Seguridad Empresas ChatGPT Claude Guía 2026

Seguridad de datos en la empresa: qué configurar antes de que tus empleados usen ChatGPT o Claude

FR

Federico Reinhardt

Instructor · Dataneta

12 min de lectura

Un empleado tiene una reunión importante. Necesita preparar un resumen ejecutivo rápido y copia la información — clientes, cifras, estrategia — en ChatGPT para que lo redacte. En 30 segundos tiene el texto perfecto. Y acaba de enviar información confidencial de tu empresa a los servidores de OpenAI, en Estados Unidos. Sin que nadie lo sepa.

🚨 El problema: En Argentina, la Ley 25.326 de Protección de Datos Personales responsabiliza a la empresa por el uso indebido de datos de terceros. Si un empleado comparte datos de clientes con una IA externa sin las salvaguardas correctas, la empresa puede ser pasible de sanciones.

💡 En este artículo vas a encontrar: la configuración concreta para ChatGPT, Claude, Gemini y Copilot; controles a nivel de red; una política interna lista para adaptar; y las alternativas empresariales que mantienen tus datos dentro de la empresa.

¿Qué datos están realmente en riesgo?

Antes de hablar de configuraciones, conviene entender qué tipo de información suelen compartir los empleados —muchas veces sin mala intención— con herramientas de IA:

Datos de clientes (PII)

Nombres, DNI, CUIT, emails, teléfonos, historial de compras. Protegidos por Ley 25.326.

Información financiera

Balances, proyecciones, márgenes, costos internos. Pueden afectar ventaja competitiva.

Propiedad intelectual

Código fuente, algoritmos, fórmulas, procesos propietarios.

Contratos y estrategia

Cláusulas de confidencialidad, planes de expansión, acuerdos con proveedores.

¿Qué hace cada IA con los datos que le mandás?

La situación varía mucho según el plan que usen tus empleados:

Plan ¿Entrena con tus datos? Dónde se guardan Retención
ChatGPT Free / Plus SÍ (por defecto) OpenAI — EE.UU. 30 días
ChatGPT Team NO (por defecto) OpenAI — EE.UU. 30 días
ChatGPT Enterprise NO OpenAI (aislado) — EE.UU. Configurable (0–30 d)
Claude Free / Pro SÍ (puede revisarse) Anthropic — EE.UU. ~90 días
Claude for Teams / API NO Anthropic — EE.UU. Configurable
Microsoft 365 Copilot NO Dentro de tu tenant M365 Política de tu empresa
Gemini Free (Google) SÍ (puede revisarse) Google — EE.UU. Variable
Gemini en Google Workspace NO Dentro de tu workspace G Política de tu empresa

Configuración concreta por herramienta

ChatGPT (OpenAI)

Medida inmediata para cuentas Free/Plus individuales: desactivar el uso de conversaciones para entrenamiento. Esto no evita que OpenAI guarde las conversaciones, pero sí impide que las usen para mejorar el modelo.

Pasos — ChatGPT Free / Plus

  1. Entrá a chat.openai.com con la cuenta del empleado
  2. Click en el ícono de perfil (esquina superior derecha) → Settings
  3. Ir a la sección Data controls
  4. Desactivar el toggle "Improve the model for everyone" → OFF
  5. Complementario: activar "Temporary chat" para conversaciones con info sensible — no guarda historial y no va a entrenamiento

⚠️ Limitación importante: incluso con el entrenamiento desactivado, OpenAI almacena las conversaciones en sus servidores durante 30 días. Para datos verdaderamente confidenciales, necesitás el plan Team o Enterprise, o una alternativa on-premise.

Para la empresa — ChatGPT Team ($25/usuario/mes, mínimo 2 usuarios):

Configuración — ChatGPT Team (administrador)

  1. Accedé a platform.openai.com con cuenta de administrador
  2. Ir a Settings → Workspace
  3. En "Data usage policies": confirmar que las conversaciones del workspace NO se usan para entrenar (es el comportamiento por defecto en Team)
  4. En "Members": gestionar quién tiene acceso y con qué rol
  5. Activar SSO si tenés Active Directory o Google Workspace para centralizar el acceso

Claude (Anthropic)

Medida inmediata para cuentas Free/Pro individuales:

Pasos — Claude Free / Pro

  1. Entrá a claude.ai con la cuenta del empleado
  2. Click en tu nombre (esquina inferior izquierda del sidebar) → Settings
  3. Ir a la sección Privacy
  4. Desactivar "Help improve Claude for all users" → OFF

Para la empresa — Claude for Teams ($25/usuario/mes, mínimo 5 usuarios): las conversaciones no se usan para entrenar Claude por contrato. Anthropic firma un Data Processing Agreement (DPA) con la empresa. Incluye consola de administración y billing centralizado.

Opción más económica para empresas pequeñas: usar Claude directamente via API (api.anthropic.com). Los datos enviados por API nunca se usan para entrenamiento según los términos de servicio de Anthropic, y podés construir una interfaz interna simple con las plantillas de prompts que use tu equipo.

