Fue un martes por la tarde. Estaba ayudando a un amigo a redactar un correo complicado para su empresa — uno de esos mensajes que mezclan un conflicto laboral con una petición de aumento de sueldo y que nadie sabe cómo arrancar. Me pasó el contexto por WhatsApp y yo, sin pensarlo demasiado, lo pegué entero en el chat de una IA para que me ayudara a estructurarlo.
El contexto incluía el nombre completo de su jefe, el nombre de dos compañeros de trabajo, el salario que cobraba mi amigo, una situación personal delicada que había mencionado en una reunión interna y el nombre de la empresa.
Lo mandé. La IA me generó un borrador estupendo. Mi amigo quedó contento.
Tres días después, leyendo sobre las políticas de privacidad de estas plataformas, caí en la cuenta de lo que había hecho.
Nadie me había pedido permiso. Ni mi amigo, que me había dado esa información con otra intención. Ni su jefe, cuyo nombre y posición habían viajado a un servidor del que no sé exactamente qué hace con los datos que recibe. Ni sus compañeros, que no saben que existen en ningún historial de conversación de ninguna IA.
No hice nada malicioso. Pero tampoco hice nada conscientemente correcto.
Eso fue lo que me quedó dando vueltas. No la pregunta de «¿he hecho algo ilegal?» sino algo más incómodo: ¿cuántas veces hago esto sin notarlo?
Lo que empecé a investigar después
Durante las semanas siguientes me puse a rastrear, con cierta obsesión, todos los momentos en los que había metido información de otras personas en una IA sin haberlo pensado bien.
El balance fue bastante revelador.
Había pegado capturas de conversaciones de WhatsApp para pedir ayuda redactando respuestas. Había copiado correos de trabajo con nombres, fechas y detalles internos de proyectos. Había pedido ayuda para analizar una situación con un familiar usando su nombre, su edad y detalles que esa persona nunca habría querido que salieran de la conversación.
Nada de esto lo hice con mala intención. Lo hice porque era la forma más eficiente de conseguir ayuda contextualizada. Y porque nadie, en ningún momento, me había dicho explícitamente que era algo que mereciera una pausa.
El problema no es la IA. El problema es la velocidad
Creo que aquí está el nudo real de la cuestión, y es algo que no se discute suficiente cuando se habla de privacidad e inteligencia artificial.
No fallamos por ignorancia técnica. Fallamos por velocidad.
Cuando usas una IA de forma intensiva, entras en un estado mental donde la herramienta se vuelve transparente. Ya no la ves como «un servicio externo al que estoy enviando datos». La ves como una extensión de tu propia cabeza, como un bloc de notas muy inteligente. Y a un bloc de notas le cuentas todo.
El problema es que no lo es. Es un servicio con servidores, con políticas de uso, con equipos de entrenamiento, con jurisdicciones legales y con condiciones que la mayoría de nosotros no hemos leído.
Esa brecha entre cómo lo percibimos y lo que realmente es produce exactamente el tipo de descuido que yo tuve aquel martes.
Lo que dicen las políticas
Me puse a leer las condiciones de los principales modelos. No el resumen de marketing, sino los documentos reales.
Lo que encontré fue, en general, más tranquilizador de lo que esperaba en algunos aspectos y más preocupante en otros.
La mayoría de los grandes proveedores tienen políticas que prohíben usar las conversaciones para entrenar modelos si el usuario lo desactiva explícitamente. Pero esa desactivación no es automática — tienes que ir a buscarla en los ajustes. El estado por defecto, en muchas plataformas, es que tus conversaciones sí pueden usarse para mejorar el modelo.
Lo que ninguna política puede garantizar del todo es qué pasa en caso de una brecha de seguridad. Si los servidores de cualquier plataforma sufren un ataque, los datos que están ahí están expuestos. Igual que en cualquier otro servicio online, pero con una diferencia: el tipo de información que le damos a una IA tiende a ser mucho más sensible que lo que le damos a, digamos, una tienda online.
También hay una cuestión de jurisdicción que la mayoría ignoramos. Cuando mandas datos a un servidor en otro país, las leyes que protegen esa información son las del país donde está el servidor, no necesariamente las tuyas. Eso no significa que estés desprotegido, pero significa que la protección no es automática ni uniforme.
Lo que cambié en mi forma de trabajar
No llegué a una conclusión apocalíptica. Sigo usando IA todos los días y no tengo ninguna intención de dejar de hacerlo. Pero sí cambié algunas cosas concretas.
La más importante fue simple: antes de pegar cualquier cosa que contenga información de otra persona, me hago una pregunta. ¿Le importaría a esta persona saber que sus datos están en este chat?
Si la respuesta es «probablemente sí», anonimizo antes de pegar. Cambio el nombre real por «mi colega» o «la persona X». Elimino el nombre de la empresa. Quito cualquier dato que no sea estrictamente necesario para que la IA me ayude con lo que necesito.
La calidad de la ayuda que recibo no cambia prácticamente nada. El contexto relevante sigue estando ahí. Lo único que desaparece son los identificadores que no aportan nada al problema pero que sí podrían crear uno si acabaran en el lugar equivocado.
También desactivé el historial de conversaciones en las plataformas que uso con más frecuencia. No porque desconfíe de ellas en particular, sino porque no hay ninguna razón para que conversaciones de hace seis meses sigan en un servidor cuando ya no las necesito.
Y empecé a usar cuentas separadas para cosas distintas. Una para trabajo con información sensible, con historial desactivado y cuidado explícito con lo que pego. Otra para cosas más casuales donde el nivel de atención puede ser menor.
La pregunta que me quedó sin responder del todo
Hay una parte de esto que todavía no sé cómo resolver del todo.
Cuando alguien me comparte información personal para pedirme ayuda, me está dando esa información a mí. No a una IA. La decisión de usar una herramienta externa para procesar esa información es mía, y esa persona no participó en ella.
¿Tengo que pedir permiso explícito antes de usar IA para ayudar a alguien con algo personal? ¿Es suficiente con anonimizar? ¿Hay situaciones donde la única respuesta ética es no usar IA, aunque eso signifique dar una ayuda de peor calidad?
No tengo una respuesta limpia. Creo que depende del tipo de información, de la relación y del contexto. Pero sí creo que es una pregunta que vale la pena hacerse, porque la mayoría de nosotros no nos la hemos hecho todavía.
Lo que sí sé es que aquel martes por la tarde, pegando el contexto de mi amigo en un chat sin pensarlo, tomé una decisión por él sin preguntarle. Una decisión pequeña, probablemente sin consecuencias. Pero una decisión que era mía tomar, no la suya.
Eso es lo que me parece más importante de todo esto. No la tecnología. No las políticas de privacidad. Sino el hábito de hacer una pausa de dos segundos antes de pulsar enter.
Dos segundos que yo no hice aquel martes. Y que desde entonces intento no saltarme.
