2 min read

Checklist legal para usar ChatGPT en una empresa sin meterse en problemas

Checklist legal para empresas que usan ChatGPT o IA generativa: datos personales, confidencialidad, RGPD, propiedad intelectual, revisión humana y política interna.

ChatGPT y otras herramientas de IA generativa pueden ser útiles en una empresa, pero no deberían usarse sin reglas. El riesgo no está solo en la tecnología. Está en introducir datos que no deben compartirse, confiar en respuestas no verificadas o generar contenido que después se usa como si fuera seguro.

Este checklist ayuda a revisar los puntos mínimos antes de implantar IA generativa en una empresa.

1. Definir usos permitidos

La empresa debería indicar de forma clara para qué se puede usar la herramienta.

Usos generalmente razonables:

  • Borradores de textos internos.
  • Ideas para comunicación o marketing.
  • Resumen de textos no confidenciales.
  • Apoyo en documentación.
  • Generación de esquemas o listas de comprobación.

Usos que requieren especial cuidado:

  • Decisiones sobre empleados.
  • Respuestas jurídicas, médicas o financieras.
  • Análisis de datos personales.
  • Atención automatizada a clientes.
  • Revisión de contratos reales.
  • Tratamiento de información confidencial.

2. Prohibir entrada de información sensible

Una regla sencilla: no introducir en herramientas de IA información que no se publicaría en internet o que no se haya autorizado expresamente.

Debe evitarse introducir:

  • Datos personales de clientes, empleados o candidatos.
  • Información médica o especialmente protegida.
  • Contratos completos con terceros.
  • Secretos comerciales.
  • Credenciales, claves o tokens.
  • Documentación interna confidencial.
  • Datos de menores.

Si la empresa necesita usar IA con datos reales, debe revisarse antes el proveedor, el contrato y la configuración.

3. Revisar RGPD

Si se tratan datos personales, hay que revisar el cumplimiento del RGPD. Las preguntas clave son:

  • ¿Qué datos se introducen?
  • ¿Para qué finalidad?
  • ¿Existe base jurídica?
  • ¿El proveedor actúa como encargado o responsable?
  • ¿Hay transferencias internacionales?
  • ¿Se usan los datos para entrenar modelos?
  • ¿Cómo se atienden derechos de los interesados?
  • ¿Qué medidas de seguridad existen?

No basta con decir que la herramienta es famosa o que la usan muchas empresas. La responsabilidad sigue siendo de quien decide usarla.

4. Controlar propiedad intelectual

La IA puede generar textos, imágenes, código o propuestas creativas. Antes de usarlos comercialmente conviene revisar:

  • Si el contenido puede infringir derechos de terceros.
  • Si se ha copiado o adaptado material protegido.
  • Si hay condiciones de uso del proveedor que limiten el resultado.
  • Si el resultado se va a registrar, publicar o vender.
  • Si hace falta revisión humana.

En usos de marca, publicidad, software o contenido profesional, la revisión es especialmente importante.

5. Exigir revisión humana

La IA puede equivocarse con seguridad aparente. Por eso, cualquier salida que afecte a clientes, contratos, decisiones internas o comunicación pública debe pasar por una persona responsable.

La política interna debería decir:

  • Quién revisa.
  • Qué tipo de contenidos requieren aprobación.
  • Qué usos están prohibidos.
  • Cómo se documenta el uso de IA si es relevante.

6. Crear una política interna breve

No hace falta empezar con un manual de 60 páginas. Una política inicial puede tener:

  • Objetivo.
  • Herramientas autorizadas.
  • Usos permitidos y prohibidos.
  • Reglas de datos personales.
  • Reglas de confidencialidad.
  • Revisión humana.
  • Responsables internos.
  • Canal para dudas o autorizaciones.

Lo importante es que el equipo tenga una referencia clara.

7. Formar al equipo

La formación debe ser práctica y cercana al trabajo real. No basta con explicar qué es la IA.

Debe incluir ejemplos como:

  • Qué prompts no deben usarse.
  • Cómo anonimizar información.
  • Cómo revisar respuestas falsas.
  • Cómo evitar introducir datos personales.
  • Qué hacer ante una incidencia.

8. Registrar herramientas y proveedores

La empresa debería saber qué herramientas se usan y quién las ha autorizado. Si cada departamento adopta una IA distinta sin control, el riesgo se multiplica.

Un registro básico puede incluir:

  • Nombre de la herramienta.
  • Proveedor.
  • Finalidad.
  • Usuarios internos.
  • Tipo de datos tratados.
  • Riesgo estimado.
  • Fecha de aprobación.
  • Responsable.

Conclusión

Usar ChatGPT en empresa puede ser razonable, pero no debería hacerse sin reglas. La combinación mínima es:

  • Política interna.
  • Revisión RGPD.
  • Control de confidencialidad.
  • Revisión humana.
  • Formación.
  • Registro de herramientas.

Si la empresa ya usa IA generativa, una revisión inicial permite detectar usos peligrosos y ordenar la implantación sin bloquear la productividad.

Servicios relacionados

Published by: