Data Privacy· 7 min read· Custos AI

Cero retención de datos: el ajuste predeterminado que nadie activó para la IA

La cero retención de datos significa que el proveedor de IA no almacena su prompt después de responderlo. Para una empresa europea que procesa datos personales mediante IA, esto no es una función opcional. Es la base legal. Y es el único ajuste que la mayoría de las pequeñas empresas tiene mal configurado — porque las herramientas de IA de consumo que pagan no lo ofrecen por defecto, y nadie les informó de ello.

TL;DR

  • Cero retención de datos (ZDR) = prompt procesado, luego eliminado. Sin almacenamiento, sin entrenamiento, sin revisión humana
  • Los niveles gratuitos y Plus de ChatGPT, Gemini y Claude NO ofrecen ZDR por defecto
  • El acceso a la API con un acuerdo empresarial SÍ ofrece ZDR para los cuatro principales proveedores (OpenAI, Anthropic, Google, Mistral)
  • La Ley de IA de la UE (2024) y el artículo 5 del RGPD juntos hacen de la ZDR una base defendible, no opcional
  • El BYOK-ZDR Stack de Custos aplica la ZDR a nivel de proveedor para cada usuario en su espacio de trabajo

Una historia real en una empresa de RRHH de 22 personas

La directora de RRHH de una empresa de selección de personal de Bilbao — llamémosla Ana — utilizó ChatGPT Plus durante dos años. Cada CV que recibía pasaba por él para su resumen. Cada carta de rechazo era redactada con él. Pagaba 22 € al mes. Creía estar en cumplimiento. Tenía, al fin y al cabo, una suscripción Plus.

En enero de 2026, el auditor ISO 27001 de la empresa hizo una pregunta sencilla: «¿Su proveedor de IA conserva los prompts que envían sus empleados?» Ana no lo sabía. El auditor lo comprobó. La respuesta, para ChatGPT Plus, era sí — los prompts se conservaban durante 30 días para la supervisión de abusos, y podían utilizarse para la mejora del modelo a menos que se hubieran cambiado configuraciones explícitas en la cuenta de Ana. No se habían cambiado.

Dos años de CVs. Cada nombre, número de teléfono, dirección, historial formativo y expectativa salarial. Todo conservado, parcialmente consultable por el personal de OpenAI y — hasta que se cambiaran las configuraciones personales de Ana, lo que nunca había ocurrido — susceptible de servir como datos de entrenamiento.

El hallazgo de auditoría fue una sola línea: «Tratamiento no controlado de datos personales a través de un proveedor de IA de consumo sin acuerdo de tratamiento de datos ni configuración de cero retención de datos.» La certificación ISO fue suspendida a la espera de medidas correctoras. La empresa perdió dos licitaciones públicas que requerían la certificación.

Ana no hizo nada malo en ningún sentido intuitivo. Utilizó una herramienta conocida y de pago. No leyó la letra pequeña porque no sabía que existía letra pequeña que importara. Esa brecha — entre lo que un empresario razonable cree que le ofrece su suscripción de pago y lo que realmente le ofrece — es el error de cumplimiento más frecuente entre las empresas españolas que usan IA en 2026.

¿Qué significa exactamente la cero retención de datos?

La cero retención de datos (ZDR, por sus siglas en inglés) es una garantía técnica y contractual específica de un proveedor de IA: después de que su prompt sea procesado, nada se almacena. Ni para la supervisión de abusos, ni para el control de calidad, ni para el entrenamiento, ni para la evaluación humana. El prompt entra, la respuesta sale y el búfer se borra.

La ZDR no es lo mismo que «seguro» o «respetuoso con la privacidad» o «listo para empresas». Esos son términos de marketing. La ZDR es una casilla en un contrato y una configuración en una API. El proveedor elimina sus datos o no lo hace. No hay posición intermedia.

¿Qué proveedores de IA ofrecen realmente la cero retención de datos?

Cuatro de los principales proveedores de LLM ofrecen ZDR — pero solo en el nivel de API, y solo con el contrato adecuado. No a través de suscripciones de consumo.

  • OpenAI — La ZDR está disponible a través de la API con un acuerdo empresarial. La página de Privacidad Empresarial de OpenAI confirma los términos de ZDR. ChatGPT Plus y Team no son elegibles.
  • Anthropic — La ZDR es el estándar a través de la API comercial. El nivel de consumo Claude.ai cambió sus configuraciones predeterminadas a finales de 2025 hacia el opt-in para el entrenamiento, pero la API ofrece una garantía más sólida.
  • Google — La API de Gemini para clientes de Workspace ofrece ZDR bajo condiciones contractuales específicas. AI Studio en versión gratuita no lo hace.
  • Mistral — Proveedor europeo. Ofrece ZDR en el nivel de API y no entrena con datos de clientes por defecto en los planes comerciales.

