Ricard Castellet

Shadow AI en el trabajo: cómo supervisar sin cruzar la línea de la vigilancia

por

El uso de herramientas de inteligencia artificial en el entorno laboral—muchas veces fuera de los canales oficiales—está obligando a las empresas a replantear sus mecanismos de control. El fenómeno del Shadow AI plantea un dilema claro: las organizaciones necesitan supervisión, pero un enfoque excesivo puede derivar en conflictos laborales y riesgos legales. 


La Agencia Española de Protección de Datos (AEPD), en su Guía sobre protección de datos en las relaciones laborales, ofrece un marco claro: el control es legítimo, pero debe respetar los principios de proporcionalidad, transparencia y minimización. 


El punto de partida: el control empresarial es legítimo 


El Estatuto de los Trabajadores reconoce la facultad de la empresa para adoptar medidas de vigilancia y control con el fin de verificar el cumplimiento de las obligaciones laborales. Este control incluye el uso de herramientas digitales y, por extensión, el uso que los empleados hacen de tecnologías como la inteligencia artificial. 


Ahora bien, como recuerda la AEPD, este control debe ejercerse dentro de los límites del RGPD y la LOPDGDD. Es decir, no todo vale: cualquier medida debe ser proporcionada, justificada y respetuosa con los derechos fundamentales de los trabajadores. 


El riesgo de la «vigilancia total» 


Ante el auge del Shadow AI, algunas organizaciones pueden caer en la tentación de implantar sistemas de monitorización intensiva: registro de actividad, análisis de comportamiento, captura de uso de herramientas o supervisión continua. 


El problema es que este enfoque puede ser contraproducente. La AEPD advierte que las medidas de control excesivas pueden vulnerar derechos como la intimidad o el secreto de las comunicaciones, especialmente si no están debidamente justificadas. 


Además, un sistema de vigilancia desproporcionado puede generar: 


  • conflictos laborales y pérdida de confianza, 

  • incumplimientos en materia de protección de datos, 

  • y, en caso de incidente, pruebas débiles o impugnables por haberse obtenido sin garantías. 

La clave: supervisión proporcional y con garantías 


El equilibrio está en diseñar un modelo de control basado en tres pilares fundamentales: 


Proporcionalidad 


Las medidas deben ser adecuadas al riesgo. No es lo mismo controlar accesos a información sensible que monitorizar de forma generalizada toda la actividad digital. La empresa debe optar por soluciones menos intrusivas cuando sean suficientes. 


Información previa y transparencia 


Los trabajadores deben conocer de forma clara qué herramientas se utilizan, qué datos se recogen y con qué finalidad. La AEPD insiste en la importancia de políticas internas bien definidas y comunicadas. 


Finalidad y minimización 


Los datos recogidos deben limitarse a lo estrictamente necesario para la finalidad perseguida. No se justifica recopilar información excesiva «por si acaso». 


Shadow AI: del control técnico a la gobernanza 


Controlar el uso de IA en la empresa no es solo una cuestión tecnológica. Es, sobre todo, una cuestión de gobernanza del dato y cultura organizativa. 


Las organizaciones más maduras están optando por enfoques combinados: 


  • políticas claras sobre uso de IA, 

  • formación a empleados sobre riesgos, 

  • herramientas autorizadas y seguras, 

  • y controles selectivos orientados a riesgos concretos. 

Este enfoque no elimina el riesgo, pero lo gestiona sin invadir innecesariamente el espacio del trabajador. 


Conclusión: controlar sí, pero con diseño jurídico 


El Shadow AI no se soluciona con más vigilancia, sino con mejor diseño. La clave está en encontrar un equilibrio entre control y derechos, entre seguridad y confianza. 


Las empresas que opten por medidas desproporcionadas no solo se exponen a sanciones, sino también a un problema más sutil: perder la validez de sus propios mecanismos de control. 


Porque en el entorno laboral digital, no basta con supervisar. Hay que hacerlo de forma que, llegado el momento, pueda sostenerse jurídica y probatoriamente. 


Como siempre, cuidad los datos y ¡cuidaos! 

Copiar y pegar en IA generativa: el riesgo no es la respuesta, es el dato

por

Las herramientas de inteligencia artificial generativa se han convertido en un aliado cotidiano en el trabajo: resumir documentos, redactar correos o analizar información en segundos. El gesto es simple y cada vez más habitual: copiar un texto, pegarlo en una herramienta de IA y pedir un resultado.


Sin embargo, detrás de esa aparente inocuidad se esconde uno de los principales riesgos actuales en protección de datos y seguridad de la información. El problema no suele ser la respuesta que genera la IA, sino los datos que introducimos en ella.


La Agencia Española de Protección de Datos (AEPD) lo ha recordado recientemente en su Decálogo de recomendaciones para proteger la privacidad al usar inteligencia artificial, en el que advierte de los riesgos de compartir información sensible con este tipo de herramientas sin analizar previamente su impacto.


1. El origen de muchos incidentes: un simple «copiar y pegar»


Gran parte de los incidentes vinculados al llamado Shadow AI—uso de herramientas de IA fuera de los canales autorizados por la organización—comienzan con una acción aparentemente trivial.


Un empleado necesita ayuda para revisar un texto, resumir un contrato o entender un informe. Copia el contenido y lo pega en una herramienta de IA generativa para obtener una respuesta rápida. En ese momento, sin ser plenamente consciente, puede estar introduciendo en un sistema externo información confidencial, datos personales o información estratégica de la empresa.


Según la AEPD, antes de utilizar estas herramientas es fundamental evaluar qué tipo de información se está compartiendo y si el servicio garantiza un uso adecuado de los datos.


2. La pérdida de control del dato


Cuando se introduce información en una herramienta de IA generativa, el usuario puede perder visibilidad sobre cómo se gestiona ese contenido. Dependiendo del proveedor y de su configuración, los datos pueden:


  • Almacenarse temporalmente o durante más tiempo del esperado.
  • Utilizarse para mejorar o entrenar modelos.
  • Generar registros de uso o metadatos.
  • Procesarse en infraestructuras ubicadas fuera del Espacio Económico Europeo.

Esto no significa que todas las herramientas utilicen los datos con esos fines, pero sí que el control sobre la información puede diluirse si no se analizan previamente las condiciones de uso del servicio.


Por ello, la AEPD insiste en que el uso responsable de la IA implica conocer qué ocurre con los datos introducidos y qué garantías ofrece el proveedor.


3. Una lista breve de lo que nunca debería salir del perímetro


Para reducir riesgos, una buena práctica consiste en establecer reglas claras sobre qué tipo de información no debe introducirse en herramientas de IA generativa. Entre los ejemplos más habituales se encuentran:


  • Datos personales de clientes o empleados.
  • Documentos contractuales confidenciales.
  • Información financiera o estratégica de la empresa.
  • Credenciales, claves o información de acceso a sistemas.
  • Bases de datos internas o listados de clientes.

Este tipo de información forma parte del perímetro de seguridad de la organización, y su exposición en plataformas externas puede generar riesgos legales, reputacionales o de seguridad.


Conclusión: el problema no es usar IA, sino cómo se usa


La inteligencia artificial generativa puede aportar grandes beneficios en términos de productividad e innovación. El reto está en utilizarla con criterios claros de gobernanza del dato.


El mayor riesgo no suele ser la respuesta que produce la herramienta, sino el contenido que se introduce en ella sin una evaluación previa. Por eso, las organizaciones necesitan políticas internas, formación y criterios claros sobre el uso de estas tecnologías.


Porque en la era de la IA generativa, la pregunta clave ya no es si usamos estas herramientas, sino qué información estamos dispuestos a compartir con ellas.


 


Como siempre, cuidad los datos y ¡cuidaos!

IA en proveedores SaaS: la pregunta incómoda que muchas empresas aún no se hacen

por

La adopción de herramientas de inteligencia artificial en formato SaaS (Software as a Service) se está acelerando en todos los departamentos: marketing, recursos humanos, atención al cliente o análisis de datos. En muchos casos, la decisión se toma por razones de eficiencia o innovación, pero sin un análisis profundo del impacto en protección de datos. 


