El uso corporativo de herramientas de IA generativa plantea una cuestión jurídica clave. Nos estamos refiriendo a la seguridad de datos en prompts de IA. Y es que, cada vez que un profesional introduce información en un chatbot o generador de imágenes, puede estar comunicando datos protegidos por la normativa vigente. En consecuencia, el riesgo legal no reside solo en la herramienta, sino en el uso que se hace de ella. Las claves fundamentales a analizar son:
- Primero, la introducción de datos en prompts puede implicar una comunicación de información a terceros.
- Segundo, el RGPD resulta plenamente aplicable al uso de IA generativa.
- Tercero, la responsabilidad recae en la empresa, no en la herramienta.
- Cuarto, es imprescindible establecer políticas internas de uso.
- Quinto, la gobernanza del dato es un elemento clave de cumplimiento normativo.
Tabla de contenidos
- ¿Por qué la IA generativa en la empresa constituye un riesgo jurídico real?
- Seguridad de datos en prompts de IA y RGPD
- Seguridad de datos en prompts de IA: reglamento de IA y gobernanza del dato
- ¿Qué riesgos prácticos del uso de ChatGPT o Midjourney amenazan la seguridad de datos en prompts de IA en la empresa?
- Buenas prácticas legales en el uso de IA generativa
- Preguntas Frecuentes (FAQs)
- Fuentes y recursos:
¿Por qué la IA generativa en la empresa constituye un riesgo jurídico real?
En primer lugar, conviene aclarar que herramientas como ChatGPT, Copilot o Midjourney no son neutras desde el punto de vista legal. Principalmente, debido a que su utilización implica un tratamiento de datos cuando el prompt contiene información personal o confidencial.
Además, cabe señalar que el RGPD resulta aplicable siempre que exista tratamiento de datos personales. Esto ocurre con independencia de que dicho tratamiento se realice o no mediante sistemas de inteligencia artificial. Por tanto, desde el punto de vista jurídico, se debe tener en cuenta lo siguiente:
- Para comenzar, introducir datos personales en un prompt constituye, con carácter general, una operación de tratamiento de datos personales en los términos del artículo 4 del RGPD.
- Seguidamente, compartir información corporativa puede suponer una comunicación de datos personales o de información confidencial, según el caso.
- A su vez, el proveedor de IA puede actuar, según el caso concreto, como encargado o como responsable del tratamiento.
¿Qué se entiende por dato personal en un prompt?
Uno de los puntos claves que se ha mencionado es que introducir datos personales en un prompt constituye un tratamiento de datos. De este modo, es necesario analizar el concepto de dato en sí mismo. Este debe interpretarse conforme al artículo 4 del RGPD. Así pues, teniendo dicho artículo en cuenta, un prompt puede incluir, entre otros extremos, los siguientes:
- En primer lugar, datos personales identificativos.
- Segundo, información financiera o contractual que, cuando permita identificar a una persona física, tendrá la consideración de dato personal conforme al artículo 4 del RGPD.
- En tercer lugar, datos estratégicos o secretos empresariales.
- Por último, información protegida por deber de confidencialidad.
En consecuencia, no solo los datos personales generan riesgos desde la perspectiva del RGPD, sino también los datos corporativos cuyo uso indebido puede generar responsabilidades contractuales, mercantiles o regulatorias.
| Tipo de dato introducido en el prompt | Riesgo principal | Medida recomendada |
| Datos personales identificativos (nombre, email, DNI, etc.) | Tratamiento ilícito de datos personales | Evitar su uso o anonimizar la información |
| Información financiera o contractual | Vulneración del RGPD y de obligaciones contractuales | Sustituir por datos ficticios o genéricos |
| Datos estratégicos o secretos empresariales | Pérdida de confidencialidad y ventaja competitiva | Prohibir su inclusión en políticas internas |
| Información sujeta a deber de confidencialidad | Incumplimiento legal o contractual | Limitar estrictamente el acceso y uso |
Seguridad de datos en prompts de IA y RGPD
A la hora de tener en cuenta la seguridad de datos personales en prompts de IA cumpliendo el RGPD, se deben considerar distintos aspectos. Por ejemplo, la aplicación directa del RGPD, así como la responsabilidad del responsable del tratamiento.
Aplicación directa del RGPD
El artículo 5 del RGPD establece los principios aplicables al tratamiento de datos personales. Entre ellos destacan:
- Licitud, lealtad y transparencia.
- Limitación de la finalidad.
- Minimización de datos.
- Integridad y confidencialidad.
Por tanto, introducir información excesiva o innecesaria en un prompt podría vulnerar la confidencialidad o el principio de minimización de datos.
Además, el artículo 32 del RGPD exige la adopción de medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento. El uso de herramientas de IA sin control interno puede suponer un incumplimiento directo de esta obligación.
Responsabilidad del responsable del tratamiento
Conviene subrayar que, conforme al artículo 24 del RGPD, la responsabilidad recae en la empresa que decide utilizar la herramienta. De este modo, el proveedor tecnológico no exime del cumplimiento normativo.
