Política de privacidad e IA: checklist para pymes
Checklist para revisar privacidad cuando una pyme usa IA: datos personales, finalidad, proveedores, información, seguridad y límites.
Actualizado el
Política de privacidad e IA: checklist para pymes
Usar IA en una empresa no implica automáticamente cambiar toda la política de privacidad. Pero sí obliga a revisar si la empresa está tratando datos personales de otra forma, con nuevos proveedores, nuevas finalidades o nuevos riesgos.
Esta guía no es asesoramiento legal. Es un checklist para detectar cuándo una pyme debe revisar su información de privacidad antes de usar herramientas de IA en marketing, ventas, soporte, RRHH, operaciones o análisis de datos.
La AEPD publicó una guía sobre la adecuación al RGPD de tratamientos que incorporan inteligencia artificial, orientada a responsables, desarrolladores y encargados que incorporan componentes de IA en tratamientos de datos. El punto de partida es claro: si hay datos personales, hay que pensar desde protección de datos.
La AEPD también recomienda informar por capas en su apartado sobre deber de información, con una primera capa resumida y una segunda más detallada. Esto encaja especialmente bien cuando explicas IA: primero claridad, luego detalle.
Resumen
Esto no sustituye una revisión legal, fiscal, de seguridad o profesional del caso concreto: depende del tipo de empresa, datos tratados, obligaciones aplicables y procesos internos.
Una política de privacidad relacionada con IA debe explicar usos reales, no cubrirse con frases genéricas. La pyme necesita saber qué datos entran en herramientas de IA, con qué finalidad, bajo qué proveedor y qué controles internos existen.
Paso 1: identifica si hay datos personales
Antes de hablar de IA, pregunta qué datos entran.
Ejemplos:
| Caso | Puede haber datos personales |
|---|---|
| resumir emails de clientes | sí |
| analizar tickets de soporte | sí |
| redactar posts sin datos de clientes | normalmente no |
| clasificar leads con CRM | sí |
| generar ideas internas anónimas | depende |
| analizar CVs | sí, y con riesgo alto |
Si una persona puede ser identificada directa o indirectamente, no lo trates como dato neutro.
Paso 2: define finalidad
La política debe explicar para qué se tratan los datos. “Usar IA” no es una finalidad suficiente.
Mejor:
- responder consultas de clientes
- priorizar solicitudes
- resumir conversaciones
- generar borradores
- clasificar incidencias
- analizar satisfacción
- mejorar procesos internos
Cada finalidad debe tener base, límites y datos adecuados. Si no sabes para qué usas IA, no puedes informar bien.
Paso 3: revisa proveedor y rol
La herramienta de IA puede actuar como proveedor, encargado, subencargado o servicio bajo condiciones específicas. Revisa:
- términos de servicio
- tratamiento de datos
- ubicación o transferencias
- retención
- entrenamiento con datos
- controles de empresa
- seguridad
- posibilidad de borrar o exportar
No uses cuentas personales para procesos de empresa con datos de clientes o empleados.
Paso 4: minimiza datos
No metas más datos de los necesarios en la herramienta.
Antes de usar IA:
- elimina nombres si no aportan
- sustituye datos por categorías
- evita documentos completos si basta un fragmento
- no pegues credenciales
- no subas datos sensibles sin revisión
- separa ejemplos ficticios de casos reales
La IA funciona mejor con contexto, pero contexto no significa volcar toda la base.
Paso 5: informa con claridad
La política o información de privacidad debe ser comprensible.
Puede explicar:
| Elemento | Pregunta |
|---|---|
| Finalidad | para qué se usa IA |
| Datos | qué categorías se tratan |
| Base | qué justifica el tratamiento |
| Proveedor | si hay terceros relevantes |
| Derechos | cómo ejercerlos |
| Seguridad | controles básicos |
| Decisiones automatizadas | si existen o no |
Evita lenguaje grandilocuente. Mejor una explicación concreta y limitada.
Paso 6: cuidado con decisiones automatizadas
Si la IA influye en decisiones sobre personas, sube el riesgo.
Ejemplos sensibles:
- selección de candidatos
- evaluación de empleados
- concesión de crédito
- priorización de clientes con consecuencias relevantes
- scoring comercial opaco
- decisiones de acceso a servicios
En esos casos, pide revisión legal y técnica. No conviertas sugerencias del modelo en decisiones automáticas sin control humano.
Paso 7: crea una política interna de uso
Además de la política pública, una pyme necesita reglas internas.
Incluye:
- qué datos no se pueden introducir
- qué herramientas están permitidas
- cuándo usar cuenta empresarial
- quién aprueba nuevos casos de uso
- cómo revisar resultados
- cómo reportar incidentes
- cómo documentar prompts o flujos recurrentes
Una buena política interna evita que cada empleado improvise.