Sin embargo, cuando una herramienta de IA «aprende», surge una cuestión clave: ¿con qué datos se entrena y con qué base legal? La respuesta no siempre es evidente. Y, desde la perspectiva del RGPD, no basta con confiar en el proveedor. Es necesario poder demostrar diligencia y control. 


El Comité Europeo de Protección de Datos (EDPB) ha abordado esta cuestión en su Opinión 28/2024 sobre determinados aspectos de protección de datos en modelos de IA y recuerda que el uso de datos personales en el desarrollo y funcionamiento de estos sistemas debe ajustarse estrictamente a los principios y bases jurídicas del RGPD. 


Cuando la IA «aprende»: la cuestión del origen de los datos 


Los sistemas de IA generativa y otros modelos avanzados se basan en grandes volúmenes de datos para su entrenamiento, mejora o ajuste. El problema surge cuando esos datos incluyen información personal utilizada para fines distintos de aquellos para los que se recogieron. 


El EDPB subraya que el tratamiento de datos personales en modelos de IA requiere una base jurídica válida conforme al artículo 6 del RGPD y debe respetar principios esenciales como la limitación de finalidad, minimización de datos y transparencia. 


En otras palabras, si un proveedor utiliza datos para entrenar o mejorar su sistema, debe poder justificar por qué está legitimado para hacerlo y para qué fines concretos. 


Para las empresas clientes, esto plantea una cuestión práctica: no basta con revisar la funcionalidad del producto; es necesario entender cómo se utilizan los datos que pasan por la herramienta. 


El nuevo riesgo: el «Shadow AI» de proveedores 


Cuando se habla de «Shadow AI», normalmente se piensa en empleados que utilizan herramientas de IA sin autorización. Pero existe otro fenómeno menos visible: la contratación de proveedores que incorporan IA sin un análisis adecuado del tratamiento de datos. 


Muchas soluciones SaaS integran modelos de IA que procesan prompts, documentos, imágenes o datos de clientes. En algunos casos, estos datos pueden: 


  • almacenarse temporalmente o de forma persistente, 

  • generar metadatos y logs de uso, 

  • utilizarse para mejorar el servicio o entrenar modelos. 

Si estos usos secundarios no están claramente definidos o documentados, la organización puede perder visibilidad sobre lo que ocurre realmente con la información que introduce en la herramienta. 


Due diligence real: más allá del contrato estándar 


La opinión del EDPB insiste en que las organizaciones deben evaluar cuidadosamente el tratamiento de datos personales en el contexto de sistemas de IA. Esto implica realizar una due diligence real sobre los proveedores, especialmente cuando se utilizan modelos capaces de aprender de los datos procesados. 


Entre las preguntas clave que deberían plantearse destacan: 


  • ¿Qué datos utiliza el proveedor para entrenar o mejorar el modelo? 

  • ¿Se reutilizan los datos introducidos por los clientes? 

  • ¿Existe anonimización real o solo seudonimización? 

  • ¿Qué ocurre con los promptslogs o metadatos generados? 

  • ¿Qué responsabilidades se asumen si el tratamiento resulta ilícito? 

Responder a estas cuestiones es esencial para evaluar el cumplimiento del RGPD y evitar riesgos regulatorios o reputacionales. 


Conclusión: la pregunta clave no es qué hace la IA, sino qué puedes demostrar 


La inteligencia artificial está transformando la forma en que las empresas utilizan tecnología. Pero también exige elevar el nivel de gobernanza del dato. 


Contratar herramientas con capacidades de IA sin analizar su funcionamiento interno puede generar zonas grises en la responsabilidad del tratamiento. Y en un contexto regulatorio cada vez más exigente, la cuestión no será solo qué hacía la herramienta, sino qué diligencia aplicó la empresa antes de utilizarla. 


Porque, en protección de datos, la pregunta decisiva suele llegar después: si mañana una autoridad lo solicita, ¿qué puedes demostrar realmente sobre el uso de esa IA? 


Como siempre, cuidad los datos y ¡cuidaos! 

Subcontratación en cadena y RGPD: 15.000 € por olvidar que el control no se delega

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio. 


Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD. 


Los hechos: una cadena de subencargos sin control efectivo 


ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado. 


A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico: 


  • No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado. 

  • Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO. 

  • Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD. 

La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable. 


Artículo 28.2 RGPD: la autorización no es un formalismo 


El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable. 


En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO. 


La AEPD aprecia dos infracciones del artículo 28.2 RGPD: 


  • Subencargar sin autorización previa y por escrito. 

  • No informar al responsable sobre cambios en la cadena de subcontratación. 

El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento. 


Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado 


La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado. 


Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico. 


La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable. 


La sanción: tres infracciones, 15.000 euros 


Finalmente, la AEPD impone: 


  • 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD). 

  • 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD). 

  • 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 


Conclusión: la responsabilidad en cadena también es responsabilidad jurídica 


Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento. 


Para responsables y encargados, la lección es evidente: 


  • Identificar y documentar todos los subencargados. 

  • Exigir autorización previa cuando así se establezca. 

  • Formalizar contratos plenamente alineados con el RGPD. 

  • Mantener trazabilidad y control real sobre la cadena de proveedores. 

En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica. 


Como siempre, cuidad los datos y ¡cuidaos! 


Para leer la resolución, haga clic aquí. 

Imágenes e IA en marketing y RRHH: el atajo que puede salir caro

por

Una tendencia viral que parece inofensiva 


El uso de herramientas de inteligencia artificial para «mejorar» fotografías—retocar fotos corporativas, generar versiones creativas para campañas o estilizar imágenes de equipos—se ha convertido en un recurso habitual en marketing y recursos humanos. La petición suele sonar inocente: «Pásame esta foto por IA para…». 


Sin embargo, cuando en esa imagen hay personas identificables, estamos ante datos personales. Y, cuando esa imagen se sube a un sistema de IA, el perímetro del tratamiento se amplía y el control se complica. Así lo advierte la Guía de la AEPD sobre el uso de imágenes de terceros en sistemas de IA, que analiza los riesgos y obligaciones derivados de estas prácticas. 


Si hay personas identificables, hay protección de datos 


La imagen de una persona es un dato personal en la medida en que permite su identificación directa o indirecta (art. 4 RGPD). No es necesario que se trate de datos «sensibles» o biométricos en sentido técnico: basta con que la persona sea reconocible. 


En entornos corporativos esto es especialmente relevante. Fotografías de empleados, candidatos, clientes o asistentes a eventos forman parte del ámbito de aplicación del Reglamento (UE) 2016/679 (RGPD) y de la LOPDGDD. Subir esas imágenes a una herramienta de IA implica una comunicación de datos a un tercero (el proveedor del sistema), lo que exige: 


  • Base jurídica adecuada (consentimiento válido u otra legitimación del art. 6 RGPD). 

  • Información clara sobre el tratamiento (arts. 13 y 14 RGPD). 

  • Contrato de encargo de tratamiento si el proveedor actúa como encargado (art. 28 RGPD). 

La aparente «simplicidad» tecnológica no elimina estas exigencias. 


Riesgos visibles e invisibles: más allá del retoque 


La guía de la AEPD subraya que el uso de imágenes en sistemas de IA puede generar riesgos que van más allá de la finalidad inicial. Entre ellos: 


  • Pérdida de control y difusión no prevista: la imagen puede almacenarse, reutilizarse o incorporarse al entrenamiento de modelos si no existen garantías contractuales claras. 


  • Retención indefinida: desconocimiento sobre cuánto tiempo conservará el proveedor las imágenes. 


  • Inferencias automatizadas: a partir de una fotografía, los sistemas pueden inferir edad, género, estado de ánimo u otros atributos, con posibles impactos discriminatorios. 


  • Reutilización para fines distintos: marketing, mejora de algoritmos o generación de nuevos contenidos. 


En contextos de RRHH, estos riesgos se intensifican. La relación de desequilibrio entre empresa y empleado cuestiona la validez del consentimiento, lo que obliga a extremar las cautelas. 


El perímetro se amplía cuando entra la IA 


Subir una imagen a una plataforma de IA no es equivalente a almacenarla en un servidor interno. Supone introducirla en un ecosistema tecnológico complejo, a menudo con proveedores ubicados fuera del Espacio Económico Europeo. 


