Qué datos puedes subir a ChatGPT en tu empresa (y cuáles no deberías subir nunca)

La semana que muchos equipos intentan usar la IA en el trabajo, alguien hace la misma pregunta: "¿pero qué le puedo pegar aquí sin problema?". Y si nadie sabe responder, la herramienta se cierra y no se vuelve a abrir.

Ese momento de duda paraliza más que cualquier dificultad técnica. Y tiene sentido: el miedo a cometer un error con datos de clientes o información confidencial es legítimo. El problema es que, sin una respuesta clara, el miedo se convierte en excusa para no empezar.

Aquí tienes esa respuesta. Sin tecnicismos, con ejemplos concretos, y con una regla que cualquier persona de tu equipo puede aplicar en dos segundos.

El riesgo real, sin exagerarlo ni minimizarlo

Cuando pegas algo en ChatGPT u otra IA pública, ese texto puede ser usado por el proveedor para entrenar o mejorar sus sistemas. No en todos los casos y hay formas de desactivarlo, pero ese es el principio de partida.

Lo que eso significa en la práctica: si subes información que pertenece a otra persona (tu cliente, tu empleado, tu proveedor) y esa persona no lo sabe ni lo ha autorizado, estás asumiendo un riesgo. Si subes información que tu empresa no debería compartir fuera (contratos, condiciones comerciales reservadas, datos de acceso), también.

El problema no es que la IA sea insegura. El problema es que algunos datos no son tuyos para compartir sin más. Esa distinción lo cambia todo, porque la mayoría de lo que haces en el día a día no tiene ningún problema para llegar a una IA, y el riesgo aparece en un conjunto mucho más acotado de lo que parece.

Lo que no debes subir a una IA pública

Cuatro categorías con ejemplos concretos:

Datos personales de clientes o contactos. Nombres completos con contexto identificable, emails, teléfonos, DNI, números de contrato. Si tienes una lista de clientes con sus datos de contacto, no la pegues en el chat para analizarla, aunque solo quieras contar cuántos son de una ciudad concreta.

Contenido sujeto a confidencialidad. Contratos firmados, propuestas con condiciones comerciales específicas, acuerdos de confidencialidad, negociaciones en curso. Si el documento tiene una cláusula de confidencialidad, esa cláusula también aplica a los chatbots de IA.

Datos financieros sensibles. Cuentas bancarias, estados financieros con cifras reales, datos de nóminas. No porque la IA vaya a "robarlos", sino porque no son datos tuyos para compartir libremente.

Credenciales y datos de acceso. Contraseñas, claves de API, tokens. Parece obvio, pero ocurre: alguien pega un bloque de código que lleva sus credenciales dentro para que la IA lo revise.

Para calibrar el riesgo sin abstractos: el Reglamento General de Protección de Datos prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global por infracciones graves. No digo que vayas a enfrentarte a eso por un error puntual, pero sí que el marco legal ya aplica a tu empresa y que el riesgo tiene nombre concreto.

Lo que sí puedes usar sin preocuparte

Y ahora la otra cara, que es la que menos se cuenta. La mayor parte de lo que haces en el día a día puede llegar a la IA sin ningún problema:

• Borradores de correos o textos en los que solo pones el contexto general, sin datos de una persona concreta. "Escríbeme un correo para un cliente que se quejó de un retraso en la entrega" no expone a nadie.
• Documentos internos que no contienen datos personales ni información confidencial: procedimientos, guías, manuales, fichas de producto.
• Preguntas sobre procesos generales. "Cómo puedo organizar mejor el seguimiento de presupuestos en una empresa pequeña" no sube nada sensible.
• Textos de marketing, propuestas de valor o descripciones de servicio que ya son o van a ser públicos.
• Datos anonimizados: si tienes información real pero eliminas los nombres y datos identificativos, el riesgo cae drásticamente.