Cada una de esas configuraciones de ZDR es un patrón de acceso a la API de pago. No un chat de consumo. No una suscripción Plus. No una suscripción de equipo sin el acuerdo adecuado. Esta es la brecha invisible — y es la brecha en la que cayó Ana.

¿Por qué se ha convertido en un requisito legal en 2026?

La Ley de IA de la UE, adoptada en 2024 y con entrada en vigor progresiva a lo largo de 2025 y 2026, combinada con los artículos 5 (minimización de datos y limitación del plazo de conservación) y 32 (seguridad del tratamiento) del RGPD, establece una base práctica: los datos personales no deben conservarse más tiempo del necesario, y los encargados del tratamiento deben demostrar medidas técnicas adecuadas.

La ZDR es la forma más limpia de cumplir ambos requisitos. Si el proveedor nunca almacena su prompt, no hay ninguna pregunta sobre la retención que responder. Si un regulador pregunta «¿dónde están esos datos ahora?», la respuesta es «en ningún lugar». Esa es una posición defendible. «Creemos que puede que se hayan eliminado a los 30 días a menos que se usaran para el entrenamiento» no lo es.

La Ley de IA de la UE añade una segunda capa: las obligaciones de transparencia y responsabilidad escalan con la categoría de riesgo de su uso de la IA. El tratamiento de RRHH, por ejemplo, cae en categorías de mayor riesgo donde la carga documental es más pesada. La ZDR simplifica considerablemente esa documentación.

La brecha entre lo que cree tener y lo que realmente tiene

Este es el problema real para las empresas en crecimiento. Las grandes corporaciones tienen equipos jurídicos que revisan cada contrato de API y configuran deliberadamente los ajustes de retención. Una empresa de selección de personal de 22 personas no los tiene. Tiene una suscripción y una suposición.

La suposición es algo así: «Pagamos 25 € por usuario al mes por una herramienta de IA empresarial. Eso debe incluir la postura jurídica adecuada.» La realidad: la postura jurídica depende del contrato específico que haya firmado y de los ajustes específicos que estén activados. El precio no tiene ninguna relación.

Si no puede responder con confianza a tres preguntas, tiene la misma brecha que Ana:

  • ¿Qué proveedores de IA específicos utilizan mis empleados?
  • ¿Está cada proveedor cubierto por un acuerdo de tratamiento de datos firmado con términos explícitos de cero retención de datos?
  • ¿Puedo producir, para cualquier día de los últimos seis meses, una lista de qué datos personales fueron procesados por IA?

Tres respuestas negativas significa un hallazgo de auditoría esperando a ocurrir.

El BYOK-ZDR Stack de Custos

La respuesta a esta brecha es estructural. Lo llamamos el BYOK-ZDR Stack — una configuración de tres capas que convierte la pregunta sobre ZDR de una carga de cumplimiento continua en una configuración única.

Capa 1: Bring Your Own Key. Usted conecta sus propias claves API de OpenAI, Anthropic, Google o Mistral. Sus empleados las usan a través de Custos, pero la relación contractual es directamente entre usted y el proveedor. Usted mantiene el acuerdo empresarial con los términos de ZDR — no Custos, no sus empleados.

Capa 2: Lista de proveedores solo ZDR. Custos solo admite los cuatro proveedores que ofrecen ZDR en el nivel de API. No hay ninguna ruta en el producto para usar una cuenta de ChatGPT en el nivel de consumo. Los empleados no pueden enviar accidentalmente datos de clientes a una herramienta sin ZDR porque esa herramienta no está en el producto.

Capa 3: Enrutamiento exclusivo en la UE. Cada solicitud pasa por la infraestructura de Custos en Fráncfort (Supabase) y Ámsterdam (TransIP). Sus datos nunca salen del EEE de camino al proveedor. El proveedor procesa bajo su propia configuración de ZDR. Y retorna. Y nada se conserva en ningún punto de la cadena.

Aplicadas juntas, estas tres capas cierran la brecha en la que cayó Ana. Un regulador que pregunta «¿dónde están esos datos ahora?» obtiene una respuesta única, breve y respaldada por evidencia: «en ningún lugar». Eso es lo que significa en la práctica la ZDR como base.

¿Es esto una solución milagrosa?

No. La ZDR no impide que los empleados compartan datos que no deberían haber compartido en primer lugar. Elimina la pregunta sobre la retención, no la pregunta sobre la entrada. Sigue necesitando una política clara sobre qué datos pueden y no pueden entrar en las herramientas de IA — y sigue necesitando visibilidad para aplicarla.

La ZDR es un elemento constitutivo. Un elemento necesario. Pero solo funciona como parte de una postura más amplia: proveedores verificados, acceso registrado, uso presupuestado, empleados formados. Por sí sola cierra un riesgo. Junto con la Regla de las 3 V de nuestro artículo sobre IA en la sombra, cierra la mayoría.

