InicioBlog › ¿Es legal usar agentes de IA con datos de clientes? RGPD, AEPD y lo que nadie te explica
Solopreneur

¿Es legal usar agentes de IA con datos de clientes? RGPD, AEPD y lo que nadie te explica

16 de junio de 2026 · 11 min de lectura · Actualizado: 16 de junio de 2026

¿Es legal usar agentes de IA con datos de clientes? RGPD, AEPD y lo que nadie te explica
Índice 8 secciones
  1. El RGPD aplica a tus agentes de IA. Sin excepciones
  2. Las tres figuras del RGPD que tienes que entender
  3. El DPA: el contrato que necesitas (y cómo conseguirlo)
  4. Transferencias a Estados Unidos: el fantasma que ya no asusta tanto
  5. Lo que dice la AEPD sobre IA agéntica
  6. Mi caso real: 6 agentes y cómo cumplo con el RGPD
  7. Los 5 errores que veo cada semana
  8. Checklist: RGPD para tus agentes de IA

La pregunta que más escucho de autónomos y freelancers que empiezan con agentes de IA es siempre la misma: "¿Pero esto es legal si trabajo con datos de clientes?"

La respuesta corta: sí. La respuesta real: sí, pero si lo haces mal, te puede costar hasta 20 millones de euros o el 4% de tu facturación global. Y no, no exagero. Eso dice el RGPD.

Llevo desde febrero de 2026 con 6 agentes de IA operando mi negocio por ~150€/mes. Algunos de esos agentes tocan datos de personas: emails de suscriptores, nombres de clientes potenciales, datos de contacto de leads. Así que me tuve que poner las pilas con esto desde el día uno.

Aquí te cuento lo que aprendí, lo que hice, y los errores que veo cada semana en gente que usa IA con datos de clientes sin tener ni idea de lo que exige la ley.

El RGPD aplica a tus agentes de IA. Sin excepciones

RGPD aplicado a agentes de IA
Marco legal europeo (Reglamento 2016/679) que obliga a cualquier persona o empresa que use agentes de IA para procesar datos personales a tener base legal, contrato de encargado del tratamiento (DPA) con el proveedor, y medidas de minimización. Aplica igual a un autónomo con un agente que a una multinacional con cien.

No hay zona gris. Si tu agente de IA procesa datos personales — nombre, email, teléfono, dirección IP, cualquier dato que identifique o pueda identificar a una persona — el RGPD aplica.

Da igual que seas autónomo, que factures 1.000€ al mes o que tu agente solo lea emails. Si hay dato personal, hay RGPD. El Reglamento (UE) 2016/679 no tiene umbral de tamaño. Un solopreneur tiene las mismas obligaciones que Telefónica. La diferencia: las multas se ajustan proporcionalmente. Pero las obligaciones son idénticas.

Lo que mucha gente confunde: el RGPD no prohíbe que uses IA con datos de clientes. Prohíbe que lo hagas sin control. La ley te pide tres cosas:

  1. Base legal: un motivo legítimo para tratar esos datos (contrato, consentimiento, interés legítimo)
  2. Transparencia: que la persona sepa qué haces con sus datos y con quién los compartes
  3. Responsabilidad: que documentes lo que haces, cómo lo haces y tengas medidas de protección

Si cumples esas tres, puedes meter IA hasta en la sopa. Si no, un email pegado en ChatGPT puede convertirse en una denuncia ante la AEPD.

Las tres figuras del RGPD que tienes que entender

Antes de hablar de contratos y transferencias internacionales, necesitas tener claras tres figuras. Si ya las conoces, salta al siguiente punto. Si no, esto te va a ahorrar mucha confusión.

Las tres figuras del RGPD aplicadas a agentes de IA: responsable del tratamiento (tú), encargado (proveedor IA) e interesado (tu cliente)

Cuando usas un agente de IA para procesar datos de un cliente, entran en juego tres roles legales que el RGPD define con mucha claridad.

Tú eres el responsable del tratamiento. Decides qué datos se recogen, para qué se usan y a quién se envían. No importa que el trabajo lo haga un agente de IA, un empleado o un mono con un teclado. La decisión — y la responsabilidad — es tuya. Siempre.

Tu proveedor de IA (Anthropic, OpenAI, Google) es el encargado del tratamiento. Procesa los datos siguiendo tus instrucciones. Cuando tu agente envía el email de un cliente a Claude para resumirlo, Anthropic actúa como encargado. El contrato que regula esta relación se llama DPA (Data Processing Agreement).

Tu cliente es el interesado. La persona cuyos datos se procesan. Tiene derechos: acceso, rectificación, supresión, portabilidad, oposición. Tú tienes que respetarlos, independientemente de que un humano o una IA trate sus datos.

