C1 · GDPR eta AI: nola saihestu arazoak

0 %

Course content

Uncategorized

Módulo 1 · El conflicto IA × RGPD: por qué nadie te avisó

Mazo de juez sobre mesa de madera, concepto de regulación legal

Cuando introduces datos de clientes en ChatGPT, esos datos viajan a servidores de OpenAI en EE.UU. ¿Tienes base legal para hacer esa transferencia? ¿Lo sabe tu cliente? ¿Lo has documentado? Si la respuesta a alguna de estas preguntas es «no», tienes un problema de RGPD activo.

El conflicto fundamental: IA y protección de datos

El RGPD fue diseñado antes de que los LLMs existieran. Su aplicación a la IA generativa está llena de zonas grises, pero hay puntos muy claros que muchas pymes están incumpliendo sin saberlo.

🌍

Transferencia internacional de datos

ChatGPT, Gemini, Claude.ai (salvo API con DPA): tus datos van a EE.UU. El Privacy Shield II (Data Privacy Framework) ayuda, pero no elimina el riesgo.

🔓

Datos de entrenamiento

Algunos proveedores (especialmente planes gratuitos) usan tus conversaciones para mejorar sus modelos. Eso puede incluir datos confidenciales.

👁️

Transparencia con afectados

Si usas IA para tomar decisiones que afectan a personas (clientes, empleados), tienes que informarlas.

📋

Documentación obligatoria

El RGPD exige documentar cómo y por qué tratas datos. El uso de IA es un tratamiento más que hay que registrar.

Los 5 escenarios de mayor riesgo RGPD en el uso de IA

Escenario	Riesgo	Herramienta típica afectada	Sanción potencial
Introducir datos de clientes (nombre, email, empresa) en ChatGPT	Transferencia sin base legal a EE.UU.	ChatGPT free / web	Hasta 4% facturación global o 20M€
Usar IA para filtrar CVs sin informar a los candidatos	Decisión automatizada no declarada (Art. 22)	LinkedIn Recruiter IA, HR tools	Hasta 2% facturación o 10M€
Chatbot web sin aviso de IA ni política de privacidad actualizada	Falta de transparencia e información	Chatbots en web	Advertencia + plazo corrección
Compartir actas de reunión con clientes en Notion IA	Datos de terceros en herramienta sin DPA	Notion, Otter, Fireflies plan gratuito	Advertencia + posible multa
Emails personalizados con IA usando historial de compra sin base legal	Tratamiento sin base legal o sin informar	ActiveCampaign, Mailchimp	Hasta 2% facturación

Casos reales de multas a empresas por uso de IA (Europa, 2023-2025)

Caso 1: Empresa de RRHH italiana — 1,5M€ (2024)

Usaba un sistema de IA para evaluar el rendimiento de empleados sin informarles ni documentar la base legal. El sistema tomaba decisiones que afectaban a la carrera de los trabajadores sin supervisión humana documentada. AEPD italiana: multa de 1,5M€ y obligación de suspender el sistema.

Caso 2: Startup española de marketing — Advertencia AEPD (2024)

Usaba ChatGPT para generar emails personalizados con datos de clientes extraídos del CRM, sin cláusula informativa actualizada ni DPA con OpenAI. La AEPD emitió advertencia formal y plazo de 3 meses para corregir. El coste de la corrección (auditoría + abogado + actualización de documentación): 8.000€.

Caso 3: Hospital alemán — Investigación abierta (2025)

Médicos usaban ChatGPT para redactar informes clínicos incluyendo datos de pacientes. Datos de salud = categoría especial bajo RGPD. Investigación abierta por la autoridad alemana de protección de datos (DSK). Caso aún sin resolución, multa esperada superior a 5M€.

El principio más importante: Privacy by Design

Qué significa en la práctica

Privacy by Design (Art. 25 RGPD) significa que la protección de datos no es un añadido posterior — es parte del diseño de cada sistema, herramienta o proceso que implementas.

Para la IA: antes de usar una herramienta con datos personales, pregúntate: ¿dónde van los datos? ¿quién los ve? ¿cuánto tiempo los guarda el proveedor? ¿qué pasa si hay una brecha? Si no tienes respuestas, no uses la herramienta con datos reales.

✏️ Ejercicio práctico

Mapea tu exposición de riesgo RGPD actual

Lista todas las herramientas de IA que usa tu empresa (ChatGPT, Copilot, Canva IA, Otter, etc.).
Para cada una: ¿introduces datos de clientes, empleados o terceros? ¿Sí/No.
Para las que dices «Sí»: ¿tienes DPA firmado con ese proveedor? ¿Está documentado en tu registro de actividades?
Las que no tienen DPA y tratan datos personales son tus riesgos activos hoy.

💡 Lo que te llevas

El RGPD aplica a todas las herramientas de IA que usan datos personales — no importa que sean de terceros.

Los cinco escenarios de mayor riesgo (ChatGPT + datos clientes, IA en RRHH, chatbot sin aviso, actas en Notion, email IA sin base legal) son los más frecuentes en pymes.

Las multas reales ya están llegando: no es teoría. El coste de corrección siempre es menor que el de la sanción.

Privacy by Design es el principio más rentable: pregúntate antes, no después.