El segundo artículo es relativo a las Recomendaciones técnicas, organizativas y contractuales para mitigar riesgos.

Recomendaciones técnicas, organizativas y contractuales para mitigar riesgos

Para utilizar GPT-5 de forma responsable y conforme a la normativa, se deben implementar medidas de carácter técnico, organizativo y contractual que mitiguen los riesgos identificados. A continuación, se presentan recomendaciones concretas en cada ámbito, respaldadas por referencias normativas:

1. Medidas Técnicas de Protección de Datos y Seguridad:

• Minimización y anonimización de datos: Aplique el principio de minimización de datos desde el diseño. Esto implica no enviar a GPT-5 más datos personales de los necesarios para la finalidad buscada. Por ejemplo, si se usa GPT-5 para analizar textos, anonimice o seudonimize cualquier información personal en las entradas (prompts) antes de enviarlas. Remplace nombres reales por identificadores genéricos, elimine números de identificación, direcciones u otros datos sensibles. La AEPD recomienda expresamente reducir la identificación, agregando datos o ocultándolos siempre que sea posible. Herramientas de pseudonimización y enmascaramiento de datos pueden ayudar a que, incluso si se intercepta la comunicación o se filtra el output, no se revelen datos personales reales.
• Cifrado y canales seguros: Garantice que toda comunicación entre su sistema y la API de GPT-5 viaje cifrada (TLS 1.2+). OpenAI ya cifra sus APIs, pero verifique certificados y use protocolos actualizados. Considere también cifrar datos sensibles en reposo si almacena logs o resultados que contengan datos personales. El cifrado es una medida básica exigida por el RGPD art. 32 como ejemplo de salvaguarda de confidencialidad. Además, gestione cuidadosamente las claves API de GPT-5: almacénelas de forma segura (vault), rotarlas periódicamente, y restringir permisos para minimizar accesos indebidos.
• Control de acceso y segregación: Aplique el principio de privilegios mínimos. Solo personal autorizado debe poder acceder a las funciones que envían datos a GPT-5 o ver las respuestas crudas. Implemente autenticación robusta y registro de actividad (logging) para monitorear quién envía qué datos al modelo. En entornos corporativos, se puede integrar la llamada a GPT-5 en sistemas internos que limiten qué campos de datos de clientes pueden usarse en prompts, previniendo que se incluyan datos de más.
• Supervisión y filtrado de salidas: Incorpore capas de post-procesamiento a las respuestas de GPT-5 antes de entregarlas al usuario final. Esto puede incluir filtros automáticos para detectar potencial divulgación de datos personales (por ejemplo, si en la respuesta aparece un número de teléfono o un nombre propio no esperado) y máscaras esas partes. Asimismo, utilice sistemas de moderación de contenido (OpenAI ofrece un endpoint de moderación) para evitar outputs ilícitos u ofensivos. Estas medidas ayudan a mitigar riesgos de que GPT-5 genere información sensible o inapropiada. De ser posible, limite también la longitud o formato de las respuestas para prevenir que, por ejemplo, devuelva listados masivos de datos personales.
• Evaluaciones de impacto y pruebas previas: Antes de desplegar GPT-5 con datos reales, realice una Evaluación de Impacto en la Protección de Datos (EIPD o DPIA) conforme al art. 35 RGPD. Los tratamientos con IA generativa probablemente serán considerados de alto riesgo (perfilado, uso de nuevas tecnologías, volumen de datos, decisiones automatizadas), por lo que la EIPD identificará riesgos residuales y medidas específicas. Involucre en esta evaluación al Delegado de Protección de Datos (si tiene) y a las partes interesadas, incluso valorando consultas a los usuarios si procede. Documente cuidadosamente los resultados. Si a pesar de las salvaguardas quedan riesgos altos sin mitigar, consulte a la AEPD antes de continuar (art. 36 RGPD). Complementariamente, haga pruebas de seguridad y auditorías éticas (red-teaming) para ver cómo GPT-5 podría fallar: ¿es susceptible a prompt injection que haga que revele datos internos? ¿Puede un atacante obtener información sensible induciendo ciertas preguntas? Use esos hallazgos para fortalecer los controles antes de la puesta en producción.

