RGPD para chatbots y agentes IA: checklist completo 2026

TL;DR: para que tu chatbot o agente IA cumpla RGPD necesitas: hosting EU, DPA firmado con el proveedor del LLM, consentimiento explícito visible, política de privacidad actualizada mencionando IA, mecanismo de derecho al olvido, retención limitada y registro de tratamientos documentado.

Por qué este artículo no es opcional

La AEPD (Agencia Española de Protección de Datos) ha publicado en 2024-2025 varias guías específicas sobre IA y datos personales. Las multas por incumplimientos serios pueden llegar a 20 millones de euros o el 4% de la facturación anual global. Para una pyme, una sanción base puede ser de 40.000-150.000 €.

Pero más allá del riesgo legal, cumplir RGPD desde el día 1 es buena ingeniería. Esta checklist es la que aplicamos en La Bahía Digital en todos los proyectos de IA.

1. Residencia y procesamiento de datos en EU

Por qué importa

El RGPD permite transferir datos personales fuera del Espacio Económico Europeo solo en condiciones específicas (cláusulas contractuales tipo, decisión de adecuación). La Decisión de Adecuación EU-US Data Privacy Framework (vigente desde 2023) cubre a algunos proveedores USA certificados, pero su estabilidad jurídica ha sido cuestionada repetidamente. Lo más seguro es procesar en EU.

Cómo conseguirlo

Proveedor	Configuración EU
OpenAI	Usar Azure OpenAI Service con región Europe (Sweden Central, France Central, etc.) — datos no salen de EU
Anthropic Claude	Usar AWS Bedrock con región EU (Frankfurt, Ireland)
Mistral	Mistral cloud nativo en EU (Francia)
Llama, Qwen	Self-hosted en VPS EU (Hetzner, OVH, Scaleway)
Pinecone	Plan que permita región EU
Qdrant	Cloud EU o self-hosted EU

Lo que debes auditar

• Logs de las llamadas API: ¿se almacenan en EU?
• Backups y snapshots: ¿se replican fuera de EU?
• Servicios de observabilidad (Langfuse, Sentry): ¿están en EU o tienen DPA adecuado?

2. DPA (Data Processing Agreement) con los proveedores

Todo proveedor que procese datos personales por tu cuenta debe firmar un DPA contigo. Sin DPA, la transferencia es ilegal, aunque esté en EU.

Proveedores típicos y su DPA

• Azure (Microsoft): DPA incluido en términos enterprise, descargable desde portal Azure
• AWS: AWS Service Terms incluyen DPA
• Google Cloud (Vertex AI): DPA disponible bajo demanda enterprise
• Anthropic directo: DPA disponible para clientes business
• Pinecone: DPA en plan Enterprise (no en free)
• OpenAI directo (sin Azure): DPA disponible para clientes empresariales con compromiso de retención y entrenamiento

Compromiso clave a verificar

El DPA debe garantizar:

1. El proveedor no usará los datos del cliente para entrenar sus modelos.
2. Retención limitada (típicamente 30 días para logs de abuse detection).
3. Eliminación inmediata bajo solicitud verificada.
4. Notificación de brechas en plazo legal (72h).

3. Consentimiento explícito y visible

Lo que NO cumple

• Texto microscópico en política de privacidad
• Asumir consentimiento porque “es un chat”
• Botón “acepto” sin explicar qué se acepta
• Casilla premarcada

Lo que SÍ cumple

• Aviso explícito antes del primer mensaje: “Esta conversación es procesada por un asistente de IA. Tus mensajes pueden almacenarse hasta 30 días para mejorar el servicio. No introduzcas datos sensibles. [Leer política completa].”
• Casilla no premarcada que el usuario debe activar
• Botón “Entendido, continuar” claramente diferenciado
• Posibilidad de rechazar y ser derivado a alternativa humana

Ejemplo de implementación

// Componente ChatConsentBanner.tsx
export function ChatConsentBanner({ onAccept, onReject }) {
  return (
    <div className="banner-consent">
      <p>
        <strong>Aviso:</strong> esta conversación es procesada por un
        asistente de IA. Tus mensajes pueden almacenarse hasta 30 días.
        No introduzcas datos sensibles (salud, financieros, IDs).
        <a href="/politica-privacidad#chat-ia">Más información</a>
      </p>
      <label>
        <input type="checkbox" required name="consent" />
        He leído y acepto las condiciones del chat IA
      </label>
      <button onClick={onAccept}>Continuar</button>
      <button onClick={onReject}>Hablar con persona</button>
    </div>
  );
}

4. Política de privacidad actualizada

Tu política debe mencionar explícitamente:

• Que usas IA generativa para parte del procesamiento
• Qué proveedor LLM utilizas (Microsoft Azure, AWS, etc.)
• Plazo de retención de conversaciones
• Cómo el usuario puede ejercer derechos RGPD (acceso, rectificación, oposición, supresión, portabilidad, limitación)
• Si transfieres datos a terceros (Hubspot, Zendesk, etc.)
• Datos de contacto del DPO si lo tienes (obligatorio en algunos sectores)

Plantilla mínima (sección IA)

Tratamiento mediante inteligencia artificial. Utilizamos servicios de inteligencia artificial generativa (proveedor: [Azure OpenAI Service / AWS Bedrock]) para procesar tus consultas y proporcionarte respuestas relevantes. El procesamiento se realiza en infraestructura ubicada en la Unión Europea. Las conversaciones se conservan durante un máximo de 30 días para mejorar la calidad del servicio y diagnosticar incidencias. Tras este plazo, se eliminan automáticamente. Puedes solicitar acceso, rectificación o supresión escribiendo a [hola@labahiadigital.es].

