Seguridad de datos — IA sin filtraciones

Checklist de seguridad de IA: 20 preguntas clave antes de la implementación para empresas

Vistas: 303 Publicado: 22.04.2026
🇺🇦 UK 🇺🇸 EN 🇩🇪 DE 🇪🇸 ES
Checklist de seguridad de IA: 20 preguntas clave antes de la implementación para empresas

La empresa dedicó tres semanas a elegir un servicio de IA, firmó un contrato y comenzó a cargar contratos de clientes. Un mes después, llegó una solicitud del regulador. Resultó que no se había firmado ningún DPA, los servidores estaban en EE. UU. y los subprocesadores eran desconocidos. La multa y la migración urgente costaron cinco veces más que la implementación en sí. Esta lista de verificación existe para que eso no le suceda a usted. 20 preguntas que debe hacerle al proveedor, y a usted mismo, antes de que sus documentos corporativos salgan de su control.

⚡ Cómo usar esta lista de verificación

  • 📋 20 preguntas en 5 bloques: revise cada uno antes de elegir o auditar un servicio de IA
  • 🎯 Formato: pregunta → por qué es crítico para el negocio → qué significa la respuesta → nuestra recomendación
  • 🟢🟡🔴 Al final: cómo interpretar los resultados y qué hacer si el proveedor no responde
  • 👥 Para quién: CTO, abogado, DPO, gerente que toma decisiones sobre la implementación de IA
  • ⏱️ Tiempo: 30-45 minutos por proveedor

📚 Contenido

Bloque 1: Dónde se almacenan los datos

El bloque más fundamental. Aquí es donde se decide si se produce una transferencia transfronteriza y qué base legal se debe construir. En AskYourDocs, vemos que la mayoría de las empresas que reciben solicitudes de los reguladores no pudieron responder a estas cuatro preguntas. Un análisis detallado de la diferencia entre almacenamiento en la nube y autoalojado se encuentra en el artículo IA autoalojada vs. en la nube: dónde permanecen sus datos.

Pregunta 1.1: ¿En qué país se encuentran físicamente los servidores donde se almacenan mis documentos y consultas?

Por qué es crítico para el negocio: no es una cuestión técnica, es una cuestión de responsabilidad legal. Si los servidores están en EE. UU., cada documento cargado con datos personales es una transferencia transfronteriza que requiere SCC, TIA y DPA. El regulador no va a averiguar si usted lo sabía: la ignorancia no exime de la multa. Hemos visto empresas que gastaron entre 30 000 y 80 000 € en migración legal y técnica urgente, solo porque nadie hizo esta pregunta al principio.

Qué significa la respuesta:

Nuestra recomendación: exija una respuesta concreta, no el nombre del proveedor de la nube, sino la región física y la jurisdicción. Una respuesta sólida para el GDPR es: un servidor en la UE operado por una empresa no estadounidense (Hetzner, OVH, Contabo) o su propio servidor autoalojado. Solo entonces no se aplica la Ley CLOUD de EE. UU. y no hay transferencia transfronteriza.


Pregunta 1.2: ¿Cuánto tiempo se almacenan mis documentos y consultas después de completar el trabajo?

Por qué es crítico para el negocio: usted firmó un contrato y cargó documentos, y un año después de finalizar el contrato, todavía están en los servidores del proveedor. Suena teórico, pero es exactamente así como comienzan los casos reales de GDPR. El principio de limitación del almacenamiento (Art. 5(1)(e)) es una de las razones más frecuentes de multas en 2024-2025. Y solo podrá ejecutar el derecho de supresión (Art. 17) si sabe dónde y cuánto tiempo se almacenan sus datos.

Qué significa la respuesta:

Nuestra recomendación: aclare la diferencia entre "eliminación de la interfaz" y "eliminación de todos los sistemas, incluidas las copias de seguridad", son cosas diferentes y los proveedores a menudo se refieren a lo primero cuando describen lo segundo. Con una solución autoalojada, este problema no surge: usted mismo controla dónde y cuánto tiempo se almacenan los datos.


Pregunta 1.3: ¿Se transfieren mis datos a subprocesadores y quiénes son?

Por qué es crítico para el negocio: usted firmó un DPA con Notion, pero Notion transfiere sus datos a Anthropic y OpenAI. Desde la perspectiva del GDPR, usted es responsable de toda la cadena, no solo del proveedor directo. Si el subprocesador viola la seguridad o transfiere datos más allá, las reclamaciones irán a usted como responsable del tratamiento de datos. El proveedor está obligado a revelar la lista completa de subprocesadores (Art. 28(2)), y esto no es una solicitud, sino un requisito legal.

Qué significa la respuesta:

Nuestra recomendación: encuentre y lea la lista completa de subprocesadores. Para cada uno: dónde están sus servidores y si existe un DPA entre el proveedor y el subprocesador. Notion, por ejemplo, transfiere datos a Anthropic y OpenAI, ambas empresas estadounidenses con servidores en EE. UU. Esto significa que "Notion alojado en la UE" en realidad incluye subprocesadores estadounidenses.


Pregunta 1.4: ¿Utiliza el proveedor mis datos para entrenar sus modelos?

Por qué es crítico para el negocio: entrenar un modelo con sus documentos corporativos sin una base legal es una violación directa del GDPR. Pero incluso si el proveedor "oficialmente no entrena", la verificación técnica de esto es imposible. Por lo tanto, lo importante no es la promesa, sino la obligación legal, registrada en el DPA. Los reguladores ya están investigando este aspecto: en diciembre de 2024, el Garante (Italia) impuso a OpenAI una multa de 15 millones de euros por procesar datos para entrenamiento sin la base legal adecuada; y aunque esta decisión fue posteriormente apelada ante el tribunal, marcó claramente la dirección de la atención regulatoria.

Qué significa la respuesta:

Nuestra recomendación: exija que la declaración "no entrenamos" se incorpore en un DPA firmado y no solo en los términos de uso. Los términos de uso pueden ser modificados unilateralmente por el proveedor; un DPA es un documento legalmente vinculante. Más detalles en el artículo 6 riesgos de fuga de datos a través de IA: cómo proteger su negocio.

Bloque 2: Cumplimiento legal

Este bloque determina si tiene una base legal para usar el servicio con datos personales. Sin respuestas positivas aquí, cualquier procesamiento de datos personales a través de IA es ilegal, independientemente de la reputación del proveedor y la calidad del producto en sí. No iniciamos ninguna implementación para un cliente antes de que se cierren las cuatro preguntas de este bloque. Detalles sobre la base legal en el artículo GDPR y IA en documentos: lo que las empresas deben saber en 2026.

Pregunta 2.1: ¿Existe un Acuerdo de Procesamiento de Datos (DPA) firmado con el proveedor?

Por qué es crítico para el negocio: un DPA no es un "tener preferiblemente", sino un requisito legal según el Art. 28 del GDPR. Sin él, cualquier procesamiento de datos personales es ilegal, independientemente de cuánto haya pagado y cuán bueno sea el producto. Según nuestra experiencia, esta es la laguna más común: una empresa usa un servicio de IA durante un año, carga contratos y correspondencia allí, y solo al prepararse para una auditoría descubre que nadie firmó un DPA.

Qué significa la respuesta:

Nuestra recomendación: no comience a trabajar hasta que se firme el DPA. La mayoría de los grandes proveedores (OpenAI, Google, Microsoft, Anthropic) tienen un DPA estándar en su sitio web; la búsqueda toma 5 minutos. Si el DPA no está disponible, es o bien una startup sin madurez legal o una evasión consciente de la responsabilidad. Ambas opciones son inaceptables para uso corporativo.


Pregunta 2.2: ¿Cuál es la base legal para la transferencia transfronteriza a EE. UU.?

Por qué es crítico para el negocio: si los servidores están en EE. UU., la transferencia de datos personales de ciudadanos de la UE a ese país requiere una base legal separada según los Art. 44-49 del GDPR. Las Cláusulas Contractuales Estándar (SCC) son el mecanismo más común, pero después de Schrems II (2020), por sí solas son insuficientes sin una Evaluación de Impacto de Transferencia (TIA). El DSB austriaco en el caso de Google Analytics estableció el estándar más estricto en la UE: la "improbabilidad" del acceso de los servicios de inteligencia no es una protección suficiente, se requiere imposibilidad técnica. Para las empresas austriacas y alemanas, esto no es teoría: el regulador está investigando activamente precisamente las transferencias de datos a EE. UU.

Qué significa la respuesta:

Nuestra recomendación: si el proveedor es estadounidense, realice una TIA antes de comenzar a procesar datos personales. La metodología del EDPB está disponible en edpb.europa.eu. Si la TIA muestra un riesgo inaceptable o no está preparado para realizarla, cambie a soluciones alojadas en la UE o autoalojadas. Para empresas de Alemania/Austria, detalles en el artículo IA y GDPR en Alemania y Austria: requisitos de sistemas para 2026.


Pregunta 2.3: ¿Se clasifica su sistema de IA como un sistema de "alto riesgo" según la Ley de IA de la UE?

Por qué es crítico para el negocio: la Ley de IA de la UE introduce requisitos obligatorios para los sistemas de IA dependiendo de su riesgo. Para los sistemas de "alto riesgo", se trata de evaluación de conformidad, registro en la base de datos de IA de la UE y un sistema de gestión de calidad. Los plazos y las multas son estrictos. Pero un matiz importante: la mayoría de los asistentes RAG en documentos corporativos no entran en la categoría de alto riesgo, si se entiende correctamente la clasificación.

Plazos actuales (actualizado): el acuerdo Digital Omnibus del 7 de mayo de 2026 pospuso los requisitos para los sistemas de alto riesgo basados en el uso (Anexo III) del 2 de agosto de 2026 al 2 de diciembre de 2027. Para la IA integrada en dispositivos médicos y otros productos regulados (Anexo I), hasta el 2 de agosto de 2028. Más tiempo para prepararse, pero no es una razón para ignorar la clasificación ahora.

Multas por la Ley de IA de la UE (Art. 99):

Qué significa la respuesta:

Nuestra recomendación: la mayoría de los asistentes RAG en documentos corporativos no son de alto riesgo si solo responden preguntas sin tomar decisiones automáticas. Pero si su IA influye en decisiones de RRHH, crédito o médicas, clasifique el sistema y comience a prepararse para los requisitos de la Ley de IA de la UE ahora; 2027 se acerca más rápido de lo que parece.


Pregunta 2.4: ¿Todas las operaciones de procesamiento a través de IA están documentadas en el registro ROPA?

Por qué es crítico para el negocio: en cualquier inspección, el regulador solicita primero el ROPA. Si las operaciones de procesamiento a través de un servicio de IA no están allí, es motivo de multa independientemente de si hay un DPA y SCC. En la práctica, las empresas eligen cuidadosamente un proveedor, firman un DPA, realizan un TIA y se olvidan de incluir la operación en el ROPA. Siempre lo verificamos durante la auditoría y encontramos una laguna en la mayoría de los clientes.

Qué significa la respuesta:

Nuestra recomendación: antes de comenzar a trabajar con cualquier servicio de IA, agregue la operación al ROPA de inmediato. Mínimo: nombre del servicio, propósito de uso, categorías de datos que se transfieren, ubicación de los servidores, base legal, período de retención. Lleva 15 minutos y evita multas en una inspección. Actualice ante cualquier cambio en los parámetros.


Bloque 4: Control de acceso

Este bloque verifica quién y bajo qué condiciones puede acceder a sus datos, tanto por parte del proveedor como dentro de su organización. El control de acceso es uno de los requisitos clave del GDPR para medidas técnicas y organizativas (TOM). Según nuestra experiencia, es aquí donde existe la mayor brecha entre lo que las empresas piensan y lo que realmente es.

Pregunta 4.1: ¿El personal del proveedor puede ver técnicamente sus documentos y consultas?

Por qué es crítico para el negocio: para bufetes de abogados, centros médicos y departamentos de RR. HH., incluso la posibilidad teórica de acceso por parte de un tercero es un problema legal, independientemente de las intenciones del proveedor. El secreto profesional y la confidencialidad médica están protegidos por el derecho penal en Austria y Alemania, y un "nosotros no miramos" del proveedor no es una protección legal. La cuestión no es si miran, sino si técnicamente pueden. "No miramos sus datos" es una declaración. "Técnicamente no podemos mirar" es arquitectura. La diferencia es fundamental.

Qué significa la respuesta:

Nuestra recomendación: en AskYourDocs, después de la transferencia del proyecto al cliente, no tenemos acceso técnico a su base de datos ni a sus documentos, no porque lo prometimos, sino porque arquitectónicamente estamos fuera de la cadena de procesamiento. Esta es la diferencia entre una promesa y un sistema. Pregunte a cualquier proveedor: "Muéstrenme técnicamente cómo está implementada la segregación de acceso a los datos de los clientes". La respuesta a esta pregunta dirá más que cualquier documentación.


Pregunta 4.2: ¿Existe una segregación de derechos de acceso dentro de su organización?

Por qué es crítico para el negocio: incluso si el proveedor es perfecto, el acceso no regulado dentro de la empresa es un riesgo propio. Si cualquier empleado puede cargar cualquier documento y hacer cualquier pregunta, usted no controla qué entra en el sistema. En caso de incidente, el regulador preguntará: ¿quién cargó un documento específico y cuándo? Sin registros y derechos segregados, no hay respuesta. Esto viola el principio de minimización de acceso (necesidad de saber) y hace imposible la auditoría.

Qué significa la respuesta:

Nuestra recomendación: antes de lanzar, defina tres cosas: quién administra el sistema, quién carga los documentos, quién solo hace preguntas. Además, qué colecciones de documentos están disponibles para qué departamentos. Para un centro médico: el personal ve los protocolos, los pacientes el FAQ público, cardiología no ve los documentos de cirugía. Este paso lleva 30 minutos durante la implementación y salva de problemas mucho más costosos durante una auditoría.


Pregunta 4.3: ¿Se registran todas las consultas al sistema de IA y cuánto tiempo se conservan los registros?

Por qué es crítico para el negocio: los registros de consultas son su rastro de auditoría. Sin ellos, no podrá demostrar al regulador que el sistema funcionó correctamente, no podrá investigar un incidente y no podrá responder a la pregunta "¿quién cargó este documento y cuándo?". Al mismo tiempo, los propios registros contienen datos personales y también están sujetos a los requisitos del GDPR, lo que significa que requieren un plazo de conservación y protección definidos. La ausencia de registros y la ausencia de su control son igualmente malas.

Qué significa la respuesta:

Nuestra recomendación: compruebe si usted, como administrador, ve los registros de consultas: quién preguntó, qué preguntó, cuándo. Esto es tanto análisis (qué se pregunta con más frecuencia) como seguridad (quién tuvo acceso y cuándo). Defina el plazo de conservación en el DPA o en una política interna; normalmente 30-90 días son suficientes. Más tiempo, y los propios registros se convierten en una fuente de riesgo GDPR.


Pregunta 4.4: ¿Existe un mecanismo para eliminar datos específicos a solicitud del interesado (derecho de supresión)?

Por qué es crítico para el negocio: un cliente o ex-empleado tiene derecho a solicitar la eliminación de sus datos personales (Art. 17 GDPR), y usted está obligado a cumplirlo en todos los sistemas, incluido el asistente de IA. En la práctica, vemos la misma situación: una empresa dice "lo hemos eliminado", pero la IA sigue respondiendo basándose en el documento eliminado porque los vectores permanecen en la base de datos. Esto es un cumplimiento parcial del derecho de supresión, y el regulador no lo aceptará.

Qué significa la respuesta:

Nuestra recomendación: compruebe esto técnicamente antes de firmar el contrato: elimine un documento de prueba y haga una pregunta sobre su contenido. Si la IA sigue respondiendo, los vectores no se han eliminado. Lleva 10 minutos pero proporciona la seguridad legal de que el derecho de supresión se cumple realmente y no solo en papel.

Bloque 5: IA Sombra y política interna

El bloque más ignorado y el más peligroso. Una empresa puede elegir perfectamente a un proveedor con todos los certificados y DPA, pero si la mayoría de los empleados usan paralelamente sus cuentas personales de ChatGPT para trabajar con documentos corporativos, todas las medidas anteriores carecen de sentido. En AskYourDocs siempre pasamos este bloque con el cliente primero, ya que a menudo revela que el riesgo real ya existe mientras la empresa aún está eligiendo al proveedor "correcto". Más detalles sobre IA sombra en el artículo 6 riesgos de fuga de datos a través de la IA.

Pregunta 5.1: ¿Sabe qué herramientas de IA están utilizando actualmente sus empleados?

Por qué es crítico para el negocio: las investigaciones de ciberseguridad muestran consistentemente la misma imagen: la mayoría de los empleados que introducen datos corporativos en servicios de IA lo hacen a través de cuentas personales, fuera de cualquier control corporativo. No es malicia, es conveniencia. Y cada consulta de este tipo con datos de clientes, términos de contratos o información de personal es una fuga potencial. Se descubren nuevas en incidentes, no en auditorías, y entonces ya es costoso.

Qué significa la respuesta:

Nuestra recomendación: realice una encuesta anónima entre los empleados: qué herramientas de IA utilizan para el trabajo y con qué tipos de datos. El anonimato es crucial: sin él, obtendrá respuestas socialmente aceptables en lugar de la imagen real. Los resultados suelen ser impactantes incluso para los CTO. Sin comprender la situación real, cualquier política de IA es una declaración, no una protección.


Pregunta 5.2: ¿Existe una política corporativa de IA y la conocen todos los empleados?

Por qué es crítico para el negocio: a partir de febrero de 2025, el Art. 4 de la Ley de IA de la UE exige garantizar la alfabetización en IA para el personal; este es ya un requisito obligatorio, no una recomendación. Pero, incluso dejando de lado el aspecto regulatorio: la mayoría de los empleados que permiten fugas a través de IA no creen que estén haciendo nada malo. Simplemente no saben dónde está el límite. Sin una política corporativa de IA específica, cada uno la establece por sí mismo. Y los resultados son predecibles.

Qué significa la respuesta:

Nuestra recomendación: una política mínima de IA consta de 1-2 páginas con tres respuestas concretas: qué herramientas están permitidas, qué tipos de datos no se deben transmitir a la IA (datos personales de clientes, información médica, términos de contratos), a quién dirigirse si algo sale mal. La complejidad no es importante, lo que importa es la especificidad y que cada empleado pueda decir "sé lo que se puede y lo que no".


Pregunta 5.3: ¿Existe una alternativa corporativa de IA conveniente que reemplace las cuentas personales?

Por qué es crítico para el negocio: las prohibiciones no funcionan sin una alternativa conveniente; esto no es una suposición, es una práctica. Un empleado usa ChatGPT personal no por mala intención: busca una forma de trabajar de manera más eficiente. Si el sistema corporativo es inconveniente, requiere VPN o un inicio de sesión separado, volverá a la herramienta habitual después de una semana. Lo hemos visto docenas de veces: una empresa implementa IA corporativa y, al mismo tiempo, el 70% de los empleados continúan usando cuentas personales porque "es más conveniente así".

Qué significa la respuesta:

Nuestra recomendación: la protección más eficaz contra la IA sombra no es la prohibición, sino el reemplazo. Un asistente de IA corporativo basado en sus documentos a través de Telegram responde de manera más precisa que un ChatGPT general (conoce sus documentos y regulaciones específicas), es más seguro (los datos están en su servidor) y es más conveniente (el mensajero habitual). La necesidad de un ChatGPT personal desaparece por sí sola, no por una prohibición, sino porque la opción corporativa es simplemente mejor para su trabajo específico.


Pregunta 5.4: ¿Se ha impartido formación a los empleados sobre el uso seguro de la IA?

Por qué es crítico para el negocio: el Art. 4 de la Ley de IA de la UE exige alfabetización en IA para el personal; a partir de febrero de 2025, será un requisito obligatorio con la posibilidad de verificación por parte del regulador. Pero hay un aspecto práctico más importante que el regulatorio: la gran mayoría de los empleados que permiten fugas a través de IA sombra no creen que estén haciendo algo malo. Simplemente no lo sabían. Una formación específica de 30 minutos con ejemplos reales de lo que les ha sucedido a otras empresas es más eficaz que cualquier prohibición de TI o un documento largo con reglas.

Qué significa la respuesta:

Nuestra recomendación: el formato es más importante que la duración. Una sesión de 30 minutos con ejemplos específicos ("esto es lo que le pasó a la empresa X a través de una cuenta personal de ChatGPT", "estos son los datos que no se pueden insertar y por qué") más respuestas a preguntas es mejor que una conferencia de 2 horas con reglas abstractas. Documente la asistencia: nombre, fecha, firma o confirmación; el regulador puede solicitar pruebas y un "hemos realizado formación" sin documentación no cuenta.


Cómo interpretar los resultados del checklist

Cuente cuántas respuestas cayeron en cada zona. Proponemos esta escala no como una calificación abstracta, sino como una herramienta para tomar una decisión concreta: si el servicio se puede usar para datos personales ahora y, si no, qué corregir específicamente.

🟢 Zona Verde: 16–20 respuestas "✔️"

El proveedor demuestra prácticas maduras de seguridad y cumplimiento de GDPR. Se puede utilizar para procesar datos personales siempre que se cumplan los procedimientos internos: ROPA actualizado, DPA firmado, TIA realizado. Recomendamos una revisión de seguimiento en 6 meses o al realizar cambios significativos en el sistema del proveedor; las prácticas de seguridad y los términos del contrato cambian.

🟡 Zona Amarilla: 10–15 respuestas "✔️"

Hay un nivel básico de protección, pero faltan elementos. Antes de procesar datos personales, elimine todas las respuestas "🔴" y corrija la mayoría de las "⚠️". Pasos típicos que seguimos con los clientes: firmar un DPA (si no está firmado, lleva un día), realizar un TIA, actualizar el ROPA, implementar una política corporativa de IA. Un servicio en la nube sin residencia de datos en la UE solo es aceptable para datos no personales.

🔴 Zona Roja: menos de 10 respuestas "✔️"

Lagunas graves que crean un riesgo real de GDPR. No utilice este servicio para procesar datos personales hasta que se solucionen los problemas críticos. Si el proveedor no puede o no quiere solucionarlos, considere migrar a una solución autoalojada (self-hosted), donde la mayoría de las preguntas de este checklist simplemente no surgen: los datos nunca salen de su servidor y usted es tanto el controlador como el procesador simultáneamente.

Tabla rápida de decisiones

Situación Recomendación
Todas las respuestas ✔️, servidores en la UE, proveedor no estadounidense ✅ Se puede usar para datos personales
Hay DPA y SCC, servidores en EE. UU. ⚠️ Se requiere TIA. Para medicina y abogados, no lo recomendamos
No hay DPA o el proveedor se niega a proporcionarlo 🔴 No usar para datos personales, punto final
Existe Shadow AI, no hay alternativa corporativa ⚠️ Implementar un asistente corporativo de IA — la prohibición sin alternativa no funciona
Solución autoalojada en servidor de la UE ✅ La mayoría de las preguntas de este checklist no surgen — los datos están contigo

¿Qué hacer si el proveedor no responde a las preguntas?

Si el proveedor no puede o no quiere responder a las preguntas de este checklist, eso ya es información. En AskYourDocs hemos visto suficientes conversaciones de este tipo como para reconocer excusas típicas y explicar lo que hay detrás.

"No podemos revelar esta información por motivos de seguridad."
Esto es manipulación. La seguridad real no requiere ocultar al cliente dónde se almacenan sus datos ni si existe un DPA. Los proveedores con prácticas de seguridad maduras comparten con gusto Resúmenes de Seguridad (Security Overview), certificados actualizados y un DPA modelo, ya que es una ventaja competitiva, no un punto débil. Si el proveedor se niega, no oculta "secretos de seguridad", sino la falta de madurez legal.

"Consulta nuestros términos de uso — ahí está todo."
Los términos de uso se redactan en interés del proveedor y puede cambiarlos unilateralmente sin su consentimiento. Un DPA es un documento legalmente vinculante con obligaciones específicas que lo protegen. Si en lugar de un DPA le ofrecen "leer los Términos de Servicio", el proveedor está evadiendo deliberadamente la responsabilidad legal.

"Somos muy grandes y conocidos — puedes confiar en nosotros."
En 2024, el regulador sueco multó a la cadena de farmacias Apoteket con 37 millones de SEK (aprox. 3,2 millones de €), no por una filtración de datos, sino por la falta de una base legal adecuada al transferir datos médicos de clientes a terceros. Meta ha recibido multas de miles de millones. El tamaño de la empresa no sustituye la documentación legal; el regulador no suaviza los requisitos solo porque usted utilice una plataforma conocida.

Algoritmo de actuación en ausencia de respuestas:

Preguntas frecuentes

¿Es necesario completar todo el checklist para cada servicio de IA?

Sí, para cada servicio que procese datos personales. Para servicios que solo trabajan con datos públicos o anonimizados, basta con el Bloque 3 (seguridad técnica) y el Bloque 5 (shadow AI). El Bloque 5 es obligatorio para todos, independientemente del tipo de datos: el shadow AI existe en todas las organizaciones donde hay herramientas de IA sin una alternativa corporativa.

¿Con qué frecuencia se deben actualizar los resultados del checklist?

Una vez cada 6 meses — o al cambiar de proveedor, al actualizar significativamente el servicio, al cambiar los tipos de datos que se procesan, al surgir nuevos requisitos regulatorios. También es obligatorio en caso de cualquier incidente de seguridad en el proveedor, incluso si no le afecta directamente: los cambios en el sistema de seguridad del proveedor después de un incidente pueden afectar su DPA y ROPA.

¿Qué pasa si nuestro servicio de IA actual no supera el checklist?

Antes que nada, no apague el sistema ni entre en pánico. Evalúe específicamente qué preguntas no se han superado. Un DPA ausente se rectifica en un día — la mayoría de los proveedores lo tienen en su sitio web. Servidores en EE. UU. sin TIA — se rectifica en semanas realizando un TIA y firmando SCCs. Si las preguntas críticas (DPA, ubicación de los servidores) no pueden ser rectificadas por el proveedor, es una señal para considerar la migración a una solución autoalojada (self-hosted). Le ayudamos a evaluar la situación específica — escríbanos por Telegram.

¿Se necesita un checklist separado para una solución autoalojada (self-hosted)?

Para soluciones autoalojadas, las preguntas de los Bloques 1 y 2 generalmente no surgen — usted es simultáneamente el controlador y el procesador, no hay transferencia transfronteriza. Pero los Bloques 3, 4 y 5 siguen siendo totalmente relevantes: la seguridad técnica de su servidor, el control de acceso y el shadow AI son su responsabilidad independientemente de la arquitectura. Un sistema autoalojado configurado correctamente resuelve la mayoría de las preguntas de los Bloques 1-2, pero no le exime de prestar atención a los Bloques 3-5.

¿Quiere verificar su servicio de IA?

Envíenos las respuestas a este checklist — y en 30 minutos le mostraremos dónde existen riesgos reales de GDPR y cómo eliminarlos técnicamente, sin costosas consultas legales. Si los riesgos son críticos, le ofreceremos un plan concreto de migración a una solución autoalojada (self-hosted) con una estimación de coste y tiempo.

Escribir por Telegram →

Implementación de asistente de IA autoalojado (self-hosted) llave en mano en 5-7 días. Servidor en la UE bajo su control. Los datos permanecen solo con usted.

Lea también

Fuentes: Secure Privacy — GDPR Compliance 2026 · Parloa — AI Privacy Rules: GDPR, EU AI Act 2026 · TechnovaPartners — Security and GDPR in AI Agents · Vectra AI — GDPR Compliance Security Requirements 2026 · GDPR Local — EU AI Act Summary · EDPB — European Data Protection Board · IMY — Fines against Apoteket and Apohem (2024)