IA y protección de datos: guía para autónomos y pymes

Guía práctica de IA y protección de datos para autónomos y pymes. Qué puedes hacer con datos de clientes, checklist de 7 pasos y qué multas evitas. Sin jerga.
Usas ChatGPT, Gemini o cualquier otra IA para responder correos, preparar presupuestos o resumir reuniones. Y en algún momento te ha pasado por la cabeza la pregunta: ¿puedo meter aquí el nombre y los datos de mi cliente, o me estoy metiendo en un lío?
Esta guía responde exactamente eso. Sin jerga legal, sin párrafos escritos para abogados de multinacionales. Qué puedes hacer, qué no, y los 7 pasos concretos para usar IA en tu negocio sin jugarte una multa.
Una cosa antes de empezar: aquí no defendemos ninguna IA en concreto. Lo que importa es el criterio, porque la herramienta que uses hoy puede cambiar el mes que viene. Las reglas que vas a leer valen para cualquiera.
La respuesta corta: ¿puedes usar IA con datos de clientes?
Sí, puedes usar IA en tu negocio con datos de clientes, pero con dos condiciones: elegir una configuración que no use esos datos para entrenar la IA, y contárselo a tus clientes en tu política de privacidad. Si haces esas dos cosas, estás en una posición razonable. Si pegas datos personales en un chat gratuito con la configuración por defecto, probablemente estás incumpliendo el RGPD sin saberlo.
El resto del artículo desarrolla cómo cumplir esas dos condiciones paso a paso.
Qué dice la ley cuando usas IA en tu negocio
Te afectan dos normas europeas. Tranquilo, se resumen rápido:
El RGPD (Reglamento General de Protección de Datos). Es la norma de siempre, la misma que te obliga a tener una política de privacidad en tu web. No habla de IA en concreto: habla de datos personales, los trates con una libreta, un Excel o una IA. La regla básica es que si un dato identifica a una persona (nombre, email, teléfono, DNI, matrícula, una foto), necesitas un motivo legítimo para usarlo y la persona tiene derecho a saber qué haces con él.
El Reglamento europeo de IA. Es la norma nueva. Para un negocio pequeño que usa ChatGPT o similares, lo que te toca es sobre todo transparencia: en algunos casos hay que avisar de que se está usando IA, por ejemplo si publicas contenido generado que podría confundirse con real o si un cliente habla con un chatbot creyendo que es una persona.
La Agencia Española de Protección de Datos (AEPD) es quien vigila el cumplimiento en España, y ha publicado orientaciones específicas sobre IA. La idea que repite es simple: usar IA no te exime de nada. Los datos de tus clientes siguen siendo responsabilidad tuya aunque el que los procese sea un modelo de OpenAI o de Google.
Punto clave que casi nadie te cuenta: cuando metes datos de un cliente en una IA, legalmente tú sigues siendo el responsable del tratamiento. La empresa de la IA es tu "encargado", como lo es tu gestoría o tu programa de facturación. Y eso significa que el marrón, si lo hay, es tuyo.
El error que comete casi todo el mundo
El error número uno es este: pegar el email completo de un cliente (con su nombre, su teléfono en la firma y los detalles de su caso) en un chat de IA gratuito con la configuración por defecto.
¿Por qué es un problema? Porque muchas IAs, en su versión gratuita y con los ajustes de fábrica, pueden usar lo que escribes para entrenar sus modelos. Es decir, los datos de tu cliente pasan a formar parte del material de aprendizaje de una empresa de Estados Unidos, sin que tu cliente lo sepa ni lo haya aceptado. La AEPD ha advertido de que los modelos generativos pueden retener información con la que fueron entrenados y, en algunos casos, esa información puede aflorar.
La solución no es dejar de usar IA. Es usarla con dos ajustes:
- Desactiva el entrenamiento con tus datos. Casi todas las IAs lo permiten, gratis o de pago. En ChatGPT está en Configuración, dentro de Controles de datos. En Gemini, en la actividad de tu cuenta de Google. Tarda dos minutos y cambia por completo tu situación legal.
- Anonimiza antes de pegar. Si vas a pedir ayuda para responder a un cliente, quita lo que le identifica: sustituye el nombre por "mi cliente", borra el teléfono y el email. La IA te ayuda igual de bien con "mi cliente está descontento con el plazo de entrega" que con el nombre y apellidos delante.