Paso 8: revisa periódicamente
La IA cambia rápido. Revisa cada trimestre o semestre:
- nuevas herramientas
- nuevos usos
- cambios de proveedor
- datos tratados
- incidentes o errores
- reclamaciones
- resultados incorrectos
- necesidad de evaluación de impacto
No basta con escribir una política una vez.
Paso 9: valora riesgo y EIPD
La AEPD explica en su página sobre evaluaciones de impacto que, con carácter general, debe realizarse una EIPD cuando el tratamiento implique alto riesgo para los derechos y libertades de las personas físicas.
Señales de riesgo alto:
- datos sensibles
- evaluación de personas
- decisiones con efectos relevantes
- tratamiento masivo
- perfiles detallados
- datos de menores
- biometría
- vigilancia o monitorización
Si aparece alguna de estas señales, no basta con actualizar una política. Hay que revisar el caso de uso, riesgos, necesidad, proporcionalidad y medidas.
Paso 10: crea un registro de casos de uso
Una tabla sencilla puede ayudar:
| Caso de uso | Datos | Proveedor | Finalidad | Responsable | Riesgo |
|---|---|---|---|---|---|
| Resumir tickets | datos de clientes | herramienta aprobada | soporte | operaciones | medio |
| Redactar posts | sin datos personales | IA generativa | marketing | marketing | bajo |
| Analizar CVs | candidatos | proveedor X | selección | RRHH | alto |
Este registro permite saber qué se está usando, quién lo controla y qué necesita revisión.
Paso 11: evita textos demasiado amplios
Evita frases como:
- “usamos IA para mejorar nuestros servicios”
- “podremos tratar sus datos con tecnologías avanzadas”
- “automatizamos procesos internos”
Mejor:
- “podemos usar herramientas de IA para generar borradores de respuesta que revisa una persona”
- “podemos resumir consultas de soporte para priorizar incidencias”
- “no usamos IA para tomar decisiones automatizadas con efectos jurídicos”
La transparencia mejora cuando el texto describe usos reales, no posibilidades genéricas.
Ejemplo de redacción prudente
Ejemplo mejorable:
Usamos inteligencia artificial para mejorar nuestros servicios.
Ejemplo más claro:
Podemos utilizar herramientas de inteligencia artificial para generar borradores internos, resumir consultas o clasificar solicitudes. Estos resultados son revisados por personas de nuestro equipo antes de tomar decisiones o responder al cliente.
Si hay decisiones automatizadas, datos sensibles o evaluación de personas, el texto debe ser mucho más específico y revisado por especialistas.
Qué no debe prometer la política
Evita prometer:
- que la IA nunca comete errores
- que todos los datos están anonimizados si no es cierto
- que no hay terceros si usas proveedores
- que no hay decisiones automatizadas si existe scoring relevante
- que la seguridad es absoluta
Una política honesta no asusta; aclara límites.
También protege a la empresa: si el texto promete más control del que existe, crea una expectativa que luego será difícil sostener.
Errores frecuentes en una política de privacidad con IA
| Error | Riesgo |
|---|---|
| usar cuentas personales | falta de control |
| subir datos sensibles sin revisión | exposición |
| no informar finalidades | falta de transparencia |
| confiar en respuestas sin validar | decisiones erróneas |
| no limitar proveedores | dispersión de datos |
| automatizar decisiones sobre personas | riesgo alto |
| no documentar casos de uso | imposible auditar |
Checklist
| Revisión | Hecho |
|---|---|
| Datos personales identificados | |
| Finalidad concreta definida | |
| Proveedor revisado | |
| Retención y entrenamiento revisados | |
| Datos minimizados | |
| Política/información actualizada | |
| Decisiones automatizadas revisadas | |
| Política interna creada | |
| Revisión periódica definida | |
| Registro de casos de uso creado | |
| Riesgo/EIPD valorado |
Preguntas frecuentes
¿Qué puede variar según la pyme?
No siempre. Depende del tipo de actividad, datos tratados, canales usados, proveedores, clientes y herramientas conectadas. Por eso conviene revisar el caso concreto antes de copiar una plantilla o activar una solución genérica.
¿Este artículo sustituye asesoramiento legal o técnico?
No. Sirve para ordenar criterios, detectar riesgos y preparar una revisión más informada. Si hay obligaciones legales, datos personales, seguridad o accesibilidad con impacto real, conviene validarlo con especialistas.
¿Qué debería documentar una pyme desde el principio?
Debería documentar qué se ha revisado, quién es responsable, qué herramientas intervienen, qué decisiones se han tomado y cuándo se volverá a comprobar. Esa trazabilidad evita que el cumplimiento dependa de memoria o de una configuración olvidada.
Siguiente paso para una política de privacidad con IA
La privacidad en IA empieza con una pregunta sencilla: qué datos entran, para qué y bajo qué control. Si eso no está claro, conviene ordenar antes de desplegar herramientas por toda la empresa.
Si quieres revisar casos de uso de IA, datos y proveedores antes de escalar, podemos verlo en un diagnóstico inicial con Intención.