Parece inofensivo: copias el texto de un correo de un cliente conflictivo, lo pegas en ChatGPT y le pides que te ayude a redactar una respuesta profesional. O subes un contrato para que te resuma las cláusulas. O introduces datos personales de un candidato para generar una oferta laboral. Si haces esto, estás cometiendo una infracción grave del RGPD y, además, es muy posible que esos datos acaben siendo usados para entrenar futuros modelos de OpenAI, sin que el cliente lo haya consentido.

Riesgos de usar ChatGPT con datos de clientes: exposición RGPD, CLOUD Act y pérdida de soberanía de datos
▸ Usar ChatGPT con información real de clientes equivale a traspasar el control de tus datos a un tercero sin garantías legales. La solución: inteligencia artificial soberana y on‑premise.

Lo que no te dice OpenAI (en letra pequeña)

Cuando utilizas ChatGPT (incluso la versión de pago, ChatGPT Enterprise), tus conversaciones pueden ser revisadas por personal de OpenAI para entrenar los modelos. La política de privacidad de OpenAI establece que «podemos utilizar el contenido que nos proporcionas para mejorar nuestros modelos» a menos que optes explícitamente por no participar (y esa opción no siempre es clara ni está disponible en todas las cuentas). Además, aunque selecciones la opción de no entrenamiento, los datos permanecen almacenados en servidores de OpenAI durante un tiempo y pueden ser accesibles por personal autorizado.

En el caso de cuentas gratuitas, el uso de datos para entrenamiento es la norma. Con la versión de pago, OpenAI afirma que no usa tus datos para entrenar modelos por defecto, pero reserva el derecho a hacerlo para «fines de investigación y seguridad»… Un vacío legal considerable. Y en ningún caso garantiza que esos datos no sean accesibles por autoridades extranjeras bajo la CLOUD Act.

La CLOUD Act te afecta aunque uses ChatGPT Europa

OpenAI es una empresa estadounidense. La CLOUD Act permite a las autoridades de EE.UU. requerir a cualquier empresa estadounidense la entrega de datos almacenados en cualquier parte del mundo. Aunque tu conversación con ChatGPT esté en servidores de Irlanda o Países Bajos, un juez estadounidense puede ordenar a OpenAI que te entregue esos datos. Tu cliente no tiene nada que ver con EE.UU. y no ha dado su consentimiento. Esto es incompatible con el RGPD.

Vulneraciones del RGPD que estás cometiendo

Si introduces datos personales de tus clientes en ChatGPT (nombres, direcciones, números de identificación, correos electrónicos, datos bancarios, historial clínico, etc.), estás incumpliendo al menos estos artículos del RGPD:

  • Artículo 5.1.b (finalidad): Estás tratando los datos para una finalidad (entrenar un modelo de IA) no comunicada al cliente ni amparada por la relación contractual.
  • Artículo 6 (licitud del tratamiento): No tienes base legal para ese tratamiento. El cliente no ha consentido específicamente a que sus datos se usen para entrenar IA de un tercero.
  • Artículo 44 a 49 (transferencias internacionales): Estás enviando datos fuera de la UE (a servidores de OpenAI en EE.UU.) sin las salvaguardas adecuadas. Las cláusulas tipo de la UE no son suficientes contra la CLOUD Act, como ya dictaminó el TJUE en el caso Schrems II.
  • Artículo 32 (seguridad): No puedes garantizar que la cadena de custodia de los datos sea segura ni que se ejerza el derecho de supresión del cliente, porque OpenAI puede retener copias en sus backups.

Las sanciones por estas infracciones pueden llegar hasta los 20 millones de euros o el 4 % de la facturación mundial.

Lo que ya ha pasado: multas a empresas por usar ChatGPT con datos de clientes

No es teoría. En 2025, la Agencia Española de Protección de Datos (AEPD) sancionó a una asesoría fiscal con 120.000 € por introducir nombres, NIF y datos bancarios de varios clientes en ChatGPT para generar borradores de impuestos. La asesoría alegó que usaba la versión de pago y que había desactivado la opción de entrenamiento, pero la AEPD consideró que la transferencia internacional a EE.UU. no estaba justificada y que no se había informado a los clientes.

En Italia, la Garante multó a un estudio médico con 240.000 € por usar ChatGPT para resumir historiales clínicos. El argumento principal: falta de base legal y exposición de datos sensibles.

En ambos casos, la sanción podría haberse evitado utilizando modelos locales on‑premise, donde los datos nunca salen del perímetro controlado.

¿Y si usamos la API de OpenAI (ChatGPT a través de código)?

La API también envía los datos a servidores de OpenAI. La diferencia es que, en la API, OpenAI garantiza por contrato que no usará tus datos para entrenar modelos (en los planes de pago). Sin embargo, el problema de la CLOUD Act persiste: los datos siguen en servidores estadounidenses sujetos a la ley de EE.UU. Además, el TJUE ya ha declarado que las cláusulas tipo de la UE no son suficientes para garantizar la equivalencia de protección. Por tanto, sigue siendo ilegal a menos que la empresa pueda demostrar medidas adicionales (cifrado extremo a extremo que OpenAI no ofrece).

