AI-First
Tu comercial lleva seis meses pegando correos de clientes en ChatGPT. Tu contable pasa balances por Claude para que los revise. Nadie ha firmado un DPA, nadie ha actualizado el registro de tratamientos. Y el 2 de agosto de 2026, la AI Act entra en aplicación para los sistemas de alto riesgo. Sin saberlo, eres un «deployer» en el sentido del reglamento europeo.
Veo esta situación en la mayoría de las pymes que acompaño. La buena noticia: el cumplimiento normativo no es un freno, es un argumento comercial. Aquí tienes exactamente lo que puedes hacer, lo que está prohibido, y los 7 pasos para estar en regla antes de septiembre.
- ⚠️ Shadow IT masivo: entre el 60 y el 80 % de las pymes francesas usan IA sin marco legal.
- 📅 Fecha límite: 2 de agosto de 2026: las obligaciones de la AI Act sobre sistemas de alto riesgo entran en vigor.
- 💡 Versión profesional obligatoria: la versión gratuita de ChatGPT no ofrece ninguna garantía RGPD aprovechable.
- ✅ Checklist en 7 puntos: cumplimiento realista para una pyme, sin consultoría de 50 000 euros.
El shadow IT de IA ya afecta a tu pyme
Según un estudio de Kezify publicado a principios de 2026, entre el 60 y el 80 % de las pymes francesas tienen colaboradores que usan herramientas de IA generativa sin autorización de la dirección. El fenómeno tiene nombre: shadow IT. Y no es nuevo, salvo que esta vez los datos que circulan no son un archivo Excel compartido en un Google Drive personal. Son nombres de clientes, importes de contratos, CVs de candidatos.
El problema no es la herramienta. Es la ausencia total de marco.
¿Por qué el shadow IT de IA es más peligroso que el shadow IT clásico?
Cuando un empleado usa la versión gratuita de ChatGPT, los datos introducidos pueden ser conservados indefinidamente por OpenAI y potencialmente reutilizados para entrenar el modelo. Ningún DPA protege a la empresa.
Según un estudio de la IAPP de 2025, el 80 % de las pymes europeas que usan IA generativa no han actualizado su registro de tratamientos RGPD. Si la autoridad de protección de datos llama a la puerta, ningún documento demuestra que el tratamiento fue evaluado.
Lo vi en un cliente de 45 personas: la responsable de RRHH usaba ChatGPT para preseleccionar CVs. Nombres, direcciones, menciones de discapacidad, todo pasaba por la versión gratuita. Sin base legal, sin informar a los candidatos. El día que un candidato no seleccionado ejerció su derecho de acceso RGPD, la empresa no supo responder.
RGPD y AI Act: el marco legal real para una pyme en 2026
Dos textos se aplican simultáneamente. El RGPD, en vigor desde 2018, cubre todo tratamiento de datos personales. La AI Act (Reglamento UE 2024/1689), publicada en el Diario Oficial el 12 de julio de 2024, añade una capa específica sobre inteligencia artificial.
¿Cómo saber si tu pyme es un «deployer» según la AI Act?
Si tu empresa utiliza un sistema de IA en el marco de su actividad profesional, es un «deployer» (artículo 3 de la AI Act). No necesitas desarrollar el modelo. Usar ChatGPT para redactar correos comerciales, Claude para analizar contratos o Copilot para generar código es suficiente.
Según el despacho Crescendo Avocats, los usos clasificados como alto riesgo incluyen la selección automatizada de personal, la evaluación de empleados y el scoring crediticio. Si tu pyme usa IA en alguno de estos ámbitos, las obligaciones reforzadas del 2 de agosto de 2026 te afectan directamente.
El calendario de aplicación es progresivo. Desde el 2 de febrero de 2025, las prácticas de IA prohibidas son sancionables (manipulación subliminal, scoring social). Desde el 2 de agosto de 2025, las normas sobre modelos de propósito general (GPAI) se aplican a proveedores como OpenAI o Anthropic. El 2 de agosto de 2026 activa las obligaciones para sistemas de alto riesgo: documentación técnica, supervisión humana, transparencia hacia los usuarios.
Las sanciones no son simbólicas. Hasta 35 millones de euros o el 7 % de la facturación mundial para las prácticas prohibidas. Hasta 15 millones de euros o el 3 % para el incumplimiento de las obligaciones vinculadas a sistemas de alto riesgo. La Comisión Europea buscó un efecto disuasorio comparable al del RGPD.
¿Cuál es la diferencia entre RGPD y AI Act para una pyme?
El RGPD protege los datos personales: exige una base legal, un registro de tratamientos, la información a las personas afectadas. La AI Act protege frente a los riesgos derivados de los propios sistemas de IA: sesgos discriminatorios, opacidad en las decisiones automatizadas, ausencia de supervisión humana.
Ambos textos se complementan. Si usas Claude para analizar CVs, debes cumplir el RGPD y la AI Act. Como resume Sparkana, el enfoque correcto es unificar los procesos: la evaluación de impacto (EIPD) del RGPD cubre gran parte de las exigencias de la AI Act.
ChatGPT, Claude, Copilot: ¿qué versión para datos profesionales?
Es la pregunta que me hacen 9 de cada 10 directivos. La respuesta cabe en una frase: la versión gratuita de ninguna herramienta es aceptable para datos profesionales.
¿Hay que prohibir la versión gratuita de ChatGPT en la empresa?
Sí. La versión gratuita de Claude, de Gemini o de cualquier otro LLM plantea el mismo problema: sin DPA, sin garantía sobre la localización de los datos, sin compromiso de no reutilización para el entrenamiento.
Esto es lo que ofrecen las versiones profesionales en junio de 2026:
| Criterio | ChatGPT Business | Claude for Work | Versión gratuita |
|---|---|---|---|
| Precio | 25 €/usuario/mes | Bajo presupuesto (≈ 25-30 €/us.) | 0 € |
| DPA disponible | Sí | Sí | No |
| Certificaciones | SOC 2, ISO 27001 | SOC 2 Type II | Ninguna |
| Alojamiento en la UE | Sí (opción) | Frankfurt / París | No garantizado |
| Entrenamiento con tus datos | No (garantizado) | No (zero-training) | Posible |
| Conservación de datos | Configurable | 7 a 365 días | Indefinida |
FUENTE: páginas de precios OpenAI & Anthropic · Act. 06/2026
La diferencia es clara. Con ChatGPT Business o Claude for Work, tienes un contrato de encargo de tratamiento RGPD (DPA) que compromete al proveedor. Con la versión gratuita, envías los datos de tus clientes a una caja negra sin ninguna garantía jurídica.
He detallado las diferencias funcionales entre ambas plataformas en este comparativo sin rodeos. Para la cuestión del volumen de licencias, este artículo sobre el paso de Claude Pro a Claude Team ofrece los umbrales concretos.
¿Cómo simplifica la data residency el cumplimiento del RGPD?
El RGPD exige que las transferencias de datos fuera del Espacio Económico Europeo estén reguladas (cláusulas contractuales tipo, decisión de adecuación, etc.). Cuando Anthropic ofrece alojamiento en Frankfurt o París con Claude for Work, los datos no salen de la UE. El problema de la transferencia transatlántica desaparece.
Según Lumivi (dato de Bpifrance Le Lab), el 55 % de las pymes usaban IA generativa a finales de 2025, pero la mitad a través de soluciones gratuitas sin integración. Esos usos siguen siendo no conformes.
El mejor modelo de IA en 2026 ya no es solo el más potente. Es el que puedes desplegar en una infraestructura conforme.
La checklist de cumplimiento IA para tu pyme (7 pasos)
No creo en los proyectos de cumplimiento de 50 000 euros. Creo en las acciones concretas que un directivo de pyme puede lanzar esta semana. Estos son los 7 pasos que recomiendo, basados en mis acompañamientos a través de GoLive Software.
¿Cómo empezar el cumplimiento sin presupuesto dedicado?
1. Mapear los usos de IA existentes. Envía un cuestionario interno de 5 preguntas: qué herramienta, para qué uso, qué datos, con qué frecuencia, versión gratuita o de pago. Tendrás tu diagnóstico en 48 horas.
2. Migrar a versiones profesionales. ChatGPT Business a 25 €/usuario/mes o Claude for Work. El coste es marginal comparado con el riesgo de sanción.
3. Firmar los DPA con cada proveedor. OpenAI y Anthropic ofrecen DPA descargables. Fírmalos y archívalos junto con tu registro de tratamientos.
4. Actualizar el registro de tratamientos RGPD. Añade una línea por herramienta de IA: finalidad, categorías de datos, plazo de conservación, encargado del tratamiento, lugar de alojamiento. La CNIL ofrece una plantilla gratuita.
5. Informar a las personas afectadas. Si tus empleados, candidatos o clientes ven sus datos tratados por una herramienta de IA, tu política de privacidad debe mencionarlo (artículos 13 y 14 del RGPD).
6. Evaluar el nivel de riesgo según la AI Act. Si usas IA para selección de personal, evaluación de rendimiento o scoring de clientes, estás en la categoría «alto riesgo». Documenta la supervisión humana que tienes implementada.
7. Formar a los equipos. Un correo de sensibilización de 10 líneas basta para empezar: nunca pegar datos personales en una herramienta de IA no aprobada. Recordarlo cada trimestre.
Esta checklist cubre el 90 % del riesgo para una pyme de 10 a 250 personas que usa la IA como herramienta, no como producto. Si partes de cero en la integración de IA, esta guía antidesastres sienta las bases antes siquiera de hablar de cumplimiento.
El cumplimiento como ventaja competitiva
Se lo digo a menudo a mis clientes: el cumplimiento RGPD + AI Act no es un coste. Es un argumento de venta.
