GDPR e IA: cómo usar inteligencia artificial cumpliendo la normativa europea

Publicado el 2026-03-28

El 60% de los autónomos que usan IA en España lo hacen sin saber si están cumpliendo el GDPR. Esta guía te da la información esencial para usar IA de forma legal.

Qué dice el GDPR sobre usar IA

El GDPR no prohíbe usar IA. Lo que regula es cómo tratás los datos personales de tus clientes. Pasar datos de clientes a ChatGPT sin DPA firmado es una infracción del artículo 28 del RGPD.

Lo que NO puedes hacer

• Pasar nombres, emails o datos de salud de clientes a ChatGPT sin DPA firmado con OpenAI (o usar la API que sí lo permite)
• Usar datos de pacientes en herramientas IA sin consentimiento explícito
• Almacenar conversaciones con clientes en servidores fuera de la UE sin garantías adecuadas

Lo que SÍ puedes hacer

• Usar la API de OpenAI (tiene DPA incluido y no entrena con tus datos)
• Usar Claude API de Anthropic (mismo esquema)
• Usar n8n self-hosted en servidor europeo para datos sensibles
• Anonimizar los datos antes de pasarlos a la IA

El DPA: qué es y cómo firmarlo

El DPA (Data Processing Agreement) es el contrato que regula cómo el proveedor trata los datos. OpenAI, Anthropic, Make y la mayoría de proveedores profesionales lo ofrecen. Solicítalo siempre antes de usar datos reales de clientes.