La confusión más común: pensar que el proveedor de IA es "co-responsable" y comparte la culpa si algo sale mal. No. Anthropic no decide qué datos le mandas ni para qué. Eso lo decides tú. Ellos ejecutan. El DPA es el contrato que deja por escrito que el encargado solo trata los datos según tus instrucciones y bajo el RGPD.

El DPA: el contrato que necesitas (y cómo conseguirlo)

El DPA es el artículo 28 del RGPD hecho papel. Es obligatorio cuando compartes datos personales con un tercero que los procesa por ti. Si usas un agente de IA que envía datos de clientes a la API de Claude o GPT, necesitas DPA con ese proveedor.

La buena noticia: los grandes proveedores ya ofrecen DPAs estándar que puedes firmar sin hablar con un abogado. La mala noticia: depende de qué plan uses.

Árbol de decisión: ¿necesitas un DPA con tu proveedor de IA para cumplir el RGPD?

La clave está en cómo accedes a la herramienta. Si usas la API (como hago yo con Claude Max para mis agentes), Anthropic te ofrece un DPA estándar que puedes revisar y aceptar desde su página legal. Lo mismo OpenAI con su API y sus planes Teams/Enterprise. Google Cloud tiene el suyo para Gemini API.

Pero aquí viene el matiz que nadie explica: si usas el plan personal o gratuito de ChatGPT, Claude o cualquier herramienta de IA, normalmente no hay DPA disponible. Estás usando un producto de consumo, no un servicio empresarial. Y los términos de uso de consumo suelen especificar que NO debes enviar datos personales de terceros.

Esto lo veo cada semana. Un autónomo abre ChatGPT, pega un email de un cliente para que le ayude a redactar la respuesta, y técnicamente está enviando datos personales a OpenAI sin DPA y violando sus propios términos de servicio. Doble fallo.

La solución es simple: usa la API o un plan que incluya DPA. Mi stack funciona íntegramente sobre Claude Max con acceso a la API, y el DPA de Anthropic cubre el procesamiento de datos personales bajo instrucciones del cliente. Coste extra por el DPA: cero euros.

Transferencias a Estados Unidos: el fantasma que ya no asusta tanto

El otro miedo clásico: "pero es que Anthropic tiene los servidores en EE.UU."

Desde julio de 2023, el EU-US Data Privacy Framework permite transferencias de datos personales a empresas estadounidenses certificadas sin necesidad de cláusulas contractuales adicionales. Tanto Anthropic como OpenAI están certificadas bajo este marco.

¿Es permanente? Sinceramente, no lo sé. La historia europea de marcos de transferencia con EE.UU. es un cementerio: Safe Harbor (anulado en 2015 por el TJUE), Privacy Shield (anulado en 2020). Este podría correr la misma suerte si alguien lo impugna.

Mi enfoque práctico: documento que uso el Data Privacy Framework como base legal para la transferencia, pero no apuesto el negocio a que sea eterno. Si cae, habrá que pasar a cláusulas contractuales tipo (SCCs) o buscar proveedores europeos. De momento, la transferencia es legal y los proveedores están certificados.

Lo que dice la AEPD sobre IA agéntica

La AEPD (Agencia Española de Protección de Datos) no se ha quedado callada. Ha publicado varias guías relevantes para cualquiera que use agentes de IA con datos personales:

🚀

¿Quieres montar tu propio equipo de agentes de IA?

Cada semana comparto lo que funciona (y lo que no) montando agentes reales para mi negocio. Sin teoría, sin humo.

🎁 Al suscribirte recibes mi guía: cómo llegué a 500 subs en <1 mes con agentes IA.

Suscribirme gratis

La guía de Requisitos para Auditorías de Tratamientos que incluyan IA establece qué tienes que verificar si tus agentes procesan datos personales. No es un documento pensado para autónomos, pero los principios aplican: documentación del tratamiento, análisis de riesgos, medidas de seguridad.

Sobre decisiones automatizadas (Art. 22 del RGPD), la postura es clara: si tu agente toma decisiones que afectan jurídicamente a personas — denegar una solicitud, asignar un scoring, rechazar un candidato — necesitas supervisión humana y el interesado tiene derecho a impugnar la decisión y pedir intervención de una persona.

La Evaluación de Impacto (EIPD) del Art. 35 es obligatoria si tu tratamiento con IA implica perfilado sistemático, datos sensibles o vigilancia de zonas públicas. Para la mayoría de solopreneurs que procesan nombres, emails y datos comerciales, no es obligatoria. Pero la AEPD la recomienda como buena práctica, y si te la piden en una inspección, tenerla hecha demuestra diligencia.

