El uso de herramientas de inteligencia artificial generativa plantea importantes implicaciones en materia de ChatGPT y protección de datos, especialmente cuando una empresa introduce documentos que contienen información de clientes. En estos casos, no solo se activa el RGPD, sino también la LOPDGDD, así como obligaciones contractuales y de seguridad que deben analizarse con rigor. Por ello, las ideas claves a analizar son, entre otras:
- Para comenzar, subir documentos con datos personales a ChatGPT implica un tratamiento de datos conforme a la definición del artículo 4.2 del RGPD.
- A su vez, es imprescindible contar con una base jurídica válida conforme al artículo 6 del RGPD.
- Igualmente, puede existir una transferencia internacional de datos conforme a los artículos 44 y siguientes del RGPD.
- También, cuando exista una relación responsable–encargado, resulta obligatorio formalizar un contrato conforme al artículo 28 del RGPD.
- Del mismo modo, deben aplicarse medidas técnicas y organizativas adecuadas según el artículo 32 del RGPD.
- Además, en determinados casos, puede ser necesaria una evaluación de impacto conforme al artículo 35 del RGPD.
Tabla de contenidos
- ChatGPT y protección de datos: ¿Cuándo se tratan datos personales?
- ¿Cuál es la base jurídica para usar ChatGPT y cumplir con la protección de datos?
- Transferencias internacionales de datos cuando se usa ChatGPT de cara a la protección de datos
- La importancia de la figura del encargado de tratamiento
- Principios del artículo 5 RGPD que se ven comprometidos con el uso de ChatGPT y protección de datos
- ChatGPT y protección de datos: ¿Es necesaria una evaluación de impacto?
- ¿Son compatibles ChatGPT y la protección de datos? Minimización de riesgos jurídicos
- Conclusiones
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos
ChatGPT y protección de datos: ¿Cuándo se tratan datos personales?
En primer lugar, debe recordarse que el artículo 4.1 del RGPD define dato personal como toda información sobre una persona física identificada o identificable.
Asimismo, el artículo 4.2 del RGPD establece que constituye tratamiento cualquier operación realizada sobre datos personales, incluyendo su comunicación o transmisión.
Por tanto, cuando la información introducida permita identificar o hacer identificable a una persona física en los términos del artículo 4.1 del RGPD, su incorporación en una herramienta como ChatGPT constituye jurídicamente un tratamiento de datos personales conforme al artículo 4.2 del RGPD. Especialmente, si se tratan datos como:
- Nombre y apellidos
- DNI o número de identificación
- Dirección postal o electrónica
- Datos financieros
- Datos de salud
- Información laboral
Además, si los datos pertenecen a categorías especiales, se activa el artículo 9 del RGPD, que establece una prohibición general de tratamiento salvo excepciones tasadas.
¿Cuál es la base jurídica para usar ChatGPT y cumplir con la protección de datos?
En segundo lugar, ninguna empresa puede tratar datos personales sin una base de legitimación válida conforme al artículo 6 del RGPD. De este modo, las bases más habituales en entornos empresariales son:
- Primero, la ejecución de un contrato (artículo 6.1.b del RGPD)
- Segundo, el cumplimiento de obligación legal (artículo 6.1.c del RGPD)
- Tercero, el interés legítimo (artículo 6.1.f del RGPD)
Sin embargo, utilizar ChatGPT para analizar o procesar documentos no siempre estará cubierto por la finalidad contractual inicial. Por ello, es imprescindible verificar:
- De un lado, si la finalidad es compatible con la recogida inicial (artículo 5.1.b del RGPD).
- De otro, si el cliente ha sido informado de forma transparente (artículo 13 del RGPD).
- También, si el interés legítimo supera el juicio de ponderación exigido por el artículo 6.1.f del RGPD.
Además, en ausencia de una base jurídica adecuada, el tratamiento sería ilícito conforme al artículo 6 del RGPD.
Transferencias internacionales de datos cuando se usa ChatGPT de cara a la protección de datos
Uno de los riesgos más relevantes en materia de ChatGPT y protección de datos es la posible transferencia internacional. Por ello, el artículo 44 del RGPD establece que cualquier transferencia de datos personales a un tercer país debe cumplir las condiciones del Capítulo V del Reglamento.
