--- title: IA y protección de datos 2025: Cómo utilizar los LLM en cumplimiento del GDPR - y controlar la IA en la sombra en la empresa - isla Studio url: https://isla-stud.io/en/allgemein/ki-datenschutz-2025-wie-sie-llms-dsgvo-konform-nutzen-und-schatten-ki-im-unternehmen-in-den-griff-bekommen/ fecha: 2025-12-12 --- # AI & Data Protection 2025: How to use LLMs GDPR-compliant - and get a grip on shadow AI in the company (IA y protección de datos 2025: Cómo utilizar los LLM en cumplimiento del GDPR y controlar la IA en la sombra en la empresa) Es muy probable que alguien en su empresa haya estado utilizando IA durante mucho tiempo, sin una política, aprobación o acuerdo de procesamiento de datos. En marketing, los textos se pulen con ChatGPT, en ventas, los datos de los clientes acaban en avisos, en desarrollo, el código se coteja utilizando herramientas de IA. Bienintencionado, pero desde la perspectiva del GDPR, el Reglamento de la UE sobre IA y el cumplimiento corporativo, se trata de una bomba de relojería: la IA en la sombra. Al mismo tiempo, sería absurdo renunciar a las ganancias de productividad de los grandes modelos lingüísticos (LLM) modernos. El truco está en aunar la IA y la protección de datos, con un marco claro que permita la innovación y limite los riesgos. Como experto certificado en IA (certificado MMAI® Business School, Academy4AI) y futuro miembro de la Asociación Alemana de IA, apoyo a las empresas precisamente en esta intersección de tecnología, derecho y gobernanza - y como especialista en WooCommerce y desarrollador de WordPress para pymes e industria, conozco muy bien la perspectiva práctica de los proyectos. Este artículo trata de ello: cómo interactúan el GDPR y el Reglamento de la UE sobre IA (Ley de IA), qué riesgos son realmente relevantes al utilizar ChatGPT, Claude, Gemini & Co, qué normas prácticas debe introducir para un uso de la IA respetuoso con la protección de datos, y por qué una plataforma como InnoGPT es una opción interesante si desea proporcionar a sus equipos un entorno de IA que cumpla con el GDPR. En este artículo, comparto mi perspectiva profesional como experto certificado en IA. Sin embargo, este artículo no sustituye al asesoramiento jurídico individual. Si necesitas una evaluación vinculante en materia de protección de datos, te recomiendo que consultes a un abogado cualificado o a un responsable de protección de datos. Índice de contenidos Ir a 1. el marco jurídico vinculante 2025: GDPR + Reglamento de la UE sobre IA (Ley de IA) 1.1 El GDPR sigue siendo la base de todos los datos personales En cuanto se introducen datos personales en sistemas de IA, ya sea para formación, respuesta a consultas o análisis, se aplica el RGPD. Debe, entre otras cosas tener una base legal de acuerdo con el Art. 6 GDPR, garantizar la transparencia hacia los interesados, Respetar la minimización de los datos, aplicar medidas técnicas y organizativas, y, en caso necesario, realizar evaluaciones de impacto sobre la protección de datos (EIPD). (Handelsblatt en directo) En 2024, la Conferencia Alemana de Protección de Datos (DSK) publicó una detallada directriz titulada „IA y protección de datos“. En ella se deja claro que cualquiera que seleccione y utilice aplicaciones de IA es responsable de garantizar que esta selección cumple la normativa de protección de datos, incluida la selección de proveedores, los flujos de datos y la configuración. (Conferencia sobre protección de datos) El EDPB (Consejo Europeo de Protección de Datos) también ha abordado cuestiones específicas relativas a la legalidad del web scraping, la transparencia y los requisitos de exactitud para los LLM con su grupo de trabajo ChatGPT. (EDPB) En resumen: aunque la IA sea nueva, no es un vacío legal en términos de legislación sobre protección de datos. 1.2 Reglamento de la UE sobre IA (Ley de IA): basado en el riesgo e impulsado por la gobernanza Con el Reglamento de la UE sobre IA (Reglamento (UE) 2024/1689), la UE adoptó en 2024 el primer marco jurídico completo del mundo para los sistemas de IA. La Ley de IA está en vigor desde el 1 de agosto de 2024 y establece un enfoque basado en el riesgo: desde el riesgo mínimo al riesgo limitado, pasando por la IA de alto riesgo y las prácticas prohibidas. (EUR-Lex) Puntos importantes: Algunas prohibiciones de ciertas prácticas de IA (por ejemplo, ciertas formas de sistemas manipuladores) y requisitos de competencia en IA / alfabetización en IA ya están en vigor desde el 2 de febrero de 2025 (Ley de Inteligencia Artificial de la UE). La mayoría de las obligaciones -especialmente para la IA de alto riesgo- entrarán gradualmente en vigor el 2 de agosto de 2026, con nuevas especificaciones y directrices de la Comisión de la UE y la nueva Oficina Europea de IA. (AI Act Service Desk) La Ley de IA establece requisitos para la gestión de riesgos, la calidad de los datos, el registro, la documentación técnica, la transparencia, la supervisión humana y las estructuras de gobernanza, entre otras cosas. (EUR-Lex) La UE debate actualmente prorrogar hasta 2027 determinadas obligaciones para las IA de alto riesgo con el fin de dar más tiempo a las empresas para aplicarlas. A fecha de hoy (11 de diciembre de 2025), se trata de una propuesta política que aún debe pasar por el proceso legislativo. (Reuters) Importante para usted: El GDPR sigue siendo plenamente aplicable, la Ley AI lo complementa. En caso de duda: „La Ley de IA regula lo que puede hacer un sistema de IA: el GDPR regula cómo se pueden manejar los datos personales“. (Handelsblatt Live) 1.3 Alfabetización en IA y obligaciones de gobernanza: Por qué las empresas necesitan una alfabetización en IA probada desde 2025 Por primera vez, el Reglamento de la UE sobre IA establece un marco claro para la responsabilidad organizativa de las empresas que utilizan sistemas de IA, independientemente de si desarrollan sus propios modelos o utilizan herramientas externas. Dos puntos han sido especialmente importantes desde 2025: Obligación de alfabetización en materia de IA (art. 4 de la Ley de IA), aplicable desde febrero de 2025. Las empresas que proporcionan o utilizan sistemas de IA („proveedores“ y, especialmente, „implantadores“) deben garantizar que sus empleados tienen un nivel suficiente de alfabetización en IA. En la práctica, esto significa Los empleados deben comprender cómo funciona en principio la IA, dónde residen los riesgos y cómo pueden trabajar con ella de forma segura. Las empresas deben proporcionar formación, medidas de concienciación y directrices internas. Estas medidas deben documentarse de forma que sean verificables a efectos de rendición de cuentas. Dicho de otro modo: „Usar IA“ ha estado inextricablemente ligado a „demostrar experiencia en IA“ desde febrero de 2025. Gobernanza de la IA: relevante para la IA de uso general desde agosto de 2025. Con el inicio de la aplicación de la normativa sobre IA de propósito general (GPAI) en agosto de 2025, se aplican requisitos organizativos adicionales, especialmente para los proveedores, pero también indirectamente para las empresas que utilizan dichos sistemas de forma productiva: documentación estructurada de los modelos utilizados, seguimiento y registro de la utilización, procesos de gestión de incidentes, riesgos y reclamaciones, funciones y responsabilidades claras en el uso de la IA. Aunque el canon completo de obligaciones para la IA de alto riesgo no entre en vigor hasta 2026/2027, está claro que sin un concepto de gobernanza de la IA -es decir, responsabilidades, directrices, procesos y formación documentados- será cada vez más difícil para las empresas demostrar de forma creíble un uso conforme con la Ley de IA y el RGPD. 2. qué dicen realmente las autoridades supervisoras sobre la IA y los LLM Para hacerlo tangible, echemos un vistazo rápido a tres fuentes clave: DSK Guidance „AI and Data Protection“ (2024) - proporciona a empresas y autoridades criterios sobre cómo seleccionar y utilizar sistemas de IA: Limitación de la finalidad, base jurídica, minimización de datos, transparencia, tratamiento de pedidos, medidas técnicas y organizativas. (Conferencia sobre Protección de Datos) Informe del Grupo de Trabajo ChatGPT de la EDPB (mayo de 2024) - destaca, entre otras cosas: cómo debe evaluarse jurídicamente la formación sobre el web scraping de datos personales, qué obligaciones de transparencia e información existen respecto a los usuarios, qué requisitos se imponen a la exactitud e imparcialidad de las respuestas del LLM. (EDPB) Hojas informativas nacionales, p. ej. HWR Berlin / responsable de protección de datos - mostrar muy específicamente qué datos se generan al utilizar IA generativa y cómo este uso puede hacerse respetuoso con la protección de datos (p. ej. sin identificadores directos, seudonimización, sin datos sensibles en herramientas de libre acceso). (Protección de datos HWR Berlín) El mensaje es similar en todas partes: Principio: introducir la menor cantidad posible de datos personales en los sistemas de IA. Las empresas necesitan normas claras sobre qué herramientas pueden utilizarse y cómo. El „mero hecho de probar“ no constituye una base jurídica. 