Microsoft Copilot

Hay que distinguir entre dos productos muy diferentes:

Copilot consumer (copilot.microsoft.com)

Si el empleado entra sin cuenta de trabajo o con cuenta Microsoft personal, los datos pueden usarse para mejorar el servicio. Riesgo similar a ChatGPT free.

Microsoft 365 Copilot (con licencia)

Los datos permanecen dentro de tu tenant de Microsoft 365. Microsoft no los usa para entrenar modelos de lenguaje. Cumple GDPR y SOC 2.

Configuración de admin — Microsoft 365 Admin Center

  1. Accedé a admin.microsoft.com con cuenta de administrador global
  2. Ir a Settings → Org Settings → Copilot
  3. Configurar quién puede usar Copilot asignando las licencias correspondientes
  4. En Microsoft Purview → Compliance Portal: activar políticas de DLP para detectar si se intenta compartir datos sensibles
  5. Revisar Conditional Access en Entra ID para restringir el acceso a copilot.microsoft.com desde dispositivos no administrados

Google Gemini

Pasos — Gemini (cuenta Google personal)

  1. Ir a myaccount.google.com
  2. Sección Data & Privacy
  3. Buscar "Gemini Apps Activity" → Pausar
  4. Eliminar el historial guardado hasta el momento

Configuración de admin — Google Workspace

  1. Accedé a admin.google.com con cuenta de super administrador
  2. Ir a Apps → Additional Google Services → Gemini for Google Workspace
  3. En "AI & Machine Learning": desactivar la opción de mejorar modelos con datos del workspace
  4. Controlar qué unidades organizativas tienen acceso a Gemini en los reportes

Controles técnicos a nivel de red y dispositivos

Configurar privacidad en cada herramienta es necesario, pero no suficiente. Un empleado puede acceder a la versión gratuita de ChatGPT desde su celular o desde un navegador en modo incógnito. Los controles de red y dispositivos son el siguiente nivel.

DNS Filtering — la barrera más simple y efectiva

Un filtro DNS permite que la empresa controle a qué sitios puede acceder desde la red corporativa (WiFi de oficina, VPN). Se configura una vez y se aplica a todos los dispositivos conectados.

Herramientas recomendadas por tamaño de empresa:

Cloudflare Gateway (gratis hasta 50 usuarios)

Ideal para PyMEs. Bloqueo por categorías, logs de acceso, fácil configuración. one.one.one.one/teams

NextDNS (~$20 USD/mes ilimitado)

Categoría específica "AI chatbots" para bloquear/permitir en bloque. Dashboard con analytics detallado.

Cisco Umbrella / Fortinet DNS (empresas medianas/grandes)

Integración con Active Directory, reporting avanzado, aplicación de políticas por usuario o grupo.

Lista de dominios a bloquear o poner en lista gris (requerir autenticación de nivel superior):

# Herramientas de IA consumer — bloquear o restringir
chat.openai.com
claude.ai
gemini.google.com
character.ai
perplexity.ai
you.com
poe.com

# Herramientas corporativas — mantener en whitelist
copilot.microsoft.com # Solo si tienen M365 Copilot
# [agregar las herramientas aprobadas por tu empresa]

Microsoft Purview DLP — detectar datos sensibles antes de que salgan

Si tu empresa usa Microsoft 365, Purview (antes llamado Microsoft Compliance) permite crear políticas que detectan cuando alguien intenta compartir información sensible — números de CUIT, datos bancarios, información de salud — y alertan o bloquean automáticamente.

Configurar DLP en Microsoft Purview

  1. Ir a compliance.microsoft.com
  2. En el menú lateral: Data Loss Prevention → Policies → Create policy
  3. Elegir template o crear custom: seleccionar los tipos de información a proteger (CUIT argentino, números de tarjeta, datos de pasaporte)
  4. En Locations: activar Teams, Exchange, SharePoint y Devices (para monitorear portapapeles y aplicaciones de escritorio)
  5. En Actions: elegir entre Audit (solo registra), Block with override (bloquea pero el usuario puede justificarlo) o Block (bloqueo total)
  6. Activar modo de prueba 30 días antes de aplicar en producción

Alternativas empresariales que mantienen los datos adentro

Si los datos de tu empresa son especialmente sensibles, la opción más robusta es usar herramientas donde los datos nunca llegan a servidores externos.

Microsoft 365 Copilot

Los datos procesan dentro de tu tenant de Azure/M365. No salen a los servidores de OpenAI. Integrado en Word, Excel, Outlook y Teams. Precio: $30/usuario/mes adicional a la licencia M365.

Ollama — modelos de IA 100% locales (gratis)

Instala y corre modelos de lenguaje abiertos (Llama 3, Mistral, Phi-3) directamente en las PCs de la empresa. Cero datos a la nube. Ideal para empresas con datos muy sensibles o sin presupuesto para planes enterprise.