Esto obliga a analizar, entre otras cuestiones: 


  • Transferencias internacionales de datos (arts. 44 y ss. RGPD). 

  • Medidas técnicas y organizativas del proveedor. 

  • Posible necesidad de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) si el tratamiento entraña alto riesgo (art. 35 RGPD). 


El «atajo» creativo puede convertirse en una cadena de responsabilidades difícil de gestionar. 


Conclusión: creatividad sí, pero con gobernanza del dato 


La inteligencia artificial ofrece oportunidades indiscutibles para la comunicación y la gestión del talento. Pero utilizar imágenes de personas en sistemas de IA sin un análisis previo es abrir un melón jurídico con implicaciones en control, derechos y responsabilidad corporativa. 


La clave no es renunciar a la innovación, sino integrarla en una estrategia de cumplimiento y gobernanza del dato: revisar bases jurídicas, contratos con proveedores, políticas internas y criterios de minimización. 


Porque en protección de datos, lo que parece un gesto técnico menor—«pásame esta foto por IA»— puede convertirse en un tratamiento complejo con consecuencias legales, reputacionales y económicas relevantes. 


Como siempre, cuidad los datos y ¡cuidaos! 

El verdadero precio de las caricaturas creadas con IA: cuando el producto eres tú

por

Una tendencia viral que parece inofensiva 


En las últimas semanas, muchas personas han pedido a ChatGPT la generación de una caricatura que les represente y, especialmente, su profesión. El resultado: imágenes divertidas, virales y perfectamente diseñadas para circular en redes sociales. A simple vista, parece un juego inocente.  


Sin embargo, detrás de esta tendencia se esconde una realidad mucho más compleja que merece una reflexión pausada, especialmente desde el punto de vista de la protección de datos y la estrategia digital. 


Qué datos estamos entregando realmente 


Al subir una fotografía personal a una plataforma de IA, no se comparte únicamente una imagen. Se están entregando datos biométricos, considerados por el Reglamento General de Protección de Datos (RGPD) como una categoría especial de datos personales. A esto se suma el contexto que rodea a la imagen: profesión, intereses, entorno social o red de contactos, especialmente cuando la caricatura se comparte en perfiles profesionales. 


Además, las imágenes contienen metadatos que pueden revelar información sobre el dispositivo utilizado, la ubicación aproximada o el momento en que fue tomada la fotografía. El valor del conjunto no está en un dato aislado, sino en su capacidad de ser correlacionado. 


El verdadero mecanismo: ego, validación y marketing 


OpenAI—como muchas otras empresas tecnológicas—no ha necesitado pedir explícitamente estos datos. Los usuarios los han entregado voluntariamente, impulsados por un mecanismo muy bien conocido en el marketing digital: la validación socialLikes, comentarios y visibilidad funcionan como una pirámide de dopamina perfectamente diseñada. La estrategia no consiste en pedir datos, sino en lograr que los usuarios los entreguen con entusiasmo. 


Este enfoque elimina la fricción legal y emocional. No hay sensación de cesión de datos, sino de participación en una experiencia compartida. Desde el punto de vista estratégico, es una jugada especialmente eficaz. 


Entrenamiento de modelos y riesgos emergentes 


Cada caricatura generada contribuye al entrenamiento de modelos de inteligencia artificial cada vez más precisos para asociar rostros con contextos específicos. Hoy se utiliza para crear ilustraciones; mañana, para generar deepfakes hiperpersonalizados, suplantaciones de identidad o fraudes en entornos profesionales, como videollamadas o procesos de verificación. 


No hablamos de un escenario hipotético. Estos riesgos ya existen y están siendo explotados, lo que plantea desafíos relevantes en materia de ciberseguridad, protección de datos y responsabilidad empresarial. 


Datos: el verdadero activo en la economía de la IA 


La pregunta incómoda es evidente: ¿por qué una empresa con una valoración de cientos de miles de millones necesita que millones de personas entreguen gratuitamente su imagen y su contexto profesional? Porque, en la economía digital, los datos son el activo estratégico por excelencia. 