Por ello, no basta con aceptar los términos de uso del proveedor. Es necesario evaluar jurídicamente el impacto del uso de la IA en los datos tratados.
| Escenario de uso | Rol del proveedor (orientativo) | Documentación habitual exigible |
| Uso interno con datos personales | Encargado del tratamiento | Contrato art. 28 RGPD, medidas art. 32 |
| Uso con datos anonimizados | Prestador de servicios | Política interna y análisis de riesgos |
| Uso para generación de contenidos | Responsable independiente | Evaluación de impacto (si procede) |
| Uso con transferencias internacionales | Encargado con subencargados | Cláusulas contractuales tipo (SCCs) |
Seguridad de datos en prompts de IA: reglamento de IA y gobernanza del dato
El Reglamento de Inteligencia Artificial de la Unión Europea introduce un enfoque basado en el riesgo y, aunque no prohíbe el uso de IA generativa, establece obligaciones de gobernanza y control especialmente relevantes en su uso corporativo.
Por tanto, en este contexto se debe considerar que:
- La gobernanza de datos se convierte en un elemento esencial.
- El uso interno debe documentarse.
- Las políticas corporativas deben alinearse con los riesgos detectados.
Asimismo, el Reglamento de IA refuerza la necesidad de transparencia y trazabilidad, aspectos que inciden directamente en la gestión interna del uso de prompts en entornos empresariales.
¿Qué riesgos prácticos del uso de ChatGPT o Midjourney amenazan la seguridad de datos en prompts de IA en la empresa?
Desde una perspectiva práctica, los principales riesgos jurídicos son, entre otros, los siguientes:
- Primero, la pérdida de control sobre la información introducida.
- Segundo, el posible uso posterior del contenido para fines de mejora o entrenamiento del modelo, en función de las condiciones del proveedor.
- Tercero, las transferencias internacionales de datos.
- Cuarto, la falta de base jurídica para el tratamiento.
- Cinco, el incumplimiento de deberes de confidencialidad.
En consecuencia, la seguridad de datos en prompts de IA no es una cuestión técnica, sino jurídica y organizativa. Por ello, resulta recomendable contar con un equipo de expertos altamente cualificados como Legal Veritas.
Buenas prácticas legales en el uso de IA generativa
Para finalizar, a modo de síntesis conviene seguir, entre otras, las siguientes recomendaciones:
- Evitar, con carácter general, el uso de datos personales en prompts.
- Definir claramente qué información puede introducirse.
- Evaluar a los proveedores desde el punto de vista del RGPD.
- Formar a los empleados en riesgos legales.
- Documentar el uso de herramientas de IA.
Estas medidas refuerzan la seguridad de datos en prompts de IA y reducen significativamente el riesgo sancionador.
En Legal Veritas ayudamos a las empresas a implementar políticas de uso de IA conformes al RGPD y al Reglamento de IA, evitando riesgos innecesarios. Si tu organización utiliza herramientas de IA generativa, asesórate por expertos en la materia. ¡Contacta con nosotros!
El contenido de este artículo tiene carácter meramente informativo y divulgativo y no constituye, en ningún caso, asesoramiento jurídico ni sustituto del mismo. La información facilitada se basa en la normativa vigente en la fecha de su publicación y en fuentes oficiales. Sin embargo, cada caso debe estudiarse de forma individualizada por expertos. Contacta con Legal Veritas para estudiar tu caso.
Preguntas Frecuentes (FAQs)
Sí, ya que conforme al artículo 4 del RGPD, cualquier operación realizada sobre datos personales constituye un tratamiento. Por tanto, introducir datos en un prompt implica la recogida y comunicación de información. Además, si el proveedor almacena o reutiliza el contenido, el tratamiento se amplía. Por tanto, se requiere base jurídica conforme al artículo 6 del RGPD.
No, el artículo 13 del RGPD impone el deber de información cuando los datos se recogen del interesado. Además, el principio de transparencia del artículo 5 exige que el tratamiento sea comprensible. Por lo que el uso no informado de herramientas de IA con datos personales puede vulnerar estos principios.
En ese caso, puede producirse una transferencia internacional de datos. El artículo 44 del RGPD establece que solo puede realizarse si se garantizan niveles adecuados de protección. Sin las garantías adecuadas previstas en el RGPD, el tratamiento podría resultar ilícito.
Aunque el RGPD no lo impone expresamente, el artículo 24 exige medidas organizativas apropiadas. En la práctica, la ausencia de políticas internas dificulta acreditar cumplimiento. Además, el Reglamento de IA refuerza esta obligación desde un enfoque preventivo.
Fuentes y recursos:
- RGPD: Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de datos personales
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- Reglamento de IA: Reglamento (UE) 2024/1689, de Inteligencia Artificial.
¿Qué es el hacking ético y en qué marco legal se encuentra?
Deja una respuesta