ChatGPT en la empresa: guía práctica 2026 (RGPD, AEPD, alternativas soberanas)

Q: ¿Se puede desactivar completamente la retención en ChatGPT Enterprise?

En Enterprise se puede negociar Zero Data Retention para ciertos workspaces — las conversaciones no se conservan más allá de la sesión. OpenAI lo concede generalmente para sectores regulados (banca bajo supervisión del Banco de España, seguros bajo la DGSFP, sector público) y volúmenes importantes. En Team es más rígido: se aplica la retención de 30 días por seguridad. Esta retención debe documentarse en el registro de actividades de tratamiento (artículo 30 RGPD) y ser coherente con las duraciones previstas para el tratamiento principal.

Q: ¿Son seguros los GPTs personalizados con datos de negocio?

En ChatGPT Team y Enterprise, los GPTs personalizados son privados al workspace y sus prompts del sistema no se filtran a los usuarios finales. Dos puntos de vigilancia. Uno, los usuarios envían sus consultas a los modelos de OpenAI, por lo que las consideraciones de DPA, retención y transferencia se aplican normalmente. Dos, un GPT personalizado no es un control de acceso a los datos — si está conectado a una base de conocimiento interna, la autorización debe verificarse en el origen, de lo contrario cualquier usuario del workspace puede recuperar lo que esté indexado.

Q: ¿Está prohibido ChatGPT en España?

No. ChatGPT es utilizable en España. La AEPD inició en abril de 2023 actuaciones previas de investigación de oficio contra OpenAI, en paralelo al bloqueo italiano, pero no ha prohibido el servicio. La Garante italiana sí suspendió temporalmente ChatGPT y sancionó a OpenAI con 15 millones de euros en diciembre de 2024 — sin prohibición definitiva. La AEPD ha publicado orientaciones específicas sobre IA generativa, scoring y perfilado en 2024-2025, exigiendo evaluación de impacto y base legítima documentada. El uso es legal con cumplimiento del RGPD.

Q: ¿Cuál es la alternativa más sólida a ChatGPT para una empresa española?

Mistral Le Chat Enterprise para la mayoría de los casos de uso (redacción, síntesis, extracción, clasificación, traducción, visión vía Pixtral) en una pila europea alojada en Scaleway — eliminación del riesgo de transferencia a EE. UU., conformidad RGPD facilitada, tarifas a menudo más ventajosas (15-25 € por usuario y mes frente a 25 USD para ChatGPT Team). Para casos de uso técnicos muy avanzados (razonamiento complejo, agentes multi-paso), GPT-4o y o3 mantienen una ligera ventaja que se reduce cada trimestre. Para administración pública, valorar también soluciones LLM con ENS-ALTA.

Q: ¿Cuánto cuesta un despliegue de ChatGPT en empresa para 100 usuarios?

Para ChatGPT Team (~25 USD por usuario y mes): unos 28.000 € al año para 100 usuarios, sin IVA y sin implementación. Para ChatGPT Enterprise (~50-60 € por usuario y mes negociables según compromiso): 60.000 a 72.000 € al año. Añadir costes de implementación (política de uso de IA, formación inicial documentada conforme al artículo 4 del Reglamento de IA, configuración SSO y registros de auditoría, EIPD si procede): 15.000 a 40.000 € el primer año. Coste de operación anual: 10.000 a 20.000 €. Comparar con Mistral Le Chat Enterprise sobre el mismo perímetro: 18.000 a 30.000 € al año para 100 usuarios.

Respuesta rápida: ¿se puede usar ChatGPT en una empresa española en 2026?

Sí, pero bajo condiciones estrictas. Tres reglas innegociables.

Nunca ChatGPT de consumo (gratuito o Plus) sobre datos profesionales no públicos. Las condiciones de OpenAI reservan el uso comercial conforme a las versiones Team y Enterprise — usar una cuenta personal sobre datos de clientes infringe a la vez las condiciones de OpenAI y el RGPD.
ChatGPT Team o Enterprise con contrato de encargado de tratamiento (DPA) firmado para usos empresariales corrientes: DPA disponible, desactivación nativa del entrenamiento, registros del lado administrador, SSO en Enterprise.
Despliegue local (on-premise, en sus propios servidores con Mistral o Llama) o nube soberana desde que los datos sean sensibles (salud, secreto profesional, secreto industrial, datos de la administración pública) — véase nuestra guía LLM local en empresa.