En este modelo, el producto visible—la caricatura—es solo el anzuelo. El verdadero valor reside en la información que permite mejorar algoritmos, crear nuevas aplicaciones y consolidar ventajas competitivas. 


Conclusión: de usuarios pasivos a decisiones informadas 


La inteligencia artificial no es el problema. El problema es la falta de conciencia sobre el valor de los datos personales y el impacto de su uso masivo. En la era de la IA, el verdadero producto rara vez es el servicio gratuito que se ofrece, sino las personas que lo utilizan. 


Como profesionales, empresas y ciudadanos digitales, el reto no es dejar de participar en tendencias, sino entender qué estamos entregando y con qué consecuencias. La próxima vez que una moda viral nos invite a «jugar», conviene hacerse una pregunta clave: ¿estoy ganando solo una imagen… o estoy pagando con algo mucho más valioso? 


Como siempre, cuidad los datos y ¡cuidaos! 

ChatGPT ya compite con Google como buscador: un cambio estructural en cómo se descubre la información

por

Durante más de 20 años, hablar de búsqueda online ha sido sinónimo de Google. Ese paradigma acaba de romperse. Según datos de First Page Sage (Q4 2025), ChatGPT ya concentra el 17% de las búsquedas globales, frente al 78% de Google. Es la primera vez en dos décadas que un actor distinto alcanza una cuota de doble dígito.


Para ponerlo en contexto: en 2024, ChatGPT no llegaba ni al 1%.


No estamos ante una moda. Estamos ante un cambio de comportamiento del usuario.


De «buscar» a «preguntar»


El crecimiento de ChatGPT no responde a una mejora incremental, sino a una nueva forma de interactuar con la información. Los usuarios ya no escriben palabras clave: formulan preguntas completas y esperan respuestas directas, contextualizadas y accionables.


Ejemplos cotidianos:


  • «Compárame dos herramientas de analítica y dime cuál me conviene según mis objetivos»
  • «¿Qué herramienta me recomiendas para X
  • «Compárame dos soluciones y dime cuál tiene más sentido según mi caso»

Estas búsquedas, tradicionalmente informacionales o exploratorias, están migrando masivamente a los modelos de lenguaje.


Los datos lo confirman:


  • ChatGPT tiene menos usuarios que Google, pero una duración media de sesión más del doble (13 minutos frente a 6).
  • Domina claramente las búsquedas generativas y creativas (64% de cuota).
  • Su uso es especialmente fuerte en desktop y entre perfiles profesionales.

El problema para las marcas: si no te cita, no existes


Aquí está el punto crítico para marketing.


Cuando un usuario pregunta a ChatGPT por una herramienta, una solución o un proveedor, no recibe una lista de diez enlaces. Recibe una respuesta. Y en esa respuesta, unas marcas aparecen… y otras no.


Para ese 17% de búsquedas, si tu marca no es mencionada, no hay clic posible, no hay impresión, no hay awareness.


Y este porcentaje no deja de crecer.


No es casual que:


  • el 60% de las búsquedas en Google ya sean «zero-click»,
  • el 97% de los marketers reporten impacto positivo del GEO/AEO,
  • y el 94% planeen aumentar inversión en 2026.

¿Ha perdido Google la batalla?


No todavía. Google sigue siendo dominante, especialmente en:


  • búsquedas transaccionales (90%),
  • móvil,
  • usuarios de mayor edad.

Pero incluso ahí el modelo está cambiando: respuestas generadas, resúmenes con IA y menos tráfico directo a las webs.


La estrategia ya no es SEO o IA


La conclusión es clara: 2026 no va de elegir, sino de estar en ambos ecosistemas.


  1. SEO tradicional sigue siendo imprescindible.
  2. GEO / AEO para LLMs es ya una necesidad estratégica.
  3. La visibilidad debe medirse más allá de Google.

La pregunta ya no es si ChatGPT es un buscador. La pregunta es si tu marca está preparada para ser encontrada cuando ya no se busca, sino que se pregunta.


Como siempre, cuidad los datos y ¡cuidaos!


Para ver el estudio con detalle, haz clic aquí.

