Inteligencia Artificial13 min de lectura

IA generativa en el entorno corporativo: riesgos de privacidad y cumplimiento

Equipo Confidata·
Compartir

ChatGPT, Copilot, Gemini — las herramientas de IA generativa están ampliamente difundidas en el entorno corporativo. Los colaboradores las usan para redactar correos, resumir documentos, analizar planillas, generar código, crear presentaciones. Muchas organizaciones han adoptado estas herramientas sin una política clara y sin entender qué sucede con los datos enviados a los proveedores.

Esta guía trata sobre los riesgos de privacidad y cumplimiento en el uso corporativo de IA generativa — con foco en qué ocurre cuando se envían datos personales a estas herramientas y qué deben hacer las organizaciones al respecto.

El problema central: datos personales en prompts

El riesgo más inmediato del uso corporativo de IA generativa es directo: los colaboradores ingresan datos personales en los prompts sin darse cuenta — o dándose cuenta, pero sin entender las implicaciones.

Situaciones reales y frecuentes:

  • "Analiza este correo del cliente [nombre], RUT [número], que reclama sobre..."
  • "Resume las respuestas de esta encuesta de satisfacción con los empleados [nombres y evaluaciones]"
  • "Verifica si el diagnóstico de [paciente] es consistente con el protocolo"
  • "Genera una carta de término de contrato para [nombre], código [número]"
  • "Revisa este contrato con los datos bancarios de [empresa] y [monto]"

Cuando estos prompts se envían a una herramienta de IA generativa, los datos viajan a los servidores del proveedor — y lo que ocurre allí depende de los términos de servicio, de la versión de la herramienta (gratuita vs. corporativa) y de las configuraciones de retención de datos.

Lo que los principales proveedores hacen con los datos

OpenAI (ChatGPT)

En la versión gratuita (ChatGPT Free/Plus), por defecto el historial de conversaciones se guarda y puede usarse para mejorar los modelos. El usuario puede desactivar el uso del historial para entrenamiento en la configuración, pero debe hacerlo explícitamente.

En la versión corporativa (ChatGPT Team y Enterprise): OpenAI afirma que los datos de conversaciones no se usan para entrenar modelos por defecto. ChatGPT Enterprise incluye controles administrativos; los administradores del workspace definen la política de retención de datos. El producto ofrece opciones más amplias de cumplimiento y cifrado de datos en tránsito y en reposo.

Vía API: los datos enviados por API no se usan para entrenamiento de modelos por defecto (política vigente desde marzo de 2023).

Microsoft (Copilot para Microsoft 365)

El Microsoft Copilot integrado en Microsoft 365 opera dentro del entorno del tenant de la organización. Microsoft afirma que los datos de clientes de Microsoft 365 no se usan para entrenar los modelos de lenguaje base y que el procesamiento ocurre dentro de los límites del contrato de servicio. El acuerdo de encargo de Microsoft 365 incluye cláusulas de protección de datos compatibles con regulaciones internacionales.

Google (Gemini for Google Workspace)

En Google Workspace (versión corporativa), Google afirma que los datos de clientes no se usan para entrenar modelos base de Google sin consentimiento explícito. El acuerdo de encargo de Google Workspace incluye cláusulas de protección de datos.

Atención: las versiones personales/gratuitas de estos servicios tienen términos diferentes — las conversaciones pueden ser revisadas por humanos para mejora del producto. El riesgo crítico en las organizaciones no es el uso de las versiones corporativas (que generalmente tienen términos adecuados), sino el uso paralelo y no gestionado de las versiones gratuitas por parte de los colaboradores.

Los riesgos jurídicos para el responsable del tratamiento

Riesgo 1: Transferencia internacional de datos sin base de licitud

Los servidores de los principales proveedores de IA generativa están en Estados Unidos y en otras jurisdicciones. Cuando un colaborador envía datos personales a esos proveedores, realiza una transferencia internacional de datos personales.

