Fuga de datos

El escenario más común no es un ciberataque sino un empleado que pega un correo confidencial, un contrato, datos de clientes o una hoja de cálculo en ChatGPT, Claude o Gemini gratuitos para "que se lo resuman" o "se lo traduzcan". En los planes gratuitos y básicos, el contenido enviado puede usarse por defecto para entrenar el modelo (Anthropic no entrena con conversaciones por defecto, OpenAI sí en planes free, Google con su política específica). Una vez incluido en el corpus de entrenamiento, no es recuperable: el dato vive estadísticamente en los pesos del modelo. Más allá del entrenamiento, los datos viajan a servidores fuera de Europa en muchos casos (implicaciones RGPD), pueden ser accesibles a equipos de seguridad y soporte del proveedor, y serían parte del alcance de cualquier brecha que el proveedor sufra. Los planes empresariales (ChatGPT Enterprise, Claude for Work, Microsoft 365 Copilot, Gemini for Workspace) ofrecen opt-out por defecto del entrenamiento, residencia de datos en UE en algunos casos, y contratos DPA conformes a RGPD. La diferencia de precio respecto a planes personales es de 2-3 veces, pero el coste de una fuga seria es órdenes de magnitud mayor. La gestión empresarial pasa por elegir el plan adecuado, formar al equipo en qué se puede y qué no se puede pegar, y revisar periódicamente.