• +34 93 737 64 01
  • info@pymelegal.es
Logo PymeLegal

🔥 20% en la Plataforma con el código: PYMEBLACKFRIDAY – Solo hasta el 30 de noviembre 🔥


Los riesgos legales del uso de la IA en las
pymes sin una política de uso.

Cada mañana, en muchas oficinas o establecimientos, decenas de empleados abren el navegador y van directamente a ChatGPT, Claude, Copilot o Gemini. Redactan correos, preparan informes, resumen contratos, analizan datos de clientes. Lo hacen de manera natural, con buenas intenciones y, en la gran mayoría de los casos, sin que nadie en la empresa lo sepa. Sin garantías legales. Sin política interna. Sin formación. Sin cumplimiento del RGPD ni del AI Act.

La «IA en la sombra»: el riesgo que no ves pero que puede costarte una sanción

Tenemos un nombre para este fenómeno: Shadow AI. Del mismo modo que años atrás hablábamos del Shadow IT —cuando los empleados usaban Dropbox o WhatsApp personal para trabajar sin que IT lo aprobara—, ahora el problema es el mismo, pero exponencialmente más grave. Porque cuando un empleado sube un contrato a Claude para pedirle que lo analice, no simplemente almacena un archivo en un servicio externo: transfiere datos personales de terceros a un sistema de IA que puede usarlos para entrenar modelos o que opera fuera de la UE, sin ninguna garantía legal.

Según el Enterprise GenAI Security Report 2025 de LayerX, el 71 % de las conexiones a herramientas de IA generativa se realizan desde cuentas personales no corporativas. Las organizaciones no tienen visibilidad del 89 % del uso real de la IA. Y un informe de Menlo (2025) constataba que el 57 % de los empleados que acceden a herramientas de IA gratuitas lo hacen introduciendo datos confidenciales.

La mayoría de las pymes a las que asesoramos no saben que sus empleados están usando IA con datos de sus clientes, trabajadores, colaboradores o proveedores. Y muchos de ellos tampoco saben que hacerlo sin las garantías adecuadas es una infracción del RGPD desde el momento en que están subiendo estos datos.

Además, esta práctica también afecta al ámbito laboral, en el que el empresario podría sancionar estos comportamientos y, en los casos más graves, podrían acabar en despido.

La responsabilidad final en estos casos recae sobre la empresa, que es quien tiene que aplicar las medidas y protocolos correspondientes, aunque ello no impida que luego pueda actuar contra el empleado.

A nivel laboral, ¿estas conductas merecen una sanción?

Dependerá de la política interna de la compañía y del contexto en que se esté utilizando la IA. No será lo mismo usar Claude para ayudarnos en la redacción de un correo que utilizarlo para generar un informe a partir de los ficheros subidos de un cliente con datos personales confidenciales.

Las sanciones pueden ir desde una amonestación escrita, pasando por la suspensión de empleo y sueldo, hasta el despido disciplinario en los casos más graves. Para las empresas será importante poder acreditar dichas conductas monitorizando los sistemas de información, pero sin vulnerar derechos fundamentales.

Los errores más habituales que detectamos en las pymes

  • Usar plataformas de IA sin un DPA firmado con el proveedor. Infracción directa del art. 28 del RGPD. Multas de hasta 10 millones de euros.
  • No configurar las herramientas para que los datos introducidos no se usen para entrenar el modelo de IA.
  • No disponer de una Política de Uso de la IA para los empleados. El AI Act (art. 4) exige formación y alfabetización digital desde febrero de 2025.
  • No actualizar el Registro de Actividades de Tratamiento (RAT). Las herramientas de IA deben constar como encargados del tratamiento.
  • Introducir datos sensibles (nóminas, historiales, contratos) en herramientas de IA públicas. Tratamiento ilícito de datos. Riesgo de brecha y de uso para entrenar modelos.
  • Lanzar un producto o servicio con IA sin una evaluación de impacto previa. El AI Act clasifica los sistemas por riesgo. Sin EIPD ni clasificación, potencial sanción directa.

En entornos regulados como el financiero, jurídico o sanitario, además puede suponer otro tipo de incumplimiento, como el del secreto bancario, el secreto profesional abogado-cliente o la confidencialidad de la historia clínica.

Estos dos ejemplos que citamos a continuación podrían ser escenarios recurrentes que nos hemos encontrado en los últimos meses:

  • Alguien del departamento de administración sube un Excel con el listado de clientes a ChatGPT para que le ayude a clasificarlos por sector y elaborar un informe para dirección. Se suben datos de clientes, personas de contacto, teléfonos y direcciones.
  • Un directivo sube el acta de una reunión estratégica a Claude para que le haga un resumen ejecutivo. El acta contiene datos de empleados, decisiones confidenciales y proyecciones financieras.

Evidentemente, plantear un proceso de anonimización de los documentos reduciría significativamente el riesgo, como medida intermedia útil si dudamos de la legalidad de los tratamientos que involucran datos personales que estamos llevando a cabo.