Hay una lista concreta de datos que no deberías meter nunca, ni siquiera anonimizando el resto. Y si te preguntas qué hace exactamente cada IA con lo que escribes, depende del servicio y del plan.
Checklist: 7 pasos para usar IA sin jugarte una multa
Esta es la parte práctica. Si haces estas 7 cosas, estás por delante del 90% de los negocios pequeños que usan IA:
- Haz la lista de las IAs que usas de verdad. ChatGPT, Gemini, Claude, el asistente de Canva, el resumen automático de tus reuniones. Todas cuentan. No puedes proteger lo que no sabes que usas.
- Desactiva el entrenamiento con tus datos en cada una. Dos minutos por herramienta. Si una IA no permite desactivarlo, no la uses con datos de clientes.
- Establece una regla simple para ti (y tu equipo, si lo tienes): nombres, teléfonos, emails, DNIs y datos de salud o bancarios no se pegan en una IA. Se sustituyen o se quitan antes.
- Actualiza tu política de privacidad. Añade que usas herramientas de IA como apoyo en tareas del negocio, cuáles y para qué. Es una obligación de transparencia del RGPD y te cubre.
- Decide si necesitas avisar a tus clientes directamente. En la mayoría de los casos basta con la política de privacidad, pero hay situaciones donde conviene decirlo de forma activa.
- Revisa quién tiene acceso. Si compartes cuenta de IA con empleados o colaboradores, cada uno arrastra las mismas obligaciones. Una charla de 15 minutos con tu equipo evita el 90% de los sustos.
- Apunta lo que has hecho. Un documento simple donde conste qué IAs usas, con qué configuración y desde cuándo. Si algún día la AEPD pregunta, demostrar diligencia marca la diferencia entre un aviso y una sanción.
Tres situaciones cotidianas, resueltas
Responder al email de un cliente enfadado. Puedes usar IA sin problema. Pega el contenido del problema, no la identidad: "mi cliente dice que el pedido llegó tarde y pide compensación, ayúdame a responder con empatía y sin comprometerme a devolver el dinero". Cero datos personales, misma utilidad.
Preparar una propuesta o presupuesto. El riesgo está en los detalles del cliente, no en la propuesta. Describe el proyecto y el sector sin nombrar la empresa: "propuesta de reforma de local de 80 m2 para una peluquería". Cuando la IA te devuelva la estructura, los datos reales los pones tú en tu documento.
Pasar apuntes o facturas a tu contabilidad. Aquí hay datos fiscales y bancarios, de los serios. Regla práctica: las IAs de chat genéricas no son el sitio para subir facturas con NIF y cuentas bancarias. Si quieres automatizar contabilidad, usa un programa de facturación con IA que firme contrato de encargado de tratamiento (lo verás como "DPA" en su web), porque ese contrato es justo lo que te protege.
¿La diferencia entre los tres casos? El tipo de dato. Cuanto más sensible el dato, más garantías necesita la herramienta. Ese es el criterio, y funciona con cualquier IA que salga el año que viene.
Un truco que vale para todos los casos: la sustitución con clave. Si necesitas que la IA trabaje con varios clientes a la vez (por ejemplo, para redactar recordatorios de pago), sustituye cada nombre por una clave: cliente A, cliente B, cliente C. Tú guardas la correspondencia en tu Excel de siempre. La IA hace su trabajo sin saber quién es quién, y tú pegas los nombres reales al final. Cinco minutos más de trabajo, cero datos personales fuera de tu ordenador.
Qué es eso del "contrato de encargado" (y cuándo te hace falta)
Ha salido dos veces ya, así que vamos a explicarlo sin letra pequeña. Cuando otra empresa procesa datos personales por orden tuya (tu gestoría, tu programa de facturación, una IA), el RGPD pide que haya un contrato entre vosotros que diga qué puede hacer esa empresa con los datos y qué no. Eso es el contrato de encargado de tratamiento, o DPA por sus siglas en inglés.
¿Cuándo te hace falta con una IA? Depende de cómo la uses:
- Si nunca metes datos personales (porque anonimizas todo antes, como te hemos enseñado arriba), no lo necesitas para esa herramienta. Es la vía simple y la que recomendamos para empezar.
- Si vas a meter datos de clientes con regularidad, necesitas que la herramienta ofrezca ese contrato. Las versiones de empresa de las IAs grandes lo incluyen; búscalo en su web como "DPA" o "Data Processing Agreement". Si una herramienta no lo ofrece de ninguna forma, esa es tu señal para no meterle datos de clientes.