La Ley 21.719 exige que las transferencias internacionales cuenten con una base jurídica adecuada. Las alternativas incluyen:

  • País con nivel de protección adecuado reconocido: la APDP publicará una lista de países con nivel de protección equivalente. Mientras dicha lista no esté disponible, las organizaciones deben recurrir a otros mecanismos.
  • Cláusulas contractuales tipo: la Ley 21.719 autoriza al Ministerio de Economía a aprobar cláusulas contractuales tipo para transferencias internacionales. Las organizaciones deben monitorear su publicación e incorporarlas en sus contratos con proveedores extranjeros cuando estén disponibles.
  • Normas corporativas vinculantes (binding corporate rules) para grupos multinacionales.
  • Consentimiento específico del titular para la transferencia.

Para proveedores como OpenAI, Google y Microsoft, las cláusulas contractuales tipo o los acuerdos de transferencia incluidos en sus contratos corporativos son el mecanismo más practicable.

Riesgo 2: Datos sensibles sin control

Los datos de salud, biometría, origen étnico y otras categorías sensibles bajo la Ley 21.719 enviados a proveedores de IA sin base de licitud y sin las protecciones adicionales que exige la ley crean responsabilidad elevada para el responsable.

Un médico que usa IA generativa para resumir fichas clínicas, un área de RRHH que la usa para analizar licencias médicas, o un departamento jurídico que la usa para analizar documentos de procesos laborales con datos sensibles — todos están en riesgo si no hay base de licitud y contrato de encargo formalizado.

Riesgo 3: Ausencia de contrato de encargo con el proveedor

Cuando el proveedor de IA actúa como encargado del tratamiento — procesando datos personales en nombre de la organización —, es obligatorio formalizar un contrato de encargo de tratamiento conforme a la Ley 21.719.

Sin este contrato, la organización no puede exigir al encargado que trate los datos conforme a la ley, no tiene garantías sobre incidentes de seguridad, y queda expuesta a responsabilidad solidaria por cualquier daño causado por el encargado.

Riesgo 4: Violación de secreto y confidencialidad

Los datos enviados a proveedores externos pueden incluir no solo datos personales, sino también secretos comerciales, estrategias de negocio, información de clientes protegida por confidencialidad contractual u obligaciones sectoriales de secreto (secreto bancario, secreto profesional médico, etc.). La inserción de esta información en herramientas de terceros puede violar acuerdos de confidencialidad y NDAs.

Riesgo 5: Alucinaciones con datos personales reales

Los modelos de lenguaje pueden generar información incorrecta sobre personas reales — hechos falsos, atribución incorrecta de conductas, información de salud ficticia. Esto puede configurar una violación del principio de calidad de los datos bajo la Ley 21.719 y generar responsabilidad civil por daño al honor, imagen o reputación del titular.

Cómo estructurar una política de uso de IA generativa

Elemento 1: Clasificación de las herramientas aprobadas

La política debe distinguir claramente:

  • Herramientas aprobadas para uso con datos personales: versiones corporativas con contrato de encargo formalizado, configuraciones de retención adecuadas y controles de seguridad verificados.
  • Herramientas aprobadas solo para datos no personales: herramientas sin contrato de encargo o con términos inadecuados, utilizables solo para tareas que no involucren datos de personas.
  • Herramientas prohibidas: sin evaluación de privacidad, sin contrato de encargo, o con términos claramente incompatibles con la Ley 21.719.

Elemento 2: Clasificación de datos autorizados

La política debe definir explícitamente qué puede y qué no puede ingresarse en prompts:

Permitido:

  • Datos pseudonimizados o anonimizados
  • Documentos genéricos sin datos de personas específicas
  • Código fuente sin datos personales

Prohibido sin aprobación del Delegado de Protección de Datos:

  • Datos personales identificables de clientes, colaboradores, proveedores
  • Datos sensibles (salud, biometría, etc.)
  • Información protegida por confidencialidad contractual
  • Datos financieros sensibles

Elemento 3: Contratos de encargo con proveedores aprobados

Para cada herramienta aprobada para uso con datos personales, debe existir un contrato de encargo que incluya:

  • Descripción de los datos y de las actividades de tratamiento
  • Finalidad del tratamiento
  • Garantías de seguridad del proveedor
  • Obligaciones en caso de incidente
  • Prohibición de uso de los datos para entrenar modelos sin consentimiento
  • Eliminación de los datos al fin de la relación
  • Cláusulas de transferencia internacional (cláusulas contractuales tipo u equivalente reconocido)

Elemento 4: Capacitación obligatoria

Todos los colaboradores que usan herramientas de IA generativa deben recibir capacitación sobre:

  • Qué puede y qué no puede ingresarse en prompts
  • Cómo identificar datos personales en documentos antes de usar IA
  • Las herramientas aprobadas y cómo acceder a ellas
  • Qué hacer si accidentalmente se ingresan datos indebidos
  • Cómo reportar incidentes relacionados con IA

Elemento 5: Monitoreo y auditoría

La política debe contemplar:

  • Registro de uso de las herramientas corporativas (logs)
  • Revisión periódica de los tipos de uso más comunes
  • Canal de consultas y reporte de incidentes
  • Revisión anual de la política conforme a la evolución de los proveedores y la regulación

Versión corporativa vs. versión gratuita: la decisión estratégica central

Las organizaciones que no definen cuál es la herramienta de IA generativa corporativa aprobada dejan que los colaboradores tomen esa decisión individualmente — y frecuentemente eligen la versión gratuita más conveniente, sin evaluar los riesgos.

El costo de licenciar una versión corporativa con términos de privacidad adecuados es, en la mayoría de los casos, mucho menor que el costo de un incidente de datos causado por el uso descontrolado de versiones gratuitas. Según el informe IBM Cost of a Data Breach 2025, el costo promedio global de un incidente de datos fue de USD 4,44 millones — y en mercados como Estados Unidos superó los USD 10 millones.

Checklist de cumplimiento para IA generativa corporativa

  • ¿La organización tiene una política formal de uso de IA generativa?
  • ¿Se identificaron las herramientas aprobadas para uso con datos personales?
  • ¿Se formalizaron contratos de encargo con los proveedores de esas herramientas?
  • ¿Los contratos de encargo incluyen cláusulas de transferencia internacional adecuadas?
  • ¿Los colaboradores recibieron capacitación sobre qué puede y qué no puede ingresarse en prompts?
  • ¿Existe un canal para reportar ingresos accidentales de datos personales?
  • ¿Se elaboró una EIPD para las actividades de tratamiento que involucran IA generativa?
  • ¿El aviso de privacidad menciona el uso de IA generativa en el tratamiento de datos?

Conclusión

La IA generativa en el entorno corporativo es una realidad — lo que aún es novedad son las políticas adecuadas, los contratos de encargo formalizados y los colaboradores capacitados para usar estas herramientas sin crear riesgos de privacidad.

La Ley 21.719 no prohíbe el uso de IA generativa. Exige que el uso se realice con base de licitud adecuada, con las protecciones técnicas y contractuales correctas y con transparencia para los titulares. Las organizaciones que estructuren esto ahora tendrán ventaja regulatoria cuando la fiscalización de la APDP llegue al tema — y llegará.

Confidata ayuda a su organización a mapear el uso de herramientas de IA generativa como actividades de tratamiento de datos personales, identificar los contratos de encargo necesarios con proveedores y estructurar la política interna de uso de IA de forma auditable.

Compartir
#IA generativa#ChatGPT#privacidad#Ley 21.719#contrato de encargo#política de IA#datos corporativos

Artículos relacionados

Ley 21.719 y ChatGPT en las Empresas — Riesgos, Controles y Política de UsoInteligencia Artificial · 15 minIA y Ley 21.719: cómo usar inteligencia artificial sin violar la privacidadInteligencia Artificial · 13 minDecisiones automatizadas y Ley 21.719: derechos del titular y obligaciones de la organizaciónInteligencia Artificial · 12 minSesgo algorítmico y discriminación: implicaciones de la Ley 21.719 y cómo mitigarloInteligencia Artificial · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista