"¿Podemos usar ChatGPT en la empresa sin que nos multe la AEPD?" Es la pregunta que cualquier DPO o IT director en España se ha hecho al menos una vez en los últimos dos años. La respuesta no es un sí o un no rotundo — depende del plan que contrates, del tipo de datos que metas y de cómo interpretes Schrems II.
Este artículo desmonta las cuatro capas del problema: qué dice OpenAI, qué dice el RGPD, dónde chocan y qué opciones realistas tienes si necesitas IA generativa en un entorno regulado español.
El problema en una línea
OpenAI es un proveedor americano que procesa datos personales de ciudadanos europeos en infraestructura principalmente ubicada en EEUU. El RGPD lo permite solo bajo condiciones estrictas (Art. 44-49). Desde la sentencia Schrems II (2020), cualquier transferencia a EEUU requiere salvaguardas adicionales que no siempre están claras con proveedores cloud tan masivos.
ChatGPT existe en varios sabores y cada uno tiene un perfil de riesgo distinto. Si los mezclas en tu análisis vas a llegar a conclusiones erróneas.
Los tres ChatGPT y su status RGPD
1. ChatGPT gratuito (cuenta personal)
Status: No cumple RGPD para uso empresarial.
Sin DPA disponible.
Los prompts se usan para entrenar modelos futuros por defecto.
Sin garantías contractuales de localización.
Si tu empleado pega un contrato, un email de cliente o una hoja de cálculo con nóminas en ChatGPT gratuito, has perdido el control de ese dato. Punto.
Qué hacer: bloquear chat.openai.com en el perímetro de red o tener una política de uso aceptable que lo prohíba explícitamente para datos de empresa.
2. ChatGPT Plus / Team (suscripción individual y equipo pequeño)
Status: zona gris. No recomendado para datos sensibles.
OpenAI afirma no entrenar modelos con los chats por defecto en Team.
Hay DPA disponible pero limitado — no equivale al DPA de Enterprise.
Infraestructura en EEUU.
Sirve para uso personal del empleado o cosas no sensibles (redactar un post de LinkedIn). No sirve para datos de clientes, empleados, financieros o sanitarios.
3. ChatGPT Enterprise / Edu / API con ZDR
Status: técnicamente viable con el compliance stack correcto, pero con matices.
DPA firmado, Zero Data Retention opcional.
SOC 2 Type 2, ISO 27001, HIPAA BAA disponible.
Los prompts no se usan para entrenar.
Pero:
Los datos siguen procesándose en EEUU bajo el Data Privacy Framework (DPF) adequacy decision de 2023.
El DPF está recurrido. Si cae (Schrems III), vuelves al punto cero.
Tus Standard Contractual Clauses necesitan transfer impact assessment (TIA).
Schrems II, DPF y por qué esto importa en 2026
En 2020 el Tribunal de Justicia de la UE invalidó el Privacy Shield (Schrems II) porque las leyes de vigilancia estadounidenses (FISA 702) permitían acceso masivo a datos europeos sin recurso judicial efectivo para ciudadanos UE.
La Comisión Europea respondió en julio de 2023 con el Data Privacy Framework (DPF), una nueva adequacy decision. OpenAI está adherida. Sobre el papel, transferir datos a OpenAI está amparado.
En la práctica:
Max Schrems (el activista que tumbó los dos marcos anteriores) ya ha anunciado demandas contra el DPF.
La mayoría de juristas especializados dan al DPF entre 2 y 4 años de vida útil.
La AEPD y el EDPB han emitido guías cautelares pidiendo TIAs (Transfer Impact Assessments) incluso con DPF vigente.
Traducido: puedes usar ChatGPT Enterprise hoy con base legal, pero asumiendo que el marco puede caerse en cualquier momento y que tu DPO tendrá que responder por qué metiste datos de clientes en una dependencia tan inestable.
