¿ChatGPT cumple con el RGPD? Lo que las empresas europeas deben saber (2026)

No, ChatGPT no cumple con el RGPD para la mayoría de usos empresariales — y la Autoridad Italiana de Protección de Datos lo demostró con una multa de 15 millones de euros a OpenAI en 2024. Si tus empleados están pegando datos de clientes, historiales de pacientes, información financiera o evaluaciones de RRHH en ChatGPT, tu empresa probablemente está violando el Reglamento General de Protección de Datos ahora mismo.

Este no es un riesgo teórico. Es el fallo de cumplimiento más común en las empresas europeas hoy, y la mayoría de empresas ni siquiera sabe que está ocurriendo.

La multa de 15 millones de euros: qué pasó y por qué importa

En marzo de 2023, el Garante per la Protezione dei Dati Personali de Italia se convirtió en la primera autoridad de protección de datos del mundo en bloquear ChatGPT. La orden fue temporal — OpenAI restauró el servicio tras implementar algunos cambios — pero la investigación continuó.

En diciembre de 2024, el Garante emitió su decisión final: una multa de 15 millones de euros contra OpenAI por múltiples violaciones del RGPD:

• Sin base legal válida para recopilar y procesar datos personales para entrenar modelos (Artículos 6 y 9 del RGPD)
• Falta de información a los usuarios sobre cómo se procesaban sus datos (Artículos 12 y 13)
• Sin verificación de edad para proteger a menores de 13 años (Artículo 8)
• Procesamiento inexacto de datos — el modelo genera afirmaciones factualmente incorrectas sobre personas reales, sin mecanismo de corrección (Artículo 5)

La multa fue relativamente modesta — el máximo habría sido 20 millones de euros o el 4% de la facturación global de OpenAI. Pero la decisión sentó un precedente que resuena en toda Europa. Otras autoridades de protección de datos — en Francia (CNIL), España (AEPD), Polonia (UODO) y Alemania (DPAs a nivel de estado) — han abierto sus propias investigaciones o emitido orientaciones alineadas con el razonamiento del Garante.

Qué significa esto para tu empresa: Si la autoridad de protección de datos determinó que el propio OpenAI no puede garantizar el cumplimiento del RGPD para ChatGPT, entonces tu empresa — como entidad que dirige a los empleados a procesar datos personales a través de ChatGPT — tiene aún menos cobertura legal. Bajo el RGPD, el responsable del tratamiento (tu empresa) es responsable de garantizar que cualquier encargado del tratamiento (OpenAI) maneje los datos de forma lícita. Si el encargado ya ha sido declarado no conforme, la posición del responsable es indefendible.

Qué pasa cuando un empleado pega datos en ChatGPT

Este es el escenario que se reproduce en miles de empresas europeas cada día. Un empleado abre ChatGPT en su navegador y escribe:

“Resume esta evaluación de rendimiento de Marco Rossi, nacido el 12/03/1985, ID de empleado 4521, que ha tenido un bajo rendimiento en el Q3…”

En ese único prompt, el empleado ha:

1. Transferido datos personales a Estados Unidos — nombre, fecha de nacimiento, ID de empleado y datos de evaluación de rendimiento ahora residen en los servidores de OpenAI.
2. Procesado datos de categoría especial sin garantías adecuadas — las evaluaciones de rendimiento vinculadas a una persona identificable constituyen datos personales bajo el Artículo 4 del RGPD.
3. Creado un registro sin acuerdo de tratamiento de datos — a menos que la empresa tenga una suscripción a ChatGPT Enterprise con DPA, no hay marco contractual que regule lo que OpenAI hace con esos datos.
4. Puesto los datos a disposición para entrenamiento de modelos — en los niveles gratuito y Plus, los términos de OpenAI permiten usar datos de conversación para mejorar sus modelos. Esa evaluación de rendimiento podría influir en las salidas futuras del modelo para cualquiera.
5. Generado una actividad de tratamiento sin trazabilidad — la empresa no tiene registro de auditoría y no puede demostrar cumplimiento ante un regulador.

Multiplica esto por cada empleado, cada departamento, cada día. Samsung descubrió la escala de este problema en 2023 cuando ingenieros pegaron código fuente propietario de semiconductores en ChatGPT en tres ocasiones distintas en un mes. Los datos eran irrecuperables. Samsung prohibió ChatGPT por completo — pero el daño estaba hecho.

El caso de Samsung involucró secretos comerciales en lugar de datos personales, pero el mecanismo es idéntico. Una vez que los datos entran en un sistema de IA público, pierdes el control permanentemente.

