Política de privacidad generada por inteligencia artificial: ¿Debería utilizar ChatGPT?
Por:
Masha Komnenic CIPP/E, CIPM, CIPT, FIP
| Actualizado el: 20 de agosto de 2025
La inteligencia artificial (IA) puede hacer muchas cosas -desde motores de búsqueda en Internet hasta filtrar el spam de nuestras bandejas de entrada-, pero ¿puede escribir su política de privacidad por usted?
Como analista de cumplimiento de Termly, llevo varios años trabajando en el sector de la privacidad de datos, y los rumores sobre empresas que utilizan ChatGPT para elaborar políticas de privacidad despertaron mi curiosidad.
¿Son los documentos finales realmente sólidos desde el punto de vista jurídico? ¿Qué indicaciones utilizan estas empresas para asegurarse de que las cláusulas finales reflejan sus actividades de tratamiento de datos?
He puesto a prueba a ChatGPT pidiéndole que elabore un aviso de privacidad conforme a la normativa.
Acompáñame en este experimento de IA, mira qué tipo de política ha creado y dime si crees que la IA ha sustituido a los humanos en el mundo de la privacidad de los datos o si los generadores de políticas de privacidad han llegado para quedarse.
¿Se puede utilizar ChatGPT para una política de privacidad?
Imagínese pedirle a una IA que elabore para su empresa una política de privacidad única, precisa y conforme a la ley. ¡Qué sueño! Aunque puede que algún día lo consigamos, ahora mismo el toque humano sigue siendo muy necesario, sobre todo si quieres evitar infringir cualquier ley de privacidad de datos.
Cuando experimenté con ChatGPT para crear una política de privacidad precisa, enseguida me di cuenta de que incluso cuando me daba resultados decentes, seguía necesitando revisar cuidadosamente cada parte del documento final.
Cada iteración de la política de privacidad de ChatGPT requirió múltiples ediciones, revisiones y actualizaciones.
Estarás diciendo, Etienne, ¿no significa esto que puedo utilizar ChatGPT para crear al menos un borrador por mí?
Por supuesto que puedes hacerlo, pero te sugiero que utilices una plantilla o un sitio web gratuito ( Generador de política de privacidad ), especialmente uno que haya sido verificado por un equipo jurídico y expertos en privacidad de datos.
Como ve, su política de privacidad debe informar a los usuarios de su sitio web sobre sus prácticas transparentes de privacidad de datos y ayudarle a cumplir todas las leyes de privacidad aplicables.
Un generador lo hace por usted, y no tiene que escribir tanto para obtener un resultado similar, aunque imperfecto, de nuestra amiga la IA, que nunca puede garantizar que su póliza final sea jurídicamente sólida o exacta.
Pero me estoy adelantando: primero, cubramos algunos aspectos básicos.
¿Qué es la IA y ChatGPT?
En su forma más simple, la inteligencia artificial, o IA, se refiere a cuando una máquina puede demostrar inteligencia humana: puede percibir, sintetizar, hacer inferencias, resolver problemas e incluso combatir ciberataques.
ChaptGPT es un chatbot con inteligencia artificial desarrollado por un grupo llamado OpenAI.
GPT" son las siglas de "generative pre-trained transformer" (transformador generativo preentrenado), que se refiere a una serie de grandes modelos lingüísticos o LLM.
Los LLM que entrenan ChatGPT utilizan el aprendizaje profundo(es decir, el aprendizaje automático que imita de cerca la forma en que los humanos procesan la información) para reconocer patrones complejos, textos, sintaxis y dicción.
También tiene acceso a un conjunto de datos repleto de millones, si no miles de millones, de ejemplos de palabras escritas procedentes de libros de texto, artículos en línea, sitios web y otras fuentes.
Gracias a ello, puede utilizar un lenguaje natural, mantener conversaciones similares a las humanas y crear distintos tipos de contenido escrito, como publicaciones en redes sociales, ensayos, códigos y correos electrónicos.
Pero, como resulta, todavía no puede escribir una política de privacidad compatible para usted. Se lo explicaré.