Cómo instalar Ollama en Windows (para el equipo de IT):

# 1. Descargar el instalador
# Ir a ollama.com/download → descargar para Windows

# 2. Una vez instalado, abrir PowerShell y descargar un modelo
ollama pull llama3.2 # ~2 GB, modelo general potente
ollama pull phi3 # ~2 GB, liviano, ideal para PCs con menos RAM

# 3. Para usar con interfaz web tipo ChatGPT (requiere Docker)
# Instalar Open WebUI:
docker run -d -p 3000:8080 --add-host=host.docker.internal:host-gateway ghcr.io/open-webui/open-webui:main

# 4. Acceder desde cualquier PC de la red:
http://[ip-del-servidor]:3000

💡 Solución práctica para PyMEs argentinas: instalar Ollama en un servidor o PC potente de la oficina (16 GB RAM mínimo) y que los empleados accedan a través de Open WebUI desde sus propias computadoras en la red local. Todo el procesamiento es local, sin costo mensual por usuario.

La política interna que toda empresa necesita (template listo)

La configuración técnica protege, pero sin una política escrita y comunicada, los empleados van a seguir usando las herramientas sin saber qué pueden o no pueden compartir. Este es el template mínimo que toda empresa argentina debería tener:

POLÍTICA DE USO DE INTELIGENCIA ARTIFICIAL

[Nombre de tu empresa] — Versión 1.0 — Abril 2026

1. Herramientas autorizadas

Las únicas herramientas de IA permitidas para uso laboral son: [completar con tu lista]. El uso de cualquier herramienta fuera de esta lista con datos de la empresa requiere aprobación previa de IT.

2. Clasificación de datos y qué se puede compartir

🟢 Datos PÚBLICOS (información ya pública, contenido genérico): se puede usar con cualquier IA aprobada.

🟡 Datos INTERNOS (procesos, redacciones internas, análisis sin clientes): solo en herramientas enterprise con contrato firmado.

🔴 Datos CONFIDENCIALES / PII (clientes, finanzas, contratos, RRHH): prohibido compartir con IA externa. Solo en Ollama local o M365 Copilot si está configurado.

3. Datos que NUNCA se pueden ingresar en una IA externa

  • Nombres, DNI, CUIT o datos de contacto de clientes
  • Datos bancarios o números de tarjeta
  • Balances, proyecciones o información financiera no pública
  • Contratos con cláusulas de confidencialidad
  • Datos de empleados (sueldos, evaluaciones, datos médicos)
  • Código fuente propietario o algoritmos clave
  • Estrategias comerciales o planes no comunicados

4. Cómo usar IA con información interna de forma segura

Si necesitás usar IA para trabajar con datos sensibles, anonimizalos antes: reemplazá "Juan García, DNI 28.456.789, cliente de la sucursal Rosario" por "un cliente de la sucursal A". El resultado va a ser igual de útil y sin riesgos.

5. Procedimiento ante un incidente

Si compartiste por error datos confidenciales con una IA externa: notificá a IT dentro de las 24 horas. IT evaluará el riesgo y determinará si corresponde notificar a la Dirección Nacional de Protección de Datos Personales (DNPDP) según la Ley 25.326.

Checklist: lo que tu empresa debería tener configurado hoy

Todos los empleados con cuentas Free/Plus de ChatGPT tienen el entrenamiento desactivado en Settings → Data Controls
Todos los empleados con cuentas de Claude tienen "Help improve Claude" desactivado en Settings → Privacy
Evaluaste si el volumen de uso justifica migrar a ChatGPT Team o Claude for Teams
Tenés un DNS filtering activo que registra qué herramientas de IA usa tu equipo
Si usás Microsoft 365: Purview DLP está configurado para detectar PII en los canales principales
Tenés una política de uso de IA documentada, firmada por todos los empleados
Los empleados conocen la clasificación de datos y qué nivel puede usarse con IA externa
Existe un canal claro para reportar incidentes de privacidad

Conclusión: la IA no es el peligro, la falta de proceso sí

Prohibir el uso de IA en la empresa no es una opción realista en 2026 — los empleados la van a usar igual, desde sus celulares o cuentas personales. La estrategia correcta es canalizar ese uso hacia herramientas seguras y crear la cultura y los procesos para que los datos de la empresa estén protegidos.

Las configuraciones de este artículo no requieren grandes inversiones. La mayoría se implementan en menos de una jornada de trabajo de IT. Y el costo de no hacerlo — una multa de la DNPDP, la pérdida de datos de clientes o una filtración de información estratégica — puede ser órdenes de magnitud mayor.

¿Querés implementar esto en tu empresa?

En Dataneta ofrecemos consultoría para configurar el uso seguro de IA en organizaciones. También cubrimos seguridad, privacidad y herramientas enterprise en el curso de IA Aplicada.

Consultoría para tu empresa Consultar por WhatsApp

También te puede interesar

ChatGPT para análisis de datos: guía completa 2026

Prompts listos, 8 casos de uso concretos y comparativa de IAs · 10 min de lectura

Cómo integrar Claude AI con Power BI usando MCP

El análisis de datos conversacional ya llegó a Argentina · 8 min de lectura