RGPD y ChatGPT: Anonimización JIT para soporte al cliente
Actualizado para 2026
El conflicto de transferencia de datos
Los equipos de soporte usan ChatGPT para redactar respuestas. Eso crea un problema bajo el RGPD. Los nombres de clientes, números de pedido y direcciones son datos personales. Enviarlos a ChatGPT significa transmitirlos a los servidores de OpenAI en Estados Unidos.
El artículo 46 del RGPD rige las transferencias a terceros países. Exige garantías adecuadas. Estas incluyen cláusulas contractuales tipo (CCT), decisiones de adecuación y normas corporativas vinculantes.
OpenAI ofrece CCT para clientes empresariales. Pero muchos equipos de soporte usan cuentas de consumidor estándar. Esas cuentas no tienen las mismas protecciones contractuales. Una auditoría de la UE de 2024 halló que el 63 % de los registros de usuarios de ChatGPT provenían de cuentas sin la configuración de protección empresarial activada.
El Garante italiano muestra hacia dónde apunta la aplicación de la ley. En diciembre de 2024, la autoridad multó a OpenAI con 15 millones de euros. Tres fallos motivaron la sanción: ausencia de base legal válida, falta de transparencia sobre el uso para entrenamiento y ausencia de verificación de edad para menores. En ese momento, el 63 % de las empresas italianas carecía de políticas de IA alineadas con el RGPD.
La anonimización JIT resuelve el problema
La anonimización en el momento justo (JIT) impide que los datos personales lleguen a ChatGPT. Actúa en el momento del envío — antes de la llamada de red a OpenAI.
Así funciona. Un agente de soporte pega una reclamación de cliente en ChatGPT. La extensión del navegador intercepta el pegado. Detecta el nombre, el número de pedido y la dirección. El agente ve una vista previa. Hace clic en continuar. ChatGPT recibe una versión limpia con tokens en lugar de identificadores.
ChatGPT redacta una respuesta usando esos tokens. La extensión sustituye los tokens por los valores reales. El agente ve el nombre real del cliente en la respuesta. ChatGPT nunca procesó ese nombre.
Con este diseño, el artículo 46 del RGPD no se aplica. Lo que llega a OpenAI no es dato personal según el RGPD. El nombre y la dirección del cliente permanecen en el navegador del agente, dentro de la UE. El cumplimiento es estructural. No depende solo de contratos. Consulte nuestra guía de cumplimiento para conocer los requisitos de documentación.
Por qué las garantías contractuales no son suficientes
Las CCT y los DPA son herramientas válidas. Pero conllevan riesgos continuos. Dependen de que el personal use el nivel de cuenta correcto. Requieren renovación y auditoría periódica. Un solo error puede romper la cadena.
Los controles técnicos son más sólidos. Si los datos personales nunca salen del navegador como entrada identificable, ninguna brecha puede exponerlos. La multa de 15 M€ del Garante confirma esta perspectiva. El fallo central fue la ausencia de controles técnicos — no solo la falta de documentación. Nuestro resumen de seguridad cubre el enfoque por capas.
Configurar la anonimización JIT
Tres pasos completan la configuración.
Instalar la extensión del navegador. La Chrome Extension se sitúa entre el agente y la herramienta de IA. No se requieren cambios en la propia herramienta de IA.
Configurar la detección de entidades. Active los tipos de entidades relevantes para sus clientes: nombres, direcciones, correos electrónicos, teléfonos, números de pedido y formatos de ID nacionales de su región.
Activar el registro de auditoría. Los reguladores solicitan prueba de que los controles funcionaron. Una entrada de registro por evento — marca de tiempo, tipos de entidades, recuento — proporciona a los inspectores lo que necesitan. No se almacena contenido personal. Consulte nuestras preguntas frecuentes para dudas de configuración.