Copias un párrafo de un contrato confidencial en ChatGPT para obtener un resumen. Pegas datos de clientes en un asistente de IA para redactar un informe. Millones de personas hacen esto cada día sin pensar en las implicaciones. Pero en el momento en que pulsas Enter, tus datos entran en un sistema que no controlas.
El modelo de confianza detrás de las herramientas de IA
Cada chatbot de IA opera con un modelo cliente-servidor: tu entrada sale de tu dispositivo, viaja por internet y se procesa en la infraestructura del proveedor. Esto es fundamentalmente diferente a abrir un archivo en tu ordenador. Estás entregando tus datos a un tercero.
La pregunta clave no es si las herramientas de IA son útiles — lo son. La pregunta es qué pasa con tus datos después de que la IA genera su respuesta.
| Qué ocurre | ChatGPT (gratis) | ChatGPT (Enterprise) | Google Gemini | Claude |
|---|---|---|---|---|
| Datos enviados a servidores | Sí | Sí | Sí | Sí |
| Usados para entrenar el modelo | Por defecto, sí | No | Varía según el plan | No (por defecto) |
| Conversaciones registradas | Sí | Sí (encriptadas) | Sí | Sí |
| Opt-out disponible | Sí | N/A | Parcial | Sí |
La distinción entre "no se usa para entrenamiento" y "no se almacena" es crucial. Incluso los proveedores que prometen no entrenar nunca con tus datos siguen registrando las conversaciones para monitoreo de abusos, depuración y cumplimiento legal. Esos registros pueden persistir durante semanas o meses.
Distinción clave "No se usa para entrenamiento" no significa "no se almacena." Tus datos pueden seguir registrados en los servidores del proveedor para detección de abusos, aseguramiento de calidad o cumplimiento legal — incluso si nunca se introducen en un modelo.
Por qué esto importa más de lo que crees
El incidente de Samsung en 2023 fue una llamada de atención. Los ingenieros pegaron código fuente propietario y notas de reuniones internas en ChatGPT. Como el entrenamiento con datos estaba activado por defecto, esa información confidencial fue potencialmente incorporada en la base de conocimiento del modelo. Samsung respondió prohibiendo los chatbots de IA en toda la empresa.
No es un caso aislado. Los estudios muestran que el 11 % de los datos pegados en herramientas de IA son confidenciales y el 38 % de las empresas han experimentado alguna forma de exposición de datos a través de herramientas de IA.
Las categorías de riesgo están bien identificadas:
- Datos de identidad (DNI, números de seguridad social) — permite el robo de identidad
- Credenciales (contraseñas, claves API, tokens) — deben considerarse comprometidas una vez pegadas
- Secretos comerciales (código, datos financieros, documentos estratégicos) — ventaja competitiva perdida
- Datos de terceros (información de clientes, historiales médicos) — responsabilidad legal bajo RGPD y HIPAA
- Comunicaciones privadas — viola la privacidad de otras personas involucradas
RGPD y la dimensión legal
En Europa, el RGPD se aplica a cualquier dato personal que compartas con un proveedor de IA. Si pegas información personal de tus clientes en ChatGPT sin una base legal, técnicamente estás violando la ley de protección de datos. Italia prohibió temporalmente ChatGPT en 2023 precisamente por esta preocupación. La CNIL francesa y el EU AI Act imponen obligaciones de transparencia sobre cómo los sistemas de IA manejan los datos personales.
Para las empresas, las consecuencias son concretas: las infracciones del RGPD pueden resultar en multas de hasta el 4 % de la facturación anual.
La alternativa del lado del cliente
Existe una arquitectura fundamentalmente diferente: el procesamiento del lado del cliente. Las herramientas que se ejecutan completamente en el navegador nunca envían tus datos a un servidor. El cómputo ocurre en tu propio dispositivo, y cuando cierras la pestaña, los datos desaparecen.
| Aspecto | Herramientas de IA en la nube | Herramientas del lado del cliente |
|---|---|---|
| Los datos salen de tu dispositivo | Sí | No |
| El proveedor puede acceder a tus datos | Sí | No |
| Funciona sin conexión | No | A menudo sí |
| Riesgo de retención de datos | Sí | Ninguno |
Esta distinción importa más para las operaciones con archivos: limpiar metadatos de un PDF, eliminar datos EXIF de una foto, convertir un documento. Estas tareas no requieren IA — requieren computación — y no hay razón para subir archivos sensibles para realizarlas.
Regla general Si una tarea puede hacerse con computación local (conversión de archivos, eliminación de metadatos, formateo de texto), prefiere herramientas del lado del cliente. Reserva la IA en la nube para tareas que genuinamente necesiten un modelo de lenguaje — y anonimiza tus datos antes de enviarlos.
El enfoque razonable
Evitar las herramientas de IA por completo es poco práctico. Pero tratarlas como a un desconocido bien informado es sabio: hablarías de temas generales libremente, pero no le entregarías tu pasaporte, tus contraseñas o las finanzas de tu empresa.
Principios clave:
- Anonimiza antes de pegar — sustituye nombres reales, números e identificadores por marcadores de posición
- Revisa la política de datos del proveedor — específicamente si el entrenamiento está activado por defecto y cuánto tiempo se conservan los registros
- Usa planes empresariales para datos de negocio — suelen ofrecer garantías contractuales de protección de datos
- Elige herramientas del lado del cliente para archivos sensibles — sin subida significa sin exposición
La comodidad de la IA es real. Pero también lo es la responsabilidad de entender a dónde van tus datos.
Para ir más allá
Explora herramientas que procesan tus archivos localmente en el navegador, sin ninguna subida al servidor:
- Limpiar metadatos de PDF — eliminar información oculta de documentos
- Eliminar datos EXIF de fotos — eliminar información de ubicación y dispositivo de las imágenes
- Proteger un PDF con contraseña — cifrar documentos sensibles antes de compartir