En este modulo

  1. El riesgo real: que pasa con tus datos
  2. Que puedes y que no puedes compartir con la IA
  3. Shadow AI: el problema que no ves
  4. Planes gratuitos vs enterprise: la diferencia clave
  5. RGPD e IA: lo que necesitas saber
  6. Como anonimizar datos antes de usar IA
  7. Crear una politica interna de IA
  8. Ejercicio practico
  9. Puntos clave

El riesgo real: que pasa con tus datos

Cuando escribes algo en ChatGPT, Claude o cualquier IA, esos datos viajan a servidores externos. La pregunta clave no es "es segura la IA?" Es: que pasa con los datos que le envias?

Depende del plan y del proveedor:

Regla basica

Si no lo pondrias en un email a alguien fuera de tu empresa, no lo pegues en una IA con plan gratuito. Datos de clientes, nominas, estrategia confidencial y codigo propietario no van a planes gratuitos.

Que puedes y que no puedes compartir con la IA

Seguro compartir (en cualquier plan)

Solo en planes enterprise (Team/Enterprise)

Nunca compartir con IA externa

Shadow AI: el problema que no ves

Shadow AI es cuando los empleados usan herramientas de IA sin que la empresa lo sepa ni lo controle. Es el equivalente del "shadow IT" pero con IA.

Es un problema real: el 78% de los trabajadores que usan IA en el trabajo lo hacen con herramientas no aprobadas por su empresa (Microsoft Work Trend Index 2024). Esto significa que datos corporativos estan fluyendo a servicios externos sin supervision.

Ejemplos reales de shadow AI

Como prevenirlo

  1. Ofrece alternativas: si prohibes la IA sin ofrecer herramientas aprobadas, la gente usara las suyas. Mejor aprobar 2-3 herramientas con planes seguros.
  2. Educa: la mayoria de personas no sabe que ChatGPT Free usa datos para entrenamiento. Explica los riesgos.
  3. Politica clara: 2 paginas que digan que esta permitido y que no. Sin ambiguedad.
  4. No castigues, educa: el objetivo es que la gente use IA de forma segura, no que deje de usarla.

Planes gratuitos vs enterprise: la diferencia clave

AspectoPlan gratuitoPlan Team/Enterprise
Datos usados para entrenamientoSi (por defecto)No
Aislamiento de datosNoSi
Panel de administracionNoSi
SSO / SAMLNoSi (Enterprise)
Retencion de datosIndefinidaConfigurable
Cumplimiento SOC2/RGPDBasicoCertificado
Uso con datos sensiblesNo recomendadoSi, con precauciones

Conclusion practica: si tu empresa usa IA con datos internos, necesitas planes Team o Enterprise. El coste (25-30 USD/persona/mes) es insignificante comparado con el riesgo de una brecha de datos.

RGPD e IA: lo que necesitas saber

El RGPD (Reglamento General de Proteccion de Datos) aplica cuando usas IA con datos personales. Puntos clave:

Principios basicos

Evaluacion de Impacto (EIPD)

Si usas IA para decisiones automatizadas que afectan significativamente a personas (contratacion, scoring crediticio, evaluaciones), necesitas realizar una Evaluacion de Impacto en Proteccion de Datos (EIPD).

Transferencias internacionales

La mayoria de proveedores de IA tienen servidores en EE.UU. Las transferencias de datos personales fuera de la UE requieren garantias adicionales (clausulas contractuales tipo, decisiones de adecuacion). Verifica que tu proveedor tiene estas garantias.

RGPD + EU AI Act

El RGPD protege los datos personales. El EU AI Act regula como usas la IA. Son complementarios. Cumplir con uno no te exime del otro. Si usas IA con datos personales, necesitas cumplir con ambos.

Como anonimizar datos antes de usar IA

Si necesitas analizar datos con IA pero no puedes compartir datos personales, anonimizalos antes:

Tecnicas basicas (sin programar)

  1. Sustituir nombres: "Maria Lopez" → "Empleado A" o "Cliente 001"
  2. Eliminar identificadores: quita DNI, email, telefono, direccion
  3. Generalizar: "32 anos, Alcobendas" → "30-35 anos, zona norte Madrid"
  4. Agregar: en vez de datos individuales, comparte totales o medias

Para Excel/CSV

Antes de subir un fichero a la IA:

  1. Elimina las columnas con datos personales (nombre, email, DNI, telefono)
  2. Si necesitas identificar registros, usa IDs numericos (001, 002...)
  3. Comprueba que no hay datos personales en campos de texto libre ("notas", "comentarios")
  4. Guarda como un CSV nuevo (no modifiques el original)

Crear una politica interna de IA

Tu empresa necesita un documento de 2-3 paginas que responda estas preguntas:

Plantilla de politica interna de IA

POLITICA DE USO DE IA EN [EMPRESA]
Version 1.0 | [Fecha] | Aprobado por: [Nombre]

1. HERRAMIENTAS APROBADAS
   - [Lista de herramientas aprobadas y planes]
   - Ejemplo: Claude Pro, ChatGPT Team, Microsoft Copilot

2. QUE PUEDES HACER
   - Redactar borradores de documentos internos
   - Analizar datos anonimizados
   - Generar ideas y brainstorming
   - Traducir documentos no confidenciales

3. QUE NO PUEDES HACER
   - Compartir datos personales de clientes o empleados
   - Usar herramientas no aprobadas con datos de la empresa
   - Tomar decisiones automatizadas sin supervision humana
   - Compartir codigo propietario en planes gratuitos

4. COMO REPORTAR INCIDENTES
   - Si crees que has compartido datos sensibles por error,
     contacta con [responsable] inmediatamente
   - Email: [email]

5. REVISION
   - Esta politica se revisa cada 6 meses
   - Proxima revision: [fecha]
Consejo: usa la IA para redactar la primera version de tu politica. Ironia productiva pero eficiente: "Redacta una politica interna de uso de IA para una empresa de [sector] con [N] empleados. Herramientas aprobadas: [lista]. Restricciones principales: [lista]."