Conectando con el AI Act que entra en vigor en agosto de 2026: si tu agente interactúa directamente con personas (chatbot, asistente), tienes que avisar de que es IA. No es RGPD, es AI Act. Pero ambas normas se complementan y te aplican al mismo tiempo.

Mi caso real: 6 agentes y cómo cumplo con el RGPD

Transparencia total. Esto es lo que hago yo con mis 6 agentes de IA por ~150€/mes, detallando qué datos toca cada uno.

Ariel (agente de LinkedIn): procesa datos públicos de perfiles para adaptar contenido. Los datos públicos de LinkedIn no son "datos personales" en la mayoría de interpretaciones bajo RGPD (son datos publicados voluntariamente por el titular), pero aun así, Ariel no almacena perfiles ni construye bases de datos de terceros. Publica contenido y se olvida.

Lentejo (newsletter): trabaja con la lista de suscriptores de SendFox. Aquí sí hay datos personales — emails, nombres. SendFox tiene su propio DPA. Lo que Lentejo envía a Claude para generar contenido es el tema y la estructura de la newsletter, no la lista de emails. Regla: minimización. Si el agente no necesita el dato para hacer su trabajo, no se lo das.

Rafiki (este blog): no procesa datos personales de terceros. Escribe posts usando datos míos y estadísticas públicas citadas con fuente. Cero riesgo RGPD.

Remy (research): busca información pública en fuentes abiertas. No procesa datos de clientes ni suscriptores.

La regla que aplico a todo mi equipo de agentes: nunca envíes a la IA más datos de los necesarios. Si el agente necesita saber el nombre del cliente para personalizar un email, le pasas el nombre. No le pasas el DNI, la dirección postal y el historial de compras "por si acaso lo necesita".

Esto se llama minimización de datos (Art. 5.1.c del RGPD) y es tu mejor aliado. Menos datos enviados = menos riesgo = menos problemas si algo sale mal. En mayo de 2026, mi equipo de 6 agentes procesó datos personales en exactamente 2 de los 6 (Ariel con datos públicos y Lentejo con emails de suscriptores). El resto trabajan con datos míos o información pública. Eso no es casualidad. Es diseño.

Los 5 errores que veo cada semana

Después de 4 meses construyendo agentes y hablando con otros emprendedores que hacen lo mismo, estos son los patrones que se repiten y que te pueden costar una denuncia.

1. Pegar datos de clientes en ChatGPT gratuito. Sin DPA. Sin base legal documentada. Sin nada. El plan gratuito de ChatGPT usa los datos para entrenar el modelo (aunque OpenAI permite desactivar esto en planes de pago). Con datos de terceros en el plan gratuito, estás transfiriendo datos personales sin cobertura legal.

2. No actualizar la política de privacidad. ¿Tu web dice que usas IA para gestionar comunicaciones con clientes? Si no, estás incumpliendo el Art. 13 del RGPD (derecho de información). No hace falta un documento de 20 páginas. Basta con añadir una línea: "Utilizamos herramientas de inteligencia artificial para procesar comunicaciones comerciales. Los datos se envían a proveedores certificados bajo el EU-US Data Privacy Framework."

3. Enviar datos enteros cuando basta un resumen. ¿Necesitas que Claude analice el tono de un email de un cliente? Anonimiza el nombre y quita el teléfono si no son relevantes para esa tarea. El principio de minimización no es una sugerencia. Es una obligación legal.

4. No tener protocolo de incidentes. Si tu agente filtra un dato por error — una alucinación que menciona el nombre de un cliente en un contexto incorrecto, un email reenviado que no debía — tienes 72 horas para notificar a la AEPD si la brecha afecta a derechos del interesado (Art. 33). ¿Tienes un plan para esto? La mayoría no.

5. Asumir que "como es IA, no es mi responsabilidad". Lo es. Siempre. Tú eres el responsable del tratamiento. Si tu agente mete la pata con datos personales, la AEPD no le va a enviar la multa a Claude. Te la envía a ti.

Checklist: RGPD para tus agentes de IA

Si solo te llevas una cosa de este post, que sea esta lista. Revísala antes de poner un agente en producción que toque datos de clientes.

Checklist RGPD para usar agentes de IA con datos de clientes de forma legal en España

El RGPD no se inventó para fastidiarte. Se inventó porque hay empresas que hicieron barbaridades con datos de personas. Cumplirlo cuando usas agentes de IA no es difícil — es metódico. Firma el DPA, minimiza los datos, informa al cliente y documenta lo que haces.

Yo lo tengo resuelto con 6 agentes en menos de una mañana. Tú también puedes. Y si ya tienes resuelta la parte fiscal, esto es el otro lado de la misma moneda: cumplir con la ley no solo te protege de multas, te da una ventaja real frente a la mayoría de emprendedores que están usando IA con datos de clientes sin haber leído ni la primera línea del RGPD.

