Demostrar el cumplimiento del RGPD Art. 32 para herramientas de IA
Actualizado para 2026.
El artículo 32 del RGPD exige "medidas técnicas y organizativas adecuadas" para proteger los datos personales. Cuando el personal usa herramientas de IA externas — ChatGPT, Claude, Gemini — el riesgo es real y medible. Las medidas también deben serlo.
Una política que dice "no compartas datos personales con herramientas de IA" es una medida organizativa. No es una medida técnica. No es suficiente cuando un auditor de la APD pregunta: "¿Cómo sabe que el personal cumple?"
Qué preguntan los auditores de la APD sobre herramientas de IA
Tras el incidente Samsung ChatGPT de marzo de 2023, los reguladores examinaron de cerca los programas de IA en empresas. Los auditores de la APD ahora hacen preguntas directas.
Sobre controles técnicos, preguntan:
- ¿Qué impide que los datos personales lleguen a los sistemas de IA?
- ¿Cómo se aplica el enmascaramiento en tiempo real?
- ¿Qué evidencia muestra que los controles funcionan?
Sobre la supervisión, preguntan:
- ¿Cómo se rastrea el uso de IA del personal para la exposición de DCP?
- ¿Qué métricas se recogen? ¿Con qué frecuencia?
- ¿Cómo se sabe que los controles no se evitan?
Sobre la detección de incidentes, preguntan:
- ¿Cómo se detectaría una fuga de DCP hacia una herramienta de IA?
- ¿Cuál es el plan de respuesta?
Los documentos de política no responden a ninguna de estas preguntas. Describen lo que el personal debería hacer. No muestran lo que realmente hace.
La brecha de supervisión en herramientas de IA en navegador
Los equipos de TI empresarial enfrentan un problema central: las herramientas de IA en navegador son difíciles de supervisar.
Cifrado HTTPS
ChatGPT, Claude y Gemini usan HTTPS con HSTS. La inspección de red no puede leer el contenido de los prompts sin descifrado TLS.
Inspección TLS
La inspección SSL requiere certificados enterprise en cada dispositivo. Puede romper el anclaje de certificados en algunas apps. Crea nuevas brechas de seguridad. Puede violar los términos de servicio de las plataformas de IA. Genera problemas de privacidad del personal en muchos países.
DLP de endpoint
Los agentes de endpoint monitorizan el portapapeles y las pulsaciones de teclas. Pero generan muchos falsos positivos. No pueden distinguir entre "escribir datos de cliente en un contrato" y "escribirlos en ChatGPT". El retraso puede pasar por alto los envíos en tiempo real.
Resultado: la mayoría de las empresas que usan herramientas de IA tienen poca visibilidad sobre qué datos llegan realmente a esos sistemas.
Un panel de cumplimiento en la práctica
Un CISO de servicios financieros debe mostrar a los auditores que la exposición de DCP en herramientas de IA está supervisada y controlada. El requisito de auditoría: datos concretos sobre la supervisión activa.
La empresa despliega una extensión de Chrome en 500 empleados. Una semana de datos:
| Métrica | Valor semanal |
|---|---|
| Total sesiones de IA | 8.400 |
| Entidades DCP detectadas | 12.000 |
| Tasa de enmascaramiento | 94 % |
| Nombres de clientes encontrados | 4.800 |
| Números de cuenta encontrados | 3.200 |
| IDs de transacción encontrados | 2.100 |
| Envíos no enmascarados (6 %) | 720 entidades |
Nota: escenario ilustrativo. Los resultados varían según el tamaño de la empresa y los patrones de uso de IA.
Cuatro cosas que esto muestra a los auditores:
- La escala del uso de herramientas de IA (8.400 sesiones por semana)
- El volumen de DCP en riesgo (12.000 entidades detectadas)
- El rendimiento del control (tasa de enmascaramiento del 94 %)
- El riesgo residual (720 entidades que necesitan seguimiento)
Tres cosas que los auditores pueden verificar:
- Un control técnico está activo (registros de despliegue)
- La supervisión funciona y produce datos (informes semanales)
- El riesgo residual se gestiona (formación adicional para el 6 %)
Esta es la diferencia entre "tenemos una política" y "aquí está nuestra eficacia de control medida".
Convertir los datos en mejora
El 6 % enviado sin enmascaramiento no es un fracaso. Es un éxito de supervisión. La empresa ahora sabe:
- Qué personal descarta o no ve los avisos de enmascaramiento.
- Qué tipos de entidades se envían más a menudo sin enmascarar.
- Qué equipos tienen tasas de evasión más altas.
- Si la tasa baja a medida que el personal se adapta.
Esto impulsa acciones específicas. El personal con altas tasas de evasión recibe formación adicional. Los tipos de entidades con alta evasión pueden necesitar avisos UI más fuertes. Los equipos con evasiones repetidas pueden necesitar un rediseño del flujo de trabajo.
Sin estos datos, la formación se aplica de forma uniforme. Con ellos, va donde el riesgo es mayor.
Cómo es un paquete completo del Art. 32
Un conjunto de documentación completo del RGPD Art. 32 para un programa de herramientas de IA:
Medidas técnicas:
- Extensión de Chrome en N dispositivos (evidencia: registros MDM)
- Detección de DCP en tiempo real en campos de entrada de herramientas de IA
- Flujo de enmascaramiento con registro de auditoría (registros de extensión)
- Panel de cumplimiento (métricas de detección)
Medidas organizativas:
- Política de uso de herramientas de IA
- Registros de formación del personal
- Plan de respuesta a incidentes para fugas de datos de IA
- Revisión trimestral de los datos de supervisión
Evidencia de supervisión:
- Métricas semanales del panel (12 meses continuos)
- Tendencia de la tasa de enmascaramiento
- Desglose por tipo de entidad
- Registros de seguimiento para las evasiones identificadas
Capacidad de detección de incidentes:
- Los datos de supervisión detectan comportamientos anómalos (caída repentina de la tasa, nuevos tipos de entidades)
- Plan de respuesta a incidentes probado el [fecha]
Este conjunto satisface el Art. 32. Demuestra medidas técnicas y organizativas con evidencia real.
Cuantificar la reducción del riesgo
Para la prueba de proporcionalidad, se debe mostrar el riesgo que el control elimina.
Sin el control:
- El 11 % de los prompts de IA contienen DCP (Cyberhaven 2025)
- 8.400 sesiones/semana × 11 % = 924 sesiones con DCP por semana
- Cada sesión: una exposición potencial al Art. 83 del RGPD si hay datos de la UE
Con el control (tasa de enmascaramiento del 94 %):
- 924 sesiones con DCP detectadas
- 94 % enmascaradas: 869 sesiones protegidas
- Residual: 55 sesiones por semana con contenido no enmascarado
Resultado: 94 % de reducción en la exposición de DCP por el uso de herramientas de IA.
Para los reguladores que aplican la prueba de proporcionalidad, una reducción del 94 % con un control técnico desplegado es una evidencia sólida. Ver también prevención de DCP en tiempo real para herramientas de IA y DLP en navegador para ChatGPT, Claude y Gemini.
Conclusión
El cumplimiento del RGPD Art. 32 para herramientas de IA no puede basarse solo en políticas. Supervisar las sesiones de IA en navegador para la exposición de DCP requiere un control técnico que produzca evidencia.
El enmascaramiento en tiempo real con supervisión integrada ofrece ambas cosas: prevención (menos exposición) y evidencia (riesgo medido y eficacia del control). Esa combinación satisface el Art. 32.
Para los CISO que se preparan para una auditoría de la APD: los auditores quieren datos concretos. Muestre tasas de detección, tasas de enmascaramiento y tendencias del riesgo residual. La política es el punto de partida. Los datos de supervisión son la prueba.
Para comparar el bloqueo con el enmascaramiento como estrategia de control, vea Browser DLP: Bloqueo vs. Anonimización.