El EU-US Data Privacy Framework: un cimiento frágil

Algunas empresas se apoyan en el EU-US Data Privacy Framework (DPF) — adoptado por la Comisión Europea en julio de 2023 — como base legal para transferir datos a proveedores de IA con sede en EE. UU. Esto es arriesgado, y aquí está el porqué.

El DPF es el tercer intento de marco legal para transferencias de datos UE-EE. UU.:

Marco	Adoptado	Invalidado	Razón
Safe Harbor	2000	2015 (Schrems I)	Protección inadecuada contra la vigilancia de EE. UU.
Privacy Shield	2016	2020 (Schrems II)	Mismo problema fundamental
Data Privacy Framework	2023	Impugnación pendiente	Basado en Orden Ejecutiva de EE. UU., no legislación

El patrón es claro. Cada marco fue anulado porque la legislación de vigilancia de EE. UU. (FISA Sección 702, Orden Ejecutiva 12333) otorga a las agencias de inteligencia estadounidenses un amplio acceso a los datos en poder de empresas americanas. El DPF se basa en una orden ejecutiva del presidente Biden — no en legislación. Un futuro presidente puede revocarla. Las organizaciones europeas de privacidad ya han presentado impugnaciones preliminares.

Implicación práctica: Si construyes tu estrategia de IA en torno a un proveedor cloud estadounidense y el DPF es invalidado, tu base legal para el tratamiento de datos desaparece de la noche a la mañana. Cada transferencia de datos se convierte en ilícita. Tendrías que detener inmediatamente todas las operaciones de IA que involucren datos personales — o enfrentarte a una acción de aplicación. Las empresas que procesan datos en su propia infraestructura de la UE son inmunes a este riesgo.

AI Act más RGPD: el doble desafío de cumplimiento

A partir de 2026, las empresas europeas se enfrentan a dos marcos regulatorios superpuestos:

El RGPD regula qué puedes hacer con los datos personales: recogida, tratamiento, almacenamiento, transferencia. Se aplica a los datos que fluyen a través de los sistemas de IA.

El AI Act regula cómo operan los propios sistemas de IA: transparencia, trazabilidad, supervisión humana, evaluación de riesgos. Se aplica al sistema de IA independientemente de si procesa datos personales.

Cuando tu sistema de IA procesa datos personales — que es el caso de prácticamente todo despliegue empresarial — debes cumplir con ambos simultáneamente. Esto crea requisitos compuestos:

Requisito	RGPD	AI Act	Obligación combinada
Transparencia	Informar a los interesados sobre el tratamiento	Informar a los usuarios de que interactúan con IA	Ambos: divulgación completa del tratamiento con IA a las personas afectadas
Documentación	Registros de tratamiento (Art. 30)	Documentación técnica (Anexo IV)	Ambos: documentación exhaustiva del sistema y flujos de datos
Evaluación de impacto	EIPD para tratamiento de alto riesgo	Evaluación de conformidad para IA de alto riesgo	Ambos: evaluación doble que cubra protección de datos y riesgos específicos de IA
Trazabilidad	Demostrar cumplimiento bajo demanda	Registro de operaciones del sistema de IA	Ambos: trazabilidad completa del tratamiento de datos y decisiones de IA
Supervisión humana	Capacidad de ejercer derechos de los interesados	Supervisión humana de decisiones de IA	Ambos: humanos en el circuito para la gobernanza de datos y decisiones

Un servicio de IA cloud alojado en EE. UU. crea brechas en cada fila de esta tabla. Un despliegue on-premise con modelos de código abierto aborda ambos marcos simultáneamente: los datos nunca salen (RGPD), los modelos son transparentes y auditables (AI Act), y la empresa controla la trazabilidad completa (ambos).

Cómo la IA privada resuelve el problema del RGPD

La forma más efectiva de lograr el cumplimiento del RGPD para IA es eliminar la transferencia de datos por completo. Cuando la IA funciona en tus servidores, el análisis legal se simplifica drásticamente:

Sin procesador externo. La plataforma de IA es parte de tu propia infraestructura TI, como una base de datos o un servidor de correo. Eres el único responsable y encargado del tratamiento. No se requiere DPA con un proveedor externo, no hay debida diligencia sobre las prácticas de datos de una empresa estadounidense, no hay dependencia del Data Privacy Framework.

Sin transferencia transatlántica. Los datos permanecen dentro de tu perímetro físico y legal. Los Artículos 44-49 del RGPD (restricciones sobre transferencias internacionales) simplemente no aplican. Esta es la posición legal más robusta disponible.

Retención de datos controlada. Tú decides cuánto tiempo se almacenan los prompts y respuestas. Puedes implementar políticas de eliminación automática. Cuando un empleado ejerce el derecho de supresión (Artículo 17), puedes cumplirlo realmente — porque los datos están en tus sistemas, no en el pipeline de entrenamiento de OpenAI.

