X-twitter Facebook Linkedin Envelope
Proyecto nuevo - 2026-04-10T131140.049

IA que desarrolla por ti: lo que nadie está teniendo en cuenta (y debería) en protección de datos

Imagen de Marketing Delvy

En los últimos meses estoy viendo cómo cada vez más startups y equipos de producto utilizan herramientas de inteligencia artificial capaces de generar código, montar webs completas o incluso levantar MVPs funcionales en cuestión de horas. Plataformas tipo “vibe coding”, copilots avanzados o soluciones estilo MANUS están acelerando el desarrollo como nunca antes.

Y esto, desde un punto de vista de negocio, es espectacular.

Pero desde el punto de vista legal, especialmente en protección de datos, la realidad es otra: se está utilizando esta tecnología sin entender realmente qué implica.

No es un problema teórico. Es algo que ya estamos viendo en el día a día con clientes.

 

El primer error: pensar que la IA es solo una herramienta

La mayoría de equipos ven estas plataformas como si fueran un IDE más potente. Pero no lo son.

Cuando utilizas una herramienta de IA para generar código o desarrollar una funcionalidad, en muchos casos estás:

  • enviando información a un tercero
  • permitiendo que procese inputs que pueden contener datos personales
  • interactuando con infraestructuras fuera de la UE

 

Y aquí es donde empieza el problema.

 

Porque deja de ser una simple herramienta y pasa a ser un proveedor con implicaciones en protección de datos.

 

El clásico que ya está pasando: datos en prompts

Esto lo estoy viendo constantemente.

 

Equipos que, para ir más rápido, copian y pegan:

  • bases de datos de usuarios
  • ejemplos reales con emails o teléfonos
  •  credenciales o tokens
  • información interna

 

Todo esto en prompts para que la IA “entienda mejor el contexto”.

 

¿El problema?

Que en muchos casos no tienen claro:

  • dónde se almacena esa información
  • si se utiliza para entrenar el modelo
  • si hay transferencias internacionales

 

Desde el punto de vista del RGPD, esto puede ser una comunicación de datos a un tercero sin base legal.

 

Y esto ya es un riesgo serio.

 

Código que funciona, pero no cumple

Otro punto importante: el código generado por IA suele funcionar. Pero eso no significa que cumpla.

He visto ya varios casos donde la IA genera:

  • formularios sin ninguna capa informativa
  • sistemas que recogen datos sin consentimiento
  • estructuras que almacenan más datos de los necesarios
  • integraciones de analytics sin ningún tipo de control

 

Es decir, productos que técnicamente están bien, pero que nacen siendo incumplidores desde el minuto uno.

 

Y aquí hay algo clave: la IA no diseña con “privacy by design”. Eso sigue siendo responsabilidad del equipo.

 

Transferencias internacionales: el elefante en la habitación

Muchas de estas plataformas operan desde Estados Unidos o utilizan infraestructuras globales.

 

Esto implica que, en la práctica, cuando usas estas herramientas puedes estar:

  • transfiriendo datos fuera del EEE
  • permitiendo accesos remotos desde terceros países
  • dependiendo de proveedores sin garantías claras

 

Y la mayoría de equipos ni siquiera se lo ha planteado.

 

No es que esté prohibido, pero hay que analizarlo y documentarlo, porque si no, el riesgo es evidente.

 

Seguridad: el código no siempre es “production-ready”

Otro tema que me preocupa especialmente es la seguridad.

El código generado por IA puede incluir:

  • vulnerabilidades básicas
  •  mala gestión de inputs
  • exposición de datos en endpoints
  • ausencia de cifrado o controles de acceso

 

Si eso acaba en producción y hay datos personales de por medio, estamos hablando de posibles brechas de seguridad.

 

Y aquí no hay excusas: la responsabilidad sigue siendo de la empresa.

 

El gran error de fondo: delegar el criterio

Al final, el problema no es la tecnología.

El problema es pensar que la IA sustituye el criterio técnico o legal.

Estas herramientas aceleran muchísimo, sí. Pero también hacen más fácil construir mal.

Y en protección de datos, construir mal desde el inicio sale caro después.

 

Entonces, ¿qué debería estar haciendo una empresa?

Sin complicarlo demasiado, hay varias reglas bastante claras que recomiendo aplicar siempre:

  • no introducir datos personales reales en prompts
  • entender qué hace el proveedor de IA con la información
  • revisar siempre el código antes de ponerlo en producción
  • diseñar las funcionalidades con privacidad desde el inicio
  • analizar si hay transferencias internacionales
  • documentar el uso de IA dentro del proyecto

 

No se trata de frenar la innovación, sino de usar estas herramientas con cabeza.

La IA que desarrolla productos digitales es probablemente una de las mayores palancas de productividad que vamos a ver en años.

Pero también abre una capa de riesgo legal que ahora mismo está bastante infravalorada.

Y como suele pasar, no será un problema… hasta que lo sea.

 

Desde Delvy estamos acompañando a startups y equipos tecnológicos que están integrando este tipo de herramientas en sus procesos de desarrollo. No desde un enfoque teórico, sino práctico: entendiendo cómo trabajan, qué riesgos reales existen y cómo mitigarlos sin frenar el producto.

 

Porque la clave no es dejar de usar IA, sino usarla bien desde el principio.

 

Luis Cabello de los Cobos – Associate IT & Privacy Manager

CONTACTA CON NOSOTROS

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE DELVY GLOBAL, SL Finalidades: Facilitarle un medio para que pueda ponerse en contacto con nosotros y contestar a sus solicitudes de información, así como enviarle nuestro boletín comercial y comunicaciones informativas que puedan ser de su interés, incluso por medios electrónicos, en caso de aceptar la casilla correspondiente. Legitimación: Su consentimiento expreso, la ejecución de la relación precontractual o contractual mantenida con usted y el interés legítimo de Delvy. Destinatarios: La información proporcionada podrá ser compartida con nuestra base de datos de almacenamiento y terceros proveedores que nos ayudan en la prestación de los servicios. Derechos: Puede retirar su consentimiento en cualquier momento, así como solicitar el acceso, rectificación, limitación, supresión, y/o portabilidad de sus datos en la dirección de correo electrónico info@delvy.es. Información Adicional: Puede ampliar la información en el enlace de He leído y acepto la Política de Privacidad

DELVY

Comparte este artículo

quizá te interese...

CONTACTA CON NOSOTROS

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE DELVY ASESORES, S.L. Finalidades: Facilitarle un medio para que pueda ponerse en contacto con nosotros y contestar a sus solicitudes de información, así como enviarle nuestro boletín comercial y comunicaciones informativas que puedan ser de su interés, incluso por medios electrónicos, en caso de aceptar la casilla correspondiente. Legitimación: Su consentimiento expreso, la ejecución de la relación precontractual o contractual mantenida con usted y el interés legítimo de Delvy. Destinatarios: La información proporcionada podrá ser compartida con nuestra base de datos de almacenamiento y terceros proveedores que nos ayudan en la prestación de los servicios. Derechos: Puede retirar su consentimiento en cualquier momento, así como solicitar el acceso, rectificación, limitación, supresión, y/o portabilidad de sus datos en la dirección de correo electrónico info@delvy.es. Información Adicional: Puede ampliar la información en el enlace de Política de Privacidad.

DELVY

¡Suscríbete a nuestro newsletter!

Recibe nuestros mejores post sobre emprendimiento, startups, innovación, nuevas normativas, además de las más recientes noticias de Delvy.

Suscribiéndote al Newsletter de Delvy, estás aceptando la Política de Privacidad.