El problema no es si tu empresa usa ya IA generativa, sino si lo hace de forma gobernada. La encuesta de PagerDuty (jun-2026) confirma lo que muchos responsables de sistemas ya intuían: el uso de IA generativa en el trabajo va por delante de la política de la empresa, y buena parte de ese uso ocurre en cuentas personales fuera de cualquier control de TI. El riesgo no es solo de imagen: cada conversación en una cuenta personal puede incluir datos de clientes, cifras internas o borradores de contratos que salen del perímetro de seguridad de la empresa sin que nadie lo sepa.
ChatGPT Enterprise, según la documentación oficial de OpenAI («Introducing ChatGPT Enterprise» y «Enterprise privacy at OpenAI», openai.com, consultado 16-jul-2026), añade lo que falta en una cuenta personal: inicio de sesión único (SSO) y verificación de dominio, un panel de administración central —OpenAI amplió esta capa en 2026 con el Global Admin Console en admin.openai.com para organizaciones con varias unidades de negocio—, cifrado en tránsito y en reposo, certificaciones SOC 2 e ISO/IEC 27001:2022, 27017, 27018 y 27701, residencia de datos multi-región (incluida Europa) y un acuerdo de tratamiento de datos (DPA) con cláusulas contractuales tipo para RGPD. OpenAI declara además que, por defecto, no utiliza los datos de ChatGPT Enterprise —ni las entradas ni las salidas— para entrenar o mejorar sus modelos, a diferencia de lo que ocurre en las cuentas de consumo estándar.
El Reglamento europeo de IA (Reglamento UE 2024/1689, «AI Act», EUR-Lex) añade una capa normativa que hay que planificar desde el diseño, no después del despliegue. Su artículo 50 impone, desde el 2 de agosto de 2026, obligaciones de transparencia para todo sistema de IA que interactúe directamente con personas físicas: informar de que se trata de un sistema de IA cuando no resulte obvio, y marcar en formato legible por máquina cualquier contenido generado de forma sintética. Estas obligaciones aplican con especial fuerza cuando la empresa despliega GPTs personalizados de cara a clientes o al público —no solo de uso interno entre empleados—, y es exactamente el escenario que cubrimos en el checklist de cumplimiento que entregamos con cada implantación.