the art of being legal


¿Es legal usar IA en la empresa con datos de clientes o empleados?

¿Es legal usar IA en la empresa con datos de clientes o empleados?
8:02

Si su empresa utiliza ChatGPT, Claude, Gemini o Copilot para redactar correos, resumir contratos o preparar análisis internos y a estas alturas, casi todas lo hacen, aunque no siempre con conocimiento de la dirección, hay una sentencia reciente de Estados Unidos que conviene conocer antes de seguir adelante. No porque vaya a aplicarse en España (no lo hará), sino porque ilustra con claridad un problema que el RGPD ya regula desde 2018 y que la mayoría de empresas pueden que esten ignorando.

JOS circle 2026Redactado por Josep Conesa

Abogado laboral y concursal

Saber más

¿Qué dice el caso Heppner sobre el uso de IA y la confidencialidad?

El caso Heppner no dice que usar IA destruya siempre la confidencialidad. Lo relevante es que el uso de una herramienta de IA consumer, sin dirección letrada y sin expectativa clara de confidencialidad, puede impedir invocar la protección del secreto profesional.

El 17 de febrero de 2026, el juez Jed Rakoff (Tribunal Federal del Distrito Sur de Nueva York) dictó sentencia en United States v. Heppner, un caso de fraude bursátil. El acusado había usado Claude en su versión consumer la gratuita, accesible para cualquiera para generar análisis legales por su cuenta, sin instrucción de sus abogados. Cuando el FBI incautó sus dispositivos y encontró esos documentos, la defensa invocó el secreto profesional abogado-cliente.

El juez lo rechazó. Y los titulares que circularon por redes "un juez federal declara que usar IA destruye el secreto profesional" son falsos, o al menos profundamente inexactos.

Lo que la sentencia dice en realidad es mucho más estrecho:

  1. La IA no es abogado: no puede establecer relación abogado-cliente.
  2. No había expectativa de confidencialidad: los términos de uso de la versión consumer permiten que el proveedor use los datos para entrenar modelos y compartirlos con terceros. Introducir información sensible ahí equivale a divulgarla.
  3. No actuaba bajo dirección letrada: lo hizo por iniciativa propia, no como herramienta auxiliar de su abogado.

El propio juez Rakoff apunta que si el abogado hubiera dirigido el uso de la herramienta, el resultado podría haber sido distinto bajo la doctrina Kovel (que extiende el privilegio a peritos, traductores y otros auxiliares del letrado).

¿Por qué este caso importa si su empresa usa IA en España?

Este caso importa en España porque plantea un problema equivalente bajo el RGPD: cuando una empresa entrega datos personales a una herramienta de IA sin contrato, sin instrucciones documentadas y sin garantías sobre el tratamiento, puede estar incumpliendo sus obligaciones de protección de datos.

España no tiene "attorney-client privilege" en el sentido anglosajón, pero sí tiene secreto profesional (art. 542.3 LOPJ, art. 32 EGA) y, sobre todo, tiene RGPD. Y la lógica del caso Heppner es exactamente la misma que la del RGPD: si usted entrega datos personales a un tercero sin un marco contractual que regule cómo va a tratarlos, está incumpliendo la ley.

Cuando un empleado pega en ChatGPT el currículum de un candidato, las nóminas de un trabajador, un contrato con datos del cliente o el historial médico de alguien, está transfiriendo datos personales a un encargado del tratamiento. Y ese tratamiento, sin contrato, es ilícito.

¿Cuándo necesita una empresa española un DPA (Data Processing Agreement) para usar herramientas de IA?

Una empresa necesita un DPA cuando utiliza una herramienta de IA para tratar datos personales por cuenta de la organización, especialmente si introduce datos de clientes, empleados, candidatos, proveedores o terceros identificables.

DPA  como pieza clave en españa: el artículo 28 del RGPD obliga a que toda relación entre un responsable del tratamiento (su empresa) y un encargado del tratamiento (el proveedor de IA, de cloud, de email marketing, etc.) esté regulada por un contrato escrito. Ese contrato se llama DPA Data Processing Agreement, o Acuerdo de Encargo de Tratamiento y debe cubrir, como mínimo:

  • Finalidad, duración, naturaleza y objeto del tratamiento.
  • Categorías de datos personales y de interesados afectados.
  • Obligación de confidencialidad y medidas técnicas de seguridad.
  • Prohibición de subcontratar sin autorización (régimen de subencargados).
  • Tratamiento de transferencias internacionales (cláusulas tipo de la Comisión Europea cuando los datos salen del EEE).
  • Asistencia ante derechos de los interesados y notificación de brechas.
  • Destino de los datos al finalizar el contrato (devolución o supresión).
  • Auditorías y obligaciones de información.

Sin DPA, su empresa está expuesta a sanciones de la AEPD que pueden llegar al 4% de la facturación global anual o 20 millones de euros, lo que sea mayor.

¿Puede una empresa usar ChatGPT gratuito con datos de clientes, empleados o candidatos?

No. Una empresa no debería usar ChatGPT gratuito ni otras herramientas consumer de IA con datos de clientes, empleados o candidatos si no existe un DPA firmado, garantías de confidencialidad y control sobre el tratamiento de esos datos.