ChatGPT Política de privacidad Pruebas
Ahora viene lo divertido. Antes de mostrarte mis resultados, déjame guiarte a través de las diferentes indicaciones que utilicé cuando le pedí a ChatGPT que hiciera una política de privacidad.
Tras realizar pruebas rigurosas, me decidí por las tres indicaciones siguientes, cada vez más específicas.
| Prueba | Mensaje de ChatGPT |
| #1 | "Por favor, escriba una política de privacidad para https://termly.io/" |
| #2 | "Redactar una política de privacidad para https://termly.io/ que sea compatible con rgpd " |
| #3 |
"Escriba una política de privacidad para https://termly.io/ que incluya la siguiente información:
Para usuarios del EEE/Reino Unido:
Para usuarios californianos:
|
Ahora repasemos lo que nuestra amiga la IA creó basándose en estas tres consultas.
Prueba 1: Redactar una política de privacidad para Termly
Inicialmente, mantuve la petición muy amplia y simple pidiendo a ChatGPT que escribiera una política de privacidad para Termly. Para mí, esta petición es como el "control" del experimento.
¿Cuál es el resultado? La política de privacidad no se aplica al ámbito legal de Termly.
Vea lo que ChatGPT proporcionó a continuación:
Enseguida me di cuenta de que la IA no podía definir el ámbito legal de la política de privacidad, por lo que la política de privacidad que generó no es conforme.
Normalmente, el primer paso para redactar una política de privacidad es identificar qué leyes de protección de datos se aplican a su empresa. Esto depende de aspectos como la ubicación de su empresa, la procedencia de sus clientes y su sector de actividad.
Pero como ChatGPT no hace preguntas, no puede identificar qué leyes o normativas se aplican a su empresa.
Si intentara hacer una política de privacidad de esta manera, aún tendría que leer las leyes de privacidad de datos e identificar cuáles afectan a su negocio. A continuación, tendrías que volver a la política de privacidad y añadir todas las cláusulas pertinentes y las piezas que faltan para garantizar que cumple con esas leyes.
Esencialmente, estarías escribiendo todo tú mismo. Sería mejor utilizar un plantilla de política de privacidadque ya está formateado correctamente y que, al menos, tendría la ventaja añadida de ahorrarte tiempo.
Prueba 2: Redacte una política de privacidad para Termly que cumpla la normativa rgpd
Fui un poco más específico con mi pregunta para la siguiente prueba. Imaginemos que hemos identificado que nuestra empresa sólo está sujeta al Reglamento General de Protección de Datos (rgpd): ¿puede ChatGPT redactar una política de privacidad que lo cumpla?
¿Cuál es el resultado? La política de privacidad carece de los requisitos necesarios de rgpd y NO es conforme.
Echa un vistazo a lo que ChatGPT me dio a continuación:
Lamentablemente, no se trata de una política de privacidad conforme a rgpd.
Si lo publicara en su sitio web, podría ser multado por infringir el Reglamento. Nadie quiere eso.
En la tabla siguiente, vamos a comparar los requisitos de la rgpd con la política de privacidad generada por ChatGPT para que pueda ver con precisión qué partes del Reglamento incumple esta política.
