El riesgo invisible de usar inteligencia artificial gratuita en tu empresa

Hoy es una escena cotidiana en cualquier oficina. Un trabajador tiene que redactar un correo delicado, resumir un contrato o analizar una planilla con datos de clientes, y abre una herramienta de inteligencia artificial gratuita para que lo ayude. Pega la información, obtiene su respuesta en segundos y sigue con su día. Nadie firmó nada, nadie pidió permiso, y aparentemente no pasó nada.

El problema es que sí pasó algo. En muchas herramientas de inteligencia artificial gratuitas, la información que el usuario ingresa puede ser utilizada para entrenar el modelo. Es decir, esos datos de clientes o trabajadores salen del control de la empresa y pasan a alimentar un sistema de un tercero, normalmente alojado fuera de Chile. Y bajo la nueva Ley 21.719 de protección de datos, esa práctica puede constituir un incumplimiento, aunque haya ocurrido sin que nadie en la empresa lo notara.

Por qué esto es un asunto de cumplimiento, no solo de tecnología

La Ley 21.719 exige que todo tratamiento de datos personales tenga una base que lo justifique y se realice con los resguardos adecuados. Cuando un trabajador entrega datos de terceros a una herramienta de inteligencia artificial que los usará para entrenar su modelo, ocurren dos cosas que la ley mira con atención.

La primera es que ese tratamiento muchas veces no tiene ninguna base que lo autorice. El cliente cuyos datos se ingresaron nunca consintió que su información se usara para entrenar un modelo de inteligencia artificial. La segunda es que, como estas herramientas suelen estar alojadas en el extranjero, hay además una transferencia internacional de datos, que la ley regula de forma especial y que exige resguardos propios.

Y conviene tener algo claro. La responsabilidad sigue siendo de la empresa, aunque el dato lo termine procesando otro. La ley no distingue si el incumplimiento lo cometió la gerencia o un trabajador que solo quería avanzar más rápido. Por eso es un riesgo que conviene mirar con calma, antes de que se transforme en un problema.

La diferencia que casi nadie conoce, el tipo de cuenta

Aquí está el punto que pocas empresas tienen presente, y que marca toda la diferencia. El destino de los datos que se ingresan en una herramienta de inteligencia artificial no es el mismo en todas las versiones de esa herramienta. Depende del tipo de cuenta que se use.

En términos generales, las cuentas de consumo, las gratuitas y las personales de pago, suelen permitir que los datos se usen para entrenar el modelo. En cambio, las cuentas empresariales y el acceso a través de lo que se conoce como API, que es la vía técnica que usan las empresas para integrar estas herramientas en sus sistemas, suelen tener condiciones mucho más estrictas, en las que los datos no se utilizan para entrenamiento. Dicho simple, la misma herramienta puede ser un riesgo en su versión gratuita y una opción razonable en su versión empresarial.

Esto vale como tendencia general de la industria. Las políticas concretas varían entre una herramienta y otra, y cambian con frecuencia, por lo que siempre conviene revisar la versión vigente de cada una. Pero para que se entienda con un caso concreto, veamos uno que es público y fácil de verificar.

Un ejemplo concreto, el caso de Claude

Claude, la herramienta de inteligencia artificial de la empresa Anthropic, modificó sus condiciones a partir de agosto de 2025. Desde entonces, en sus cuentas de consumo, las gratuitas y las de pago personal, los datos pueden usarse para entrenar el modelo, salvo que el usuario active la opción de no permitirlo. En cambio, sus planes comerciales y el acceso por API quedan fuera de esa práctica, y allí los datos no se usan para entrenamiento.

Lo interesante para una empresa es que esa autorización se puede dejar sin efecto, y el procedimiento es simple. Dentro de la cuenta, hay que entrar a la sección de Configuración, luego a Privacidad, y allí aparece una opción llamada Ayuda a mejorar Claude. Si esa opción está activada, los datos se están usando para entrenar el modelo. Basta desactivarla para que las conversaciones futuras dejen de utilizarse con ese fin.

Hay dos detalles que conviene saber. El primero es que desactivar esa opción afecta a las conversaciones futuras, no deshace lo que ya pudo haberse usado mientras estuvo activada. El segundo es que, aunque se desactive, una conversación que los sistemas de seguridad marquen como riesgosa todavía puede revisarse para fines de seguridad. Son matices, pero un buen cumplimiento exige conocer los términos y condiciones de cada servicio que se emplea en la Empresa.

Qué puede hacer una empresa al respecto

La buena noticia es que este riesgo se puede ordenar, y no requiere prohibir la inteligencia artificial, que sería ir contra la corriente y contra la productividad. Se trata de usarla bien.

Un primer paso razonable es saber qué herramientas de inteligencia artificial se usan realmente en la empresa, quién las usa y con qué datos. Muchas veces la sorpresa es grande, porque el uso ocurre de forma espontánea y descentralizada. A partir de ahí, conviene definir una regla clara, que ningún dato de clientes o trabajadores se ingrese en cuentas de consumo, y migrar el uso hacia versiones empresariales o acceso por API, donde los datos quedan protegidos por diseño. Finalmente, dejar todo esto por escrito en una política interna que el equipo entienda y pueda seguir.

Este es uno de esos frentes donde la mirada legal y la técnica tienen que ir juntas. Definir qué exige la ley es un trabajo jurídico, pero configurar correctamente las herramientas y migrar a las versiones adecuadas es un trabajo técnico. Cuando ambas miradas se combinan, la empresa pasa de tener un riesgo invisible a tener una práctica ordenada y demostrable.

Este artículo es informativo y no constituye asesoría legal formal. Si quieres revisar cómo se aplica la Ley 21.719 al uso de inteligencia artificial en tu empresa, conversemos.