Ante este escenario, y como os detallaremos más adelante, hemos planteado un servicio integral de Compliance IA para ayudaros a establecer una política específica de uso de la inteligencia artificial desde el punto de vista legal y técnico.

¿Qué garantías legales nos ofrecen este tipo de plataformas?

El artículo 28 del RGPD es claro: cualquier empresa que ceda datos personales a un tercero para que los trate debe tener formalizado un contrato de Encargado del Tratamiento o DPA (Data Processing Agreement). OpenAI, Microsoft, Google o Anthropic ofrecen este contrato, pero hay que firmarlo explícitamente. La gran mayoría de pymes que usan estas plataformas ni siquiera saben que deberían revisar este acuerdo.

Pero el DPA es solo la primera capa del problema. Dependiendo de la modalidad que tengamos contratada, hay tres obligaciones adicionales que la mayoría de las pymes desconoce por completo:

  • Actualización de la política de privacidad. Si la empresa utiliza herramientas de IA para tratar datos de clientes, empleados o terceros, debe informarles explícitamente en la política de privacidad: qué herramientas se usan, con qué finalidad y dónde se tratan los datos.
  • Transferencia Internacional de Datos (TID). Si la inferencia del modelo se realiza fuera de la UE —lo que ocurre en la mayoría de los casos—, se activa la obligación de documentar la transferencia internacional de datos.
  • Cláusulas Contractuales Tipo (CCT). Cuando no existe un marco de adecuación entre países —como el Data Privacy Framework (DPF) UE-EE. UU.—, es necesario implementar las CCT aprobadas por la Comisión Europea para legitimar la transferencia.

Hoy ningún gran proveedor cumple lo que mucha gente cree. Ni OpenAI ni Anthropic están adheridos al Data Privacy Framework (DPF) UE-EE. UU.; ambos amparan sus transferencias a EE. UU. en las Cláusulas Contractuales Tipo (CCT). Google sí está adherido, pero Gemini (en los planes de consumo) sigue realizando la inferencia en EE. UU.

Conviene distinguir dos conceptos:

  • La residencia de datos: dónde se almacenan los datos, en reposo.
  • La inferencia: dónde se procesa el modelo.

OpenAI ofrece residencia de datos en Europa para ChatGPT Enterprise, Edu, Business (el antiguo Team) y la API desde febrero de 2025, aunque la inferencia por defecto sigue en EE. UU. Para que la inferencia se realice realmente en la UE, la vía fiable son los despliegues regionales vía cloud (Anthropic a través de Amazon Bedrock en Fráncfort o Google Vertex AI con endpoints europeos, así como Google con Vertex AI / Assured Workloads).

En los planes estándar y de consumo, la inferencia se sigue realizando fuera de Europa.

El resultado es claro: no basta con el DPA; también son necesarias la TID, las CCT y la política de privacidad actualizada para tenerlo realmente en regla. Es previsible que la situación evolucione de aquí a final de año, pero a día de hoy esto es lo que tenemos.

El alcance de la infracción no depende del tamaño de la empresa. La AEPD ya ha anunciado que iniciará investigaciones de oficio sobre los usos de IA que no cumplan la normativa de protección de datos, y cuenta con precedentes como la actuación de investigación que abrió a OpenAI (ChatGPT) en abril de 2023.

Las multas potenciales alcanzan los 20 millones de euros o el 4 % de la facturación global por infracciones del RGPD, y hasta 35 millones de euros o el 7 % por incumplimientos del AI Act.

Obligaciones del Reglamento de IA en vigor

Si el RGPD lleva años en vigor, el Reglamento Europeo de Inteligencia Artificial (AI Act, Reglamento UE 2024/1689) añade una nueva capa de obligación. Sus disposiciones se aplican por fases, pero hay dos que muchas empresas desconocen:

  • El artículo 4 ya es exigible. Obliga a todas las empresas que despliegan sistemas de IA a garantizar que el personal tenga «un nivel suficiente de alfabetización en IA». No hay umbral de tamaño: afecta desde microempresas hasta multinacionales.
  • La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, fue creada por el Real Decreto 729/2023 e inició su actividad presencial en febrero de 2025. No es un organismo testimonial: en diciembre de 2025 publicó 16 guías de apoyo al cumplimiento del Reglamento de IA. Su capacidad de inspección y sanción se irá desplegando conforme entren en vigor las distintas obligaciones del Reglamento, según el calendario europeo.

La evidencia sobre el estado actual del mercado es preocupante: aunque la adopción de la IA en las empresas españolas crece con rapidez, la mayoría todavía no ha iniciado un proceso formal de adaptación al nuevo marco legal.

Y conviene tener claro el calendario real: en noviembre de 2025 la Comisión Europea propuso el llamado «Digital Omnibus», que aplaza las obligaciones de los sistemas de IA de alto riesgo. Tras el acuerdo alcanzado en mayo de 2026, las nuevas fechas de referencia son el 2 de diciembre de 2027 y el 2 de agosto de 2028, en lugar del 2 de agosto de 2026 previsto inicialmente. Pero el aplazamiento de algunos plazos no elimina las obligaciones ya vigentes —como la alfabetización en IA (art. 4) o el propio RGPD—, que siguen siendo plenamente exigibles hoy.

