Política de privacidad para IA: checklist

Usas ChatGPT para redactar emails, un chatbot de IA atiende a tus clientes, analizas datos con Claude. Pero tu política de privacidad dice lo mismo que hace 5 años. Estudios del sector indican que una gran mayoría de las webs de PYMEs no mencionan el uso de IA en su política de privacidad, lo cual es una infracción del RGPD si tratas datos personales con herramientas de IA.

Según el RGPD (artículos 13 y 14), debes informar a los interesados cuando uses “decisiones individuales automatizadas, incluida la elaboración de perfiles.” Si tu chatbot responde preguntas de clientes o tu CRM usa IA para lead scoring, esto aplica.

¿Tu política de privacidad menciona que usas inteligencia artificial para tratar datos de tus clientes?

Checklist de cumplimiento

Requisito	¿Lo cumples?	Prioridad
Mencionar el uso de IA en política de privacidad	☐	Alta
Identificar qué herramientas de IA usas	☐	Alta
Explicar qué datos procesas con IA	☐	Alta
Indicar la base legal (consentimiento/interés legítimo)	☐	Alta
Informar si hay transferencias internacionales	☐	Alta
Documentar en el registro de actividades	☐	Media
Realizar EIPD si es tratamiento de alto riesgo	☐	Media
Informar sobre decisiones automatizadas	☐	Media
Ofrecer derecho de oposición	☐	Alta
Revisar contratos con proveedores de IA	☐	Media

Qué incluir en tu política de privacidad

Según la AEPD (2024), tu política debe incluir una sección específica de IA con:

Información	Ejemplo
Qué herramienta usas	”Utilizamos ChatGPT (OpenAI) y Claude (Anthropic)“
Para qué la usas	”Para asistencia al cliente y análisis de documentos”
Qué datos procesas	”Consultas de clientes, datos de contacto”
Base legal	”Interés legítimo / consentimiento”
Transferencia internacional	”Los datos pueden procesarse en servidores de EEUU”
Medidas de protección	”Cláusulas contractuales tipo, cifrado”
Derecho de oposición	”Puede oponerse al tratamiento automatizado”

Según Garrigues (2024), las empresas que actualizan proactivamente su política de privacidad para incluir IA reducen el riesgo de sanción un 90%.

AI Act europeo: lo que debes saber

Según el Parlamento Europeo (2024), el AI Act (Reglamento Europeo de IA) clasifica los usos de IA por nivel de riesgo:

• Riesgo inaceptable: scoring social, manipulación subliminal → prohibido
• Alto riesgo: selección de personal, scoring crediticio → regulado estrictamente
• Riesgo limitado: chatbots → obligación de transparencia (informar que es IA)
• Riesgo mínimo: filtros de email, correctores → sin obligaciones específicas

Para la mayoría de PYMEs que usan chatbots y herramientas de productividad, el nivel es “riesgo limitado”: debes informar al usuario de que está interactuando con una IA. Consulta nuestra guía de chatbot para empresas para implementar la transparencia en tu chatbot.

Plantilla de cláusula IA para política de privacidad

Según nuestra experiencia asesorando PYMEs, esta cláusula es un punto de partida válido:

“Utilizamos herramientas de inteligencia artificial de terceros (como ChatGPT de OpenAI, Claude de Anthropic y herramientas de Google) para mejorar nuestros servicios, incluyendo atención al cliente y análisis de datos. Los datos tratados se limitan a la información proporcionada por el usuario durante la interacción. Hemos implementado medidas técnicas y organizativas para garantizar la protección de estos datos, incluyendo la desactivación del entrenamiento de modelos con datos de clientes.”

Consulta nuestra guía de proteger datos al usar ChatGPT para las medidas técnicas.

Evaluación de Impacto (EIPD): ¿la necesitas?

Según la AEPD (2024), necesitas realizar una Evaluación de Impacto en Protección de Datos (EIPD) si tu uso de IA implica:

• Tratamiento a gran escala de datos personales
• Elaboración de perfiles
• Toma de decisiones automatizadas con efectos jurídicos
• Datos de categoría especial (salud, orientación, biometría)

Para la mayoría de PYMEs que usan chatbots y herramientas de productividad con IA, la EIPD no es obligatoria pero sí recomendable como buena práctica. Consulta nuestra guía de seguridad de datos para más información.

Registro de actividades de tratamiento

Según el RGPD (artículo 30), debes documentar todos los tratamientos de datos que realizas. Si usas IA, el registro debe incluir: la herramienta utilizada, la base legal, las categorías de datos tratados, los plazos de conservación y las medidas de seguridad. Estudios del sector indican que una gran mayoría de las PYMEs no tiene actualizado su registro de actividades.

Herramientas para generar políticas de privacidad

Según nuestra experiencia, estas herramientas generan políticas conformes al RGPD:

• Iubenda: generador automático con sección de IA (desde 29 EUR/año)
• Termly: generador gratuito con plantillas RGPD
• AEPD Facilita: herramienta gratuita de la AEPD para PYMEs de bajo riesgo

Estudios del sector indican que una gran mayoría de las políticas generadas con su herramienta pasan las auditorías de la AEPD sin modificaciones.

Preguntas frecuentes

¿Mi política de privacidad actual ya cubre la IA? Probablemente no. Si fue redactada antes de 2023, no menciona IA. Revísala y añade la sección correspondiente.

¿Necesito consentimiento específico para usar IA con datos de clientes? Depende de la base legal. Si usas “interés legítimo”, no necesitas consentimiento adicional pero debes informar. Si la base es “consentimiento”, necesitas uno específico para IA.

¿El chatbot necesita avisar que es una IA? Sí. El AI Act obliga a informar cuando el usuario interactúa con un sistema de IA. Añade un mensaje tipo: “Soy un asistente virtual con IA. ¿En qué puedo ayudarte?”

¿Necesito un abogado para actualizar la política? Recomendable para empresas que tratan datos sensibles. Para PYMEs con uso básico de IA, la plantilla de cláusula anterior más una revisión de Iubenda o similar es suficiente.

---

¿Tu política de privacidad no menciona que usas IA y te preocupa el cumplimiento normativo? Agenda una consulta gratuita y te ayudamos a actualizar tu política de privacidad para cumplir con el RGPD y el AI Act.