Aquí está el problema concreto. Cuando un empleado abre chat.openai.com con su cuenta personal o gratuita y pega ahí información de clientes, su empresa:

  • No tiene contrato firmado con OpenAI como encargado del tratamiento.
  • No controla si esos datos se usan para entrenar modelos.
  • No tiene garantías sobre dónde se almacenan ni durante cuánto tiempo.
  • No puede demostrar ante una inspección de la AEPD que cumple el art. 28 RGPD.

Es, exactamente, el escenario de Heppner: uso de una herramienta consumer, sin marco contractual, con datos sensibles. La diferencia es que en España el problema no es solo perder el secreto profesional en un juicio: es una infracción administrativa directa.

¿Qué garantías aportan las versiones empresariales de IA?

Las versiones empresariales de IA pueden aportar las garantías que no existen en el uso consumer: DPA, compromisos de no entrenamiento con datos del cliente, medidas de seguridad, control sobre subencargados, opciones de conservación de datos y mecanismos para gestionar transferencias internacionales.

Los planes Enterprise, Team o API de los principales proveedores (Anthropic, OpenAI, Microsoft, Google) sí ofrecen DPA. Anthropic, por ejemplo, incorpora su DPA por referencia en los Commercial Terms y se compromete contractualmente a:

  • No entrenar modelos con los datos del cliente.
  • Aplicar cifrado en tránsito y en reposo.
  • Permitir configuraciones de Zero Data Retention (ZDR) para flujos sensibles.
  • Ofrecer despliegues regionales (por ejemplo, Bedrock en la UE) para evitar transferencias internacionales problemáticas.

Eso convierte el tratamiento en lícito bajo el RGPD. No automáticamente siguen siendo necesarias evaluaciones de impacto (DPIA) cuando proceda, registros de actividades y formación interna pero al menos la base contractual existe.

¿Qué pasos debe seguir una empresa española antes de usar IA con datos personales?

Antes de usar IA con datos personales, una empresa española debería identificar qué herramientas se usan, prohibir versiones gratuitas para datos sensibles, contratar proveedores con DPA, actualizar su registro de actividades, valorar si necesita una DPIA y formar a sus equipos.

  1. Auditar qué herramientas de IA se están usando realmente. No las que la dirección cree que se usan: las que se usan. Suelen ser más, y suelen estar en cuentas personales.
  2. Bloquear el uso de versiones gratuitas para datos de clientes, empleados o proveedores. Es una política interna sencilla de redactar y de comunicar.
  3. Contratar planes empresariales con DPA firmado para los proveedores que la organización vaya a usar de forma estable. Conserve copia del DPA firmado: es la primera prueba que pedirá la AEPD en una inspección.
  4. Actualizar el registro de actividades de tratamiento (RAT) incluyendo a los nuevos encargados (OpenAI, Anthropic, Microsoft 365 Copilot, etc.).
  5. Evaluar si procede una DPIA (evaluación de impacto). En tratamientos con datos de categorías especiales salud, datos laborales sensibles, perfilado a gran escala es obligatoria.
  6. Formar al equipo. La mayoría de las brechas de datos vinculadas a IA no proceden de ataques, sino de empleados bien intencionados pegando información donde no deberían.
  7. Revisar los contratos con clientes. Si su empresa trata datos de terceros por cuenta de un cliente (típico en consultoras, gestorías, agencias), y va a usar IA en ese tratamiento, necesita el visto bueno del cliente y posiblemente actualizar el propio DPA que tiene firmado con él.

La conclusión

El caso Heppner no dice que la IA sea incompatible con la confidencialidad. Dice que usar herramientas consumer sin marco contractual sí lo es. En Estados Unidos eso se traduce en perder el privilegio en un juicio. En España se traduce, además, en una infracción del RGPD con consecuencias económicas inmediatas.

La buena noticia es que el problema tiene solución técnica y jurídica conocida: planes empresariales, DPA firmados, políticas internas claras y formación. Las empresas que den ese paso ahora estarán en mejor posición legal y competitivamente que las que sigan haciendo como si el problema no existiera.

La IA en el entorno empresarial no es el riesgo. El riesgo es usarla como si fuese un buscador de internet, cuando jurídicamente es un encargado del tratamiento al que estamos entregando datos personales todos los días.

Si necesita asesoramiento Conesa Legal puede ayudarle con profesionales propios que están implementado la IA teniendo en cuenta el RGPD (LLM CLI, Openclaw, Ollama, etc.), como con colaboradores expertos en materia de protección de datos:

CONTACTAR

Fecha de publicación: 5 junio 2026

Última actualización: 5 junio 2026

Protección de Datos
Josep Conesa Sagrera

Josep Conesa Sagrera

Josep Conesa es abogado laboralista y habla tanto español como inglés. Además, cuenta con un máster en Derecho Europeo y Derechos Fundamentales. A lo largo de los años, nuestro despacho ha gestionado todo tipo de despidos, así como accidentes laborales y negociaciones colectivas. Estaremos encantados de ayudarte legalmente, siempre que sea posible, en tu propio idioma.

+ Info Josep Conesa Sagrera

Buscar

    Entradas Recientes

    Categorías

    Ver todo

    © Conesa Legal, S.L.P.U.