Los agentes de IA son la herramienta más potente que he tocado en 12 años emprendiendo. Pero una herramienta potente sin control legal es un riesgo. Tómate la mañana, haz la checklist, y vuelve a lo que importa: construir tu negocio con IA sabiendo que estás cubierto.

El RGPD no prohíbe que uses IA con datos de clientes. Prohíbe que lo hagas sin pensar. Firmar el DPA, documentar qué datos envías y no mandar más de lo necesario. Eso es todo. Si te parece mucho, piensa en lo que te va a parecer la multa.
Pablo Pérez-Manglano · Solopreneur con 6 agentes IA procesando datos reales · junio 2026

Preguntas frecuentes

¿Puedo usar ChatGPT o Claude con datos de clientes sin incumplir el RGPD?

Sí, si cumples tres condiciones: (1) tienes base legal para el tratamiento (contrato, consentimiento o interés legítimo), (2) has firmado un DPA con el proveedor, y (3) informas a tus clientes de que usas IA. Con los planes gratuitos o personales de ChatGPT/Claude, normalmente NO hay DPA disponible. Necesitas la API o un plan de empresa.

¿Qué es un DPA y por qué lo necesito si uso agentes de IA?

Un DPA (Data Processing Agreement) es el contrato que firma el encargado del tratamiento (Anthropic, OpenAI) comprometiéndose a tratar los datos personales según tus instrucciones y cumplir el RGPD. Sin DPA, tú eres responsable de cualquier uso indebido de esos datos por parte del proveedor. Anthropic ofrece DPA estándar para usuarios de la API.

¿Es seguro enviar datos de clientes a servidores en Estados Unidos?

Desde julio de 2023, las transferencias de datos a empresas estadounidenses certificadas bajo el EU-US Data Privacy Framework son legales sin medidas adicionales. Anthropic y OpenAI están certificadas. Pero el framework podría ser anulado (como ocurrió con Safe Harbor y Privacy Shield), así que documenta tu decisión y revisa periódicamente.

¿Necesito hacer una Evaluación de Impacto (EIPD) si uso agentes IA?

Depende del tipo de datos. Si tus agentes procesan datos sensibles (salud, religión, orientación sexual), datos de menores, o realizan perfilado automatizado con efectos legales, sí es obligatoria. Para la mayoría de solopreneurs que procesan nombres, emails y datos comerciales básicos, no es obligatoria pero sí recomendable como buena práctica.

¿La AEPD ha publicado algo específico sobre agentes de IA y datos personales?

Sí. La AEPD publicó la guía 'Requisitos para Auditorías de Tratamientos que incluyan IA' y ha emitido criterios sobre IA agéntica y decisiones automatizadas. La postura es clara: la IA no cambia las obligaciones del RGPD, las hace más importantes. Si el agente toma decisiones que afectan a personas, necesitas supervisión humana.

¿Qué pasa si mi agente de IA comete un error con datos de un cliente?

Tú eres el responsable del tratamiento, no la IA ni el proveedor. Si tu agente filtra datos, envía información incorrecta o toma una decisión automatizada errónea con datos personales, la responsabilidad legal es tuya. Tienes 72 horas para notificar a la AEPD si hay una brecha que afecte a derechos y libertades del interesado.

Newsletter semanal

Lo que me pasa emprendiendo. Sin filtro.

Cada semana: lo que estoy construyendo, lo que funciona, lo que falla. Emprendimiento real con agentes IA como compañeros de viaje.

Me apunto →

Sigue leyendo

Solopreneur

AI Act: lo que cambió en mayo 2026 y qué te exige en agosto si usas agentes de IA

El Digital Omnibus retrasó el alto riesgo a 2027, pero la transparencia en chatbots sigue para agosto 2026. Qué hacer si eres autónomo o pyme con agentes IA.

13 de junio de 2026 · 11 min Solopreneur

¿Puedo deducir ChatGPT y Claude como autónomo? Así lo hago yo

Sí, las suscripciones de IA son deducibles como autónomo. Inversión del sujeto pasivo, uso mixto, modelos 303 y 130. Mi desglose real con Claude Max.

14 de junio de 2026 · 10 min Solopreneur

Tu negocio depende de una IA: los riesgos que nadie cuenta (y mi plan B real)

Mi negocio depende de Claude y Anthropic. Los 5 riesgos reales, qué haría si mañana se cae todo, y el plan B que tengo preparado con costes.

29 de mayo de 2026 · 10 min

Newsletter gratis · 🎁 Incluye guía: 0 a 500 subs con agentes IA

Suscribirme →