Por tanto, si los datos son tratados en servidores ubicados fuera del Espacio Económico Europeo, deben analizarse:
- Primero, las decisiones de adecuación conforme al artículo 45 del RGPD.
- Segundo, las garantías adecuadas conforme al artículo 46 del RGPD.
- Tercero, las cláusulas contractuales tipo aprobadas por la Comisión Europea.
Además, según la jurisprudencia del Tribunal de Justicia de la Unión Europea, es obligatorio evaluar el nivel de protección del país receptor. En consecuencia, no basta con aceptar términos y condiciones estándar sin analizar su impacto jurídico.
La importancia de la figura del encargado de tratamiento
Cuando una empresa utiliza un proveedor externo que trata datos personales por su cuenta, nos encontramos ante un encargo del tratamiento. Por ello, el artículo 28.3 del RGPD regula una figura contractual con extremos como los siguientes:
- Para comenzar, el objeto y duración del tratamiento.
- Seguidamente, la naturaleza y finalidad.
- Después, el tipo de datos personales.
- A continuación, las categorías de interesados.
- También, las obligaciones y derechos del responsable.
Además, el proveedor solo puede tratar los datos siguiendo instrucciones documentadas. Por tanto, es imprescindible verificar si existe un acuerdo de tratamiento de datos que cumpla formalmente con el artículo 28 del RGPD.
| Escenario | Rol del proveedor | Exigencia jurídica |
| Uso interno sin tratamiento de datos personales | No aplica RGPD | Sin encargo |
| Utilización con datos personales identificables por cuenta del cliente | Encargado del tratamiento | Art. 28 RGPD |
| Uso combinado con decisiones conjuntas | Posible corresponsabilidad | Art. 26 RGPD |
| Datos anonimizados de forma irreversible | No aplica RGPD | Considerando 26 |
Principios del artículo 5 RGPD que se ven comprometidos con el uso de ChatGPT y protección de datos
El uso de IA generativa puede tensionar varios principios fundamentales, como los que se tratan a continuación.
Minimización de datos
El artículo 5.1.c del RGPD exige que los datos sean adecuados, pertinentes y limitados a lo necesario. Por ello, debe evitarse subir documentos íntegros cuando sea posible anonimizar o seudonimizar previamente.
Limitación de la finalidad
El artículo 5.1.b del RGPD impone que los datos no sean tratados para fines incompatibles con los iniciales. Por tanto, debe analizarse si el uso de la herramienta encaja dentro del marco contractual con el cliente.
Integridad y confidencialidad
El artículo 5.1.f del RGPD exige garantizar una seguridad adecuada. Este principio se conecta directamente con el artículo 32 del RGPD, que obliga a aplicar medidas técnicas y organizativas apropiadas.
ChatGPT y protección de datos: ¿Es necesaria una evaluación de impacto?
El artículo 35 del RGPD regula la evaluación de impacto para cuando un tipo de tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Asimismo, si tras dicha evaluación persiste un alto riesgo, el artículo 36 del RGPD prevé la obligación de consulta previa a la autoridad de control. Por ejemplo, podría resultar exigible cuando, atendiendo a las circunstancias concretas del tratamiento, concurran factores como:
- Primero, se tratan categorías especiales de datos.
- Segundo, existe elaboración sistemática de perfiles.
- Tercero, se produce tratamiento a gran escala.
En todo caso, la obligación dependerá de que el tratamiento pueda entrañar un alto riesgo en los términos del artículo 35 del RGPD.
Además, la AEPD ha publicado directrices sobre cuándo procede una evaluación de impacto. En consecuencia, la decisión debe documentarse adecuadamente conforme al principio de responsabilidad proactiva del artículo 5.2 del RGPD.
¿Son compatibles ChatGPT y la protección de datos? Minimización de riesgos jurídicos
Desde una perspectiva de cumplimiento normativo, pueden adoptarse las siguientes medidas:
- Primero, no introducir datos personales identificables.
- Segundo, anonimizar previamente los documentos.
- Tercero, revisar los términos contractuales del proveedor.