El riesgo estructural que persiste — incluso en ChatGPT Enterprise — es la transferencia UE-EE. UU. enmarcada por el Data Privacy Framework (DPF), un acuerdo destinado a asegurar estas transferencias pero impugnado jurídicamente (el Tribunal de Justicia de la UE ya invalidó sus dos predecesores en 2015 y 2020). Para las organizaciones que quieren eliminar este riesgo, la alternativa europea (Mistral Le Chat Enterprise) suele ser más adecuada. La adopción dominante en España es Team y Plus en pymes y mediana empresa, mientras Enterprise se concentra en IBEX-35 y administración central.

Por qué este tema, ahora

Tres cosas han cambiado entre 2024 y 2026 sobre el terreno de ChatGPT en la empresa española.

Una, las ofertas de empresa han madurado realmente. ChatGPT Team y Enterprise han ganado herramientas administrativas (SSO completo, registros de auditoría, control de retención), y el DPA de OpenAI se ha vuelto negociable en volúmenes importantes. La frontera “ChatGPT no es para empresa” ha caído — bajo condiciones.

Dos, la AEPD y el Reglamento de IA han precisado las obligaciones. La AEPD ha publicado orientaciones específicas sobre IA, scoring y perfilado en 2024-2025 — con un foco particular sobre las decisiones automatizadas que afectan a personas (artículo 22 RGPD) y sobre la base legitimadora. La adopción dominante en España se concentra en los planes Team y Plus, particularmente en pymes y mediana empresa; Enterprise se reserva mayoritariamente al IBEX-35 y al sector financiero supervisado por el Banco de España y la CNMV.

Tres, la competencia europea se ha instalado. Mistral Le Chat Enterprise no era creíble en 2023; lo es en 2026. La elección “ChatGPT vs alternativa soberana” se ha convertido en un arbitraje real, no una falsa elección. Para administración pública con exigencia ENS-ALTA, la palanca soberana es decisiva.

El cálculo ha cambiado: usar ChatGPT en la empresa española es factible y conforme, pero ya no es la elección por defecto — es una elección que se compara y se justifica.

Tres usos muy diferentes que se llaman todos “ChatGPT”

Antes de cualquier decisión, eliminar la ambigüedad de la palabra “ChatGPT”. Cuatro ofertas distintas coexisten en 2026, sobre los mismos modelos técnicos pero con marcos contractuales radicalmente diferentes.

Oferta	Tarifa	DPA	Retención	Alojamiento	Adaptado a
ChatGPT (gratuito)	0	No	Variable, entrenamiento por defecto	EE. UU.	Solo uso personal
ChatGPT Plus	22 €/mes	No	Igual que gratuito	EE. UU.	Solo uso personal
ChatGPT Team	~25 USD/u/mes	Estándar	30 días, sin entrenamiento	EE. UU. (regional limitado)	Pymes, equipos 5-150 u (mayoría del mercado español)
ChatGPT Enterprise	~50-60 €/u/mes (negociable)	Reforzado	Configurable, ZDR posible	EE. UU. (regional configurable)	IBEX-35, sectores regulados

En el único criterio técnico, las cuatro ofertas funcionan sobre los mismos modelos (GPT-4o, o3-mini, etc.). La diferencia es totalmente contractual y organizativa. Es el marco, no la tecnología, lo que hace que ChatGPT sea utilizable en empresa.

Los 4 riesgos RGPD específicos de ChatGPT

Riesgo 1 — La fuga por cuenta personal

Es el riesgo más extendido y más subestimado. Un empleado abre ChatGPT Plus con su cuenta personal y pega un correo de cliente, un brief de RR. HH., o una nota estratégica. El dato:

Sale del perímetro de la organización
Es procesado por OpenAI sin DPA
Puede alimentar el modelo (entrenamiento por defecto en cuenta personal)
Ya no es trazable del lado empresa

Consecuencia RGPD: transferencia no controlada de datos personales, sin base legal ni marco contractual. Si la AEPD audita, es una infracción directa de los artículos 5, 28 y 32 del RGPD. La AEPD ha endurecido su discurso en 2024-2025 sobre los despliegues de IA sin gobernanza.

