Esta es una traducción automática del documento original en inglés. En caso de cualquier discrepancia entre esta traducción y la versión original en inglés, prevalecerá la versión en inglés. Leer la versión original en inglés
¿Cuántos datos almacena ChatGPT sobre usted? Una auditoría técnica
2026-04-02 · Caiioo Team
Si utiliza ChatGPT en el trabajo, es probable que su empleador tenga preguntas. Si usted es el empleador, definitivamente debería tenerlas.
Esta es una auditoría técnica de lo que OpenAI recopila, cuánto tiempo lo conserva y qué significa para los equipos en industrias reguladas. También analizaremos cómo la arquitectura Bring Your Own Key (BYOK) cambia la ecuación por completo.
Lo que ChatGPT almacena: El panorama completo
La propia documentación del centro de ayuda de OpenAI establece que los chats se "guardan en su cuenta hasta que los elimine manualmente". Cuando elimina un chat, este se "elimina de su cuenta de inmediato y se programa para su eliminación permanente de los sistemas de OpenAI en un plazo de 30 días", a menos que ya haya sido desidentificado o que OpenAI deba conservarlo por obligaciones legales o de seguridad.
Pero las conversaciones son solo una parte de la historia. La política de privacidad de OpenAI describe una extensa recopilación automática de datos:
- Datos de registro: dirección IP, tipo de navegador y configuración, fecha y hora de las solicitudes y cómo interactúa con los servicios.
- Datos de uso: tipos de contenido que ve o con los que interactúa, funciones que utiliza, acciones que realiza y comentarios que envía.
- Información del dispositivo: nombre del dispositivo, sistema operativo, identificadores del dispositivo y tipo de navegador.
- Información de la cuenta: nombre, datos de contacto, información de pago e historial de transacciones.
Estos metadatos crean un perfil de comportamiento detallado para cada usuario. Incluso si nunca comparte información confidencial en un prompt, sus patrones de uso por sí solos revelan información significativa sobre su trabajo.
La orden judicial que lo cambió todo
En mayo de 2025, una orden de un tribunal federal (Caso No. 1:23-cv-11195, S.D.N.Y.) de la jueza magistrada Ona T. Wang en el litigio de derechos de autor de New York Times v. OpenAI exigió que OpenAI "conserve y segregue todos los datos de registro de salida que de otro modo serían eliminados", de forma indefinida. La moción de reconsideración de OpenAI fue denegada el 16 de mayo de 2025.
Lo que esto significa en la práctica: incluso si eliminó sus chats, OpenAI puede estar legalmente obligada a conservarlos. El plazo de eliminación de 30 días descrito en su política de privacidad queda anulado por el mandato judicial. En enero de 2026, el juez de distrito Sidney Stein ratificó la orden, exigiendo a OpenAI que presente una muestra de 20 millones de registros de usuarios desidentificados (prompts y resultados) como prueba de descubrimiento.
Sus conversaciones pueden entrenar modelos futuros
Por defecto, las conversaciones en los planes de consumo se utilizan para el entrenamiento de modelos. La documentación del centro de ayuda de OpenAI afirma: "Cuando utiliza nuestros servicios para particulares como ChatGPT, Codex y Sora, podemos utilizar su contenido para entrenar nuestros modelos". Puede optar por no participar a través del portal de privacidad o en Configuración > Controles de datos, pero como señala OpenAI, "una vez que opte por no participar, las nuevas conversaciones no se utilizarán para entrenar nuestros modelos". Cualquier dato ya enviado permanece en el proceso de entrenamiento.
Optar por no participar tampoco cambia el tiempo que se almacenan sus datos. Solo cambia si se utilizan para mejorar los modelos.
Enterprise vs. Individual: Un sistema de dos niveles
OpenAI opera un modelo de privacidad claro de dos niveles:
| Individual (GRATIS/Plus/Pro) | Enterprise/Edu | |
|---|---|---|
| Retención de datos | Indefinida (por orden judicial) | Controlada por el administrador |
| Uso para entrenamiento | Sí por defecto (opción de exclusión) | No por defecto |
| ¿Exento de orden judicial? | No | Sí |
| Controles de administrador | Ninguno | Políticas de retención completas |
| Plazo de eliminación | 30 días (cuando se permite) | 30 días, configurable por el administrador |
Para los usuarios individuales, no hay forma de garantizar que sus datos se eliminen realmente. Para los clientes Enterprise, los administradores del espacio de trabajo controlan la retención, y los datos no se utilizan para el entrenamiento de forma predeterminada.
El problema para los equipos pequeños y medianos: los planes Enterprise comienzan con mínimos significativos. Una empresa de consultoría de 10 personas no puede acceder a los controles de privacidad de nivel Enterprise.
Cumplimiento del RGPD: Una pregunta abierta
Las prácticas de retención indefinida de ChatGPT plantean serias dudas sobre el cumplimiento del RGPD, especialmente en torno a los principios de minimización de datos y limitación de almacenamiento. En marzo de 2023, la autoridad de protección de datos de Italia (Garante per la Protezione dei Dati Personali) emitió una orden de emergencia prohibiendo temporalmente ChatGPT, citando violaciones de los artículos 5, 6, 8, 13 y 25 del RGPD, incluyendo la ausencia de una base legal para la recopilación de datos, la falta de aviso de privacidad a los usuarios y la falta de verificación de edad. La prohibición fue levantada en abril de 2023 después de que OpenAI implementara cambios, pero el panorama regulatorio más amplio sigue sin resolverse.
