¿Qué datos no deben introducirse nunca en ChatGPT?

Datos personales identificables (nombres, DNI, salarios), información confidencial de clientes y proveedores, secretos comerciales y cualquier documentación cubierta por un acuerdo de confidencialidad, salvo que uses una cuenta de empresa con garantías contractuales y encargo de tratamiento firmado.

¿La empresa o el empleado responde si algo sale mal?

Frente a clientes y autoridades responde la empresa como responsable del despliegue y del tratamiento de datos. Internamente puede haber consecuencias laborales para el empleado si incumplió una política de uso clara, pero por eso esa política debe existir y estar comunicada.

¿Cómo cubro a mi empresa si quiero permitir el uso de IA?

Con cuatro medidas: una política de uso de IA por escrito, formación del Artículo 4 documentada, una herramienta contratada con garantías (no entrenamiento, ubicación de datos, encargo de tratamiento) y revisión jurídica obligatoria de los contratos antes de usarlos.

¿Sirve la versión gratuita de ChatGPT para uso profesional?

Para tareas sin datos sensibles puede valer, pero para contratos no es recomendable: las versiones gratuitas suelen permitir el uso de tus datos para entrenar el modelo y no ofrecen las garantías contractuales que exige tratar información confidencial o personal.

Herramientas

¿Qué pasa con mi empresa si mis empleados usan ChatGPT para redactar contratos?

Especialista jurídico en IA — Summons·2 de abril de 2026·10 min

Cuando un empleado usa ChatGPT u otra IA generativa para redactar o revisar contratos, tu empresa actúa como responsable del despliegue de un sistema de IA: respondes del uso, de la formación de la plantilla (Artículo 4 del AI Act) y de la protección de los datos personales y confidenciales que se introducen en la herramienta.

La pregunta que de verdad estás haciendo

La duda real no es «¿es legal usar ChatGPT?» —sí lo es—, sino «¿de qué respondo yo como empresa si mi equipo lo usa para algo tan sensible como un contrato?». La respuesta corta: respondes de bastante. Un contrato concentra datos personales (nombres, DNI, cargos, salarios), información confidencial de clientes y proveedores, y decisiones jurídicas con consecuencias reales. Meter todo eso en una herramienta de IA sin reglas claras traslada el riesgo directamente a tu PYME.

Conviene separar dos planos que la gente mezcla: el plano del AI Act (Reglamento UE 2024/1689), que regula cómo se usa la IA dentro de la organización, y el plano de protección de datos (RGPD), que regula qué información se introduce en la herramienta. En el uso de ChatGPT para contratos los dos planos se activan a la vez.

Tu empresa es 'responsable del despliegue', aunque la IA no sea tuya

Aunque ChatGPT lo desarrolle OpenAI, en cuanto tu equipo lo usa bajo el paraguas de la empresa y en su actividad profesional, tu PYME pasa a ser «responsable del despliegue» (deployer) según el AI Act. No hace falta haber comprado una licencia corporativa: vale con que la herramienta se use para trabajar.

Eso significa que las obligaciones de la organización no desaparecen porque la IA sea de un tercero. Como mínimo te aplica el Artículo 4 (alfabetización en IA de la plantilla) desde el 2 de febrero de 2025, y debes poder demostrar que has tomado medidas para que quien usa la herramienta entienda sus riesgos y sus límites.

Redactar contratos con IA, además, no es un uso trivial: roza la prestación de un servicio jurídico y puede tener impacto sobre derechos de terceros, por lo que la diligencia exigible es mayor que en un uso ofimático cualquiera.

El riesgo nº1: los datos que tu equipo pega en el chat

El problema más inmediato no es el AI Act, es el RGPD. Cuando un empleado pega en ChatGPT el borrador de un contrato con los datos de un cliente, está realizando una transferencia de datos personales a un tercero. Si usa la versión gratuita o una cuenta personal, esos datos pueden emplearse para entrenar el modelo y salen del control de la empresa, sin contrato de encargo de tratamiento y, a menudo, con transferencia internacional fuera de la UE.

Eso puede suponer una brecha de confidencialidad con clientes y proveedores (rompiendo acuerdos de no divulgación) y una infracción del RGPD por tratamiento sin base ni garantías adecuadas. La sanción del RGPD es independiente de la del AI Act y puede llegar hasta 20 M€ o el 4% de la facturación.

La regla práctica: nunca se introducen datos personales identificables ni información confidencial en una IA que no esté contratada por la empresa con garantías (cuenta de empresa con cláusulas de no entrenamiento, ubicación de datos y encargo de tratamiento firmado).

El riesgo nº2: la IA se inventa cláusulas y referencias legales

Los modelos generativos producen texto plausible, no necesariamente correcto. En contratos esto es peligroso: pueden inventar referencias a artículos que no existen, mezclar regímenes jurídicos, omitir cláusulas obligatorias o copiar formulaciones inadecuadas para el caso concreto. Un contrato con una cláusula nula o con una remisión legal errónea puede ser inejecutable justo cuando más lo necesitas.

Por eso la IA puede acelerar un primer borrador, pero la revisión por una persona con criterio jurídico no es opcional. La supervisión humana efectiva es además uno de los principios que el AI Act exige reforzar a medida que sube el riesgo del uso.

Qué debes hacer como empresa (en orden de prioridad)

Primero, una política de uso de IA por escrito que diga claramente qué se puede y qué no: qué herramientas están autorizadas, qué información jamás se introduce (datos personales, secretos, documentación de clientes) y qué usos exigen revisión humana antes de firmar o enviar.

Segundo, formación del Artículo 4 adaptada a quien redacta documentos: que el equipo entienda el riesgo de confidencialidad, el riesgo de alucinaciones y las reglas internas. Esa formación debe quedar documentada (contenido, asistencia, evaluación) porque la carga de la prueba es de la empresa.

Tercero, herramienta adecuada: si vais a usar IA para documentos sensibles, usad una cuenta de empresa con garantías contractuales (no entrenamiento con vuestros datos, ubicación UE cuando sea posible, encargo de tratamiento). Cuarto, revisión jurídica obligatoria de cualquier contrato antes de su uso real.

Quinto, registro: dejad constancia de qué sistemas de IA se usan y para qué, dentro del inventario que la AESIA puede pedir en una inspección.

Lo que NO debes hacer

Prohibir la IA «de boca» sin política escrita: si no hay reglas, el equipo seguirá usando cuentas personales y tú seguirás respondiendo, pero sin ninguna evidencia de diligencia. La prohibición tácita es lo peor de los dos mundos.

Tampoco confíes en que «como es gratis y lo usa todo el mundo, no pasa nada». La gratuidad de la herramienta no reduce tus obligaciones; si acaso las agrava, porque las versiones gratuitas suelen ser las que peor tratan tus datos.

Preguntas frecuentes

No es ilegal en sí, pero tu empresa responde del uso. El riesgo principal es introducir datos personales o confidenciales en una herramienta no contratada (infracción del RGPD) y dar por buenas cláusulas que la IA puede haber inventado. Con política, formación y revisión humana, el uso puede ser perfectamente válido.

Fuentes

Sigue leyendo

Artículo 4

Artículo 4 del AI Act: qué exige a las PYMES en formación de IA

Plantillas descargables

Política interna de uso de IA: qué debe contener y cómo redactarla

Herramientas

ChatGPT, Copilot y Gemini en la PYME: cómo usarlos sin incumplir el AI Act ni el RGPD