La preocupación por la privacidad de los datos al usar chatbots no es un asunto menor; de hecho, el 73% de los consumidores así lo expresa. Un estudio de Surfshark, replicado por Factchequeado y otros análisis de abril de 2025, revela que todos los chatbots analizados recopilan datos, promediando 13 tipos de datos distintos por aplicación. La invasividad varía: el 45% de las apps recoge la ubicación del usuario, mientras que Meta AI se posiciona como la más agresiva, con la recopilación de 32 de 35 tipos de datos posibles, incluyendo información de salud, finanzas y datos biométricos. Gemini de Google le sigue de cerca, con 22 puntos de datos únicos en 10 categorías diferentes.
En el ámbito empresarial, la situación es igualmente alarmante. Un informe de Microsoft de octubre de 2025 indica que el 71% de los trabajadores utiliza herramientas de IA no aprobadas por sus empresas, un fenómeno conocido como "IA en la sombra". Complementariamente, un estudio de TechRepublic señaló que el 77% de los empleados comparte datos sensibles con ChatGPT u otras IA. Esta práctica no solo expone información corporativa vital, sino que más del 70% de las empresas ya sufre incidentes de ciberseguridad relacionados con este uso no autorizado. Además, es crucial recordar que menos del 10% de los usuarios de plataformas como ChatGPT utilizan una cuenta de pago, lo que implica que la vasta mayoría de las interacciones contribuyen al entrenamiento de los modelos gratuitos, validando la "regla simple" del experto Juan Pablo Cosentino: si el servicio es gratuito, asuma que sus datos se usan para este fin. El Pew Research Center, en junio de 2026, encontró que el 49% de los adultos estadounidenses ya emplea chatbots de IA generativa, pero un contundente 79% duda de la seguridad de su información personal al usar estas herramientas.
Análisis de la tendencia
La tendencia es clara: los chatbots de IA, por diseño, están configurados para aprender de nuestras conversaciones. Un estudio de Stanford de octubre de 2025, por ejemplo, expuso que seis compañías líderes en IA (incluyendo Anthropic, Google, Meta, Microsoft y OpenAI) utilizan las interacciones de los usuarios por defecto para entrenar sus modelos de lenguaje, a menos que el usuario opte explícitamente por lo contrario. Esta práctica, sumada a largos períodos de retención de datos y una preocupante falta de transparencia, genera una inquietud palpable entre los expertos en privacidad.
Michael P. Sheron, director de Privacidad de UK ITS, advierte con severidad que la información compartida con la IA, en muchos casos, no puede eliminarse, lo que exige una cautela extrema. Jennifer King, de Stanford, enfatiza la absoluta necesidad de que los usuarios se preocupen por su privacidad, ya que su información se convierte en el combustible que entrena estos modelos. El New Jersey Innovation Institute subraya que el uso de IA y plataformas públicas para información sensible conlleva riesgos significativos, desde violaciones de privacidad y filtraciones de datos hasta repercusiones legales.
El peligro se acentúa con el auge de aplicaciones de compañía emocional con IA, donde los usuarios, al compartir detalles íntimos, pueden ser vulnerables a chantajes, la creación de "deepfakes" o la venta de sus datos en la dark web, según WeLiveSecurity. Expertos de RISCCO, en mayo de 2026, reafirman que los sistemas de IA aprenden de las conversaciones y hábitos de los usuarios, lo que exige un refuerzo constante de las medidas de seguridad. Este "problema de la caja negra", descrito por el Dr. Randazzo de Charles Darwin University, se refiere a la opacidad en el manejo de datos por parte de las empresas, lo que impide a los usuarios conocer y defender sus derechos de privacidad. Por ello, publicaciones como Lifehacker y UK ITS aconsejan explícitamente no compartir credenciales, información financiera, registros médicos, fotos o documentos empresariales con chatbots. IBM, por su parte, añade una capa de complejidad al señalar que la IA puede replicar sesgos presentes en los datos de entrenamiento, lo que puede llevar a resultados discriminatorios.
Contexto regional
Latinoamérica, una región con una creciente adopción tecnológica, no es ajena a estos desafíos, e incluso presenta particularidades que exacerban los riesgos. Si bien el entusiasmo por la IA es evidente, la gobernanza y la seguridad de datos aún están en fase de maduración.
En cuanto a la regulación, Brasil ha tomado la delantera con la formalización de su Autoridad Nacional de Protección de Datos (ANPD) como agencia autónoma en abril de 2026 y la entrada en vigor del Estatuto Digital de Niños y Adolescentes (ECA Digital) en marzo. México actualizó su Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en marzo de 2025, incluyendo regulación explícita para decisiones automatizadas. Argentina, en ausencia de una legislación específica, ha visto a sus tribunales comenzar a abordar la política de IA. A pesar de estos avances puntuales, la región carece de tratados o marcos regulatorios de IA unificados y explícitos, lo que la diferencia de la Unión Europea y deja amplios vacíos.
La adopción de IA es notable: un estudio de Bain & Company de mayo de 2025 revela que el 95% de las empresas en Sudamérica ha adoptado IA generativa, aunque la mayoría se encuentra en fases experimentales. En Colombia, por ejemplo, el 53% de las empresas ya integra agentes de IA, pero un preocupante 40% carece de gobernanza formal, lo que alimenta los riesgos de la "IA en la sombra". Las startups de la región también están inmersas en esta ola, con el 85% adoptando tecnologías generativas y el 75% predictivas, según un estudio de Startups x AI, aunque enfrentan brechas en talento, financiamiento y conocimiento regulatorio.
Estos patrones de adopción sin una gobernanza robusta tienen consecuencias directas. Kaspersky, en junio de 2026, identificó las filtraciones de datos, la IA y el phishing como las tres amenazas principales para las PyMEs en Latinoamérica. La falta de un marco regulatorio homogéneo y la rápida implementación de estas tecnologías hacen que los ciudadanos y las empresas de la región sean particularmente vulnerables a los riesgos de privacidad y ciberseguridad descritos. TEDIC, una organización que defiende los derechos digitales, critica que las grandes corporaciones priorizan sus ganancias sobre la privacidad y seguridad de los usuarios, una realidad que resuena fuertemente en una región con brechas regulatorias.
Perspectiva a futuro
La trayectoria de la IA es imparable, pero su evolución responsable depende de una acción coordinada entre usuarios, empresas y reguladores. Para los profesionales de tecnología y las organizaciones, la prioridad debe ser la implementación de políticas internas claras para el uso de IA, desincentivando la "IA en la sombra" y educando a los empleados sobre los riesgos de compartir información sensible.
Expertos en ciberseguridad sugieren la adopción de tecnologías robustas como el cifrado de extremo a extremo, la autenticación multifactor y procedimientos rigurosos de autorización para proteger la información del usuario. Pedro Ribeiro, director de AI para América Latina, subraya la importancia crítica de una gestión y estructuración de datos adecuadas para la adopción responsable de la IA en la región. A nivel regulatorio, se espera que los países latinoamericanos continúen fortaleciendo sus marcos de protección de datos y que avancen hacia una legislación más específica y armonizada sobre la IA, inspirándose quizás en modelos como el de la Unión Europea. La vigilancia ciudadana y la exigencia de transparencia a las empresas tecnológicas serán clave para asegurar que el avance de la IA no se traduzca en un menoscabo de los derechos fundamentales a la privacidad.