Qué exige realmente el RGPD a un proveedor de IA
Cuando un DPO audita una herramienta como ChatGPT, mira 8 puntos concretos:
|
# |
Requisito |
ChatGPT Enterprise |
Alternativa europea (Levante Platform) |
|---|---|---|---|
|
1 |
DPA firmado |
Sí |
Sí |
|
2 |
Cláusulas contractuales tipo (SCC) |
Sí |
No necesarias (intra-UE) |
|
3 |
Transfer Impact Assessment requerido |
Sí |
No |
|
4 |
Zero Data Retention en inferencia |
Opcional con plan alto |
Estándar |
|
5 |
No entrenamiento con prompts |
Sí |
Sí |
|
6 |
Localización infraestructura |
EEUU (DPF) |
UE (Frankfurt/París) |
|
7 |
Sub-procesadores declarados |
Sí |
Sí |
|
8 |
Brechas de seguridad notificadas en 72h |
Sí |
Sí |
Los puntos 3, 4 y 6 son donde ChatGPT Enterprise pierde frente a una alternativa europea. Ninguno es bloqueante por sí solo, pero los tres juntos empujan a DPOs a buscar alternativas.
Casos de uso reales y cuál usar
Uso 1: Marketing creativo sin datos sensibles
Redactar copy, ideas de post, variantes de asunto. No hay datos personales.
Recomendación: ChatGPT Plus/Team sirve. No hay riesgo RGPD real.
Uso 2: Procesar emails de atención al cliente
El LLM ve nombres, emails, a veces números de pedido, ocasionalmente datos financieros.
Recomendación: solo ChatGPT Enterprise con ZDR o, mejor, proveedor europeo. Si el volumen es alto y los datos incluyen identificadores, la balanza se inclina hacia UE por simplicidad del TIA.
Uso 3: Análisis de datos de RRHH
Evaluaciones, nóminas, datos médicos de bajas. Categorías especiales del Art. 9.
Recomendación: ChatGPT no es viable. Ni Enterprise. Aquí necesitas proveedor europeo con hosting UE y DPA específico para Art. 9, o infraestructura propia.
Uso 4: Cliente de escritorio para equipo técnico
El dev pega snippets de código, logs, a veces credenciales (mal) o descripciones de arquitectura.
Recomendación: cliente de escritorio europeo multi-proveedor tipo Levante que permita elegir modelo y enrutar a proveedor UE para datos sensibles y a OpenAI para tareas no sensibles.
Uso 5: Asistente legal interno
Contratos, correspondencia con partes contrarias, análisis de sentencias.
Recomendación: descartar ChatGPT. El riesgo reputacional y la exposición a Schrems III superan cualquier ventaja. Plataforma europea específica para legal o Levante Platform con modelos europeos.
El argumento "pero es más barato"
ChatGPT Enterprise cuesta alrededor de 60€/mes por usuario. Alternativas europeas típicas oscilan entre 40€ y 80€/mes por usuario.
Cuando el coste se iguala, la pregunta deja de ser precio y pasa a ser:
Velocidad de respuesta del proveedor si la AEPD te pide información: OpenAI tarda semanas, proveedores europeos pequeños responden en horas.
Esfuerzo de TIA y reevaluación continua: con proveedor UE, cero.
Defensa ante auditoría externa (ISO 27701, SOC 2): UE simplifica el narrative.
El "barato" de ChatGPT desaparece rápido si cuentas horas del DPO y del equipo legal.
Lo que sí hace bien ChatGPT (no todo es malo)
Siendo honestos:
La UI de ChatGPT Enterprise es excelente.
El modelo GPT-4/5 sigue siendo top en razonamiento general.
Las integraciones con Microsoft 365 funcionan bien si ya estás en ese stack.
La documentación de compliance de OpenAI es seria (tienen página Trust Portal con SOC 2, reports de pentesting, etc.).
El problema no es OpenAI siendo negligente. Es que OpenAI es americano. Y eso, para cierto tipo de empresa española, es incompatible.
Qué hacer si ya estás usando ChatGPT en producción
Si llegaste aquí y estás ya operando con ChatGPT en contextos sensibles, cinco pasos concretos:
Haz inventario: qué equipos lo usan, con qué datos, bajo qué plan. La respuesta probable: más de lo que crees.
Identifica los casos de uso que tocan datos del Art. 9 (salud, biometría, opiniones políticas) o datos de menores. Esos salen de ChatGPT ya mismo.