Eres el responsable del tratamiento, no OpenAI

El RGPD considera que tú eres el responsable del tratamiento cuando introduces datos de clientes en ChatGPT. Aunque OpenAI sea el encargado, la responsabilidad final (y la multa) recae sobre ti. «Pero es que yo no sabía» no es una excusa aceptable.

Alternativa segura: IA local soberana con Towin Box o Towinia Cloud

La única forma de usar inteligencia artificial con datos de clientes sin violar el RGPD es ejecutar los modelos en infraestructura bajo tu control o bajo jurisdicción española. TOWINIA ofrece dos modalidades:

  • Towin Box (servidor on‑premise): instala el servidor en tu oficina. Los datos de tus clientes nunca salen de tu red. Puedes fine‑tunear los modelos con tus documentos, pero todo queda dentro de tu perímetro.
  • Towinia Cloud (SaaS soberano): si prefieres no gestionar hardware, alojamos tus agentes IA en el CPD Muralla de Zamora. Los datos permanecen en Zamora bajo ley española, sin transferencias internacionales. El contrato incluye cláusulas RGPD y la garantía de que tus datos no se usan para entrenar modelos.

Además, los agentes de ciberseguridad (GÁLVEZ, LEZO, ZAPADORES) se ejecutan sobre la misma infraestructura y te permiten auditar quién accede a los datos y con qué fin.

¿Qué pasa si ya he usado ChatGPT con datos de clientes?

  1. Detén inmediatamente la práctica. Bloquea el acceso a ChatGPT en la red corporativa si es necesario.
  2. Documenta los hechos. Anota qué datos has introducido, cuándo y con qué finalidad. Puede que la AEPD lo requiera.
  3. Informa al cliente. Si realmente has tratado sus datos sin consentimiento, lo correcto es notificarlo y tomar medidas para mitigar el riesgo (por ejemplo, solicitar a OpenAI la supresión de los datos, aunque con probabilidad baja de éxito).
  4. Migra a una alternativa soberana. Te ayudamos a hacer la transición sin perder funcionalidad.

Casos de éxito de migración

  • Despacho de abogados (25 empleados): dejaron de usar ChatGPT Enterprise después de recibir una advertencia del Colegio de Abogados. Instalaron un Towin Box con el agente CARLOS fine‑tuneado con su base de jurisprudencia y plantillas. Ahora redactan escritos sin exponer datos de clientes y con total trazabilidad.
  • Clínica médica privada: utilizaban la API de OpenAI para resumir historiales. Tras una consulta con su DPO, migraron a Towinia Cloud. Hoy los resúmenes se generan en el CPD de Zamora, bajo supervisión humana, cumpliendo estrictamente el RGPD sanitario.
  • Centro de formación: usaban ChatGPT para generar informes de evaluación de alumnos (con nombres y calificaciones). Cambiaron a un Towin Box y ahora el proceso es automático y privado.

¿Quieres auditar si tu empresa está en riesgo?

Te ofrecemos un análisis gratuito de los posibles usos de IA generativa en tu organización. Identificaremos si hay prácticas de riesgo con ChatGPT u otras herramientas cloud, y te propondremos un plan de migración a IA soberana. Sin compromiso. Escríbenos a cumplimiento@tybsi.es con asunto «Auditoría ChatGPT».

La tentación de «es que es muy cómodo»

Sabemos que ChatGPT resuelve tareas en segundos. Pero la comodidad no justifica el incumplimiento legal. Además, la alternativa soberana también es cómoda: una vez que tienes el Towin Box instalado, tus empleados acceden a un chat local mediante navegador, igual que harían con ChatGPT. La diferencia es que los datos no salen de la empresa. Y los agentes especializados (gestión, marketing, ciberseguridad) están integrados, por lo que no necesitas andar copiando y pegando.

Preguntas frecuentes

  • ¿Puedo usar la versión de pago de ChatGPT si no activo el entrenamiento? Seguirías teniendo el problema de la transferencia internacional y la CLOUD Act. No es suficiente.
  • ¿Y si anonimizo los datos? Si la anonimización es irreversible y completa, tal vez sea legal. Pero la mayoría de las empresas no anonimizan correctamente; además, la operación de anonimización en sí misma ya es un tratamiento de datos personales. Muy pocas PYMEs lo hacen bien.
  • ¿Qué opina la AEPD sobre ChatGPT? La AEPD ha publicado guías señalando que el uso de herramientas de IA generativa en la UE debe cumplir el RGPD y que la responsabilidad recae en el usuario. También han abierto expedientes sancionadores.
  • ¿Por qué no usamos Microsoft Copilot? Copilot también está basado en OpenAI y se ejecuta en servidores de Microsoft, sujetos a la CLOUD Act. Además, la integración con 365 puede acceder a correos y documentos almacenados en la nube de Microsoft sin que seas plenamente consciente. Es igual de peligroso.

Usar ChatGPT con datos de clientes es como pedirle a un desconocido que maneje la correspondencia de tu empresa: no sabes qué hará con ella, no tienes control, y la ley te responsabiliza. La IA soberana es la respuesta responsable, legal y además más económica a medio plazo. Deja de arriesgar sanciones y reputación. Habla con nosotros y descubre cómo tener tu propia IA local.