Protección desde el diseño y por defecto: Adopte un enfoque de Privacy by Design & by Default en todo el ciclo de vida del proyecto GPT-5. Desde la configuración inicial, ajuste los parámetros para no guardar innecesariamente datos personales. Por ejemplo, si se usa la API, deshabilite opciones de logging de OpenAI (se sabe que las cuentas empresariales/educación permiten no conservar interacciones más allá de 30 días para debugging). Configure borrados automáticos de historiales o outputs que contengan datos personales tan pronto dejen de ser necesarios. Según la AEPD, se deben proporcionar medios para que los interesados controlen cómo se usan sus datos y asegurar que por defecto solo se traten los datos imprescindibles para cada finalidad.

• Implemente también medidas de auditoría continua: revise periódicamente las salidas del modelo para detectar desviaciones (e.g. tendencia a revelar cierto tipo de dato) y corrija ajustando los filtros o el modelo, documentando estos ajustes.
• Limitación de almacenamiento y retención: Defina políticas de retención de datos para todo dato personal implicado en GPT-5. Si guarda registros de las consultas y respuestas para mejorar el servicio, analícelos con fines de mejora o trazabilidad, aplique pseudonimización y establezca plazos cortos de borrado. No conserve contenidos que identifiquen a personas más allá de lo necesario. Esto cumple con el principio de limitación de conservación del RGPD. Asegúrese además de que, si OpenAI almacena temporalmente los datos enviados (por ejemplo, para mejorar sus modelos), en el contrato quede claro que no podrán usarlos para entrenar otros modelos sin permiso y que los borrarán según plazos acordados, alineado con el derecho de supresión.