Además, esto tiene impacto directo en clientes que no solo quieren implantar la IA en su día a día para optimizar procesos, sino también en los que están desarrollando modelos de IA como productos o servicios y que tendrán que cumplir con el Reglamento y llevar a cabo la evaluación de impacto correspondiente.

Prohibir la IA no es la solución

En los últimos meses he tenido algunas conversaciones con empresarios que, ante esta realidad, llegan a la misma conclusión: «Entonces prohibimos la IA en la empresa». El problema es que esto no funciona. La propia dirección es de las principales infractoras: según una encuesta de BlackFog (2026), casi la mitad de los empleados (49 %) usa herramientas de IA sin la aprobación de su empresa, y el 69 % de los altos directivos reconoce anteponer la velocidad a la seguridad. Prohibir la IA no elimina el riesgo: lo empuja a las sombras, donde es aún menos controlable.

El caso de Samsung, que en 2023 restringió ChatGPT en la compañía después de que, en menos de un mes, tres empleados filtraran código fuente propietario y notas de una reunión interna al pegarlos en la herramienta, es ilustrativo. Pero la lección no es «prohibir»: es «gobernar».

La evidencia lo refuerza también desde el ángulo del negocio: el informe «The GenAI Divide: State of AI in Business 2025», de MIT NANDA (agosto de 2025), concluye que el 95 % de los pilotos de IA generativa en empresas no genera ningún retorno medible; solo el 5 % logra un impacto real en la cuenta de resultados. La causa común no es la tecnología, sino la ausencia de políticas internas, formación y estructuras de supervisión. Dicho de otro modo: la IA sin gobernanza no solo genera riesgo legal, también genera pérdidas.

La solución es poner orden a lo que ya ocurre:

  • inventariar las herramientas y los procesos;
  • revisar la configuración de los modelos utilizados;
  • clasificar los riesgos;
  • establecer autorizaciones internas;
  • revisar y firmar los DPAs;
  • formar a los empleados;
  • actualizar los RAT;
  • regular las políticas de privacidad y las TID;
  • documentarlo todo.

La IA puede ser una ventaja competitiva extraordinaria para una pyme. La clave es hacerlo bien.

Cómo lo solucionamos desde PymeLegal

Llevamos años asesorando pymes en protección de datos y observamos, desde dentro, cómo el tema de la IA se convierte en una de las principales fuentes de incertidumbre legal para nuestros clientes. Para dar una respuesta práctica, hemos creado un servicio específico, en colaboración con Impuls, especialistas en implantación tecnológica: el Pack Compliance IA.

El servicio se articula en dos fases claramente diferenciadas:

  • Paquete Legal (PymeLegal):
    • checklist de diagnóstico;
    • política de uso de la IA personalizada para los empleados;
    • revisión y firma de los DPAs con los proveedores;
    • actualización del RAT e informe de conformidad RGPD + AI Act;
    • actualización de las políticas de privacidad.
  • Paquete Técnico (Impuls):
    • configuración correcta de las herramientas de IA actuales para cumplir el RGPD;
    • activación de las opciones de privacidad;
    • SSO corporativo;
    • gestión de usuarios;
    • formación práctica para el equipo IT;
    • soporte para proyectos de implantación ad hoc (desarrollos propios de IA).

El proceso completo dura entre 4 y 6 semanas, desde el diagnóstico hasta la entrega de toda la documentación.

El fin de la IA barata: lo que viene después de los precios subvencionados

Hay una tendencia que conviene que las pymes tengan en el radar, más allá del marco legal: la era de la IA subvencionada está llegando a su fin. Anthropic introdujo en 2025 límites de uso semanales en sus planes de Claude y OpenAI ha endurecido los límites de ChatGPT; Google ha recortado su nivel gratuito de Gemini (sobre todo en la API para desarrolladores); y Microsoft ha incorporado el pago por consumo en sus agentes de Copilot.

La dirección es clara: las plataformas necesitan proyecciones de ingresos creíbles, y eso pasa por subir precios. Para las pymes, esto refuerza aún más la necesidad de gobernar el uso de la IA de forma ordenada: tener los contratos correctos y la documentación en regla hoy será mucho más sencillo que intentar reordenar la situación cuando los costes ya hayan subido y los presupuestos estén comprometidos. Gobernar bien el uso de la IA hoy no es solo una cuestión legal: también es una decisión de gestión inteligente y estratégica.

Test de autodiagnóstico

Responde estas 8 preguntas y descubre en un minuto el nivel de exposición al riesgo de tu empresa.

¿Quieres conocer tu nivel real de exposición al riesgo?

En PymeLegal e Impuls hemos creado Compliance IA, un servicio que combina asesoramiento legal e implantación técnica para que las empresas puedan aprovechar todo el potencial de la inteligencia artificial con seguridad y garantías. Si quieres conocer el estado real de cumplimiento de tu organización y detectar posibles riesgos antes de que se conviertan en un problema, contacta con nosotros y te ayudaremos a realizar una primera evaluación.

Solicitar una primera evaluación