Email marketing ≠ publicidad en redes sociales: la sanción de 3’5 M€ que todo equipo de marketing debería conocer

por

La autoridad francesa de protección de datos (CNIL) ha impuesto una sanción administrativa de 3’5 millones de euros a una empresa por múltiples incumplimientos del Reglamento General de Protección de Datos (RGPD). El caso es especialmente relevante porque gira en torno a una infracción tan habitual como peligrosa: utilizar datos personales para una finalidad distinta de aquella para la que fueron recogidos.


La decisión, adoptada el 30 de diciembre de 2025 en cooperación con 16 autoridades europeas, afecta a más de 10’5 millones de personas y ha sido publicada con fines ejemplarizantes, dada la extensión de estas prácticas en el mercado.


¿Qué ocurrió?


Desde febrero de 2018, la empresa transmitía direcciones de correo electrónico y números de teléfono de los miembros de su programa de fidelización a una red social, con el objetivo de mostrarles publicidad personalizada mediante técnicas de custom audiences o CRM matching.


La empresa alegó contar con el consentimiento de los usuarios. Sin embargo, dicho consentimiento se había recabado únicamente para el envío de comunicaciones comerciales por SMS y correo electrónico, no para la comunicación de datos a un tercero ni para la segmentación publicitaria en redes sociales.


El problema clave: el consentimiento no era válido


El tratamiento carecía de base legal válida (art. 6 RGPD) porque:


  • En el formulario de adhesión al programa de fidelización no se informaba de la cesión de datos a una red social.
  • La política de privacidad era confusa, incompleta o directamente errónea, y no permitía comprender la finalidad real del tratamiento.
  • No existía un consentimiento específico, informado e inequívoco, como habría sido, por ejemplo, una casilla separada que mencionara expresamente la publicidad personalizada en redes sociales.

Otros incumplimientos sancionados


Además del problema de base legal, la CNIL identificó múltiples infracciones adicionales:


  • Falta de transparencia ( 12 y 13 RGPD): Las finalidades no se vinculaban claramente con sus bases jurídicas, faltaba información sobre plazos de conservación y se seguía mencionando el Privacy Shield, ya invalidado.
  • Deficiencias en la seguridad ( 32 RGPD): Las políticas de contraseñas no eran suficientemente robustas y se utilizaba SHA-256 para el almacenamiento de contraseñas, un método que no se considera adecuado frente a ataques de fuerza bruta.
  • Ausencia de análisis de impacto (DPIA / AIPD) ( 35 RGPD). El tratamiento implicaba:
    • grandes volúmenes de datos,
    • cruce de información,
    • publicidad personalizada en plataformas de terceros.



Todo ello exigía una evaluación de impacto previa, que nunca se realizó.



Lecciones clave para las empresas


Este caso deja varios mensajes claros:


  • El consentimiento no es reutilizable: cada finalidad exige su propia base legal.
  • El CRM matching y la publicidad en redes sociales no son extensiones naturales del email o SMS marketing.
  • La transparencia no es un trámite formal, sino un requisito material.
  • Si hay segmentación, cruce de datos y gran escala, la DPIA no es opcional.
  • La seguridad técnica (contraseñas, hashing) sigue siendo un pilar esencial del cumplimiento.

Conclusión


La sanción de la CNIL refuerza un principio básico del RGPD: los datos pueden utilizarse únicamente para las finalidades específicas, explícitas y legítimas para las que fueron recogidos.


En un contexto de marketing cada vez más sofisticado y dependiente de plataformas externas, este tipo de decisiones recuerdan que el cumplimiento en protección de datos empieza en el diseño del tratamiento, no cuando llega una inspección.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Pruebas digitales y decisiones automatizadas ante los tribunales laborales: claves del webinar con ASNALA

por

La gestión algorítmica y el uso de sistemas automatizados en el ámbito laboral ya no son una cuestión de futuro. Evaluaciones de desempeño, sanciones disciplinarias o despidos basados en métricas, rankings o sistemas de scoring están llegando de forma habitual a los Juzgados de lo Social, planteando retos jurídicos y procesales de enorme calado.