Para los equipos que manejan datos de clientes en industrias reguladas (legal, salud, servicios financieros), usar ChatGPT significa aceptar a OpenAI como un encargado del tratamiento de datos. Eso activa las obligaciones del Artículo 28 del RGPD: necesita un Acuerdo de Procesamiento de Datos (DPA), necesita documentar las actividades de procesamiento y debe asegurarse de que el procesador cumpla con sus requisitos de seguridad.
El costo oculto: Carga administrativa de cumplimiento
Cuando su equipo utiliza ChatGPT, OpenAI se convierte en un procesador de datos en su cadena de cumplimiento. Esto significa:
- Se requiere un Acuerdo de Procesamiento de Datos (DPA): define cómo OpenAI maneja los datos personales en su nombre, especificando medidas de seguridad, límites de subprocesamiento y deberes de notificación de brechas.
- Se activan las obligaciones del Artículo 28 del GDPR: los procesadores solo deben procesar datos según sus instrucciones, garantizar la confidencialidad, implementar medidas de seguridad, notificar brechas y permitir auditorías.
- Su revisión de seguridad debe incluir a OpenAI: cada evaluación de riesgo de proveedores, cada pregunta de auditoría SOC 2, cada cuestionario de seguridad de clientes ahora tiene una dependencia adicional.
Para un bufete de abogados o una clínica de 20 personas, esta carga de cumplimiento puede ser más costosa que la suscripción misma.
Qué cambia la arquitectura BYOK
Bring Your Own Key (BYOK) es un patrón arquitectónico donde la herramienta de IA nunca toca sus datos. En su lugar:
- Usted proporciona su propia clave API del proveedor de IA (OpenAI, Anthropic, Gemini, etc.)
- Las consultas se dirigen directamente desde su dispositivo al proveedor; la herramienta nunca es un intermediario
- La herramienta no almacena nada: ni conversaciones, ni metadatos, ni perfiles de comportamiento
- No se requiere un DPA con el proveedor de la herramienta, porque no es un procesador de datos
La diferencia en el flujo de datos es fundamental:
| ChatGPT (Alojado en la nube) | Arquitectura BYOK | |
|---|---|---|
| Ruta de datos | Usted > Servidores OpenAI > Modelo > OpenAI > Usted | Usted > API del proveedor directamente > Usted |
| Intermediario | OpenAI gestiona todas las consultas | Ninguno: llamadas directas a la API |
| Visibilidad de datos | La plataforma registra y ve todo | El proveedor solo ve la llamada API |
| Almacenamiento | En servidores de OpenAI, indefinidamente | Solo en el dispositivo local |
| ¿Proveedor como procesador? | Sí | No |
Con BYOK, su relación de cumplimiento es solo con el proveedor de IA que elija, en los términos que negocie directamente. La herramienta en sí es invisible para su cadena de cumplimiento.
Qué significa esto para su equipo
Una encuesta de 2026 a 2,600 profesionales de privacidad y seguridad encontró que al 64% le preocupa compartir inadvertidamente datos confidenciales a través de herramientas de IA generativa; sin embargo, aproximadamente la mitad admite ingresar datos personales o no públicos de todos modos. La brecha entre la preocupación y el comportamiento es donde reside el riesgo.
Si usted es responsable de la gobernanza de IA en su organización, estas son las preguntas que debe hacerse:
- ¿Es su herramienta de IA un procesador de datos? Si es así, necesita un DPA, documentación de cumplimiento y una evaluación continua de riesgos del proveedor.
- ¿Dónde residen los datos de las conversaciones? El alojamiento en la nube significa los servidores del proveedor. BYOK con almacenamiento local primero significa sus dispositivos.
- ¿Puede garantizar la eliminación? Con la retención ordenada por el tribunal de ChatGPT, la respuesta es actualmente no para los planes de consumo.
- ¿Tiene su equipo herramientas consistentes? Las suscripciones individuales para 20 personas significan 20 relaciones de cumplimiento separadas.
- ¿Cuál es el costo total? Incluya no solo las tarifas de suscripción, sino también la carga de cumplimiento, la negociación del DPA y el tiempo de evaluación de riesgos del proveedor.
Conclusión
ChatGPT es una herramienta potente. También es un procesador de datos que conserva sus conversaciones indefinidamente, las utiliza para entrenamiento de forma predeterminada y opera bajo una orden judicial que anula sus propias políticas de eliminación.
Para individuos, estas compensaciones pueden ser aceptables. Para equipos que manejan información confidencial de clientes, datos de pacientes, registros financieros o inteligencia competitiva, representan un riesgo real.
La arquitectura BYOK elimina por completo al proveedor de la herramienta de la ecuación de cumplimiento. Sus datos nunca pasan por un intermediario. No se requiere DPA. Sin obligaciones del Artículo 28 del RGPD con el proveedor de la herramienta. Sin retención indefinida de las conversaciones de su equipo en los servidores de un tercero.
La elección no es entre IA y no IA. Es entre IA con gobernanza e IA sin ella.
Caiioo utiliza una arquitectura BYOK con almacenamiento local prioritario. Sus conversaciones nunca tocan nuestros servidores. Más información sobre nuestra arquitectura de privacidad o comience GRATIS.