¿Por qué tus clientes B2B van a exigir el cumplimiento en IA?
Las grandes empresas y las administraciones públicas incluyen cláusulas de IA en sus pliegos de condiciones: «Describa las herramientas de IA utilizadas. Aporte los DPA. Precise el lugar de alojamiento.» He visto estas cláusulas en tres licitaciones públicas en abril y mayo de 2026.
Una pyme que responde «aquí tiene nuestro registro, nuestros DPA, nuestra política de conservación» obtiene una ventaja inmediata. Es el mismo mecanismo que el RGPD en 2018: las empresas que cumplieron pronto captaron contratos.
Según Fluxcore, el 62 % de las empresas francesas temen las sanciones vinculadas al uso de la IA. Ese miedo es una señal: tus clientes potenciales buscan socios que les den confianza. Sé el que puede mostrar su marco en lugar del que improvisa.
La pyme que integra la IA de forma limpia en sus operaciones, con un marco legal claro, no pierde tiempo en cumplimiento. Gana clientes que sus competidores no saben tranquilizar.
«El cumplimiento en IA no es un proyecto más. Es la condición para que la IA siga siendo un acelerador y no se convierta en un pasivo jurídico.»
Vincent Roye, junio 2026
El 2 de agosto de 2026 no es una fecha que temer. Es un filtro que va a separar a las pymes que usan la IA en serio de las que improvisan en la sombra. Los 7 pasos descritos aquí se pueden poner en marcha en menos de una semana. El coste se limita a unas pocas licencias profesionales y un poco de rigor documental. Y la recompensa es la tranquilidad jurídica, la confianza de tus clientes y la capacidad de desplegar la IA donde realmente genera valor, sin tener que mirar por encima del hombro.
Preguntas frecuentes
¿Se puede usar ChatGPT en el trabajo legalmente en 2026?
Sí, siempre que se utilice una versión profesional (ChatGPT Business o Enterprise) con un DPA firmado, y que esté documentado en el registro de tratamientos RGPD. La versión gratuita no ofrece ninguna garantía contractual sobre la protección de datos. Un empleador que deja que sus equipos usen la versión gratuita con datos de clientes se expone a sanciones.
¿Es ChatGPT conforme al RGPD?
ChatGPT en versión Business o Enterprise ofrece un DPA, certificaciones SOC 2 e ISO 27001, y la posibilidad de alojar los datos en Europa. Estos elementos permiten construir un cumplimiento RGPD. La versión gratuita, en cambio, no ofrece DPA y puede conservar los datos indefinidamente, lo que la hace incompatible con un uso profesional que implique datos personales.
¿Qué cambia la AI Act en la práctica para una pyme?
La AI Act clasifica los sistemas de IA por nivel de riesgo. Para la mayoría de las pymes que usan herramientas como ChatGPT o Claude en tareas de oficina, las obligaciones son limitadas (transparencia, información a los usuarios). Las obligaciones más exigentes (documentación técnica, supervisión humana formalizada, marcado CE) solo afectan a los usos «alto riesgo» como la selección automatizada de personal o el scoring crediticio. La fecha clave es el 2 de agosto de 2026.
¿Qué versión de Claude o ChatGPT elegir para datos profesionales?
Claude for Work (data residency en Frankfurt/París, zero-training garantizado, conservación configurable de 7 a 365 días) o ChatGPT Business (25 €/usuario/mes, alojamiento en la UE como opción, DPA incluido). Ambas ofrecen las garantías mínimas para un uso profesional conforme. La elección entre las dos depende de tus necesidades funcionales, no del cumplimiento: las dos cubren los requisitos RGPD esenciales.
¿Cuáles son los riesgos concretos del shadow IT de IA en la empresa?
El shadow IT de IA expone a la empresa a tres riesgos: una sanción que puede alcanzar el 4 % de la facturación mundial (RGPD) o 15 millones de euros (AI Act), una fuga de datos sensibles hacia servidores fuera de la UE sin marco contractual, y la imposibilidad de responder a las solicitudes de ejercicio de derechos de las personas afectadas (acceso, supresión, portabilidad). El riesgo reputacional suele ser el más costoso en B2B.
Vidéos YouTube
- How To Protect Your AI Agents with HIPAA, PCI and GDPR · Jotform AI Agents
- If You Make AI Content, This New Law Is About You · Gcore
Articles & ressources
- AI Act août 2026 : ce que les TPE/PME françaises doivent vraiment faire · sparkana.fr
- PI & IA · AI Act : ce que les TPE et PME doivent faire avant le 2 août 2026 · crescendo-avocats.com
- IA et RGPD en PME : le guide de conformité · prizm-ia.com
- RGPD et IA pour PME : automatiser sans se mettre hors-la-loi · fluxcoregroup.com
- IA RGPD et hébergement européen PME : guide complet 2026 · lumivi.fr