El mes pasado, un desarrollador me preguntó si ChatGPT estaba eliminando las solicitudes de API inmediatamente. Había estado enviando datos de clientes a través de él durante seis meses sin leer los términos. No lo estaba. Anthropic conservaba sus conversaciones en un sistema de almacenamiento durante 30 días por defecto. Las políticas de OpenAI varían según el producto que estés utilizando.
La brecha entre lo que la gente asume que sucede con sus datos y lo que realmente sucede es lo suficientemente amplia como para hundir un sistema de producción.
Este artículo repasa las políticas exactas de retención, procesamiento y uso de datos para los tres LLM que la mayoría de la gente usa: ChatGPT (OpenAI), Claude (Anthropic) y Gemini (Google). No es palabrería de marketing. Términos reales, implicaciones prácticas y los flujos de trabajo que te permiten mantener los datos sensibles fuera de Internet.
Por qué las Políticas de Datos de LLM Importan Más de lo que Crees
Cuando envías texto a un LLM, suceden dos cosas inmediatamente: el modelo lo procesa y la empresa que mantiene el modelo lo registra. Esas dos cosas tienen implicaciones diferentes.
El procesamiento es rápido e invisible. Un proveedor envía tu solicitud a un servidor, el modelo la lee, genera una respuesta y devuelve el resultado. Eso se hace en segundos.
El registro es lo que crea un riesgo a largo plazo. Después de que tu solicitud llega al servidor, la empresa puede optar por:
- Conservarlo por un período determinado. Algunos proveedores conservan las conversaciones durante semanas o meses para mejorar los modelos o ayudar a la solución de problemas.
- Usarlo para entrenar versiones futuras del modelo. Este era el comportamiento por defecto para ChatGPT Web de OpenAI hasta noviembre de 2023, cuando agregaron una opción de exclusión.
- Compartirlo con terceros. Menos común, pero posible en acuerdos empresariales.
- Eliminarlo inmediatamente. Solo ciertos planes de API garantizan esto.
El nivel de riesgo depende enteramente de qué datos estés enviando. Un nombre o correo electrónico de cliente es de bajo riesgo. Un registro médico, un estado financiero o un algoritmo propietario no lo es.
OpenAI ChatGPT: Web vs. API vs. Empresa
OpenAI opera tres productos separados con tres políticas de datos separadas. La mayoría de la gente no se da cuenta de esto.
ChatGPT Web (los niveles gratuito y de pago)
Cuando inicias sesión en ChatGPT en la web y tienes una conversación:
- OpenAI conserva el historial de tu conversación indefinidamente (a menos que lo elimines manualmente).
- Tus datos no se utilizan para entrenar ChatGPT por defecto, pero solo si tienes una suscripción Plus o una cuenta de prueba gratuita creada después de abril de 2023.
- Cuentas gratuitas creadas antes de abril de 2023: las conversaciones se utilizaron para el entrenamiento. Si todavía tienes una, asume que las conversaciones anteriores formaron parte de los datos de entrenamiento.
- Las conversaciones se cifran en tránsito pero no en reposo en los servidores de OpenAI (ellos controlan las claves de cifrado).
Impacto práctico: Puedes usar ChatGPT Web para lluvia de ideas, escritura y depuración. No envíes datos de clientes, código fuente ni nada confidencial. Si necesitas garantías de exclusión de entrenamiento, obtén una suscripción Plus explícitamente por esa razón, o usa la API.
OpenAI API
La API tiene términos más estrictos, pero solo si sabes usarlos:
- Comportamiento predeterminado de la API (pago por uso): Las solicitudes se conservan durante 30 días por motivos de seguridad y depuración. No se utilizan para entrenamiento.
- API con exclusión (requiere contactar a OpenAI): Si eres un cliente empresarial o lo solicitas explícitamente, OpenAI puede eliminar los registros después de 30 días sin retención para investigación de entrenamiento.
- Opciones de residencia de datos: Si tienes tu sede en la UE y manejas datos sensibles, puedes solicitar la residencia de datos en la UE a través de la API dedicada.
Ejemplo real: Una empresa fintech con la que trabajé estaba enviando datos de transacciones anonimizados a través de la API para patrones de detección de fraude. La retención predeterminada de 30 días era inaceptable para su equipo de cumplimiento. Solicitaron la exclusión extendida, la obtuvieron y ahora los registros se eliminan después de 30 días sin reutilización para entrenamiento.
Acuerdo Empresarial de OpenAI
Si estás utilizando OpenAI a través de un contrato empresarial dedicado:
- La retención de datos es negociable. Algunas empresas obtienen retención de 0 días (registros eliminados inmediatamente después del procesamiento).
- La exclusión de entrenamiento está garantizada.
- Los datos pueden permanecer en tu región o dentro de una VPC.
Costo: Los planes empresariales comienzan en $30,000 al año y aumentan a partir de ahí, dependiendo del uso y los requisitos.
Anthropic Claude: Más Claro por Defecto
La política de datos de Claude es más sencilla, lo que es una de las razones por las que los equipos de producción están cambiando de ChatGPT a Claude para flujos de trabajo sensibles.
Claude Web (Claude.ai)
- Las conversaciones se conservan durante 30 días por defecto para mejorar el modelo.
- Puedes optar por no participar en el uso para entrenamiento a través de la configuración de tu cuenta (Configuración → Datos → Desmarcar la opción