En este contexto, desde TecnoLawyer tuvimos el placer de impartir un webinar exclusivo para los socios de ASNALA (Asociación Nacional de Laboralistas), centrado en la litigación laboral cuando la prueba o la decisión empresarial se apoya en algoritmos o sistemas de inteligencia artificial. La sesión fue moderada por Isabel Pedrola, socia de ASNALA, a quien agradecemos especialmente su participación y el interés mostrado por los asistentes.


La digitalización del poder de dirección ya está en los tribunales


Uno de los mensajes centrales del webinar fue claro: el conflicto ya está en los juzgados. No se trata de debatir si la inteligencia artificial es lícita en abstracto, sino de analizar cómo se prueba, cómo se impugna y cómo se controla judicialmente cuando condiciona decisiones empresariales con efectos jurídicos relevantes.


Analizamos cómo el denominado algorithmic management se ha convertido en una manifestación más del poder de dirección empresarial, y por tanto debe someterse a los mismos límites constitucionales y legales que cualquier otra decisión humana.


Prueba algorítmica: riesgos y exigencias procesales


Otro de los ejes de la sesión fue la prueba algorítmica en el proceso laboral. Abordamos los principales riesgos asociados a este tipo de prueba—opacidad técnica, sesgos incorporados, falta de trazabilidad o dificultad de contradicción—y su impacto directo en el derecho a la tutela judicial efectiva.


Se insistió en que la tecnología no rebaja el estándar probatorio, sino que lo eleva: cuanto más opaca y compleja es la prueba, mayor debe ser el esfuerzo explicativo de la parte que la introduce. En este punto, se puso de relieve el papel creciente de la pericia judicial tecnológica como herramienta clave para comprender, auditar y cuestionar sistemas automatizados en sede judicial.


Decisiones automatizadas y derecho a la explicación


El webinar dedicó un bloque específico al artículo 22 del RGPD y al derecho del trabajador a no ser objeto de decisiones exclusivamente automatizadas con efectos jurídicos significativos. Analizamos la jurisprudencia más relevante del TJUE, que ha dejado claro que no basta con una intervención humana meramente formal y que el afectado tiene derecho a recibir información significativa y comprensible sobre la lógica aplicada.


Estas garantías resultan especialmente relevantes en despidos y sanciones disciplinarias, donde la falta de explicación algorítmica puede comprometer gravemente el derecho de defensa.


Transparencia algorítmica y Derecho del Trabajo


Desde la perspectiva estrictamente laboral, se subrayó la importancia del artículo 64 del Estatuto de los Trabajadores, que reconoce el derecho de la representación legal de los trabajadores a ser informada sobre los parámetros y reglas de los algoritmos o sistemas de IA que incidan en las decisiones laborales.


La falta de información previa no es una cuestión menor: puede contaminar todo el procedimiento disciplinario o extintivo y justificar un control judicial reforzado de la decisión empresarial.


El futuro vigente: Reglamento Europeo de Inteligencia Artificial


Finalmente, se analizó el impacto del Reglamento Europeo de Inteligencia Artificial, ya en fase de aplicación y plenamente exigible este 2026. Muchos sistemas utilizados en el ámbito laboral están calificados como de alto riesgo, lo que implica obligaciones reforzadas de supervisión humana, documentación, gestión del riesgo y protección de derechos fundamentales.


El mensaje final fue claro: la tecnología no sustituye las garantías jurídicas; las pone a prueba. Y en ese escenario, el papel del abogado laboralista resulta más decisivo que nunca.


Agradecimiento a ASNALA


Desde TecnoLawyer queremos agradecer expresamente a ASNALA la confianza depositada en nosotros y el interés demostrado por sus socios. Ha sido un placer compartir este espacio de reflexión jurídica y práctica sobre uno de los grandes retos actuales del Derecho del Trabajo.


Tal y como anunciamos durante la sesión, los participantes también han recibido materiales prácticos diseñados para la litigación laboral en contextos de gestión algorítmica, con el objetivo de que el conocimiento adquirido tenga una aplicación directa en el día a día de los despachos.


Seguiremos trabajando para ofrecer formación especializada y herramientas útiles allí donde el Derecho laboral y la tecnología se encuentran.


Como siempre, cuidad los datos y ¡cuidaos!

Revisión Textos Legales Web