ChatGPT y tus datos: ¿qué le estás compartiendo sin darte cuenta?

Desde que herramientas como ChatGPT, Copilot, Gemini, Claude o DeepSeek llegaron a las empresas, la forma en que los empleados trabajan cambió drásticamente. Hoy es muy común ver a alguien pegando un correo electrónico, un contrato o un reporte financiero en estas plataformas para que “la IA lo revise” o “lo mejore”. El problema es que muy pocas empresas se han detenido a preguntarse: ¿a dónde van esos datos?

Y esa pregunta, aunque parece sencilla, puede tener consecuencias serias para tu negocio.

Primero lo básico: ¿cómo funcionan las herramientas de IA con lo que le escribes?

Cuando un empleado escribe algo en ChatGPT u otra herramienta de inteligencia artificial, ese texto se envía a los servidores de la empresa que provee el servicio (en el caso de ChatGPT, eso es OpenAI, una empresa en Estados Unidos).

Lo que pase después con ese texto depende de varios factores:

➥Si están usando la versión gratuita o de pago sin configuración especial, esos datos pueden usarse para entrenar al modelo.

➥Si la empresa contrató una vesión empresarial con las configuraciones correctas, existe más control sobre cómo se maneja la información.

En ambos casos, los datos viajan fuera de tu red corporativa, lo que ya de por sí representa un riesgo si no está previsto en tus políticas de seguridad.

¿Qué tipo de información comparten los empleados sin darse cuenta?

Aquí no hablamos de empleados mal intencionados. En la gran mayoría de los casos, el empleado solo quiere hacer su trabajo más rápido. Pero en ese intento, comparte cosas como:

Información de clientes

➥Nombres, correos, teléfonos y detalles de cuentas que se pegan en el chat para “redactar un correo personalizado”.
➥Historial de compras o quejas que se comparten para “resumirlos”.
➥Datos de contacto de prospectos que se usan para preparar una propuesta.

Documentos internos

➥Contratos que se copian para “que la IA los revise o corrija el lenguaje”.
➥Reportes financieros que se pegan para “que los explique de forma más sencilla”.
➥Políticas internas, manuales o procedimientos confidenciales.

➥Datos de nómina o estructuras organizacionales.

➥Planes de expansión, lanzamientos de productos o negociaciones en proceso.

➥Información de proveedores, precios y condiciones comerciales.

Todo esto puede terminar fuera de tu empresa sin que nadie lo haya aprobado.

¿Qué puede pasar si esa información sale?

Depende del tipo de dato y del giro de tu negocio, pero los escenarios más comunes son:

Violación a la Ley Federal de Protección de Datos Personales Si compartes datos de tus clientes con una herramienta de IA sin haber informado de eso en tu aviso de privacidad, estás incumpliendo la ley mexicana. Eso puede derivar en multas y en responsabilidades legales frente a tus clientes.

Pérdida de ventaja competitiva Si un empleado sube tu estrategia de precios, tus planes de expansión o el detalle de tus contratos, esa información ya no está solo dentro de tu empresa.

Daño a la relación con clientes Si un cliente se entera de que sus datos fueron compartidos con una IA sin su consentimiento, la confianza se rompe. Y recuperarla cuesta mucho más que haberlo evitado.

Problemas con socios comerciales o certificaciones Si tu empresa está sujeta a acuerdos de confidencialidad o está buscando certificaciones como ISO 27001, el uso no controlado de herramientas de IA puede ser un punto en contra.

En 2023, Samsung tuvo un incidente que dio mucho de qué hablar: varios de sus ingenieros usaron ChatGPT para depurar código confidencial y subieron información interna sensible a la plataforma. El resultado fue que la empresa tuvo que restringir el uso de estas herramientas de forma inmediata y revisar toda su política tecnológica.

Samsung es una empresa con miles de empleados y recursos para reaccionar. ¿Tu empresa está preparada para hacer lo mismo?

¿Qué puede hacer tu empresa al respecto?

La buena noticia es que esto tiene solución. No se trata de prohibir el uso de la IA, porque eso es perder la pelea antes de empezarla. Se trata de usarla de forma ordenada.

1. Define una política de uso de herramientas de IA

Tus empleados necesitan saber qué pueden y qué no pueden hacer con estas herramientas. Eso incluye qué tipo de información está permitido ingresar, cuáles plataformas están autorizadas y en qué contexto se puede usar.

2. Evalua si necesitas una versión empresarial

Herramientas como ChatGPT Enterprise, Copilot for Microsoft 365 o versiones privadas de modelos de IA ofrecen garantas de que los datos no se usan para entrenamiento y que se manejan dentro de entornos controlados. No es lo mismo usar la versión gratuita que una contratada correctamente.

3. Capacita a tus equipos

La mayoría de los empleados que comparten información sensible con IA no lo hacen con mala intención: simplemente no saben que es un problema. Una sesión de concientización puede reducir significativamente el riesgo.

4. Implementa controles técnicos

Existen herramientas de seguridad (como soluciones DLP) que permiten detectar cuando un empleado está enviando información confidencial a sitios externos, incluyendo plataformas de IA. Esto no reemplaza la política, pero ayuda a hacer cumplirla.

5. Revisa tu aviso de privacidad

Si tu empresa usa IA en procesos que involucran datos de clientes, eso debe estar reflejado en tu documentación legal. Tu aviso de privacidad debe actualizarse para ser transparente con tus clientes sobre cómo se maneja su información.

En este momento, ¿tus empleados usan ChatGPT u otras herramientas de IA para hacer su trabajo?

Si la respuesta es sí, o si simplemente no lo sabes, es el momento de revisar cómo lo están haciendo. No para castigar a nadie, sino para proteger a tu empresa, a tus clientes y a los mismos empleados que solo querían trabajar más rápido.

La inteligencia artificial llegó para quedarse y eso no es malo. Lo malo es ignorar los riesgos que trae consigo cuando no se gestiona bien.

#ciberseguridad #inteligenciaartificial #protecciondedatos #chatgpt #ia