| rgpd Artículo | rgpd Requisitos | Política de privacidad generada por ChatGPT |
Artículo 13, apartado 1, letra a)
|
Identidad y datos de contacto de la empresa. |
Parcialmente conforme
|
| Artículo 13, apartado 1, letra b) | Datos de contacto del responsable de la protección de datos (RPD). | No conforme |
| Artículo 13, apartado 1, letra c) | Fines del tratamiento y fundamento jurídico. |
Parcialmente conforme
|
| Artículo 13, apartado 1, letra d) | Terceros o categorías de terceros que tratan la información personal. | Sí |
| Artículo 13, apartado 1, letra f) | Transferencias internacionales, qué salvaguardias se utilizan para la transferencia y cómo obtener información sobre estas salvaguardias. | No conforme |
| Artículo 13, apartado 2, letra a) | Periodo de conservación de la información personal recopilada. | Sí |
| Artículos 13 2(b) +(c) | La existencia de derechos de acceso, rectificación, supresión y limitación del tratamiento de datos personales y el derecho a retirar el consentimiento. | Sí |
| Artículo 13, apartado 2, letra f) | La existencia de toma de decisiones automatizada, incluida la elaboración de perfiles. | No conforme |
| Artículo 13, apartado 2, letra d) | Derecho a presentar una reclamación ante una autoridad de control | No conforme |
| Artículo 13, apartado 2, letra e) | Si el suministro de datos personales es un requisito legal o contractual o es necesario para celebrar un contrato. | No conforme |
Artículo 14, apartado 1, letra d)
|
Las categorías de datos personales. | Sí |
| Artículo 14, apartado 2, letra f) | De qué fuente proceden los datos personales. | No conforme |
Como puede verse en el texto en rojo de la tabla anterior, la política de privacidad de ChatGPT dista mucho de cumplir todos los requisitos de rgpd.
Además, no se garantiza que la información generada sea correcta.
Por ejemplo, si lee la sección 2, "Cómo utilizamos sus datos", se dará cuenta de que faltan muchos fines legalmente aplicables a Termly .
Esto se debe a que ChatGPT está generando texto utilizando otras políticas preexistentes como referencia - no se basa en ninguna de nuestras prácticas comerciales reales.
Volvemos al problema original que experimentamos con la primera prueba. ChatGPT necesita que se le proporcione toda la información correcta directamente en el prompt porque nuestra amiga la IA no puede pedirnos ninguna especificación o corrección.
Test 3: Escriba una política de privacidad para Termly que incluya la siguiente información...
Ahora que hemos establecido que ChatGPT necesita que se le proporcione información específica para redactar una política de privacidad conforme, veamos si puede combinar los requisitos de varias leyes de privacidad si le proporcionas toda la información necesaria.
Esta vez, he añadido detalles sobre la Ley de Privacidad del Consumidor de California(CCPA) y la rgpd.
En teoría, esto debería proporcionarnos por fin un acuerdo de privacidad adecuado listo para ser publicado en línea.
¿Cuál es el resultado? La política de privacidad incluye todos los elementos solicitados, pero le falta claridad y formato. Aún necesita modificaciones humanas.
A modo de recordatorio, aquí está el mensaje muy completo y específico que envié a ChatGPT:
A continuación, lea la política de privacidad que ChatGPT ha generado basándose en estas largas instrucciones:
Estoy gratamente sorprendido por estos resultados. Pero también soy consciente de que nos ha costado mucho tiempo, esfuerzo y escritura por mi parte llegar hasta aquí. Y, si no me equivoco, la esperanza es que el uso de la IA para hacer una política de privacidad llevaría a hacer menos trabajo, no más.
La política de privacidad que generó ChatGPT es satisfactoria en el sentido de que incluye todos los elementos solicitados. Incluso indica las leyes de privacidad en el encabezado sin que se lo pidamos:
'Si reside en el Espacio Económico Europeo (EEE) o en el Reino Unido (RU), tenga en cuenta que cumplimos con el Reglamento General de Protección de Datos (rgpd) y la Ley de Protección de Datos del Reino Unido de 2018. Si reside en California, tenga en cuenta que cumplimos con la Ley de Privacidad del Consumidor de California (CCPA).'
En nuestra intervención, también distinguí entre los requisitos del EEE/Reino Unido y los de California, y nuestro amigo de la IA lo reprodujo en la política de privacidad.
Como tal, puede considerarse una política de privacidad conforme, y podemos concluir que es posible combinar los requisitos de diferentes leyes de privacidad siempre que se proporcione a la IA una solicitud detallada y organizada.
Sin embargo, todavía se necesita un humano para finalizar esta política de privacidad.
El texto que generó ChatGPT es más una lista de nuestros requisitos que un acuerdo de privacidad elaborado de forma lógica. Era capaz de incluir toda la información que pedía, pero no la organizaba de ninguna manera.
Una empresa que utilice IA para generar su política de privacidad aún tendría que revisar el contenido y potencialmente reescribir partes para hacerla más legible, coherente y transparente (leyes como rgpd y la CCPA lo exigen legalmente).
