La confianza en torno a los datos y la IA se ha vuelto frágil. Según el 2025 Data Privacy Benchmark Study de Cisco, el 64% de las organizaciones teme que sus empleados compartan información sensible o no pública al usar herramientas de IA generativa — y, aun así, casi la mitad reconoce haber introducido ese tipo de datos en ellas. Del lado del consumidor, Cisco también ha documentado que el 60% de las personas ha perdido confianza en organizaciones por la forma en que usan la IA. Para una empresa boliviana que adopta ChatGPT, un chatbot o un CRM con IA, entender los límites legales y éticos del uso de datos no es un lujo: es lo que separa una ventaja competitiva de un problema legal.
Escribo esto desde una posición poco habitual: soy abogado por la Universidad Técnica de Oruro y, a la vez, ingeniero de sistemas y fundador de Bemorex. Esa doble mirada —la del jurista que lee la letra pequeña y la del técnico que sabe a dónde viajan realmente los datos cuando aprietas «enviar»— es la que intento volcar aquí. El objetivo es traducir el marco regulatorio y las buenas prácticas de privacidad en IA a un lenguaje práctico para empresarios y gerentes que no son abogados. Si usas IA con datos de clientes, esto te concierne.
La intersección entre IA y datos personales
Cada vez que usas una herramienta de IA en tu empresa, datos están fluyendo. Cuando subes una lista de clientes a un CRM con IA para segmentación, cuando tu chatbot registra conversaciones con clientes, cuando usas IA para analizar el comportamiento de compra — estás procesando datos personales. Y ese procesamiento tiene reglas.
Tipos de datos que procesan las herramientas de IA empresarial
- Datos de identificación: nombres, emails, teléfonos, direcciones — los básicos de cualquier CRM o sistema de contactos.
- Datos de comportamiento: páginas visitadas, productos comprados, emails abiertos, interacciones con chatbot — lo que alimenta la personalización y el lead scoring.
- Datos conversacionales: transcripciones de chat, grabaciones de llamadas, mensajes de WhatsApp — lo que procesan los chatbots y asistentes de IA.
- Datos sensibles: información financiera, de salud, religiosa, política, orientación sexual — categoría especial con protecciones adicionales en la mayoría de legislaciones.
La pregunta clave no es si puedes usar datos — tu negocio necesita datos para operar. La pregunta, en términos jurídicos, es si tienes base legal para tratarlos. En el lenguaje del derecho de protección de datos (el del RGPD europeo y de leyes como la brasileña, que marcan la pauta regional), una «base legal» o «base de licitud» es el motivo que la ley reconoce para que puedas tratar un dato: el consentimiento de la persona, la ejecución de un contrato, una obligación legal, o el llamado interés legítimo, entre otros. Sin una de esas bases, el tratamiento es ilícito por mucho que la herramienta funcione bien. A partir de ahí vienen las preguntas que un técnico debe poder responder con honestidad: ¿estás siendo transparente sobre cómo usas los datos? ¿Los proteges de forma razonable? Y cuando entra la IA, la pregunta que más se olvida: ¿a dónde viajan realmente esos datos y quién más puede leerlos?
Regulaciones en Latinoamérica
A diferencia de Europa con su GDPR unificado, Latinoamérica tiene un mosaico de legislaciones por país. Sin embargo, la tendencia es clara: la regulación se endurece año tras año.
Brasil: LGPD
La Lei Geral de Proteção de Dados (LGPD), en vigor desde 2020, es la referencia más robusta de la región. Las sanciones administrativas pueden llegar al 2% de la facturación de la empresa en Brasil, con un tope de R$ 50 millones por infracción (art. 52 de la LGPD). La aplica una autoridad específica, la ANPD (Autoridade Nacional de Proteção de Dados), que ya ejerce supervisión activa: en 2024 abrió procedimientos contra empresas precisamente por no designar un encargado de protección de datos. La ley exige una base de tratamiento para cada uso del dato, la figura del «encarregado» (el equivalente al DPO o delegado de protección de datos) y la notificación de brechas de seguridad.
Colombia: Ley 1581 de 2012
Una de las primeras leyes de protección de datos en LATAM. Establece principios de legalidad, finalidad, libertad, veracidad, transparencia, seguridad y confidencialidad. La SIC (Superintendencia de Industria y Comercio) ha impuesto multas significativas por violaciones.
Bolivia: marco en desarrollo
Aquí entra mi otra mitad, la de abogado, porque es donde más se confunde la gente. Bolivia no cuenta todavía con una ley integral de protección de datos personales como Brasil o Colombia. Lo que sí tenemos es un anclaje constitucional: el artículo 130 de la Constitución Política del Estado (2009) reconoce la Acción de Protección de Privacidad, una garantía que permite a cualquier persona conocer, objetar o pedir la eliminación o rectificación de datos suyos registrados en archivos o bancos de datos —públicos o privados— cuando afecten su intimidad, imagen, honra o reputación. Es, en la práctica, un habeas data: protege, pero no regula el día a día de cómo una empresa debe tratar los datos.
Ese vacío puede estar por cerrarse. La AGETIC (Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación) presentó y socializó en 2024 un Anteproyecto de Ley de Protección de Datos Personales con entidades públicas, legisladores y organizaciones de la sociedad civil. Es todavía un anteproyecto, no una ley vigente, pero marca con claridad hacia dónde va el país. Mi lectura, como abogado y como técnico que ya implementa sistemas que tratan datos: las empresas que adopten buenas prácticas ahora no estarán improvisando el día que la ley se promulgue. Y, sobre todo, hoy mismo ya respondes ante tus clientes y ante la garantía constitucional, aunque no exista todavía una multa administrativa que te asuste.
México: nueva Ley Federal (2025)
México actualizó por completo su marco: el 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desde el día siguiente. Mantiene las obligaciones clásicas —aviso de privacidad, consentimiento, tratamiento de datos sensibles y medidas de seguridad—, pero con un cambio institucional de fondo: desapareció el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), y sus funciones de protección de datos pasaron a la Secretaría Anticorrupción y Buen Gobierno. Lo menciono porque ilustra una lección práctica: las referencias regulatorias caducan, y cualquier política de privacidad que cites en tu negocio conviene revisarla con regularidad.
Aunque Bolivia aún no tenga una ley integral de protección de datos, ya respondes ante la garantía constitucional y, sobre todo, ante la confianza de tus clientes. Adoptar buenas prácticas hoy te protege, te diferencia y te prepara para la regulación que el Anteproyecto de la AGETIC anticipa.
Qué datos puedes usar y cuáles no
Lo que SÍ puedes hacer
Usar datos con consentimiento informado: si el cliente te dio sus datos voluntariamente sabiendo para qué los usarías (un formulario de contacto que dice "usaremos tu email para enviarte nuestra cotización"), puedes procesarlos para ese fin específico.
Analizar datos agregados y anónimos: estadísticas generales de tu sitio web (cuántos visitantes, qué páginas ven, de qué ciudad vienen) no son datos personales cuando están anonimizados. Puedes usar Google Analytics libremente para estos análisis.
Usar IA para mejorar el servicio al cliente: un chatbot que responde preguntas frecuentes usando información pública de tu empresa (precios, horarios, servicios) no viola ninguna regulación.
Lo que NO debes hacer
Subir datos de clientes a herramientas de IA públicas sin consentimiento: pegar una lista de emails de clientes en ChatGPT para que "te ayude a segmentar" es un riesgo concreto. Según las propias políticas de OpenAI, en los planes personales (Free, Plus, Pro) las conversaciones se usan por defecto para mejorar y entrenar sus modelos, aunque puedes desactivarlo en la configuración. En cambio, en los planes para empresas —ChatGPT Team, Enterprise y la API— OpenAI indica que no entrena con tus entradas ni salidas por defecto. La regla que aplico con mis clientes: si el dato identifica a una persona, no entra en una herramienta de IA de uso personal; va en un plan empresarial con esa garantía contractual, o no va.
Cambiar el propósito del uso de datos: si alguien te dio su email para recibir una cotización, no puedes automáticamente agregarlo a tu lista de marketing masivo. Eso requiere consentimiento adicional.
Compartir datos con terceros sin aviso: si tu CRM comparte datos con Meta para publicidad, tus clientes deben saberlo. Revisa qué integraciones tienen activadas tus herramientas.
Almacenar datos innecesarios: el principio de minimización indica que solo debes recopilar los datos estrictamente necesarios para el fin declarado. No pidas fecha de nacimiento si no la necesitas para tu servicio.
Lo que hemos aprendido en Bemorex
Esta no es teoría de manual para mí. En Bemorex he tenido que aplicar este criterio legal-técnico en proyectos reales, y la categoría del dato cambia por completo las reglas del juego. El caso que más me obliga a pensar como abogado es PhysioLife, un centro de rehabilitación de Oruro: ahí el dato no es un email de marketing, es información de salud, que casi todas las legislaciones tratan como dato sensible con protecciones reforzadas. Cuando un proyecto toca salud, mi primera pregunta antes de elegir cualquier integración o automatización no es «qué herramienta es más potente», sino «qué pasa con este dato si lo hago pasar por aquí». Por eso en ese tipo de proyectos preferimos flujos simples y bajo control —por ejemplo, contacto directo del paciente por WhatsApp en lugar de volcar su historial en una herramienta de terceros— antes que sofisticación que no podríamos justificar legalmente.