Mitigación: prohibir formalmente vía una política de uso de IA, proponer una alternativa oficial (cuenta ChatGPT Team / Enterprise o Mistral Le Chat Enterprise), formar a los equipos.

Riesgo 2 — La transferencia hacia los Estados Unidos

Incluso en ChatGPT Enterprise, los servidores principales de OpenAI están en EE. UU. El Data Privacy Framework (DPF) legaliza técnicamente esta transferencia desde julio de 2023, pero sigue impugnada jurídicamente. Varias autoridades europeas (BfDI alemana, Garante italiana) recomiendan medidas suplementarias a pesar de su adopción. La AEPD se ha mostrado más cautelosa que franca oposición, pero exige una evaluación de transferencia documentada en sus inspecciones recientes.

Consecuencia práctica: si el DPF cae (Schrems III), todo tratamiento en curso sobre ChatGPT se vuelve jurídicamente precario. Las organizaciones que no han anticipado deberán migrar de urgencia. Véase nuestra guía IA y RGPD y nuestra guía IA soberana.

Riesgo 3 — La retención de las conversaciones

Por defecto, OpenAI conserva las conversaciones 30 días en claro por razones de seguridad (detección de abusos). En ChatGPT Enterprise, esta retención es negociable y puede bajar a 0 días. En Team, es menos flexible.

Consecuencia RGPD: esta retención debe documentarse en el registro de actividades, ser coherente con las duraciones previstas para el tratamiento principal, y ser auditable. Muchas organizaciones omiten esta inscripción y crean una infracción del artículo 5.1.e.

Riesgo 4 — La inexactitud algorítmica sobre personas identificables y el scoring

ChatGPT alucina. Cuando estas alucinaciones conciernen a una persona identificable (un candidato descrito como inadecuado por error, un cliente al que se atribuyen opiniones inventadas, un abogado al que se asigna una jurisprudencia fabricada), es una violación directa del artículo 5.1.d RGPD (exactitud). La Garante italiana ya ha sancionado a OpenAI sobre este fundamento en 2024.

La AEPD ha hecho del scoring y el perfilado una prioridad de sanción en 2024-2025. Varias multas significativas a actores españoles (sector financiero, telecomunicaciones, RR. HH.) han recordado que cualquier sistema que conduzca a una decisión sobre una persona — incluso “asistido” por IA generativa — debe respetar el artículo 22 RGPD: revisión humana significativa, transparencia, posibilidad de impugnación.

Mitigación: prohibir formalmente la generación de contenidos identificantes sobre personas sin relectura humana, política de uso, registro de incidentes trazado, y EIPD documentada para todo uso ligado a decisiones que afecten a personas.

ChatGPT Team vs Enterprise vs alternativa europea: matriz de decisión

Para la mayoría de las organizaciones españolas, la elección se realiza sobre un arbitraje simple entre tres opciones.

Criterio	ChatGPT Team (~25 USD/u/mes)	ChatGPT Enterprise (~50-60 €/u/mes)	Mistral Le Chat Enterprise (~15-25 €/u/mes)
DPA	Estándar	Reforzado	Nativo
Entrenamiento sobre datos	Desactivado	Desactivado	Nunca
Alojamiento	EE. UU. (regional limitado)	EE. UU. (regional configurable)	Francia (Scaleway)
Dependencia DPF	Sí	Sí	Ninguna
SSO / controles empresa	Limitados	Completos	Disponibles
Registros de auditoría	Básicos	Avanzados	Disponibles
Visión y multimodal	Sí	Avanzado	Pixtral
Ecosistema (GPTs, plug-ins)	Compartido interno	Extendido	En construcción
Rendimiento bruto	GPT-4o, o3-mini	GPT-4o, o3-mini	Mistral Large
ENS-ALTA / sector público	No	No	Bajo evaluación
Soberanía jurisdiccional	No	No	Sí

Árbol de decisión

¿Datos afectados?
│
├── Solo datos de negocio no sensibles
│   └── ¿Volumen de usuarios?
│       ├── < 50 → ChatGPT Team O Mistral Le Chat Enterprise
│       └── 150+ → ChatGPT Enterprise O Mistral Le Chat Enterprise
│
├── Datos personales europeos en volumen
│   └── Mistral Le Chat Enterprise (elimina riesgo DPF)
│
├── Sector financiero supervisado por Banco de España / CNMV
│   └── Microsoft 365 Copilot via Azure OpenAI (UE residente) O Mistral Le Chat Enterprise
│
└── Datos regulados (salud, AAPP con ENS-ALTA, defensa, secreto profesional)
    └── On-premise (Mistral self-hosted, Llama 3) o proveedor con ENS-ALTA

7 buenas prácticas para un despliegue de ChatGPT en la empresa española

1. Validar la oferta adaptada al volumen. Team ≤ 150 usuarios, Enterprise más allá. Tarifa Enterprise negociable según compromiso anual.