3 Riesgos típicos: Cómo surge la IA en la sombra en la empresa Algunas situaciones típicas que veo una y otra vez: Marketing carga datos de clientes (por ejemplo, exportación de CRM) en cualquier aplicación web de IA para „crear segmentos rápidamente“. RRHH hace que ChatGPT evalúe los contratos de trabajo o las solicitudes, incluidos los datos personales completos. Ventas copia historiales completos de correos electrónicos con datos personales en LLM para formular „mejores respuestas“. Los departamentos especializados utilizan herramientas LLM gratuitas sin una cuenta de empresa, sin un contrato AV, sin saber dónde se procesan los datos. Desde el punto de vista de la protección de datos, se trata de varias áreas problemáticas: Funciones y responsabilidades poco claras (responsable del tratamiento/encargado del tratamiento), posibles transferencias a terceros países (por ejemplo, EE.UU.), almacenamiento poco claro y utilización formativa de los datos, falta de información o información inadecuada a los afectados. Es precisamente en estos casos en los que las autoridades supervisoras de la protección de datos se han centrado cada vez más en los últimos meses, incluyendo restricciones a corto plazo y auditorías de proveedores individuales. (StreamLex) 4. 10 reglas básicas: Utilizar los LLM de forma respetuosa con la protección de datos (en solitario y en equipo) Tanto si eres un empresario individual como una mediana empresa de TI, las siguientes reglas son muy útiles en la práctica para utilizar los LLM de forma respetuosa con el GDPR: Los datos de salud, las categorías especiales según el artículo 9 del GDPR, la información confidencial de los empleados, los contratos internos, etc. no tienen cabida en los front-ends de IA de libre acceso. (Protección de datos HWR Berlin) Pseudonimizar o anonimizar siempre que sea posibleEn lugar de „Max Mustermann, IBAN, proyecto XY en el cliente Z“, preferiblemente: „Cliente A, presupuesto B, proyecto en el campo de la ingeniería mecánica, país de exportación D“. Estrategia de herramientas clara: separar lo privado de lo profesional Nada de „Sólo utilizaré mi cuenta privada de ChatGPT“. Defina las herramientas autorizadas y, en caso de duda, bloquee los dominios problemáticos en el proxy de la empresa. (Base de datos estatal de Renania del Norte-Westfalia) Cree su propia política de empresa („AI Policy“)Breve, comprensible, práctica: ¿Qué herramientas están permitidas? ¿Qué datos están permitidos? ¿Quién es la persona de contacto en caso de duda? Hoy en día, una política de IA ya no es un „bonito detalle“, sino un elemento central de la gobernanza de la IA. Aclarar la base jurídicaEn su empresa, a menudo se basará en intereses legítimos (art. 6, apartado 1, letra f del RGPD), en el cumplimiento de un contrato o, si procede, en el consentimiento. Es importante documentar adecuadamente el registro de las actividades de tratamiento. (Conferencia sobre protección de datos) Cuando los sistemas de IA intervienen de forma masiva en los procesos empresariales o contienen elementos de elaboración de perfiles, a menudo es obligatorio realizar una evaluación de impacto sobre la protección de datos. (Conferencia sobre protección de datos) Registro y trazabilidad¿Quién utiliza qué sistema y para qué? El registro no es sólo una cuestión de seguridad informática, sino también de gobernanza, y encaja bien con la lógica orientada a la documentación de la Ley de AI. (EUR-Lex) Seleccionar conscientemente modelos y proveedoresComprobar: alojamiento (¿UE/EEE?), contrato audiovisual, política de almacenamiento y formación, transparencia, características técnicas de seguridad. Algunos proveedores anuncian ahora explícitamente „retención cero“ y „sin formación sobre los datos de los clientes“. (ASCOMP) Desde febrero de 2025, la Ley de IA de la UE exige expresamente a las empresas que garanticen un nivel suficiente de competencia en IA (alfabetización en IA). La formación, las directrices internas y la participación documentada se están convirtiendo en una parte obligatoria del cumplimiento de la IA, comparable a la formación sobre protección de datos o seguridad de la información. Integre la IA y la protección de datos con su estrategia web y de SEO existenteSi ya está trabajando correctamente con el SEO técnico, el rendimiento y el mantenimiento de datos estructurados, tiene