¿Es legal que OpenAI conserve tus datos por orden de un tribunal de EE.UU.?

Por Patricia Manso, abogada especializada en Derecho Corporativo y Tecnológico

En mayo de 2025 una jueza de Nueva York ordenó a OpenAI, dentro de su disputa con la publicación “The New York Times” (NYT) por vulneración de derechos de autor, a conservar indefinidamente todos los datos de las conversaciones de usuarios con ChatGPT (output logs). Esta orden atiende a la petición del NYT para su posible uso como evidencia en el litigio.

La orden abarca incluso datos que, por política de OpenAI y a solicitud de los interesados, se eliminan tras 30 días (incluyendo chats que el propio usuario borró) para proteger la privacidad. No afectaría a los clientes de ChatGPT versión Enterprise y Edu, así como tampoco a clientes de la API que usan la política de Zero Data Retention. Sin embargo, sí afecta a los clientes de ChatGPT Free, Plus y Proteam. Básicamente la medida afecta a todos aquellos clientes sobre los que ChatGPT realiza almacenamiento y control de datos.

OpenAI se opuso calificando la exigencia de “desmesurada e innecesaria” y advirtiendo que choca frontalmente con sus compromisos de privacidad hacia los usuarios. La compañía apeló la citada orden en junio de 2025 alegando que sentaría un precedente negativo y que “comprometería incluso su capacidad de cumplir con el RGPD” europeo.

Para ponernos en contexto del análisis legal del conflicto es preciso aclarar lo siguiente: OpenAI es una entidad estadounidense con sede en California. Para cumplir con el Reglamento General de Protección de Datos (RGPD) ha designado a OpenAI Ireland Limited como su representante en la UE y exportador de datos a efectos de cumplimiento.

¿Dónde reside el posible conflicto legal?

• Por un lado, el RGPD establece principios de minimización y limitación del plazo de conservación de los datos personales (Art.5), así como el derecho de supresión, también llamado derecho al olvido (Art.17). Este derecho es el que muchos usuarios de las versiones de ChatGPT Plus ejercen cuando piden la cancelación de sus datos. La orden judicial mencionada le exige guardar todos los datos de estos usuarios indefinidamente, aunque dichos usuarios hayan ejercido su derecho de supresión y conservación correspondientes. Al mismo tiempo nos encontramos con un Art.17.3 que prevé entre otros una excepción al derecho de supresión cuando el tratamiento sea “necesario para la formulación, el ejercicio o la defensa de las reclamaciones”. Este principio podría amparar la conservación de los datos sin implicar necesariamente un incumplimiento del RGPD y más aún si lo ponemos en el contexto de los considerandos 4 y 63 de esta norma donde se determina que el derecho a la protección de datos personales no es absoluto y debe equilibrarse con otros derechos fundamentales. En concreto cuando una parte alega una vulneración de un derecho de propiedad intelectual, también está ejerciendo un derecho reconocido por la Carta de Derechos Fundamentales.

Por lo tanto, en el supuesto aquí planteado se trataría de una ponderación de derechos donde habría que poner en valor el equilibrio de ambos principios: los derechos de protección de datos vs los derechos de propiedad intelectual.

La orden de conservación de datos – siempre que se realice de forma pertinente, proporcional, limitada y con garantías – podría no suponer una vulneración del RGPD. Como ejemplo de un supuesto similar es interesante releer el caso SEC vs Telegram (2020).

• Por otro lado, OpenAI utiliza también como argumento para oponerse al cumplimiento de la orden el Art.48 del GDPR, el cual establece lo siguiente: “Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo”.

La invocación de este precepto no corresponde con el caso de OpenAI y de este modo ha sido claramente expuesto en las Guidelines 02/2024 del Art.48 v2.0 adoptadas el 4 de junio de 2025. En ellas claramente la EDPB (European Data Protection Board) determina entre otras que “Estas directrices no cubren otro escenario que puede ocurrir en la práctica, donde una autoridad de un tercer país solicita datos personales a una entidad ubicada en su territorio (empresa matriz), la cual luego pide los datos a su filial en la UE para poder responder a la solicitud. En tal situación, el flujo de datos desde la filial de la UE hacia la empresa matriz en un tercer país constituye una transferencia. La filial de la UE, como exportadora, debe por tanto cumplir con el RGPD y, en particular, con el artículo 6 del RGPD y el Capítulo V. Dependiendo de su alcance, una decisión de adecuación en virtud del artículo 45 puede ser una herramienta pertinente para dichas transferencias. Sin embargo, dado que la solicitud está dirigida inicialmente a una entidad en el mismo tercer país que la autoridad pública solicitante, este escenario no entra dentro del ámbito del artículo 48.”

El supuesto aquí reflejado es el caso actual de OpenAI donde la matriz americana fue requerida por una autoridad del mismo país para el cumplimiento de una obligación legal, habiéndose transferido previamente los datos de la subsidiarIa a la matriz, y por lo tanto no realizándose la transferencia internacional por requerimiento de la autoridad a la subsidiaria sino por la política de tratamiento de datos de OpenAI.

No obstante, y no siendo aplicable el Art. 48 del RGPD, sí es preciso tener en cuenta, que la transferencia internacional de datos que se produce entre la matriz y la subsidiaria debe realizarse acorde con el procedimiento “two step test” (Art.44 y ss RGPD) en todo caso con base legal suficiente (Art.6.1 y 6.2) y con el cumplimiento de los principios recogidos en el Cap. V acorde al sistema de garantías previsto. El cumplimiento de estas garantías implica en el caso de OpenAI la firma de las SCCs (claúsulas contractuales tipo acordadas por la UE) y la implementación de medidas técnicas adicionales.

Como conclusión con respecto al requerimiento de conservación de datos de OpenAI: No parece que a simple vista el argumento de colisión con el cumplimiento del RGPD vaya a resultar paraguas suficiente para detener el requerimiento, sin perjuicio de que el mismo, probablemente debería adaptarse a los datos realmente necesarios para el proceso, durante el tiempo preciso y con las máximas garantías. Al mismo tiempo OpenAI deberá respetar, como cualquier empresa, el cumplimiento íntegro de los principios establecidos en el RGPD para el tratamiento de los datos. Otra cuestión aparte sería que efectivamente el cumplimiento de esta orden exija de unas capacidades de almacenamiento y de unos costes absolutamente desorbitados, hecho también alegado por OpenAI.