La regla de fondo es esta: si el texto, al leerlo, no permite identificar a ninguna persona concreta y no contiene nada que tu empresa deba mantener reservado, puedes usarlo sin preocuparte.

La regla de los dos segundos (cómo lo hago yo)

Cuando alguien de mi equipo va a pegar algo en una IA, aplicamos una sola pregunta antes de hacerlo:

"Si alguien ajeno a la empresa pudiera leer esto, ¿habría algún problema?"

Si la respuesta es sí, o si hay la mínima duda, no se pega tal cual. Se anonimiza primero o se reformula la pregunta para no necesitar pegar ese contenido.

Anonimizar es más sencillo de lo que parece. Ejemplo: tienes un correo de un cliente del que quieres mejorar la respuesta. En lugar de pegar el correo original con nombre, empresa y número de pedido real, escribes algo así: "Cliente del sector distribución, reclama retraso de dos semanas en pedido de material de oficina, tono molesto pero sin amenaza de cancelación". La IA no necesita el nombre real para ayudarte a escribir una buena respuesta. Y tú acabas de eliminar el riesgo en diez segundos.

Este pequeño paso, repetido como hábito, reduce casi todo el riesgo práctico sin coste ninguno.

Qué hacer si necesitas trabajar con datos reales

Si tu trabajo requiere manejar volúmenes de datos que sí son sensibles, la IA pública no es la herramienta adecuada tal como está configurada por defecto.

Hay dos alternativas concretas:

La primera son las versiones de empresa de estas herramientas. ChatGPT Team o Enterprise, Claude for Work. En estos planes, los datos no se usan para entrenar los modelos y hay garantías contractuales de privacidad. No son gratuitas, pero su coste suele estar muy por debajo de lo que ahorran en tiempo.

La segunda es ajustar la forma de trabajar: en lugar de subir el dato real, describes el problema con datos inventados o anonimizados, y la IA te ayuda con el proceso, no con el dato concreto. Para la mayoría de tareas del día a día, esta opción es suficiente y no requiere cambiar de herramienta.

Una política de uso en tres reglas para tu equipo

Si quieres que tu equipo use la IA bien y sin riesgos, no necesitas un documento legal de treinta páginas. Necesitas tres reglas que cualquiera pueda recordar:

1. Antes de pegar cualquier texto, pregúntate si habría problema si lo leyera alguien de fuera. Si hay duda, no lo pegues tal cual: anonimiza primero.
2. Los datos personales de clientes, empleados o proveedores no se suben a herramientas públicas de IA. Nunca, ni "solo un momento" ni "para una sola cosa".
3. Si el trabajo requiere manejar datos sensibles de verdad, se usa la versión de empresa de la herramienta o se consulta cómo hacerlo antes de empezar.

Tres reglas. Caben en un papel pegado al monitor. Y cubren el 95% del riesgo práctico que tiene una pyme al usar IA en el día a día.

Ahora ya tienes la respuesta

Usar la IA en tu empresa no requiere ignorar la privacidad. Requiere saber qué es sensible y qué no, y aplicar una pregunta sencilla antes de pegar. La mayoría del trabajo diario de una pyme no tiene ningún problema para usarla: borradores, textos generales, preguntas sobre procesos. El riesgo aparece con datos personales e información confidencial, y ese riesgo se gestiona con tres reglas que tu equipo puede aprender en cinco minutos.

Si ya has leído cómo empezar a usar la IA en tu pyme, tienes el método para dar el primer paso. Ahora tienes también las reglas para hacerlo sin meter la pata con los datos.

Y si quieres que tu equipo aprenda a usar la IA con criterio propio, sin depender de reglas que alguien les dice pero que nadie entiende del todo, eso es justo lo que trabajamos en la formación práctica.

La pregunta con la que me gustaría que te quedaras: ¿saben en tu empresa, en la práctica, qué se puede pegar en una IA y qué no? No la política en abstracto. Lo que haría un empleado mañana por la mañana.