Para el resto, clasifica por criticidad RGPD: casos de marketing genérico (bajo riesgo), atención al cliente (medio), RRHH/legal/financiero (alto).
Migra los de alto riesgo a proveedor europeo. Mantén los de bajo riesgo en ChatGPT Enterprise si ya tienes contrato.
Documenta el TIA para lo que quede en ChatGPT. Si un día la AEPD te pregunta, que tengas papel.
La alternativa europea honesta
No todos los proveedores europeos son iguales. Hay consultoras que te venden "IA europea" y por debajo tiran de OpenAI. Para considerar que una plataforma es realmente europea:
Infraestructura de inferencia en UE (no solo el billing).
Modelo europeo opcional (Mistral, ALIA, LEIA, etc.) además de fallback a modelos anglo con enrutado consciente.
DPA específico para RGPD, no un template americano traducido.
Sub-procesadores declarados y ninguno en jurisdicción problemática para tu caso.
Zero Data Retention por defecto, no opt-in premium.
Levante Platform cumple los cinco. Infraestructura en Frankfurt y París, modelos europeos disponibles, ZDR estándar, DPA redactado en España. Pero lo importante no es Levante — es que existen opciones y que deberías evaluar al menos tres antes de firmar otra renovación con OpenAI.
FAQ rápido
¿ChatGPT Enterprise cumple el RGPD?
Técnicamente tiene base legal bajo el DPF desde julio 2023, pero requiere TIA, tiene infraestructura en EEUU y depende de que el DPF sobreviva a Schrems III. Para datos no sensibles, viable. Para datos de Art. 9, no.
¿Qué es el Data Privacy Framework?
La adequacy decision que reemplazó al Privacy Shield en 2023. Permite transferencias UE→EEUU a empresas adheridas. OpenAI está adherido. Está siendo recurrido.
¿Es suficiente con firmar el DPA de OpenAI?
No. Necesitas además SCCs (incluidas en el DPA), un Transfer Impact Assessment documentado y procedimiento interno para cuándo no usar la herramienta.
¿Qué dice la AEPD de ChatGPT?
Ha emitido recomendaciones de cautela pero no ha prohibido el uso. Italia (Garante) sí lo suspendió temporalmente en 2023. La posición española es "úsalo con diligencia", que en la práctica significa TIA + DPO informado.
¿Hay forma de usar ChatGPT con datos sensibles de forma compliant?
Solo con ChatGPT Enterprise + ZDR + TIA documentado + categoría de dato que no sea Art. 9 + aceptación residual del riesgo Schrems III. Muchos "Y" en esa frase. Para la mayoría de empresas es más simple ir a un proveedor UE.
¿Qué pasa si uso la API de OpenAI en vez de ChatGPT?
La API tiene el mismo perfil RGPD que ChatGPT Enterprise: DPA, ZDR opcional, infraestructura EEUU. Algunos equipos de producto piensan que por ser API hay menos riesgo — no es cierto. Los datos que mandas por API siguen las mismas rutas.
¿Y Copilot de Microsoft? ¿Es mejor?
Copilot usa modelos de OpenAI bajo contrato con Microsoft. Microsoft sí tiene opciones de EU Data Boundary para algunos servicios Microsoft 365, lo que ayuda, pero los prompts a Copilot siguen pasando por OpenAI/Azure con el mismo perfil americano.
Recapitulando
El RGPD no prohíbe ChatGPT, pero te obliga a una cantidad de papel y vigilancia continua que, cuando las empresas lo calculan honestamente, suele inclinar la balanza hacia un proveedor europeo. No por ideología — por simplicidad operativa y estabilidad regulatoria.
Si estás arrancando tu estrategia de IA empresarial en 2026, empieza europea. Si ya tienes ChatGPT en marcha, segrega por caso de uso y migra lo sensible. Y documenta todo: el día que la AEPD pregunte, tu papel es tu defensa.
Para profundizar en la parte más amplia del problema (no solo ChatGPT, sino IA y RGPD en general), tienes la guía completa: IA y RGPD en 2026: guía para empresas. Y si quieres ver qué aspecto tiene una plataforma europea pensada para este escenario, Levante Platform es un punto de partida.