5. Derecho al olvido implementado de verdad

No basta con tener un email donde la gente “puede pedir borrado”. Debes tener un proceso documentado y técnicamente viable.

Implementación recomendada

1. Endpoint interno que reciba userId o phone o email y borre:
   • Conversaciones almacenadas (DB principal)
   • Embeddings derivados de esas conversaciones (vector DB)
   • Logs de prompts (sistema de observabilidad)
   • Backups que contengan los datos (o documentar por qué no es técnicamente posible)
2. Confirmación documentada al usuario en plazo legal (1 mes prorrogable).
3. Registro interno del borrado con timestamp.

Lo que la AEPD valora especialmente

• Que el plazo de respuesta sea rápido y documentado.
• Que no requieras del usuario procedimientos farragosos.
• Que tengas evidencia técnica del borrado.

6. Auditoría y minimización de prompts

Cada vez que envías un prompt al LLM, le estás enviando datos. Audita exactamente qué envías y aplica el principio de minimización.

Lo que NO debes enviar al LLM

• DNI o equivalentes nacionales
• Números de tarjeta de crédito
• Datos de salud o discapacidad
• Datos de menores sin consentimiento parental
• Cualquier dato sensible (art. 9 RGPD)
• Información de terceros sin base legal

Cómo minimizar

function sanitizePrompt(userMessage: string): string {
  return userMessage
    // DNI / NIE español
    .replace(/\b\d{8}[A-Z]\b/gi, "[DNI]")
    .replace(/\b[XYZ]\d{7}[A-Z]\b/gi, "[NIE]")
    // tarjeta de crédito (16 dígitos)
    .replace(/\b(?:\d[ -]*?){13,16}\b/g, "[TARJETA]")
    // IBAN
    .replace(/\b[A-Z]{2}\d{2}[A-Z0-9]{1,30}\b/g, "[IBAN]")
    // emails (opcional según caso)
    .replace(/\b[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,}\b/gi, "[EMAIL]");
}

Tools y guardrails

Para casos críticos, herramientas como Microsoft Presidio, GuardrailsAI o Lakera Guard ofrecen detección y redacción de PII más sofisticada.

7. Registro de Actividades de Tratamiento (RAT)

Toda organización debe mantener un RAT (art. 30 RGPD) que incluya el procesamiento por IA:

• Nombre del tratamiento: “Atención al cliente vía chatbot IA”
• Finalidad: responder consultas, cualificar leads, derivar a humano
• Categorías de interesados: clientes potenciales, clientes actuales
• Categorías de datos: identificativos (nombre, email), conversacionales
• Destinatarios: proveedor LLM (Azure OpenAI), CRM (HubSpot)
• Transferencias internacionales: ninguna (todo EU) o las que apliquen
• Plazos de supresión: 30 días para conversaciones, 12 meses para metadatos agregados
• Medidas de seguridad: cifrado en tránsito (TLS 1.3), cifrado en reposo (AES-256), control de accesos

8. Análisis de Impacto (DPIA) si aplica

Si tu tratamiento implica:

• Decisiones automatizadas con efecto jurídico significativo
• Tratamiento a gran escala de datos sensibles
• Vigilancia sistemática

Estás obligado a hacer DPIA (Evaluación de Impacto). La AEPD tiene plantillas y herramientas gratuitas.

Para la mayoría de chatbots de atención al cliente o cualificación de leads, no es estrictamente obligatorio, pero hacerlo informalmente es buena práctica.

9. Checklist final imprimible

• Hosting EU verificado (proveedor LLM, vector DB, logs)
• DPA firmado con cada proveedor que procesa datos
• Aviso de consentimiento visible antes del primer mensaje
• Casilla de aceptación NO premarcada
• Alternativa humana ofrecida visiblemente
• Política de privacidad actualizada con sección IA
• Endpoint y proceso de derecho al olvido implementado y probado
• Plazo de retención definido y aplicado automáticamente
• Sanitización de PII en prompts (regex mínima)
• Registro de Actividades de Tratamiento actualizado
• DPIA evaluada (necesaria o no, documentado)
• DPO designado si tu sector lo requiere
• Procedimiento de notificación de brechas (72h) documentado
• Logs de la app cifrados y con acceso limitado
• Procedimiento de auditoría anual

Conclusión

Cumplir RGPD en proyectos de IA no es opcional ni es “burocracia molesta”. Es lo que separa una empresa profesional de una que se va a llevar un susto.

Lo bueno: no es complicado si se aborda desde el inicio. Cada uno de estos puntos lleva 1-3 días en un proyecto medio.

---

En La Bahía Digital aplicamos esta checklist en todos nuestros proyectos de IA por defecto, sin coste extra. Si quieres revisar la conformidad de un agente IA ya implementado, ofrecemos auditorías RGPD específicas para IA desde 600 €. Cuéntanos tu caso.

Lecturas relacionadas:

• Guía completa de agentes IA para empresas en 2026
• Integrar WhatsApp Business API con un agente IA: guía técnica