Por qué hay que tener cuidado con ChatGPT
Entonces, ¿dónde nos dejan estos experimentos?
Debes tener cuidado con ChatGPT, especialmente si crees que puede hacerte una política de privacidad conforme. En este momento, la tecnología simplemente no está allí.
Dado que la IA se nutre de contenidos preexistentes, no está elaborando una política única o individualizada para su empresa. Es una combinación de todas las políticas de privacidad de Internet.
También tiende a omitir elementos exigidos legalmente y necesarios para lograr el pleno cumplimiento, detalles que quizá no sepa que faltan si no es un experto en privacidad de datos o un abogado.
También debe proporcionar a ChatGPT un conjunto particular y específico de instrucciones. Redactarlas requiere tiempo, esfuerzo y conocimientos jurídicos sobre requisitos empresariales y obligaciones en materia de política de privacidad.
Es la misma cantidad de esfuerzo que se necesita para rellenar un correo electrónico gratuito plantilla de política de privacidad (y esos tienen más posibilidades de ser conformes a la primera).
Además, es bastante más complicado que utilizar un sitio gratuito Generador de política de privacidad, que requiere muy poca o ninguna escritura.
Una solución mejor para su política de privacidad
Si usted es un empresario que debe cumplir las leyes de privacidad de datos, utilizar un generador para elaborar su política de privacidad será su mejor solución.
Nuestro generador le proporciona un borrador final en el que puede confiar que es jurídicamente sólido y exclusivo para su empresa, ya que utiliza las respuestas que usted proporciona para crear el acuerdo.
Diseñado por ingenieros de producto y expertos en privacidad de datos, incluye las cláusulas adecuadas para cumplir siete leyes de protección de datos diferentes, y lo actualizamos periódicamente cada vez que esas leyes cambian o si entran en vigor otras nuevas.
Además, puede realizar cambios en tiempo real directamente desde el panel de control de Termly .
Y créeme, las preguntas que te hace son fáciles de responder. Vea un ejemplo en la captura de pantalla siguiente:
Si necesitas una política de privacidad básica, no procesas ningún dato de los usuarios, o si tu negocio no está sujeto a ninguna ley de privacidad de datos, te sugiero que utilices un plantilla de política de privacidad gratuito en lugar de confiar en una IA como ChatGPT.
Sinceramente, las plantillas son más fáciles y rápidas de rellenar manualmente que escribir el detallado aviso necesario para que nuestra amiga la IA cree una política de privacidad aceptable.
Vea un ejemplo de nuestra plantilla en la siguiente captura de pantalla:
Resumen
En mi opinión de experto, la IA no es actualmente la forma más eficaz o asequible de redactar una política de privacidad conforme.
Conseguir que ChatGPT presentara un acuerdo de privacidad jurídicamente sólido requirió varias aportaciones por mi parte, experta en privacidad - esto podría suponer horas de trabajo para un empleado no iniciado en privacidad.
Por ejemplo, tendría que explicarle explícitamente en su aviso los siguientes detalles:
- Qué leyes de protección de la intimidad se aplican a su empresa
- Información de contacto de su empresa
- La información de contacto de su responsable de protección de datos
- Finalidad del tratamiento de datos
- Qué categorías de datos recopila
- Si la vende o comparte con terceros
- Las categorías de esos terceros
- Información sobre transferencias internacionales de datos
Escribir toda esta información para ChatGPT equivale esencialmente a escribir la mitad de una política de privacidad conforme, así que no es ni más rápido, ni más fácil, y dependiendo de tu nivel de experiencia en privacidad de datos, puede que necesites que un abogado la revise.
Además, su política de privacidad generada por IA no se actualizaría automáticamente, por lo que no podría seguir el ritmo de la evolución de las leyes de privacidad de datos.
Soluciones como Termly's Generador de política de privacidad fueron construidas para el cumplimiento de la privacidad, pero ChatGPT no lo fue - te dejaré elegir cuál es mejor para proteger tu negocio.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
