Garberlabs
⏱ 3 min

RGPD y chatbots de IA: qué tienes que cumplir antes de lanzarlo

Tu chatbot recoge emails y conversaciones en lenguaje natural, pero ¿tienes consentimiento explícito registrado? Si no sabes responder en tres segundos, la AEPD puede multarte desde 10.000 €.

Imagina que tu equipo de marketing acaba de poner en marcha un chatbot IA en la web para captar leads mientras duermes. Funciona de maravilla: responde dudas, cualifica clientes, recoge emails y teléfonos. A la semana recibes un email de un usuario pidiendo que borres sus datos porque "no autorizó nada". Tu responsable de marketing te mira esperando una respuesta. ¿Guardaste consentimiento explícito? ¿Dónde está registrado? ¿Quién tiene acceso a esas conversaciones? Si tardas más de tres segundos en contestar, tienes un problema de RGPD.

No es paranoia: la Agencia Española de Protección de Datos ha multado a empresas medianas por no informar correctamente sobre el uso de datos en formularios web. Un chatbot que recoge información personal sin cumplir la normativa es exactamente lo mismo, pero más visible y más arriesgado, porque el usuario habla en lenguaje natural y puede compartir datos sensibles sin que tú se lo pidas.

Por qué el RGPD no es opcional (ni negociable)

El Reglamento General de Protección de Datos no distingue entre un formulario de contacto tradicional y un asistente conversacional. Si tu chatbot recoge nombre, email, teléfono, empresa o cualquier dato que identifique a una persona, estás tratando datos personales. Y eso implica tres obligaciones básicas:

  • Informar claramente para qué usarás esos datos antes de recogerlos.
  • Obtener consentimiento explícito si el chatbot no es estrictamente necesario para prestar el servicio (spoiler: un bot de captación de leads no lo es).
  • Garantizar derechos de acceso, rectificación, supresión y portabilidad de los datos que almacenas.

Las multas arrancan en 10.000 € para infracciones leves y pueden llegar al 4% de la facturación anual en casos graves. Pero el coste real no es la multa: es la pérdida de confianza. Un cliente potencial que descubre que su conversación con tu bot se almacenó sin avisar no vuelve.

Qué debes tener listo antes de activar el chatbot

Antes de hacer pública cualquier herramienta conversacional con IA, revisa esta lista con tu equipo (y si es necesario, con asesoría legal):

  1. Aviso de privacidad visible desde el primer mensaje. El chatbot debe mostrar, antes de pedir datos, un texto breve que enlace a tu política de privacidad y explique qué harás con la información. Ejemplo: "Al continuar, aceptas nuestra política de privacidad y el tratamiento de tus datos para responder tu consulta."

  2. Consentimiento inequívoco. No basta con que el usuario siga hablando. Necesitas un checkbox, un botón "Acepto" o una confirmación explícita antes de almacenar datos personales. Si usas el chat solo para responder preguntas sin guardar nada, el consentimiento puede ser implícito, pero documenta esa decisión.

  3. Registro de consentimientos. Cada vez que alguien acepta, guarda fecha, hora, IP y texto exacto que aceptó. Si un usuario reclama, necesitas demostrar que dio permiso. Sin registro, no tienes defensa.

  4. Acceso restringido a las conversaciones. Define quién en tu empresa puede leer los chats guardados. No es aceptable que cualquiera con acceso al CRM vea conversaciones completas sin justificación. Implementa roles y audita accesos.

  5. Procedimiento para ejercer derechos. Alguien tiene que poder borrar, exportar o rectificar datos en menos de 30 días. Si tu chatbot vive en una plataforma externa, asegúrate de que puedes cumplir esos plazos sin depender de un soporte lento.

Riesgos comunes que pasan desapercibidos

Muchas empresas activan un chatbot pensando solo en la experiencia de usuario, sin revisar dónde se almacenan las conversaciones. Si usas un proveedor externo (OpenAI, Dialogflow, plataformas SaaS), verifica:

  • Dónde están los servidores. Si los datos salen de la UE sin garantías adecuadas, incumples RGPD.
  • Cuánto tiempo se guardan las conversaciones. Retener datos indefinidamente sin justificación es infracción. Define plazos de borrado automático.
  • Qué hace el proveedor con los datos. Algunos servicios de IA entrenan modelos con conversaciones de clientes. Lee las condiciones y exige contrato de encargado de tratamiento si es necesario.

El siguiente paso no es contratar un abogado de datos (aunque ayuda): es hacer una auditoría interna de 30 minutos con tu equipo. Pregúntate: ¿sabemos exactamente qué datos recoge el chatbot, dónde se guardan, quién los ve y cómo los borramos si alguien lo pide? Si alguna respuesta es "no estoy seguro", tienes trabajo por hacer antes de escalar la herramienta. Un chatbot bien configurado no solo cumple la ley: genera confianza, y eso sí convierte.