ChatGPT, Copilot y Gemini en la PYME: cómo usarlos sin incumplir el AI Act ni el RGPD
ChatGPT, Microsoft 365 Copilot y Google Gemini son sistemas de IA de propósito general cuyo uso en contexto profesional activa el Artículo 4 del AI Act y, cuando se introducen datos personales, las obligaciones del RGPD para el responsable del tratamiento, que es la PYME usuaria.
Qué cambia entre planes gratuitos y planes empresariales
La diferencia decisiva no es el precio sino el tratamiento de datos por parte del proveedor. ChatGPT (plan Free y Plus) utiliza por defecto las conversaciones para mejorar el modelo, salvo desactivación explícita. ChatGPT Enterprise y Team ofrecen garantías contractuales de no entrenamiento, cifrado, control administrativo y SOC2.
Microsoft 365 Copilot opera dentro del tenant del cliente, respeta los permisos existentes en SharePoint y OneDrive, y no envía datos a terceros para entrenamiento. Google Gemini for Workspace funciona con principios equivalentes para clientes empresariales.
Permitir el uso profesional de planes gratuitos para tareas con datos de clientes equivale, en la práctica, a una cesión no controlada a un tercero sin base jurídica clara.
Qué obligaciones del AI Act aplican siempre
Con independencia del proveedor y del plan, el Artículo 4 obliga a garantizar un nivel suficiente de alfabetización en IA del personal que opera la herramienta. La formación debe ser proporcional al rol y debe documentarse (plan, asistencia, evaluación).
Además, si la salida del sistema se usa para tomar decisiones sobre personas (selección, evaluación del desempeño, atención al cliente con efectos contractuales), pueden activarse obligaciones adicionales de alto riesgo y de información al afectado.
Reglas operativas que funcionan en una PYME
Definir un catálogo cerrado de herramientas autorizadas por área. Bloquear o desincentivar técnicamente las versiones gratuitas para uso corporativo. Etiquetar la información interna por sensibilidad y vincular cada nivel a las herramientas en las que es admisible introducirla.
Establecer una regla de oro: nada de datos personales identificables de clientes, candidatos o empleados en herramientas no contratadas por la empresa. Para casos de duda, canal interno de consulta a privacidad o cumplimiento.
Revisar y firmar el DPA (acuerdo de tratamiento de datos) con el proveedor cuando proceda, y verificar las transferencias internacionales bajo cláusulas estándar o decisión de adecuación.
Qué hacer con la información generada por la IA
Toda salida que se utilice externamente (propuestas, correos, contratos, informes) debe pasar una revisión humana antes de su envío. Esto protege frente a alucinaciones, sesgos y posibles incumplimientos de propiedad intelectual.
Conviene establecer una norma de marcado interno (no necesariamente externo) que indique cuándo un documento ha sido generado o asistido por IA, para facilitar la trazabilidad ante una reclamación.
Coordinación con propiedad intelectual y secretos
Introducir código propietario, planes estratégicos o secretos empresariales en una IA generativa de uso público puede comprometer su protección como secreto empresarial conforme a la Ley 1/2019. Por eso conviene restringir esos usos a entornos empresariales contratados con garantías de no entrenamiento y de confidencialidad.