2. Firmar un DPA y archivarlo. No solo el DPA de OpenAI — los DPAs de sus subencargados (Microsoft Azure para alojamiento, etc.) deben estar trazados. Conservar las versiones fechadas.

3. Desactivar explícitamente el entrenamiento. En Team / Enterprise, está desactivado por defecto. Verificar en la consola admin y conservar una captura como prueba.

4. Configurar el SSO y el registro central. Para Enterprise, integrar SSO (Okta, Microsoft Entra) y activar los registros de auditoría. Sin esto, la trazabilidad por usuario es débil.

5. Inscribir el tratamiento en el registro. Finalidad (“asistencia IA generativa a la productividad”), base legitimadora (interés legítimo generalmente, con análisis documentado), datos tratados, plazo de conservación, encargados, transferencias fuera de la UE. Sin inscripción, infracción del artículo 30 RGPD.

6. Difundir una política de uso. Documento corto, oponible, que precise qué datos están autorizados, cuáles prohibidos, y qué procedimiento seguir en caso de incidente. Véase nuestra guía de la política de IA en empresa.

7. Formar a los equipos. El Reglamento de IA (artículo 4) impone una alfabetización en IA documentada. Sin formación, la organización está expuesta a la vez sobre el RGPD y sobre el Reglamento de IA. Véase nuestra guía de la formación IA en empresa.

Los usos en los que ChatGPT realmente destaca

No todos los usos son equivalentes. Donde ChatGPT (Team o Enterprise) entrega un valor real en 2026:

Redacción de marketing y comunicación externa — tono, fluidez, gestión de restricciones de formato
Ayuda a la búsqueda de ideas y brainstorming — variación, estructuración, contraargumentos
Síntesis de transcripciones largas (reuniones, conferencias) con o3-mini sobre contexto largo
Generación de código estructurada (notablemente vía GPTs personalizados Code Interpreter)
Análisis de imágenes (visión avanzada GPT-4o) para casos de uso de productos, diseño, accesibilidad
Ayuda a la traducción sobre lenguas menos comunes — Mistral es muy bueno en español y catalán pero GPT-4o cubre mejor las lenguas asiáticas

Los usos a proscribir o reconsiderar

Decisiones automatizadas sobre personas (RR. HH., scoring, acceso): el artículo 22 RGPD las prohíbe, salvo excepciones estrictas. Siempre prever una revisión humana documentada — la AEPD ha sancionado fuertemente este tipo de uso en 2024-2025.
Datos médicos identificantes: salvo marco ENS-ALTA estricto (muy improbable del lado ChatGPT en 2026), evitar.
Secreto profesional (abogado bajo el Estatuto de la Abogacía, médico, censor jurado, banquero): riesgo deontológico directo, a proscribir salvo caso explícitamente autorizado.
Comunicación de prensa no revisada: riesgo de alucinación y de cita fabricada — siempre releer y verificar.
Generación de contenido jurídico oponible: un contrato, una cláusula, una nota jurídica generada por IA y utilizada sin relectura humana implica la responsabilidad de la organización.

Lo que rechazamos prometer

Tres antipatrones recurrentes que se evitan en DPLIANCE al enmarcar un uso de IA en la empresa.

“Firmamos ChatGPT Enterprise y es conforme.” No. El contrato no basta. También hace falta: la política de uso oponible, la formación de los usuarios (artículo 4 Reglamento de IA), la inscripción en el registro, la EIPD si aplica, el procedimiento de incidentes. Sin estos ladrillos, el contrato solo es un papel que no aguanta una inspección de la AEPD.

