empleados con cuentas personales). No puedes proteger lo que no conoces.

2. Clasificacion de riesgos
#

Para cada sistema de IA, clasifica el nivel de riesgo segun la Ley de IA. La mayoria de los usos empresariales caen en “riesgo limitado” (chatbots, analisis documental) o “riesgo minimo” (filtros, busqueda).

3. Base legal del tratamiento
#

Identifica la base legal RGPD para cada tratamiento de datos personales mediante IA. Las mas comunes: consentimiento, interes legitimo, ejecucion contractual.

4. EIPD (si es necesaria)
#

Si la IA trata datos personales a gran escala, perfila individuos o toma decisiones automatizadas significativas, realiza una EIPD (art. 35 RGPD).

5. Informacion a los interesados
#

Actualiza la politica de privacidad para incluir el uso de sistemas de IA, especificando finalidades, logica del tratamiento y derecho de impugnacion.

6. DPA con los proveedores
#

Si usas IA en la nube, verifica que tienes un DPA conforme al art. 28 RGPD con cada proveedor. Comprueba los subencargados y las clausulas sobre transferencias fuera de la UE.

7. Supervision humana
#

Para cada uso de IA que afecte a personas, define un proceso de supervision humana: quien revisa la salida de la IA antes de que se convierta en la decision final?

8. AI literacy
#

Forma a todos los empleados que usen IA — desde los riesgos del shadow AI hasta las buenas practicas de uso responsable. Documenta la formacion.

9. Pista de auditoria
#

Implementa un sistema de registro para todas las interacciones con la IA. Quien pregunto que, cuando, que respuesta obtuvo, que decision se tomo.

10. Revision periodica
#

Programa revisiones semestrales del cumplimiento de IA: nuevos usos, nuevas normativas, nuevos riesgos. El panorama evoluciona rapidamente.

Como la IA privada simplifica el cumplimiento
#

Usar IA privada on-premise o en nube UE no elimina todas las obligaciones — siguen siendo necesarias la formacion, documentacion y supervision humana. Pero elimina los problemas mas grandes y costosos:

Problema	Con IA publica (ChatGPT)	Con IA privada (PRISMA)
Transferencia de datos fuera UE	Critica (USA)	Eliminada
DPA y subencargados	Complejo, poco control	No necesario (on-premise)
Datos usados para entrenamiento	Riesgo concreto	Imposible
Pista de auditoria	Depende del proveedor	Completa y bajo tu control
Brecha de datos	Superficie de ataque amplia	Perimetro controlado
Explicabilidad	Caja negra	Modelo conocido, prompts trazados
Coste de cumplimiento	Alto (consultores, auditorias externas)	Mas bajo (menos riesgos que gestionar)

PRISMA de HTX integra el cumplimiento desde el diseno:

ORCA: cada conversacion queda registrada, los datos permanecen on-premise, la supervision humana esta integrada en el flujo de trabajo
MANTA: cada consulta SQL generada queda trazada y es verificable, con registro completo de entradas y salidas
KOI: maximo cumplimiento sanitario, pista de auditoria clinica, validacion medica integrada

Mitos desmontados
#

“Si uso la version Enterprise de ChatGPT, cumplo con el RGPD”
#

No automaticamente. La version Enterprise tiene un DPA mas robusto y OpenAI declara no usar datos para entrenamiento, pero los datos siguen transitando por servidores estadounidenses. El riesgo de transferencia fuera de la UE persiste.

“El RGPD prohibe usar IA en la empresa”
#

Falso. El RGPD ni siquiera menciona la IA. Regula el tratamiento de datos personales, por cualquier medio. La IA es perfectamente legal si se usa conforme a los principios del RGPD.

“Las sanciones solo afectan a grandes empresas”
#

La autoridad italiana de proteccion de datos ha sancionado a empresas de todos los tamanos. La multa a OpenAI fue de 15 millones de euros, pero tambien PYME han recibido sanciones significativas por violaciones del RGPD no relacionadas con la IA.

“Basta con el consentimiento de los empleados para usar ChatGPT”
#

El consentimiento en la relacion laboral es problematico porque no es “libremente prestado” (existe un desequilibrio de poder). Mejor basarse en el interes legitimo, pero sigue siendo necesaria una EIPD y medidas tecnicas adecuadas.

“La IA privada es demasiado cara para el cumplimiento”
#

Es justo al contrario. El coste del cumplimiento con IA publica (consultores legales, auditorias, DPA, riesgo de sanciones) suele superar el coste de la IA privada. Con PRISMA, el cumplimiento esta incluido en el precio.

Proximos pasos
#

Haz el Assessment gratuito — Incluye una evaluacion de cumplimiento de IA de tu empresa
Lee la guia de la Ley de IA — Profundiza en las obligaciones especificas
Descubre ORCA — El ChatGPT privado conforme al RGPD
Contactanos — Hablemos de tu cumplimiento de IA

HTX — Human Technology eXcellence. IA privada para empresas europeas. Trieste, Italia.

Descubre PRISMA de HTX

PRISMA →

¿Está tu empresa lista para la IA?

Haz la evaluación gratuita →

FAQ

Es ChatGPT conforme al RGPD?

No, no en su configuracion estandar. ChatGPT transfiere datos a los servidores de OpenAI en EE.UU., donde estan sujetos al CLOUD Act estadounidense. Incluso la version Enterprise tiene problemas con las transferencias de datos fuera de la UE. Italia ya ha multado a OpenAI con 15 millones de euros por violaciones del RGPD.

Que arriesgo si mis empleados usan ChatGPT con datos de la empresa?

Como responsable del tratamiento, tu empresa es responsable incluso del uso no autorizado de IA por parte de los empleados (shadow AI). Las multas del RGPD alcanzan hasta el 4 % de la facturacion anual. Ademas, arriesgas violacion del secreto profesional y danos reputacionales.

La Ley de IA sustituye al RGPD?

No, ambos reglamentos coexisten y se solapan. El RGPD regula la proteccion de datos personales, la Ley de IA regula los sistemas de IA. Una empresa que usa IA debe cumplir con ambos. La IA privada on-premise simplifica el cumplimiento de ambos simultaneamente.

Necesito hacer una EIPD para usar IA en mi empresa?

Depende. Si la IA trata datos personales a gran escala, perfila individuos o toma decisiones automatizadas que afectan a las personas, una EIPD (Evaluacion de Impacto en la Proteccion de Datos) es obligatoria segun el art. 35 RGPD. Con IA privada on-premise el riesgo es tipicamente menor.

Como puedo usar IA respetando el art. 22 RGPD sobre decisiones automatizadas?

El art. 22 prohibe las decisiones totalmente automatizadas con efectos significativos sobre las personas. La clave es garantizar la supervision humana: la IA sugiere, el humano decide. Con ORCA y MANTA de HTX, este principio esta integrado en el diseno del sistema.

Son los modelos open source mas seguros para el RGPD?

Los modelos open source on-premise eliminan de raiz el problema de la transferencia de datos a terceros, que es el principal riesgo RGPD con servicios cloud como ChatGPT. No hay encargado del tratamiento externo, no hay transferencia fuera de la UE, los datos no se usan para entrenamiento. Es la configuracion mas compatible con el RGPD.