Saltar al contenido
AI Your AI Skills Lab
Newsletter
🟢 Foundation

LGPD/protección de datos + IA: lo que cambia en la rutina del gestor en 2026

Guía operativa de protección de datos aplicada al uso corporativo de IA generativa — cuando dato de empleado o cliente entra en el prompt, qué sale de control y cómo mitigar.

· 9 min · ai-governance

Las leyes de protección de datos (LGPD en Brasil, GDPR en Europa, LFPDPPP en México, equivalentes en otros países) están en vigencia hace años, pero recién se volvieron problema operativo en 2024-2025, cuando los empleados empezaron a pegar fragmentos de email con nombre de cliente en ChatGPT personal. En 2026, el punto ya no es “vamos a usar IA” — es “cómo usamos IA sin volvernos caso de regulador”.

Esta guía cubre lo que cambia en la rutina práctica. No es dictamen jurídico — es checklist operativo. Para dictamen formal, habla con tu DPO o abogado.

La pregunta que pesca a todos

“Cuando un empleado pega dato personal de cliente en el Copilot/Claude/ChatGPT corporativo, ¿eso es tratamiento de dato bajo la ley?”

Respuesta corta: sí. Tratamiento es cualquier operación con dato personal — incluye transferencia a tercero. El proveedor del LLM es operador. Tu empresa es controlador.

Implicaciones:

  • Necesitas base legal.
  • El operador necesita contrato con cláusulas adecuadas.
  • El dato personal no puede salir del alcance de la finalidad declarada.
  • El titular puede pedir aclaración sobre el tratamiento.

Los 6 escenarios comunes y qué hacer

Escenario 1 · Empleado usa LLM personal

El vendedor pega descripción de oportunidad con nombre+CNPJ del cliente en ChatGPT free. Riesgo: el dato del cliente fue al proveedor sin contrato con tu empresa. Filtración técnica. El regulador lo ve como falla de gobernanza del controlador.

Mitigación: política escrita de uso de IA, capacitación obligatoria, plataforma corporativa licenciada con cláusulas adecuadas. Bloqueo técnico de LLMs free en firewall corporativo donde sea posible.

Escenario 2 · LLM corporativo con retención habilitada

Contrataste Copilot Empresa, pensaste que estaba resuelto. Pero los tiers free vs enterprise tienen políticas de retención diferentes — algunos usan prompt para mejorar modelo, otros no. Lo mismo en Anthropic, OpenAI, Google.

Mitigación: lee el contrato línea por línea sobre retención, training opt-out, región (dónde se procesa el dato). Procesamiento cross-border típicamente requiere garantías adecuadas.

Escenario 3 · RAG con dato personal indexado

Creaste chatbot interno que responde sobre clientes desde tu CRM. El modelo lee el registro del cliente en tiempo real. Riesgo: dato personal queda accesible a cualquier empleado que pregunte al bot — puede violar finalidad y necesidad.

Mitigación: control de acceso en RAG. Si el vendedor X no tiene permiso para ver dato del cliente Y, el RAG no puede entregar vía chatbot. ACL es tan importante como el modelo.

Escenario 4 · Agente automatiza envío de comunicación

El agente compone y dispara email con nombre del cliente. Riesgo: alucinación en el cuerpo del email (cliente recibe email con nombre equivocado, ofensivo o info de otro cliente). Es filtración por confusión de contexto.

Mitigación: durable pause en envíos a clientes (capa 7 del Harness Stack). Incluso en producción, el agente no envía a cliente externo sin confirmación humana. Para envío interno, ok.

Escenario 5 · Análisis de llamada de atención por IA

Grabas la llamada de atención al cliente, transcribes por IA, analizas calidad. Riesgo: la grabación contiene dato personal; la transcripción IA procesa y potencialmente almacena. Necesitas consentimiento u otra base legal explícita.

Mitigación: comunicación clara al cliente. Política de retención de la transcripción. No compartas la transcripción con proveedor sin cláusula adecuada.

Escenario 6 · CV procesado por IA en reclutamiento

La IA prefiltra candidato. Riesgo específico: dato personal sensible (origen racial, religión, salud) entra en decisión automatizada. Foco intenso del regulador 2025-2026. La mayoría de las jurisdicciones garantiza derecho a revisión humana.

Mitigación: IA genera ranking, humano decide. Documentar criterio de la IA (auditability). No puede haber decisión automatizada sin revisión humana accesible.

El checklist operativo

Antes de habilitar IA en flujo que toca dato personal:

  • Base legal mapeada (¿qué artículo aplica?)
  • Contrato con operador (proveedor LLM) con cláusulas adecuadas
  • Política interna de uso de IA escrita y comunicada
  • Capacitación obligatoria de los usuarios
  • Logging de quién usó IA con qué dato, cuándo
  • DPO al tanto y DPIA hecho para flujos críticos
  • Derechos del titular (acceso, corrección, eliminación) atendibles
  • Plan de respuesta a incidente con plazo de notificación al regulador

La trampa de quien vende

El proveedor puede decir “nuestro modelo no retiene dato”. Verdad técnica en algunos tiers. Pero la protección de datos no es solo sobre retención — es sobre tratamiento. Incluso procesamiento transitorio es tratamiento. Pregunta:

  • ¿Dónde se procesa el dato geográficamente?
  • ¿Hay entrenamiento adicional con nuestro dato, incluso agregado?
  • ¿Qué log mantiene el proveedor sobre nuestros prompts?
  • En incidente del proveedor, ¿cuál es el protocolo de notificación?
  • ¿Dónde está la cláusula del contrato que cubre todo esto?

Dónde profundizar

Para el lado de riesgo técnico (prompt injection que filtra dato), lee Prompt Infection Taxonomy. Para gobernanza de delegación, Agent Trust Stack. Para ejemplos de IA jurídica brasileña con LGPD-by-design.