“Vamos a pasar enteramente a ChatGPT, es la herramienta más conocida.” Notoriedad no equivale a pertinencia. Para la mayoría de los usos españoles/europeos, Mistral Le Chat Enterprise está ahora en paridad funcional, con una ventaja neta sobre la soberanía y un coste a menudo más bajo. El buen reflejo en 2026: comparar las dos sobre su caso de uso real antes de fijar la elección.

“Podemos enviar todos los datos de negocio, OpenAI no se sirve de ellos para entrenar.” Cierto en Team/Enterprise, pero incompleto. El verdadero tema no es el entrenamiento — es la transferencia fuera de la UE. Mientras los servidores estén en EE. UU., el riesgo DPF persiste. Para datos personales a gran escala, se espera un transfer impact assessment documentado, y la migración a una alternativa soberana sigue recomendada.

FAQ

Mi empresa ya paga ChatGPT Plus para sus empleados — ¿está bien?

No. ChatGPT Plus sigue siendo una cuenta individual sujeta a las condiciones de consumidor de OpenAI. Sin DPA, sin compromiso universal de no entrenamiento, sin registro centralizado, sin autenticación corporativa. Para uso empresarial sobre datos profesionales no públicos, pasar a Team o Enterprise es el mínimo. Continuar en Plus es una infracción directa de los artículos 5, 28 y 32 del RGPD.

¿Está ChatGPT Enterprise certificado para el Sistema Nacional de Salud?

No. En abril de 2026 ChatGPT Enterprise no cumple los requisitos del ENS en categoría ALTA. Para datos sanitarios identificables, las opciones viables son on-premise o un proveedor LLM alojado en una nube ENS-ALTA. Véase nuestra guía de IA en sanidad.

¿Se puede desactivar completamente la retención en ChatGPT Enterprise?

En Enterprise se puede negociar Zero Data Retention. En Team se aplica la retención de 30 días. Esta retención debe documentarse en el registro de tratamientos.

Microsoft Copilot, ¿es ChatGPT?

No exactamente. Microsoft 365 Copilot se apoya en los modelos de OpenAI alojados en Azure OpenAI Service. Contrato con Microsoft, DPA propio, EU Data Boundary, integración Office 365. Para organizaciones ya estandarizadas en Microsoft, a menudo preferible — pero el riesgo DPF persiste.

¿Son seguros los GPTs personalizados con datos de negocio?

En Team y Enterprise, los GPTs son privados al workspace. Dos puntos de vigilancia: las consultas llegan a los modelos de OpenAI, las reglas de DPA, retención y transferencia se aplican; un GPT no es un control de acceso a los datos.

¿Está prohibido ChatGPT en España?

No. La AEPD inició actuaciones de oficio en abril de 2023 pero no ha prohibido el servicio. La Garante italiana sí suspendió temporalmente y sancionó a OpenAI con 15 millones de euros en diciembre de 2024. El uso es legal con cumplimiento del RGPD.

¿Cuál es la alternativa más sólida a ChatGPT para una empresa española?

Mistral Le Chat Enterprise para la mayoría de los usos empresariales (15-25 € por usuario y mes). Véase nuestro comparativo Mistral vs ChatGPT.

¿Cuánto cuesta un despliegue de ChatGPT en empresa para 100 usuarios?

ChatGPT Team: unos 28.000 € al año. Enterprise: 60.000 a 72.000 € al año. Implementación primer año: 15-40 k€. Operación anual: 10-20 k€. Mistral Le Chat Enterprise: 18-30 k€ al año para 100 usuarios.

Fuentes: OpenAI, condiciones Team y Enterprise (openai.com/enterprise-privacy); Reglamento (UE) 2016/679 (RGPD); LOPDGDD; Reglamento (UE) 2024/1689 (Reglamento de IA), particularmente artículo 4; Garante per la protezione dei dati personali — decisiones OpenAI 2023 y 2024; AEPD, orientaciones sobre IA generativa, scoring y perfilado 2024-2025; CEPD, opinión 28/2024 sobre modelos de IA y RGPD; Comisión Europea, Data Privacy Framework, julio 2023.

Para enmarcar un despliegue de ChatGPT en su organización — elección de oferta, política, registro, formación, o comparación con Mistral Le Chat Enterprise — véase nuestra guía IA y RGPD, nuestro comparativo Mistral vs ChatGPT, nuestra guía de la política de IA en empresa, o contáctenos a través de nuestras soluciones IA a medida.