- Cuarto, firmar acuerdo de encargo conforme al artículo 28 del RGPD.
- Quinto, documentar análisis de riesgos.
- Sexto, actualizar el registro de actividades de tratamiento conforme al artículo 30 del RGPD.
- Séptimo, informar a los interesados conforme a los artículos 13 y 14 del RGPD.
Además, debe impartirse formación interna al personal.
| Riesgo detectado | Norma implicada | Medida recomendada |
| Subida masiva de datos sin análisis | Art. 5 y 6 RGPD | Evaluación previa de base jurídica |
| Transferencia internacional no evaluada | Arts. 44–46 RGPD | Verificar adecuación o SCC |
| Ausencia de contrato | Art. 28 RGPD | Formalizar DPA |
| Uso incompatible con finalidad inicial | Artículo 5.1.b y 6.4 RGPD | Análisis de compatibilidad |
| Tratamiento de datos sensibles | Art. 9 RGPD | Verificar excepción aplicable |
Conclusiones
El uso empresarial de herramientas de inteligencia artificial exige un análisis riguroso desde la óptica de ChatGPT y protección de datos. No obstante, no se trata de prohibir su utilización, sino de integrarla dentro del marco del RGPD y la LOPDGDD.
Por ello, la clave está en aplicar el principio de responsabilidad proactiva, documentar decisiones y minimizar riesgos. Si tu organización utiliza IA generativa en el tratamiento de datos personales, conviene revisar, entre otros aspectos:
- De un lado, bases jurídicas.
- De otro, transferencias internacionales.
- También, contratos con proveedores.
- Igualmente, medidas de seguridad.
- A su vez, evaluaciones de impacto.
En Legal Veritas analizamos tu caso concreto y diseñamos protocolos internos adaptados a tu actividad.
El contenido expuesto no constituye asesoramiento jurídico especializado, sino que está redactado con carácter informativo. Por tanto, si utilizas ChatGPT en tu organización y necesitas asesoramiento especializado, te recomendamos acudir a expertos en la materia, como nuestro equipo de Legal Veritas.
Preguntas Frecuentes (FAQ)
El consentimiento regulado en el artículo 6.1.a del RGPD debe ser libre, específico, informado e inequívoco. Sin embargo, no basta con una cláusula genérica. Además, si existen categorías especiales de datos, el artículo 9.2 del RGPD exige consentimiento explícito. Por tanto, debe analizarse si el consentimiento cubre expresamente el uso de herramientas de inteligencia artificial externas y, en su caso, si contempla expresamente transferencias internacionales. Todo ello, teniendo en cuenta que el artículo 49 del RGPD regula excepciones específicas y no constituye el mecanismo ordinario para legitimar transferencias a terceros países.
Dependerá de la configuración concreta del servicio. No obstante, si trata datos personales por cuenta del responsable, resulta aplicable el artículo 28 del RGPD. En ese caso, debe existir contrato conforme al artículo 28.3 del RGPD. Además, el responsable debe verificar que el proveedor ofrece garantías suficientes en materia de seguridad conforme al artículo 32 del RGPD.
El artículo 83 del RGPD establece multas administrativas que pueden alcanzar, en los supuestos más graves, los 20 millones de euros o el 4 % del volumen de negocio global anual, conforme al artículo 83.5 del RGPD. Por tanto, un tratamiento sin base jurídica o una transferencia internacional ilícita puede conllevar sanciones relevantes.
El artículo 13 del RGPD obliga a informar sobre la finalidad del tratamiento y los destinatarios de los datos. Además, si existe transferencia internacional, debe indicarse expresamente conforme al artículo 13.1.f del RGPD. En consecuencia, el uso de herramientas de inteligencia artificial que impliquen tratamiento externo debe reflejarse en la política de privacidad.
Fuentes y recursos
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento de IA: Reglamento (UE) 2024/1689, de Inteligencia Artificial.
- AEPD: Inteligencia Artificial Agéntica desde la perspectiva de protección de datos.
Cómo adaptar tu e-commerce al RGPD y a la LSSI-CE: obligaciones clave para vender online sin riesgos
Deja una respuesta