2. Medidas Organizativas y de Gobierno:

• Políticas internas y formación: Desarrolle y difunda dentro de la organización una política clara sobre el uso de IA. Esta debe indicar qué usos de GPT-5 están permitidos y con qué fines, así como prohibir expresamente introducir datos personales no autorizados o información confidencial en la herramienta sin las debidas garantías. La LOPDGDD (art. 87.3) obliga a establecer criterios de uso de medios digitales, lo cual abarca las herramientas de IA; por tanto, involucre al departamento legal y de TI para crear directrices de uso aceptable de GPT-5 tanto para empleados como, en su caso, para usuarios finales. Acompañe estas políticas de formación y concienciación: capacite a su personal (en especial a aquellos con acceso a datos sensibles) sobre los riesgos de privacidad de la IA, las mejores prácticas (no copiar/pegar datos de clientes en el prompt, revisar siempre la precisión de las respuestas antes de usarlas, etc.) y las consecuencias disciplinarias de un uso negligente. Una cultura organizativa informada es la mejor defensa contra brechas causadas por error humano.
• Roles y responsabilidades definidos: Incluya el proyecto de GPT-5 dentro de su esquema de gobierno de datos. Asigne un responsable interno del proyecto de IA que coordine con el Delegado de Protección de Datos (DPO) y con el CISO/CTO. Este responsable velará por que se sigan las políticas, por actualizar las medidas según cambie el contexto y por atender eventuales incidentes. El DPO, si existe, debe estar involucrado desde el diseño, revisando contratos, la evaluación de impacto, las comunicaciones a interesados, etc., tal como exige el art. 35.2 RGPD. Considere también crear un comité ético o de IA que evalúe no solo cumplimiento legal sino cuestiones de sesgo, impacto social y uso responsable del modelo, emitiendo recomendaciones.
• Gestión de proveedores y subencargados: A nivel organizativo, integre a OpenAI (u otro proveedor de GPT-5) en su proceso de gestión de proveedores críticos. Esto supone realizar due diligence de seguridad y privacidad: evaluar sus certificaciones (¿tiene ISO 27001? ¿auditorías SOC2? – en el caso de OpenAI, sabemos que sí), entender su cadena de subprocesadores (por ejemplo, si almacenan datos en servidores de terceros como Microsoft Azure) y exigir notificación de cualquier cambio. Establezca en contrato derechos de auditoría o informes periódicos de cumplimiento. También, prepare un Plan de contingencia por si el proveedor sufre una incidencia (¿cómo detener o aislar el flujo de datos hacia GPT-5 si hay un fallo de seguridad global?). En definitiva, trate al servicio de IA como un outsourcing crítico bajo los estándares de su empresa.
• Procedimientos para derechos de interesados: Aunque, como se mencionó, atender derechos ARCO-POL frente a GPT-5 es complejo, la organización debe tener protocolos para responder a solicitudes de usuarios relacionadas con los datos tratados en la IA. Por ejemplo, si un cliente pide saber si sus datos se han utilizado para entrenar o alimentar GPT-5, se le debe poder informar (transparencia). Si alguien solicita supresión de sus datos, habrá que evaluar si procede (quizá no aplicaba porque nunca se usaron datos identificables de él en GPT-5; en otros casos, habría que pedir a OpenAI que elimine ciertos logs). Lo importante es no ignorar las solicitudes: documente una respuesta, aun si es para explicar límites (“sus datos personales no son almacenados por nuestro sistema de IA más allá de su conversación, la cual ya ha sido eliminada”). También considere medidas proactivas: p. ej., dar la opción a los usuarios de no enviar cierto contenido a la IA (un opt-out para quienes prefieran trato humano) o facilitar un modo de uso “solo con datos sintéticos” para casos sensibles.
• Monitorización continua y revisión legal periódica: Establezca métricas e indicadores para monitorear el funcionamiento de GPT-5 en producción: número de respuestas corregidas manualmente, incidentes de datos detectados, feedback de usuarios, etc. Revise estos indicadores regularmente en equipo multidisciplinar para ajustar medidas. Asimismo, manténgase al día con la evolución normativa: además del RGPD/LOPDGDD, en la UE se está gestando el Reglamento de IA (AI Act) que podría imponer obligaciones específicas si GPT-5 se considera IA de alto riesgo o uso general. Aunque el AI Act aún no esté en vigor, es prudente anticipar requisitos de transparencia, registro técnico o gestión de riesgos que pueda exigir. Igualmente, siga las guías de la AEPD y del Comité Europeo de Protección de Datos (EDPB) sobre IA. Esta revisión legal periódica garantiza que las recomendaciones aquí implementadas se actualicen conforme a las “mejores prácticas” y exigencias del momento.

