Por qué te lo explico yo.
Llevo más de 15 años en marketing digital, dirigí una agencia catalana Google Premier Partner y ahora trabajo como consultor con 4-6 clientes al año. Tengo un máster en IA por la UCM, y una parte de mi trabajo es precisamente montar estos sistemas para pymes: chatbots de atención, asistentes de captación, automatizaciones. O sea: no te hablo desde el pánico de un titular de periódico, sino desde la trinchera.
Ahora bien, no soy abogado y este artículo no es asesoramiento jurídico: es el mapa para que sepas qué tienes que mirar y qué tienes que preguntar. Para el marco general de la normativa de IA, tienes el artículo sobre la ley de IA en España; aquí vamos al caso concreto.
Primero de todo: sí, tu chatbot trata datos personales.
Hay una idea extendida que hace daño: "es solo un chat, no pedimos nada". Falso. Cuando alguien escribe en tu chatbot ya estás tratando el contenido de sus mensajes y, probablemente, metadatos de la sesión. Y la gente escribe cosas que no le has pedido: nombres, teléfonos, problemas de salud. El chatbot no elige qué le cuentan. Por tanto la pregunta no es "tratamos datos o no". Es "con qué base legal, qué hacemos con ellos y quién más los ve".
La base legal: consentimiento o interés legítimo.
El RGPD exige que todo tratamiento de datos personales se apoye en una de las bases legales que prevé el artículo 6 del Reglamento. Para un chatbot, el debate práctico suele estar entre dos:
Consentimiento. El usuario acepta de manera libre, informada e inequívoca que trates sus datos para una finalidad concreta. Es la vía natural cuando el chatbot hace captación: si pide nombre y correo para enviar una propuesta, el consentimiento tiene que ser explícito y registrable, como en cualquier formulario.
Interés legítimo. Puede amparar tratamientos que el usuario razonablemente esperaría en el contexto, siempre que hayas hecho una ponderación seria entre tu interés y los derechos de la persona (el test de ponderación que exigen la AEPD y el Comité Europeo de Protección de Datos). Ejemplo típico de debate: responder consultas básicas de atención sin identificar al usuario.
Hay una tercera vía que a menudo se olvida: si el bot da soporte a alguien que ya es cliente tuyo, la ejecución del contrato que tenéis también puede ser la base (artículo 6.1.b). El matiz importante, donde veo más errores: la base legal va ligada a la FINALIDAD, no a la herramienta. Un mismo chatbot puede tener dos tratamientos (atender dudas y captar leads) y cada uno necesita su base y su información. Y un clásico a evitar: reutilizar las conversaciones para otra cosa (entrenar modelos, hacer perfiles) sin base ni información. Si algún día quieres hacerlo, se documenta antes. No después.
Transparencia: di que es una IA, y di qué haces con los datos.
Aquí confluyen dos normas que a menudo se confunden. La primera es el Reglamento de IA (AI Act), que impone una obligación de transparencia (artículo 50) a los sistemas de IA que interactúan directamente con personas: el usuario tiene que saber que habla con una máquina, salvo que sea evidente por el contexto. Esta obligación empieza a aplicarse el 2 de agosto de 2026, o sea que ya no es teoría de futuro. Traducción práctica: el bot se presenta como lo que es en el primer mensaje. Nada de fingir que es la Marta del departamento comercial.
La segunda es el RGPD, que te obliga a informar a la persona sobre el tratamiento: responsable, finalidades, conservación, derechos y cómo ejercerlos (el contenido de los artículos 13 y 14), un deber que la AEPD recomienda aplicar por capas en interfaces conversacionales.
La buena noticia: las dos cosas se resuelven con el mismo gesto de diseño. Un primer mensaje honesto ("soy una IA, trato tus datos para X, aquí tienes la política de privacidad") con enlace a una política al día. Y curiosamente, decir que es una IA no asusta al usuario. Lo que le asusta es descubrirlo después.
Minimización: el chatbot no tiene que saberlo todo.
El RGPD pide tratar solo los datos adecuados y necesarios para la finalidad. Aplicado a un chatbot:
No pidas lo que no necesitas. Si el bot resuelve dudas de horarios, no necesita el DNI de nadie. Cada campo que pides tienes que poder justificarlo.
Pon barreras a lo que no quieres recibir. Un bot bien diseñado corta educadamente los datos sensibles ("no hace falta que me des eso, para este tema llámanos") y, si el sistema lo permite, los filtra antes de guardarlos o de enviarlos al modelo.
Decide cuánto tiempo guardas las conversaciones, y por qué. "Para siempre, por si acaso" no es un criterio de conservación, es la ausencia de uno.
El punto que casi todo el mundo pasa por alto: adónde van los datos.
Aquí es donde el tema se pone serio. La mayoría de chatbots para pymes funcionan sobre modelos de terceros (OpenAI, Anthropic, Google y compañía): cada mensaje de tu cliente puede acabar en los servidores de ese proveedor. Consecuencias:
El proveedor es tu encargado del tratamiento. Necesitas un contrato de encargo (el artículo 28 del RGPD) que regule qué puede hacer con los datos. Ahora bien, el papel del proveedor hay que mirarlo caso por caso: si usa las conversaciones para sus propios fines, puede actuar como responsable independiente y no como mero encargado. Los grandes proveedores ofrecen estos acuerdos (DPA) en los planes de empresa; los planes gratuitos o de consumidor a menudo NO dan las mismas garantías.
Transferencias fuera de la UE. Si el proveedor procesa datos fuera del Espacio Económico Europeo (EEE), hace falta un mecanismo de transferencia válido. El marco concreto cambia con el tiempo, así que no tienes que sabértelo de memoria: lo que hace falta es que el proveedor te muestre por escrito sobre qué base transfiere.
Entrenamiento con tus datos. Algunos servicios usan las conversaciones para entrenar modelos según el plan contratado. En los planes de empresa normalmente se puede desactivar o viene desactivado. Verifícalo y deja constancia.
Mi regla práctica: si un proveedor de IA no puede enseñarte su DPA ni explicarte dónde procesa los datos, no es un proveedor para datos de tus clientes. Que el bot sea espectacular en la demo no cambia eso.
Checklist antes de encender el chatbot.
La versión operativa de todo lo anterior. Antes de poner el bot en producción:
1. Finalidades escritas. Qué hará el bot y con qué datos. Una frase por finalidad.
2. Base legal para cada finalidad. Consentimiento, interés legítimo o ejecución de contrato, decidido y documentado.
3. Aviso de IA en el primer mensaje. El usuario sabe que habla con una máquina.
4. Información de privacidad accesible desde el chat. Capa corta más enlace a la política completa, actualizada.
5. Minimización aplicada al guion. El bot no pide datos que no necesita y redirige los sensibles a un canal humano.
6. Contrato de encargo con el proveedor. DPA aceptado, sin entrenamiento con tus conversaciones, ubicación del procesamiento conocida.
7. Retención definida. Cuánto tiempo guardas conversaciones y leads, y quién los ve.
8. Vía humana siempre abierta. Para hablar con una persona y para ejercer derechos.
9. Registro de actividades de tratamiento actualizado, y valoración de si hace falta una evaluación de impacto de protección de datos (obligatoria cuando el tratamiento puede comportar un riesgo alto para los derechos de las personas, según los criterios de la AEPD).
10. Revisión periódica. Cada cambio de finalidad del bot vuelve a pasar por esta lista.
La honestidad final: esto no es un motivo para no hacerlo.
Después de leer todo esto puedes pensar que poner un chatbot es un campo de minas. No lo es. Es un proyecto con deberes, como aceptar tarjetas o enviar newsletters. Las empresas que lo hacen mal no suelen fallar por mala fe: fallan por encender la herramienta primero y pensarlo después.
Mi consejo es el de siempre: ni el hype ni la parálisis. Un chatbot bien planteado, con estas bases cubiertas desde el diseño, es una herramienta perfectamente legal y muy útil. Y si tu proveedor o tu agencia no sabe responder las preguntas de esta lista, la respuesta no es renunciar al chatbot. Es cambiar de proveedor.
Si quieres el contexto general de cómo aplicar IA a una pyme con la cabeza fría, empieza por el hub de IA para pymes. Y si quieres que miremos tu caso, en la página de método explico cómo trabajo y por qué solo llevo 4-6 clientes al año.
Preguntas frecuentes.
¿Un chatbot de IA necesita siempre el consentimiento del usuario?
No siempre. El consentimiento es una de las bases legales posibles, pero no la única: según la finalidad, el interés legítimo puede amparar tratamientos que el usuario razonablemente esperaría, siempre con una ponderación documentada. Lo que sí es siempre obligatorio es informar al usuario del tratamiento y que sepa que habla con una IA.
¿Tengo que decirle al usuario que habla con una IA?
Sí. El Reglamento de IA (AI Act) (artículo 50) impone una obligación de transparencia a los sistemas de IA que interactúan con personas: el usuario tiene que saber que no habla con un humano, salvo que sea evidente por el contexto. Esta obligación se aplica desde el 2 de agosto de 2026 y, en la práctica, se resuelve presentando el bot como asistente virtual en el primer mensaje.
¿Puedo usar ChatGPT o un modelo similar para el chatbot de mi empresa?
Sí, pero con condiciones: necesitas un plan que ofrezca contrato de encargado del tratamiento (DPA), garantías sobre dónde se procesan los datos y la seguridad de que las conversaciones de tus clientes no se usan para entrenar el modelo. Los planes gratuitos o de consumidor normalmente no dan esas garantías.
¿Qué pasa con los datos sensibles que un cliente escribe en el chat sin que se los pida?
No puedes controlar qué escribe la gente, pero sí qué haces con ello. Un bot bien diseñado no pide nunca datos sensibles, redirige esos temas a un canal humano y, cuando es técnicamente posible, evita guardarlos o enviarlos al proveedor del modelo. La minimización es una decisión de diseño, no un trámite.
¿Necesito un abogado para poner un chatbot?
Para un chatbot sencillo de atención al cliente, con un buen proveedor y los deberes de la checklist hechos, a menudo basta con actualizar la política de privacidad con el apoyo que ya tengas en protección de datos. Si el bot trata datos delicados, toma decisiones con efectos sobre las personas u opera en un sector regulado, entonces sí: consulta especializada antes de encenderlo.
¿Quieres montar un chatbot bien hecho desde el primer día?
30 minutos gratis, por videollamada. Me cuentas qué quieres que haga el bot y te digo cómo plantearlo para que sea útil y esté en regla, sin humo ni alarmismo. Sin agenda comercial.
Reservar sesión de diagnóstico