La conclusión práctica

En 2026, ejecutar el tratamiento de IA de datos personales sin cero retención de datos es el equivalente a usar el correo electrónico sin TLS en 2015. Técnicamente posible. Jurídicamente cuestionable. Cada vez más inaceptable para auditores, equipos de compras y reguladores.

La solución no es complicada. No es costosa. Simplemente no es el ajuste por defecto. Hasta que usted lo convierta en el ajuste por defecto en su propia organización, no ocurrirá.

Ese es el trabajo a hacer — y es la única pieza de cumplimiento de IA que, una vez hecha, queda hecha.

Cómo lo gestiona Custos AI

Custos AI trabaja exclusivamente con proveedores que ofrecen cero retención de datos.

A través del BYOK-ZDR Stack, usted conecta sus propias claves API con Anthropic, OpenAI, Google o Mistral. Cada proveedor que admitimos ofrece ZDR en el nivel de API. Sus prompts se procesan y no se almacenan después. Sus datos permanecen en servidores europeos en Fráncfort y Ámsterdam. Y tiene un ATD firmado con nosotros para todo lo que procesamos. Así es como debería funcionar.

Iniciar prueba gratuita de 14 días

Una cosa más

La ZDR cierra la pregunta «¿qué ocurre después del prompt?». Pero hay una pregunta anterior que no responde: ¿dónde se produce el procesamiento físicamente? Porque si su solicitud de IA abandona la UE de camino a un centro de datos estadounidense, la política de retención por sí sola no le protegerá. El alojamiento en la UE importa — y lo hacemos visible en nuestro Centro de confianza.

Centro de confianza de Custos AI — ATD, subencargados y alojamiento en la UE →

Frequently asked questions

¿Qué es la cero retención de datos en IA?
La cero retención de datos (ZDR) significa que un proveedor de IA no almacena su prompt después de procesar la solicitud. Ni para supervisión de abusos, control de calidad, entrenamiento del modelo ni evaluación humana. El prompt entra, la respuesta sale y el búfer se borra. La ZDR es una garantía contractual y técnica específica — no equivale a "seguro" o "respetuoso con la privacidad".
¿Ofrece ChatGPT Plus o ChatGPT Team cero retención de datos?
No. ChatGPT Plus es un nivel de consumo que conserva los prompts 30 días para supervisión de abusos y puede utilizarlos para la mejora del modelo salvo que se cambien ajustes específicos. ChatGPT Team añade condiciones empresariales pero no ofrece ZDR por defecto. Solo ChatGPT Enterprise — con un acuerdo negociado — o el acceso a la API con las condiciones adecuadas califica para ZDR real.
¿Cómo puede una pequeña empresa obtener cero retención de datos sin un contrato empresarial?
A través del BYOK — Bring Your Own Key. Los cuatro principales proveedores LLM (OpenAI, Anthropic, Google, Mistral) ofrecen ZDR a nivel API para clientes comerciales sin contratos empresariales a gran escala. Una plataforma como Custos AI conecta sus propias claves API y aplica la lista de proveedores solo ZDR a todos los miembros de su equipo, permitiéndole obtener cumplimiento de nivel empresarial a precios de PYME.
¿Exige el RGPD la cero retención de datos?
El RGPD no menciona la ZDR específicamente, pero los artículos 5 (limitación del almacenamiento, minimización de datos) y 32 (seguridad del tratamiento) combinados con la Ley de IA de la UE de 2024 hacen de la ZDR la postura más limpia y defendible para el tratamiento de IA de datos personales. La AEPD, la CNIL y la AP han mencionado cada vez más las configuraciones ZDR en sus orientaciones de 2024-2025. En la práctica, la ZDR es la base en 2026.
¿Cuáles son las tres capas del BYOK-ZDR Stack de Custos?
Capa 1 — Bring Your Own Key: usted tiene el contrato empresarial con el proveedor de IA, no Custos. Capa 2 — Lista de proveedores solo ZDR: solo se admiten OpenAI, Anthropic, Google y Mistral, todos en nivel API con configuración ZDR. Capa 3 — Enrutamiento exclusivo en la UE: cada solicitud pasa por Fráncfort (Supabase) y Ámsterdam (TransIP); los datos nunca abandonan el EEE. Juntas, estas tres capas hacen de la ZDR el ajuste predeterminado para cada usuario.
¿Resuelve la cero retención de datos todos mis problemas de cumplimiento de IA?
No. La ZDR elimina la pregunta sobre la retención — qué ocurre con los datos después del tratamiento. No elimina la pregunta sobre la entrada — qué datos deben poder enviar sus empleados en primer lugar. Sigue necesitando una política clara, registros visibles y controles presupuestarios por usuario. La ZDR es un componente necesario, pero funciona mejor junto con la Regla de las 3 V de Custos de nuestro artículo sobre IA en la sombra.
C

Custos AI

The Custos AI team

Custos AI is a GDPR-proof multi-LLM platform for European businesses. We write about AI governance, GDPR compliance and safe AI use for small and medium companies.

Related reading