No hace falta que un abogado te lo redacte: lo ofrece la propia herramienta y tú lo aceptas. Lo importante es saber que existe, porque es la diferencia entre tener la relación con tu proveedor de IA en regla o en el aire.
Qué pasa si no haces nada: las multas en llano
El RGPD permite multas de hasta 20 millones de euros o el 4% de la facturación. Ese titular asusta, pero no es tu caso: esas cifras son para las grandes. Lo que te afecta a ti es esto:
- La AEPD multa a autónomos y pymes con regularidad, y las sanciones típicas por infracciones de este nivel van de unos cientos a decenas de miles de euros según la gravedad.
- La mayoría de expedientes contra negocios pequeños empiezan igual: la denuncia de un cliente o exempleado descontento. No hace falta que te inspeccionen, basta con que alguien se queje.
- Hay una vía de escape: la AEPD valora la diligencia. Si demuestras que configuraste las herramientas, informaste en tu política de privacidad y tenías una norma interna (los 7 pasos de arriba), tu posición es otra completamente distinta.
El coste de cumplir es una tarde de trabajo. El coste de no cumplir empieza en el precio de un buen susto.
Cuándo NO usar IA con datos: el criterio que te ahorra problemas
Te lo decimos también al revés, porque es parte de la honestidad de esta guía: hay tareas donde lo sensato es no usar IA, o no todavía.
- Datos de salud, menores o situaciones judiciales. Son categorías especiales del RGPD. Si tu negocio los toca (una clínica, una academia, un despacho), no los metas en IAs genéricas. Punto.
- Decisiones que afectan a personas. Filtrar candidatos a un empleo, decidir a quién le das financiación, evaluar a un empleado. El Reglamento de IA mira estos usos con lupa y el riesgo legal se multiplica.
- Cuando el volumen no lo justifica. Si respondes tres emails de clientes al día, montar un flujo con IA para eso es más riesgo y más trabajo que hacerlo tú. No todo necesita IA, y quien te diga lo contrario suele estar vendiéndote algo.
Si dudas de si una IA concreta es suficientemente segura para tus datos, hay señales objetivas para evaluarla. Y si quieres saber qué te pide exactamente la norma europea nueva según tu caso, tiene menos letra pequeña de la que parece.
Preguntas frecuentes
¿Es legal usar ChatGPT con datos de clientes? Es legal si cumples el RGPD: desactiva el uso de tus conversaciones para entrenamiento, informa en tu política de privacidad y no introduzcas datos sensibles (salud, bancarios, de menores). Con la configuración por defecto de la versión gratuita, probablemente estás incumpliendo.
¿Necesito el consentimiento de mis clientes para usar IA? En general no necesitas un consentimiento específico si usas la IA como herramienta interna de apoyo y lo reflejas en tu política de privacidad. Lo necesitarías para usos que van más allá, como tomar decisiones automatizadas que les afecten.
¿Qué IA cumple mejor con el RGPD? Ninguna cumple por ti: el responsable eres tú. Dicho esto, las versiones de pago y de empresa suelen ofrecer más garantías (no entrenan con tus datos por defecto y firman contrato de encargado de tratamiento). Evalúa cada herramienta con los mismos criterios y no te cases con ninguna.
¿Me pueden multar por usar IA en mi negocio? No por usar IA en sí. Te pueden multar por tratar datos personales sin cumplir el RGPD, uses IA o un archivador. La IA solo añade un sitio nuevo donde los datos pueden acabar sin control.
¿Esto aplica igual si soy autónomo sin empleados? Sí. El RGPD aplica desde el primer cliente, seas una empresa de 50 personas o un autónomo solo. La buena noticia: cumplir siendo pequeño es mucho más simple, y con los 7 pasos de esta guía lo tienes cubierto en una tarde.
La protección de datos con IA no va de saberse la ley, va de tener tres o cuatro reglas claras y aplicarlas siempre. Configura tus herramientas, quita los datos identificables antes de pegar, cuéntalo en tu política de privacidad y apunta lo que has hecho.
Si quieres ir un paso más allá, en sinodo tenemos instrucciones ya probadas para usar la IA en tareas concretas de tu negocio, con estas precauciones ya incorporadas. Las pide y las vota la propia comunidad. Empieza aquí.