3. Medidas Contractuales y Cláusulas Legales:

• Contrato con OpenAI (Encargado del tratamiento): Como ya se indicó, firme un Acuerdo de Encargo de Tratamiento con el proveedor de GPT-5. Verifique que incluya todas las estipulaciones del art. 28.3 RGPD: procesamiento solo según instrucciones documentadas del responsable; deber de confidencialidad para el personal del encargado; medidas de seguridad apropiadas (mencionando estándares como ISO 27001, cifrado, etc.); asistencia para cumplir con derechos de interesados y para gestionar incidentes de seguridad; supresión o devolución de datos tras la prestación; y demostración de cumplimiento (auditorías). Incluya explícitamente cláusulas sobre no uso de los datos para entrenamiento sin permiso expreso (a menos que desee lo contrario). En materia de transferencias internacionales, el contrato debe incorporar las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea o referencia a la adhesión al nuevo marco UE-EEUU si OpenAI estuviera certificado. Acompañe esto de un Data Transfer Impact Assessment documentado. Asimismo, considere añadir cláusulas indemnizatorias: por ejemplo, que, si OpenAI incumple sus obligaciones y causa una sanción a su empresa, responderá por esos costes (aunque en la práctica su posición negociadora dependerá del volumen contratado).
• Cláusulas con clientes/usuarios finales: Ajuste sus Términos de Servicio y Políticas de Privacidad para reflejar la integración de GPT-5. En la política de privacidad, informe a los interesados de que ciertos datos que proveen (p. ej., sus consultas al chatbot, o datos X recopilados) serán tratados mediante un sistema de inteligencia artificial de un proveedor tercero (OpenAI) con la finalidad determinada (ej.: “ofrecer respuestas automatizadas y personalizadas a sus consultas”). Indique la base jurídica aplicada (p. ej., consentimiento si el usuario lo activa, o interés legítimo en mejorar el servicio, según corresponda). No olvide mencionar los destinatarios o categorías de destinatarios de los datos: aquí entraría OpenAI como encargado e incluso puede indicar “proveedores de servicios de computación en la nube” si aplica. Si hay transferencia internacional, detállelas: “sus datos podrían ser procesados en servidores ubicados en [países fuera del EEE] bajo garantías adecuadas (cláusulas contractuales tipo)”. Incluya también el tiempo de conservación (ej.: “las entradas del usuario no se almacenan permanentemente, solo de forma temporal para generar la respuesta y luego se eliminan en [X] días”). Por último, informe claramente de los derechos del usuario y cómo ejercerlos, aunque mencione cualquier limitación práctica (sin desalentar el ejercicio de derechos). Todos estos elementos satisfacen los arts. 13 y 14 RGPD sobre información al interesado y demuestran transparencia.
• Avisos de responsabilidad y uso apropiado: En los términos de uso o aviso legal de su servicio, agregue cláusulas que traten específicamente el uso de la IA. Debe quedar claro para el usuario que está interactuando con un sistema automatizado y no con consejo humano profesional. Recomiende al usuario no introducir datos personales sensibles ni información confidencial durante la interacción con GPT-5, advirtiendo que aunque se toman medidas de seguridad, ninguna transmisión por Internet es completamente segura. También, incluya un disclaimer sobre la naturaleza de las respuestas: por ejemplo, que las respuestas de GPT-5 son generadas automáticamente a partir de patrones de datos y podrían contener errores o información desactualizada, por lo que el usuario no debe tomarlas como verdades absolutas ni como asesoramiento especializado para toma de decisiones críticas. Este aviso de no responsabilidad preparará las expectativas del usuario y puede ayudar a mitigar responsabilidades civiles. Recuerde que, según la LSSI, si su servicio de IA pudiera considerarse un servicio de intermediación de contenidos, debería exponer las limitaciones de responsabilidad pertinentes (arts. 16 y 17 LSSI) – aunque típicamente con GPT-5 la empresa proveedora tiene un rol activo, es sensato contractualmente delimitar que la empresa no será responsable de los contenidos generados por la IA que escapen a su control razonable.
• Cláusulas ante uso indebido por el usuario: Incluir en los Términos de Servicio normas que prohíban al usuario final emplear la herramienta para fines ilícitos o introducir deliberadamente datos de terceros sin autorización. Por ejemplo, prohibir usar el chatbot para generar contenido difamatorio, o para vulnerar la privacidad ajena (introduciendo información privada de terceros). Establezca que la cuenta podrá ser suspendida ante violaciones graves de estas reglas. Esta previsión, además de proteger a posibles víctimas, ayuda a la empresa a demostrar diligencia (accountability) en prevenir usos ilegítimos de la plataforma.

Asegurarse de que estas medidas técnicas, organizativas y contractuales se implementan conjuntamente reforzará la posición de cumplimiento de la organización. La propia AEPD señala que la adopción de medidas concretas de gestión de riesgo y privacidad desde el diseño debe permear todas las fases del tratamiento con IA. Con estas salvaguardas, se reducen significativamente los riesgos de sanciones, brechas o daños a los derechos de las personas, al tiempo que se aprovechan las ventajas de GPT-5 de forma responsable.

Arona, 11 de agosto de 2025

Antonio Sosa

Ingeniero (Especialista en Ciberseguridad)

Abogado (Especialista en Derecho Tecnológico)