ChatGPT sin registro en la empresa: Del riesgo a la infraestructura
Por qué el uso descontrolado de ChatGPT pone en riesgo a las empresas y cómo una infraestructura de chat conforme al RGPD y agnóstica de modelo lo resuelve.
El problema no es ChatGPT. El problema es la pérdida de control.
En prácticamente todas las empresas, los empleados utilizan herramientas de IA públicas sin conocimiento de nadie. Con cuentas personales de ChatGPT, a través de páginas web dudosas que prometen «ChatGPT sin registro», copiando y pegando en Claude.ai o Gemini, sin conocimiento del departamento de TI, sin aprobación, sin ningún tipo de gobernanza. La barrera de entrada es cero, el incremento de productividad inmediato. El resultado: Shadow IT a gran escala.
El riesgo no es teórico. Los prompts enviados a servicios públicos de IA se procesan en servidores fuera del control de la empresa. Sin un contrato enterprise, los datos introducidos pueden utilizarse para el entrenamiento de modelos. Especialmente peligrosas son las numerosas páginas de terceros que ofrecen «ChatGPT gratis y sin registro»: carecen incluso de la protección mínima que proporciona una cuenta directa con OpenAI. Información confidencial (datos salariales, borradores de contratos, documentos estratégicos) acaba en sistemas sobre los que la empresa no tiene acceso, ni derecho de supresión, ni capacidad de auditoría. En España, la AEPD ya ha actuado contra tratamientos de datos vinculados a IA, lo que convierte este riesgo en una amenaza regulatoria tangible.
Los departamentos de TI se enfrentan a un dilema: prohibir no funciona porque el beneficio es demasiado evidente y los empleados encuentran alternativas. Tolerar no es opción porque el RGPD, el Comité de Empresa y la auditoría interna acabarán preguntando.
La respuesta no es ni prohibición ni tolerancia. La respuesta es infraestructura.
Qué necesitan realmente los empleados y por qué usan ChatGPT a escondidas
Cuando los empleados recurren a ChatGPT a pesar de la prohibición, esto revela ante todo una cosa: la empresa no ofrece alternativa. Lo que buscan los empleados es una interfaz sencilla que funcione de inmediato, entienda el lenguaje natural y ayude en el trabajo diario. Resumir documentos, redactar correos electrónicos, analizar archivos, responder preguntas sobre normativas internas.
Esta necesidad es legítima. Pero debe satisfacerse en un entorno que la empresa controle, no en servidores de proveedores que se publicitan como «ChatGPT sin registro» y cuyo modelo de negocio es la recopilación de datos.
Una infraestructura de chat empresarial ofrece a cada empleado exactamente esta interfaz, con una diferencia clave: los datos permanecen dentro de la infraestructura de la empresa. Los prompts no se transmiten a terceros. El uso queda registrado y es auditable. Los permisos de acceso siguen el modelo de roles existente. Y lo más importante: los empleados ya no necesitan recurrir a herramientas externas porque disponen de una alternativa mejor y oficial.
Por qué agnóstico de modelo es el único enfoque sensato
El error más común al implantar IA empresarial: establecer un único modelo de un único proveedor como estándar. ChatGPT Enterprise para todos, Copilot de forma generalizada o un contrato fijo con Claude.
El problema: los LLM evolucionan más rápido que cualquier ciclo de adquisición empresarial. El mejor modelo para análisis de texto hoy puede quedar superado por uno más económico o potente en seis meses. Quien construye toda su infraestructura sobre un solo proveedor asume un vendor lock-in en la decisión tecnológica más crítica de los próximos años.
Una arquitectura agnóstica de modelo resuelve esto: una interfaz de chat unificada para todos los empleados. Detrás, una capa de orquestación que enruta entre modelos: Claude, ChatGPT, Gemini, Llama, Mistral, DeepSeek, gpt-oss. Según el caso de uso, el coste o los requisitos de protección de datos, se selecciona automáticamente el modelo adecuado. Los cambios de modelo se realizan sin modificar la interfaz y sin necesidad de reformar a los empleados.
Gosign construye esta infraestructura de IA de forma agnóstica de modelo y abierta en plataforma, ya sea como despliegue en la nube en Azure o GCP, o completamente self-hosted en la infraestructura del cliente.
Del interfaz de chat a la plataforma de agentes
Una interfaz de chat conforme al RGPD es el punto de entrada. Pero la verdadera generación de valor comienza cuando la interfaz no solo responde preguntas, sino que activa procesos.
Es la transición del chat a la infraestructura de agentes.
En la práctica: un empleado sube un parte de baja médica en el chat. Un Document Agent lee el documento, extrae los datos relevantes, verifica plazos según el convenio colectivo y prepara el registro en SAP. Un Workflow Agent orquesta el proceso posterior: notificar al responsable, verificar la cobertura del puesto, calcular la prestación por incapacidad temporal. Un Knowledge Agent responde las consultas del empleado basándose en las políticas internas vigentes.
La interfaz de chat se convierte en el punto de entrada unificado para los tres tipos de agentes. El empleado ve una conversación sencilla. Tras el telón, la infraestructura orquesta agentes documentales, de flujo de trabajo y de conocimiento, con un Audit Trail completo y Human-in-the-Loop en las decisiones críticas.
Governance no es una funcionalidad. Governance es la arquitectura.
Cada uso no controlado de ChatGPT genera un punto ciego: ¿qué datos se introdujeron? ¿Qué respuestas se utilizaron para tomar decisiones? ¿Quién preguntó qué y cuándo?
En una infraestructura de chat empresarial con Governance by Design, estos puntos ciegos no existen.
Cada interacción queda registrada: prompt, respuesta, modelo utilizado, marca temporal, rol del usuario. Las acciones con impacto en decisiones pasan por el Decision Layer, que separa el análisis de la toma de decisiones. Los procesos críticos requieren aprobación humana, integrada arquitectónicamente como Human-in-the-Loop.
Para el Comité de Empresa: transparencia sobre el uso de IA en la organización, documentada y verificable en cualquier momento. Para la auditoría interna: un Audit Trail completo. Para el Delegado de Protección de Datos (DPD): tratamiento de datos en un entorno controlado, sin transferencias a terceros, documentación conforme al RGPD.
Lo que el departamento de TI debe decidir ahora
La pregunta ya no es si los empleados usan IA. La pregunta es si lo hacen en un entorno controlado o no controlado.
Tres decisiones arquitectónicas están pendientes.
Primera: hosting. ¿La infraestructura de chat debe ejecutarse en Azure, GCP o completamente self-hosted? La respuesta depende del entorno de TI existente y los requisitos de protección de datos. Las tres opciones son técnicamente equivalentes: no hay compromisos arquitectónicos con el self-hosting.
Segunda: estrategia de modelos. ¿Qué modelos deben estar disponibles y cómo se gobierna el enrutamiento? Una arquitectura agnóstica de modelo mantiene todas las opciones abiertas y evita el vendor lock-in.
Tercera: hoja de ruta de agentes. ¿La interfaz de chat debe conectar a medio plazo con agentes que procesen documentos y orquesten flujos de trabajo? Si la respuesta es sí (y casi siempre lo es), la infraestructura debe estar diseñada para ello desde el principio.
En Gosign construimos exactamente esta infraestructura: agnóstica de modelo, conforme al RGPD, con integración de agentes y Governance by Design. Del concepto a la interfaz de chat productiva en 4-6 semanas. En la infraestructura del cliente, bajo control total del cliente. Sin SaaS, sin vendor lock-in.