una buena base para las integraciones limpias de IA. ¿Conoces mi guía sobre SEO técnico y mi artículo sobre las tendencias SEO más importantes para 2024, porque la visibilidad, la confianza y las tecnologías que cumplen la ley están entrelazadas? (saskialund.de) 5. por qué las cuentas de consumidores (cuentas gratuitas o básicas) de ChatGPT & Co son complicadas para las empresas Incluso con las mejoras en la configuración de la protección de datos, el uso de cuentas de consumidor clásicas sigue siendo problemático en muchos contextos corporativos: Flujos de datos a terceros países y complejas cadenas de subprocesadores, contratos de tratamiento de pedidos limitados o inexistentes, falta de transparencia para los interesados, uso parcial de las entradas para la formación de modelos (dependiendo del proveedor / tarifa), incluso si muchos proveedores ofrecen ahora „opt-out“ u opciones de negocio aquí. (eRecht24) Esto no significa que no esté permitido utilizar tales herramientas, pero: En el contexto corporativo, a menudo sólo pueden asegurarse adecuadamente con un considerable esfuerzo de coordinación, revisión de contratos y medidas adicionales. Por lo tanto, en el contexto corporativo en particular, a menudo merece la pena dar un paso hacia plataformas de IA dedicadas que estén explícitamente diseñadas para un uso conforme con el RGPD. 6 Plataformas de IA conformes con la protección de datos: InnoGPT y Langdock en el punto de mira En la actualidad existen plataformas que agrupan varios LLM en un entorno alojado en la UE y conforme con el GDPR. Dos de ellas son InnoGPT y Langdock. 6.1 ¿Qué caracteriza a InnoGPT? A continuación se ofrece una versión abreviada de las descripciones disponibles públicamente: InnoGPT reúne los principales modelos lingüísticos (por ejemplo, GPT-4, GPT-5, Gemini, Claude, Mistral, etc.) en una plataforma dirigida específicamente a empresas alemanas y europeas. (sysbus.eu) La plataforma se basa en el alojamiento en Europa y anuncia una „política de retención cero“ garantizada contractualmente, es decir, los datos de los clientes no se utilizan para entrenar los modelos de IA y se procesan exclusivamente en servidores europeos, por lo que los datos no van a parar al proveedor original de un tercer país. (ASCOMP) Responde a los requisitos típicos de las empresas, como las funcionalidades de equipo, los flujos de trabajo y la integración en los procesos existentes. Si desea verlo más de cerca, utilice el siguiente enlace: Conozca InnoGPT (enlace de socios) Este enfoque es interesante para las empresas que desean sustituir la IA en la sombra y, al mismo tiempo, dotar a sus equipos de herramientas modernas: Sus equipos siguen trabajando con modelos sólidos, pero en un entorno controlado, documentable y respetuoso con la GDPR. 7. ejemplos prácticos: Cómo podrían utilizar InnoGPT las PYME y la industria Algunos escenarios que conozco de proyectos y conversaciones con clientes: Ventas técnicas y preparación de presupuestos Los textos técnicos, las descripciones de productos y los presupuestos se preparan a través de InnoGPT. Los documentos utilizados internamente pueden integrarse mediante técnicas de recuperación sin que la empresa pierda el control de los datos. (arXiv) Gestión del conocimiento y documentación Las directrices internas, los manuales y los procedimientos normalizados de trabajo están disponibles para preguntas y respuestas en un entorno seguro. Los empleados plantean preguntas como „¿Qué pasos de las pruebas se aplican a la línea de productos X?“ - InnoGPT proporciona respuestas basadas en documentos internos sin cederlas a sistemas de formación externos. (arXiv) Marketing y contenidos para sitios web y tiendas B2B Se crean borradores de contenido para tiendas WooCommerce, páginas de productos y artículos de blog, seguidos de una revisión profesional. Debido al almacenamiento y procesamiento en Europa, esto puede integrarse mucho mejor en una estrategia de protección de datos y cumplimiento existente que el uso de herramientas de consumo dispersas. (Capterra) 8 Gobernanza y estrategia de IA: de herramienta individual a solución corporativa Si no quiere dejar la IA de su empresa al azar, necesita más de una herramienta: Hacer balance ¿Quién utiliza ya qué herramientas de IA y para qué? ¿Qué datos fluyen hacia dónde? Definir la imagen de destino ¿Qué casos de uso deben admitirse oficialmente (por ejemplo, texto, código, investigación, notas de reuniones)? Cómo encaja la IA en su estrategia