El patrón se repite en proyectos de naturaleza distinta —desde plataformas como CirGuZ o Zyrax hasta iniciativas con foco social como Vive Sin Miedo o de negocio como Venture—: la pregunta que ordena la arquitectura es siempre la misma, ¿qué datos personales toca este sistema y con qué base puedo tratarlos? Y desde mi rol como líder técnico del ERP de una empresa metalúrgica he comprobado algo que repito mucho: el mayor riesgo de privacidad rara vez es la IA en sí, es la costumbre de acumular datos «por si acaso». La IA solo amplifica ese riesgo, porque facilita mover y procesar a gran escala datos que nunca debiste haber concentrado. Minimizar primero, automatizar después.
Un apunte de horizonte, también desde la mirada legal: en la Unión Europea ya rige el Reglamento de IA (Reglamento UE 2024/1689), en vigor desde agosto de 2024, que clasifica los sistemas de IA por nivel de riesgo, prohíbe ciertos usos desde febrero de 2025 (con sanciones de hasta 35 millones de euros o el 7% de la facturación global) y obliga a transparencia sobre los datos con que se entrenan los modelos. No aplica a Bolivia, pero la experiencia regional muestra que estas normas suelen marcar el estándar que después llega, adaptado, a nuestros países.
Mejores prácticas para PyMEs
Checklist de privacidad para PyMEs que usan IA
- Política de privacidad actualizada: tu sitio web debe tener una política que mencione específicamente el uso de IA y herramientas de terceros (Google Analytics, chatbots, CRM).
- Consentimiento explícito: formularios de contacto con checkbox de aceptación de política de privacidad. No pre-marcado.
- Versiones empresariales de IA: si procesas datos de clientes con IA, usa planes empresariales que declaren que tus datos no se usan para entrenamiento por defecto (por ejemplo ChatGPT Team/Enterprise, los planes de empresa de Anthropic o Google Workspace con Gemini). Lee siempre la política vigente del proveedor: cambian.
- Inventario de datos: ten un registro de qué datos recopilas, dónde los almacenas, quién tiene acceso y cuánto tiempo los conservas.
- Derecho de eliminación: ten un proceso para eliminar los datos de un cliente cuando lo solicite. Es un derecho fundamental en casi todas las legislaciones.
- Contratos con proveedores: revisa los términos de servicio de tus herramientas de IA. ¿Dónde almacenan los datos? ¿Los comparten? ¿Tienen certificaciones de seguridad?
Marco de evaluación de riesgo
Antes de implementar cualquier herramienta de IA que procese datos de clientes, evalúa estos 5 aspectos:
1. ¿Qué datos procesará? Identifica exactamente qué información personal manejará la herramienta. Mientras más sensibles los datos, mayor el riesgo.
2. ¿Dónde se almacenarán? ¿En servidores locales, en la nube del proveedor, en otro país? Algunos sectores regulados requieren que los datos permanezcan en el país.
3. ¿Se usan para entrenar modelos? Verifica los términos de servicio. La mayoría de proveedores de IA tienen opciones para excluir tus datos del entrenamiento, pero debes activarlas.
4. ¿Quién tiene acceso? ¿Solo tu equipo? ¿El proveedor de la herramienta? ¿Subcontratistas? Cada eslabón de la cadena es un punto de riesgo.
5. ¿Qué pasa si hay una brecha? ¿El proveedor te notifica? ¿Tienes un plan de respuesta? ¿Puedes notificar a los afectados?
Que el riesgo legal es real lo confirman los números donde sí hay una autoridad que sanciona: en la Unión Europea, las multas por incumplir el RGPD sumaron unos 1.200 millones de euros en 2024, según el balance anual de DLA Piper. Bolivia aún no tiene ese aparato sancionador, pero la dirección regional —Brasil, Colombia, el nuevo marco mexicano de 2025 y el propio anteproyecto de la AGETIC— es inequívoca.
Mi conclusión, después de mirar este tema desde el derecho y desde la ingeniería, es sencilla: la privacidad no es un obstáculo para adoptar IA, es un diferenciador competitivo. Las empresas que tratan los datos con transparencia y mesura generan más confianza, retienen más clientes y se exponen menos. En un mercado donde la confianza digital vale cada vez más, la privacidad es una inversión, no un costo. Si tu empresa en Bolivia quiere adoptar IA sin tropezar con esto, en Bemorex lo abordamos con esa doble mirada, legal y técnica, desde el primer día.
