Claude, RGPD y AI Act en empresa
Adoptar IA generativa en empresa española en 2026 sin tocar RGPD y AI Act es imposible. Claude de Anthropic es el LLM con menos fricción legal — pero la responsabilidad de cumplir es de tu empresa, no del proveedor. Te dejamos contrato DPA, política de uso, registro de actividades y formación bonificable FUNDAE. Listo para tu DPO y para una eventual inspección AEPD.
- Contrato DPA firmado
- Política de uso interna
- Registro actividades AI Act
- Formación FUNDAE 0€
Equipo legal + técnico especializado en IA empresarial
Qué exige RGPD y AI Act a tu empresa cuando usa IA generativa
RGPD ya estaba claro desde 2018: si la IA procesa datos personales, necesitas base jurídica, cláusula DPA con el proveedor, registro de actividades, evaluación de impacto si el riesgo es alto. Lo que cambia con IA generativa es que la plantilla de tu empresa pasa datos personales al LLM cada vez que pega un email o un CV en el chat. Sin política, eso es incumplimiento.
AI Act entra en vigor por fases hasta 2026-2027. La pieza clave para empresa: si tu uso de IA cae en Anexo III (sistemas de alto riesgo: RRHH, scoring crediticio, sanidad, justicia, infraestructura crítica, oposiciones públicas), aplican obligaciones reforzadas: registro de actividades, supervisión humana, gestión de riesgos, transparencia hacia personas afectadas.
Anthropic ofrece la pieza del proveedor: DPA RGPD directo, no entrenamiento con datos en planes Team/Enterprise, documentación AI Act. Pero la responsabilidad operativa es tuya: política, formación, registro, supervisión. Eso es lo que te entregamos cerrado.
Seis entregables que cierran tu compliance Claude
Tres son obligatorios para todas. Tres más solo si caes en Anexo III AI Act.
Contrato DPA Anthropic firmado
Te ayudamos a firmar el DPA con Anthropic, validamos cláusulas con tu legal, archivamos copia para tu DPO. Plan Team/Enterprise lo permite directo.
Política de uso de IA interna
Documento redactado: usos permitidos, prohibidos, datos sensibles vetados, herramientas oficiales, procedimiento ante incidentes. Listo para firmar.
Registro de actividades RGPD
Entrada en registro Art. 30 RGPD para 'uso de IA generativa', con base jurídica, finalidades, categorías de datos, transferencias internacionales.
Evaluación de impacto (DPIA)
Si aplica (riesgo alto): evaluación documentada con medidas mitigatorias. Plantilla AEPD adaptada a Claude.
Documentación AI Act Anexo III
Si tu uso entra en alto riesgo: registro de actividades de IA, plan de gestión de riesgos, supervisión humana, transparencia. Plantillas alineadas con texto AI Act.
Formación compliance plantilla
Curso 20h por perfil 100% FUNDAE. Cubre RGPD aplicado a IA, AI Act, política interna, casos prácticos. Cada plantilla aterriza.
Sectores con mayor exposición legal y qué necesitan
No todos los sectores tienen el mismo nivel de compliance. Recomendaciones reales:
- Banca y servicios financieros. EBA Guidelines + AI Act Anexo III (scoring) + RGPD sector regulado. Plan Enterprise + DPIA + supervisión humana documentada. Obligatorio.
- Sanidad privada y aseguradoras. RGPD sanitario + AI Act (decisiones clínicas en alto riesgo). Plan Enterprise + DLP que bloquea PHI + DPIA. Sin esto, no se debe usar IA con datos de paciente.
- Despachos legales y consultoras. Confidencialidad cliente + RGPD. Plan Enterprise por DPA, política reforzada, documentación de cómo se usa IA en cada matter.
- RRHH y empresas de selección. AI Act Anexo III (selección y promoción). Si IA participa en cribado de CVs o entrevistas, hace falta DPIA + supervisión humana + transparencia al candidato.
- Administración pública. Esquema Nacional de Seguridad + AI Act + procedimientos administrativos. Cláusulas específicas en contrato. Plan Enterprise.
- Educación. Si IA califica o evalúa: AI Act Anexo III. Política específica para uso por alumnos y profesores.
- Infraestructura crítica (energía, transporte, agua). AI Act Anexo III. Documentación reforzada de gestión de riesgos y supervisión.