Trazabilidad completa. Cada interacción se registra en tu sistema. Cuando la autoridad de protección de datos solicita evidencia de tratamiento conforme, puedes proporcionarla. Cuando realizas una EIPD, tienes visibilidad total de qué datos se procesan, cómo y por quién.

Transparencia del código abierto. Modelos como Llama 3, Mistral y DeepSeek tienen pesos y arquitecturas públicamente disponibles. Sabes exactamente cómo el modelo procesa las entradas. Esto satisface los requisitos de transparencia del RGPD (Artículos 13-14) y las obligaciones de transparencia del AI Act simultáneamente.

ORCA de HT-X implementa esta arquitectura como plataforma gestionada: la IA funciona en tus servidores, todos los datos permanecen en tu infraestructura y la trazabilidad está integrada. HT-X maneja la complejidad técnica; tu empresa obtiene cumplimiento del RGPD como propiedad del sistema, no como una capa de soluciones legales.

Cinco pasos para proteger tu empresa — empezando hoy

No necesitas completar una migración completa de IA para reducir tu exposición al RGPD. Estos pasos pueden implementarse de forma incremental:

Paso 1: Auditar el uso de Shadow AI (Semana 1)

Encuesta a cada departamento. Pregunta: ¿qué herramientas de IA están usando los empleados? ¿Qué datos están introduciendo? Probablemente descubrirás que marketing usa ChatGPT para redactar contenido con nombres de clientes, legal está resumiendo contratos y RRHH está procesando evaluaciones de rendimiento. Cuantifica el alcance antes de actuar.

Paso 2: Emitir una política de IA provisional (Semana 2)

Antes de tener una solución técnica, establece reglas claras: datos personales, datos de salud, datos financieros y código propietario no deben introducirse en ninguna herramienta de IA externa. Comunícalo por escrito. Esto no elimina el riesgo (los empleados pueden no cumplir), pero establece que la empresa ha tomado medidas razonables — lo que importa en procedimientos de aplicación.

Paso 3: Realizar una EIPD (Semanas 3-4)

Si tu empresa usa IA para procesar datos personales — incluso a través de cuentas gratuitas de ChatGPT — probablemente se requiere una Evaluación de Impacto en la Protección de Datos bajo el Artículo 35 del RGPD. Documenta:

• Qué sistemas de IA se utilizan
• Qué categorías de datos personales procesan
• Los riesgos para los interesados
• Las medidas de mitigación implementadas o planificadas

Paso 4: Desplegar una alternativa privada (Semanas 4-8)

Sustituye las herramientas de IA no autorizadas por una solución privada autorizada. Esto puede ser un despliegue autoalojado si tienes capacidad técnica, o una plataforma gestionada como ORCA para un despliegue más rápido. El objetivo: dar a los empleados una herramienta tan fácil de usar como ChatGPT, para que realmente cambien.

Paso 5: Actualizar registros y gobernanza (Continuo)

Actualiza tus registros de tratamiento (Artículo 30 del RGPD) para incluir el nuevo sistema de IA. Establece un ciclo de revisión — trimestral como mínimo — para monitorizar el cumplimiento, evaluar nuevos modelos y adaptarse a los desarrollos regulatorios. Designa un responsable de gobernanza de IA (puede ser tu DPO o un rol dedicado).

El caso de negocio de la privacidad

El cumplimiento del RGPD a menudo se enmarca como un centro de coste — algo que haces para evitar multas. Pero también hay un caso positivo.

Las empresas que protegen los datos de forma demostrable ganan confianza. En las relaciones B2B, especialmente en sectores regulados como sanidad, finanzas y servicios legales, la capacidad de decir “nuestra IA procesa tus datos exclusivamente en nuestra infraestructura europea, con trazabilidad de auditoría completa” es un diferenciador competitivo. Es la respuesta al cuestionario de seguridad que los equipos de compras de tus clientes inevitablemente enviarán.

Para empresas que procesan datos en nombre de clientes — bufetes de abogados, consultoras, proveedores sanitarios, proveedores de servicios gestionados — el cumplimiento del RGPD en herramientas de IA no es opcional. Es un requisito contractual de tus clientes, que son a su vez responsables del tratamiento con obligaciones de garantizar que sus encargados cumplan.

El coste de un despliegue de IA privada es real. El coste de una multa RGPD, un cliente perdido por una brecha de datos o una reputación dañada por una acción regulatoria es mayor. Las empresas que invierten en privacidad ahora serán las que las empresas europeas confíen con sus datos en los años venideros.