Ejercicio practico

Ejercicio B09: Auditoria de seguridad IA para tu empresa
  1. Lista todas las herramientas de IA que usas tu y tu equipo (incluye las no aprobadas)
  2. Para cada una, verifica: plan gratuito o de pago? Datos usados para entrenamiento? Donde estan los servidores?
  3. Identifica al menos 3 situaciones de shadow AI en tu organizacion
  4. Redacta una politica interna de IA (usa la plantilla de este modulo)
  5. Crea una lista de "datos que NUNCA comparto con IA" especifica para tu empresa

Bonus: presenta la politica a tu responsable o equipo. La primera empresa que formalice esto gana ventaja competitiva en cumplimiento.

Puntos clave

Puntos clave de B09

  1. ChatGPT Free usa tus datos para entrenamiento. Claude no. Verifica cada herramienta.
  2. Shadow AI (uso sin control) es el mayor riesgo. Ofrece alternativas seguras, no prohibas.
  3. Datos personales, credenciales y secretos comerciales nunca van a IA externa.
  4. Para datos internos sensibles: solo planes Team/Enterprise con aislamiento de datos.
  5. RGPD y EU AI Act son complementarios. Si usas IA con datos personales, necesitas cumplir con ambos.
  6. Anonimiza antes de subir: elimina nombres, DNI, emails. Usa IDs numericos.
  7. Politica interna de IA: 2-3 paginas, herramientas aprobadas, que se permite/prohibe, como reportar.
Guia de estudio — Conceptos clave de B09

El riesgo real: que pasa con tus datos

  • ChatGPT Free:OpenAI PUEDE usar tus conversaciones para entrenar futuros modelos. Puedes desactivarlo en ajustes, pero por defecto esta activo.
  • ChatGPT Team/Enterprise:tus datos NO se usan para entrenamiento. Aislamiento de datos.
  • Claude (todos los planes):Anthropic NO usa conversaciones para entrenamiento por defecto.
  • Gemini Free:Google puede usar tus datos para mejorar productos. En Workspace con Gemini, no.
  • Modelos locales (DeepSeek, Qwen):los datos nunca salen de tu servidor. Maxima seguridad.
  • Regla basica: Si no lo escribirias en un email a alguien externo, no lo pegues en una IA con plan gratuito. Los datos de clientes, nominas, estrategia confidencial y codigo propietario no van a planes free.
Si no lo escribirias en un email a alguien externo, no lo pegues en una IA con plan gratuito. Los datos de clientes, nominas, estrategia confidencial y codigo propietario no van a planes free.

Que puedes y que no puedes compartir con IA

  • Informacion publica (noticias, articulos, documentacion abierta)
  • Textos genericos sin datos identificables
  • Preguntas conceptuales ("como funciona X?")
  • Codigo open-source o de ejemplo
  • Borradores sin datos sensibles
  • Documentos internos (estrategia, planes, informes)

Shadow AI: el problema que no ves

  • Un comercial pega el historial de un cliente en ChatGPT para preparar una llamada
  • RRHH sube CVs con datos personales a una IA para hacer screening
  • Un abogado pega clausulas de un contrato confidencial para que la IA las revise
  • Un desarrollador sube codigo propietario a Copilot con plan personal
  • Dar alternativas:si prohibes la IA sin dar herramientas aprobadas, la gente usara las suyas. Mejor aprobar 2-3 herramientas con planes seguros.
  • Formar:la mayoria no sabe que ChatGPT free usa datos para entrenamiento. Explica los riesgos.

Planes gratuitos vs empresariales: la diferencia clave

  • Conclusion practica: si tu empresa usa IA con datos internos, necesitas planes Team o Enterprise. El coste (25-30 USD/persona/mes) es insignificante comparado con el riesgo de una filtracion de datos.

RGPD y IA: lo que necesitas saber

  • Base legal:necesitas una base legal para tratar datos personales con IA (consentimiento, interes legitimo, contrato)
  • Minimizacion:solo comparte con la IA los datos estrictamente necesarios. No pegues la base de datos entera si solo necesitas analizar 3 campos
  • Transparencia:si usas IA para tomar decisiones que afectan a personas, debes informarles
  • Derechos del interesado:las personas tienen derecho a saber si sus datos se procesan con IA y a oponerse
  • RGPD + AI Act: RGPD protege datos personales. AI Act regula como usas la IA. Son complementarios. Cumplir uno no exime del otro. Si usas IA con datos personales, necesitas cumplir ambos.

Como anonimizar datos antes de usar IA

  • Sustituir nombres:"Maria Lopez" → "Empleado A" o "Cliente 001"
  • Eliminar identificadores:quitar DNI, email, telefono, direccion
  • Generalizar:"32 anos, Alcobendas" → "30-35 anos, zona norte Madrid"
  • Agregar:en vez de datos individuales, compartir totales o medias
  • Elimina las columnas con datos personales (nombre, email, DNI, telefono)
  • Si necesitas identificar registros, usa IDs numericos (001, 002...)

Siguiente: B10 - EU AI Act: lo que tu empresa necesita saber

Ya sabes como proteger tus datos. Ahora necesitas entender la regulacion: el EU AI Act ya esta en vigor y tiene obligaciones para todas las empresas.

Ir al modulo B10