"¿Mis datos van a terminar entrenando un modelo de OpenAI?" Es la primera pregunta que me hace el 80% de los CIOs con los que hablo. Y es una buena pregunta. La respuesta corta es: depende de cómo lo implementes.
La respuesta larga es más matizada y vale la pena entenderla, porque el miedo a la seguridad de datos está frenando proyectos que podrían generar millones en ahorro.
Lo que realmente pasa con tus datos
Cuando un empleado abre ChatGPT en el navegador y pega un contrato confidencial para que lo resuma, eso es un problema. Los datos de la versión gratuita pueden usarse para entrenamiento. Y no tienes control sobre dónde terminan.
Cuando implementas una solución empresarial (ChatGPT Enterprise, Claude o Gemini), la situación es completamente diferente. Los datos no se usan para entrenamiento, están cifrados en tránsito y en reposo, y puedes elegir la región donde se procesan.
La diferencia entre "mi equipo usa ChatGPT" y "mi empresa tiene una implementación de IA" es enorme en términos de seguridad. Y muchas empresas no la entienden.
Los tres niveles de riesgo
Bajo: IA para tareas genéricas
El equipo de marketing usa Claude para redactar emails. El equipo de ventas usa ChatGPT para preparar presentaciones. No se comparten datos sensibles. El riesgo es mínimo si tienes una política de uso que defina qué no se puede subir.
Medio: IA con datos internos
Un chatbot entrenado con tus manuales de operación. Una automatización que procesa facturas. Aquí necesitas una solución empresarial con contratos de procesamiento de datos (DPA), cifrado y control de acceso. Es manejable con la infraestructura correcta.
Alto: IA con datos regulados
Datos de salud, financieros o personales de clientes. Aquí necesitas cumplimiento regulatorio (Ley 1581 en Colombia, LGPD en Brasil, etc.), auditorías de seguridad, y posiblemente procesamiento on-premise o en nube privada. Es factible, pero requiere más inversión y planificación.
Lo que deberías exigir a cualquier proveedor de IA
- Un contrato de procesamiento de datos (DPA) que especifique qué hace con tus datos y dónde los almacena
- Cifrado en tránsito (TLS) y en reposo (AES-256 o similar)
- Confirmación por escrito de que tus datos no se usan para entrenamiento
- La opción de elegir región de procesamiento (para cumplimiento regulatorio)
- Logs de acceso y la posibilidad de auditar
Si tu proveedor no puede darte estos cinco puntos, busca otro.
El error más común
El error no es usar IA. Es no tener una política de uso. Mientras el CIO debate sobre seguridad en el comité, 30 empleados están usando la versión gratuita de ChatGPT con datos de la empresa todos los días.
La peor postura de seguridad es pretender que tu equipo no está usando IA. Lo están haciendo. La pregunta es si lo hacen con reglas o sin ellas. Esto es parte de lo que evaluamos en las formaciones IA empresariales.
Qué recomendamos
Para la mayoría de empresas medianas en LATAM, el camino es:
- Crear una política de uso de IA (qué se puede subir, qué no, qué herramientas están aprobadas)
- Implementar soluciones empresariales para los casos de uso con datos sensibles
- Dejar que el equipo use herramientas públicas para tareas genéricas sin datos confidenciales
- Revisar y actualizar la política cada 6 meses
No necesitas bloquear la IA. Necesitas canalizarla. Y eso empieza con entender dónde está el riesgo real versus el riesgo percibido.
Si quieres evaluar qué tan lista está tu empresa para implementar IA de forma segura, el diagnóstico gratuito es un buen primer paso.