Qué documentación necesita tu empresa según uso
Mapa rápido para saber qué documentación es obligatoria, recomendada o opcional según el caso de uso de Claude:
Si no estás seguro de en qué fila cae tu uso, en el diagnóstico inicial lo clarificamos sin coste.
Cómo cerramos tu compliance Claude en 30-45 días
- Día 0 — Diagnóstico legal (gratis, 60 min). Llamada con DPO + legal + responsable IA. Sectores, datos, casos de uso. Mapa de exposición.
- Días 1-10 — Asesoría DPA Anthropic. Coordinamos firma del DPA con Anthropic Sales. Validamos cláusulas con tu legal. Archivo en tu sistema documental.
- Días 11-25 — Política + Registro Art. 30. Política de uso interna redactada. Entrada en registro RGPD. Plantillas adaptadas a tu sector.
- Días 20-35 — DPIA + Documentación AI Act (si aplica). Si tu uso requiere DPIA o cae en Anexo III: documentación cerrada y validada con tu DPO.
- Días 30-45 — Formación compliance plantilla. Curso 20h por perfil 100% FUNDAE. Plantilla firma política individualmente al terminar formación.
- Continuo — Revisión semestral. AI Act y RGPD evolucionan. Revisamos política y registro cada 6 meses para mantener alineación. Soporte ante consultas DPO/CISO.
Equipo legal especializado en IA + formación bonificada en un solo proveedor
- Abogada en plantilla con foco RGPD/AI Act. No es 'consultora externa'. Forma parte del equipo y firma los documentos. Asesora directa a tu DPO.
- Plantillas redactadas por sector. Banca, sanidad, legal, RRHH, AAPP, educación. Cada una con cláusulas específicas. Adaptación rápida — no plantilla genérica recauchutada.
- Coordinación con Anthropic Sales. Conocemos el equipo legal de Anthropic. Negociamos el DPA contigo, no te dejamos solo en el proceso.
- Formación + compliance en un solo proveedor. La plantilla aprende a usar Claude Y a cumplir la política — en el mismo curso. Coherencia y bonificación FUNDAE.
- Soporte ante incidentes. Si pasa algo (fuga, queja, requerimiento AEPD), tienes a quien llamar. Soporte legal incluido en el paquete continuo.
- Cero rechazo FUNDAE. +10 años en planes formativos. Si una bonificación se rechaza por error nuestro, asumimos coste.
Dudas habituales sobre Claude, RGPD y AI Act
¿Es legal usar Claude con datos personales en mi empresa?
Sí, con tres condiciones: (1) plan Team o Enterprise (no entrena con datos), (2) DPA firmado con Anthropic, (3) política de uso interna redactada con base jurídica clara. Sin las tres, hay riesgo de incumplimiento RGPD. Te las cerramos en el paquete.
¿Mi empresa cae en Anexo III de AI Act?
Si usas IA en: selección de personal, scoring crediticio, decisiones sobre acceso a sanidad o educación, decisiones administrativas en AAPP, infraestructura crítica, o gestión de migración/asilo, sí. Si tu IA es asistente productivo general (escritura, análisis, código), normalmente no. Lo determinamos en el diagnóstico.
¿Qué pasa si la plantilla pega datos personales en Claude sin política?
Es un incumplimiento RGPD potencial. Riesgo de multa AEPD si hay denuncia o auditoría. Por eso la política se firma individualmente y la formación incluye casos prácticos: 'no pegar X', 'usar plantilla Y para anonimizar antes'.
¿Anthropic firma DPA con cualquier empresa?
Sí, Anthropic firma DPA estándar para todos los planes Team y Enterprise. Para Enterprise grandes admite negociar anexos específicos. El plan Pro individual no incluye DPA personalizado, solo política pública.
¿Tenéis abogada en plantilla o externalizáis?
Tenemos abogada en plantilla con foco en RGPD/AI Act aplicado a IA generativa. La firma de documentos legales formales que requieran colegiación se coordina con bufete colaborador.
¿La formación de compliance está bonificada?
Sí. Curso de 20h 'Claude + RGPD + AI Act por puesto' es 100% bonificable FUNDAE. Coste 0€ para tu empresa con crédito disponible.
Cierra el compliance RGPD y AI Act de tu uso de Claude en 30-45 días
Diagnóstico legal gratis 60 min. DPA + política + registro + formación FUNDAE coste 0€. Documentación lista para tu DPO. Respondemos en 24h.