El miedo es correcto. La conclusión, casi siempre no.

Cuando un dueño de PYME dice "yo a la AI no le entrego mi información", casi siempre tiene razón en el instinto y se equivoca en la conclusión. El instinto es sano: tu base de clientes, tus costos reales, tus márgenes, tu cartera y tus fórmulas son el negocio. Entregarlos a la ligera sería una torpeza. Pero saltar de ahí a "entonces no uso AI" es como decidir no usar banca electrónica en 2010 porque existía el fraude. El riesgo era real; la abstinencia total te dejaba fuera de juego.

La pregunta útil no es "¿le doy o no le doy mis datos a la AI?". Es "¿dónde vive mi dato cuando uso esta herramienta, quién lo puede ver, y por cuánto tiempo se queda?". Ese es un problema resoluble, con reglas concretas. Y la buena noticia es que la mayoría de las fugas que asustan no vienen de un hacker sofisticado: vienen de que alguien en tu equipo pegó información sensible en una herramienta gratuita sin que nadie lo supiera.

Los cuatro riesgos reales (no los de película)

Olvídate por un momento del cibercriminal encapuchado. En una PYME, los riesgos que de verdad te pueden costar plata o clientes son cuatro, y son mucho más domésticos:

La distinción que casi nadie te explica: no toda "AI" es lo mismo

Acá está el punto que cambia toda la conversación. Meter "usar AI" en una sola bolsa es el error de fondo. Hay al menos tres modos de usarla, y tu dato vive en lugares completamente distintos según cuál elijas:

Modo 1 — Consumidor (el chatbot gratis, cuenta personal). Cómodo, pero es donde más riesgo hay de que tus datos alimenten al modelo y de que no tengas control ni contrato. Perfecto para redactar un correo genérico o resumir un artículo público. Pésimo para pegar tu cartera, contratos o datos de clientes.

Modo 2 — Empresarial / API con acuerdo de datos. La misma tecnología, pero con la versión de negocio: contrato de tratamiento de datos, compromiso explícito de que NO usan tu información para entrenar, controles de acceso y retención definida. Aquí el proveedor serio te lo pone por escrito. Es el piso mínimo para trabajar con información real de la empresa.

Modo 3 — Tu dato nunca sale (recuperación sobre tus fuentes). En lugar de volcar todo tu conocimiento dentro del modelo, la AI consulta tus documentos y bases cuando le preguntas, y responde solo con eso —tu información se queda en tu repositorio, no se "aprende". Es la arquitectura que usamos cuando la sensibilidad es alta. Suena técnico, pero la idea es simple: la AI trabaja como un asistente que consulta tu archivador, no como uno al que le fotocopias todo el archivador para que se lo lleve a la casa.

La conclusión práctica: "no voy a entregar mi información" deja de ser un no rotundo y se vuelve una regla de ruteo. Lo genérico y público, modo consumidor. Lo real de la empresa, modo 2 o 3. Nunca al revés.

Las siete preguntas que le haces a cualquier proveedor

Si alguien te quiere vender AI —o te la quiere implementar— y no puede responder esto con claridad y por escrito, esa es toda la señal que necesitas. Guarda esta lista:

Lo que puedes montar esta misma semana (sin área de IT)

La seguridad en una PYME no es un proyecto de un año. Es un puñado de reglas simples que evitan el 90% de los accidentes. Empieza por acá:

Cuatro mitos que te están frenando

En resumen
  • La pregunta correcta no es si usas AI, sino dónde vive tu dato, quién lo ve y cuánto se queda: eso sí se controla.
  • Rutea por sensibilidad: lo público y genérico en herramientas de consumidor; lo real de la empresa solo en versiones empresariales con contrato de no-entrenamiento.
  • El mayor riesgo no es un hacker: es el Shadow AI, tu propio equipo pegando datos sensibles en apps gratuitas sin que nadie lo sepa.
  • Ningún número que salga de una AI entra a un cierre o cotización sin verificación humana contra la fuente: las alucinaciones cuestan credibilidad.
  • Antes de contratar, exige por escrito: no usan tus datos para entrenar, cifrado, retención, notificación de incidentes y salida limpia de tu información.