digital y de SEO actual? Consolidar el panorama de herramientas En lugar de cinco servicios de IA diferentes en modo sombra: una plataforma homologada, por ejemplo InnoGPT, complementada por herramientas especializadas claramente definidas. Directrices y procesos de anclaje Política de IA, contratos de AD, registro de actividades de tratamiento, formación. Política de IA, modelo de funciones, procesos de escalado y aprobación. Control y ajuste continuo Aplicación de la Ley de IA, nuevas directrices de las autoridades supervisoras, avances técnicos: la gobernanza no es un proyecto aislado, sino un proceso continuo. (AKEuropa) Por qué es más que una „buena práctica“:La Ley de IA exige -de forma gradual a lo largo de 2025-2027- un sistema de gobernanza documentado para las empresas que utilizan IA. Sin una estructura de gobernanza de la IA anclada internamente (directrices, formación, supervisión), será muy difícil a medio plazo demostrar a las autoridades de supervisión y a los socios comerciales que la IA se utiliza de forma controlada, responsable y conforme a las normas. 9ª lista de comprobación: Preparar la IA de la empresa para la GDPR y la AI-Act Una breve lista de comprobación para empezar hoy mismo: Haga balance - ¿Dónde se utiliza ya la IA en la empresa (herramientas, tipos de datos, procesos)? Realice una evaluación de riesgos: ¿qué aplicaciones no son críticas, cuáles afectan a datos sensibles o a procesos esenciales? Comprobar las bases jurídicas y los contratos: GDPR, contratos de AD, flujos de datos, transferencias a terceros países. Definir la plataforma aprobada - por ejemplo, InnoGPT como solución de IA central y conforme con el GDPR para los equipos. Adoptar una política de IA: comprensible, práctica, con ejemplos y lo que se debe y no se debe hacer. Formación y capacitación: capacitar a los empleados para utilizar la IA de forma específica, responsable y eficiente, y documentar esta formación (alfabetización en IA). Documentación y supervisión - tomarse en serio la lógica de la Ley de IA y el GDPR: documentar, evaluar, perfeccionar. (EUR-Lex) Fuentes Conferencia de Protección de Datos (DSK), Guía de orientación „IA y protección de datos“ (a 06/05/2024) - Criterios para la selección y el uso de aplicaciones de IA en empresas y autoridades públicas. (Conferencia de Protección de Datos) European Data Protection Board (EDPB), „Report of the work undertaken by the ChatGPT Taskforce“ (24 de mayo de 2024) - Primera evaluación europea coordinada de las prácticas de tratamiento de datos de ChatGPT a la luz del GDPR. (EDPB) Fact sheet „Use of generative AI and data protection“ (University / Data Protection Officer, as of 04/2024) - Guía práctica sobre el uso de la IA generativa, en particular ChatGPT, desde la perspectiva de la protección de datos. (Protección de datos HWR Berlin) eRecht24, „¿Se puede utilizar ChatGPT respetando la protección de datos?“ (2025) - Clasificación del uso de ChatGPT respetuoso con la protección de datos, incluida información sobre el uso y la configuración de la formación. (eRecht24) Reglamento (UE) 2024/1689 - Ley de Inteligencia Artificial (Ley de IA) - Marco jurídico oficial de la UE para la IA, incluido un enfoque basado en el riesgo, obligaciones de gobernanza y calendario de aplicación. (EUR-Lex) EU AI Act Service Desk & FPF Timeline - Visión general de la aplicación gradual de la Ley de IA hasta 2026/2027. (AI Act Service Desk) Reuters & Le Monde (2025), Informes sobre las propuestas de la Comisión de la UE para ampliar las obligaciones de alto riesgo de la Ley de IA - Indicios del retraso previsto de determinados reglamentos hasta 2027. (Reuters) Handelsblatt Live, „KI und Datenschutz: So nutzen Sie KI-Systeme DSGVO-konform“ (2025) - Clasificación de la interacción del GDPR, la BDSG y la Ley de IA en el contexto empresarial. (Handelsblatt Live) ASCOMP, sysbus.eu, Capterra - Información sobre InnoGPT como plataforma de IA orientada al GDPR con alojamiento en la UE y enfoque de retención cero. (ASCOMP, sysbus.eu, Capterra) arXiv - Artículos sobre aplicaciones de IA basadas en la recuperación y escenarios de gestión del conocimiento en el contexto corporativo. (arXiv) AKEuropa - Análisis e informes de fondo sobre la aplicación práctica de la Ley de IA en Europa. (AKEuropa) Nota: Este artículo ofrece orientación técnica sobre el uso de los sistemas de IA conforme al GDPR y a la Ley de IA. No sustituye al asesoramiento jurídico. Para evaluaciones vinculantes, debe consultar a expertos jurídicos.