2Slides Team
19 min read
Herramientas de presentación con IA conformes con GDPR y HIPAA (Guía 2026)
Para organizaciones sanitarias y de la UE, las herramientas de presentación con IA que cumplen requisitos específicos de conformidad son limitadas. Para HIPAA (sanidad de EE.UU., requiere un Business Associate Agreement firmado): Microsoft 365 Copilot es la única opción generalizada con un BAA documentado a abril de 2026; Canva ofrece un BAA en nivel enterprise bajo solicitud; Google Gemini for Workspace ofrece implementación elegible para HIPAA para clientes de Workspace Business/Enterprise que firmen el BAA de Google. Para GDPR (procesamiento de datos de la UE): Microsoft y Google ofrecen opciones de EU Data Boundary / región de almacenamiento en la UE; Beautiful.ai, Gamma, Canva y Plus AI publican DPAs conformes con GDPR con Cláusulas Contractuales Estándar, pero no todos garantizan procesamiento exclusivo en la UE — la mayoría todavía aloja datos en Estados Unidos. El error común de contratación: las herramientas de presentación con IA que "admiten" GDPR no son lo mismo que herramientas que garantizan residencia de datos en la UE. Esta guía mapea el estado de conformidad real de cada herramienta principal con citas de fuentes, y explica cuándo aplica realmente cada regulación.
Esta guía resume las posturas de conformidad documentadas públicamente a abril de 2026; consulte con su propio asesor de cumplimiento para decisiones de implementación específicas. No listamos afirmaciones de conformidad que los proveedores no hayan comprometido por escrito.
HIPAA: La Puerta del BAA
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico, por sus siglas en inglés) regula cómo las organizaciones estadounidenses manejan la Información de Salud Protegida (PHI, por sus siglas en inglés). Si tu presentación podría contener nombres de pacientes, números de historias clínicas, diagnósticos, imágenes o cualquiera de los 18 identificadores HIPAA, incluso en una nota al pie o apéndice, estás manejando PHI.
Para que un servicio en la nube pueda utilizarse con PHI, el proveedor debe firmar un Acuerdo de Asociado Comercial (BAA, por sus siglas en inglés) con tu organización. El BAA es un contrato específico bajo 45 CFR §164.504(e) que obliga al proveedor a proteger la PHI, informar sobre violaciones de datos y limitar los usos. Sin un BAA, cualquier PHI subida a la herramienta constituye una violación de HIPAA, independientemente de cuán segura sea técnicamente la herramienta.
¿Quién Ofrece Públicamente un BAA para Funciones de Presentación con IA?
Microsoft 365 Copilot está cubierto bajo el BAA estándar de Microsoft, que se pone a disposición a través del Anexo de Protección de Datos de Servicios en Línea de Microsoft para clientes que son entidades cubiertas o asociados comerciales bajo HIPAA. El BAA es accesible a través del Portal de Confianza del Servicio. Microsoft 365 Copilot Enterprise figura como un servicio dentro del alcance. Los datos del cliente no se utilizan para entrenar los modelos subyacentes. Microsoft Copilot for Security también está explícitamente cubierto.
Google Gemini for Workspace se volvió elegible para HIPAA a partir del 30 de septiembre de 2025. La aplicación Gemini y Gemini en Workspace, incluidas las funciones "Ayúdame a escribir", respuestas inteligentes contextuales y características del panel lateral que impulsan la generación de IA en Google Slides, ahora son funcionalidades incluidas bajo el Anexo de Asociado Comercial HIPAA de Google Workspace. Debes ejecutar el BAA de Google e implementarlo a través de Google Workspace Business o Enterprise; el producto Gemini para consumidores explícitamente no es elegible para HIPAA.
Canva ofrece un BAA en el nivel empresarial bajo solicitud, pero solo para configuraciones específicas. Canva tiene certificaciones SOC 2 Type II e ISO 27001, y Canva Enterprise no utiliza el contenido del equipo para entrenar IA. Sin embargo, el producto Canva predeterminado, incluidos los niveles gratuito, Pro y Teams, no cumple con HIPAA. Verifica el alcance del BAA con el equipo de ventas empresariales de Canva antes de subir PHI.
Todos los demás — Gamma, Beautiful.ai, Plus AI, Tome, Pitch — no documentan públicamente un BAA para flujos de trabajo de presentaciones con IA a partir de abril de 2026. Eso significa que están prohibidos para PHI independientemente de sus otras credenciales de seguridad.
Conclusión: Si tus diapositivas involucran PHI, la lista corta es Microsoft 365 Copilot, Google Gemini for Workspace (con BAA ejecutado) y Canva Enterprise (BAA bajo solicitud). Todo lo demás es un riesgo de cumplimiento.
RGPD: Procesamiento de Datos vs Residencia de Datos
El RGPD se aplica cada vez que procesas datos personales de interesados de la UE o el Reino Unido. Para una herramienta de presentaciones, esto incluye el contenido de las diapositivas que subes (si contiene datos personales), los metadatos sobre quién creó la presentación y la telemetría sobre cómo se utiliza la herramienta.
El cumplimiento del RGPD por parte de un proveedor tiene dos capas distintas que los compradores confunden frecuentemente:
1. Un Acuerdo de Procesamiento de Datos (DPA) conforme al RGPD. Este es el contrato legal entre tú (el responsable del tratamiento) y el proveedor (el encargado del tratamiento). Debe incluir Cláusulas Contractuales Estándar (SCC) para transferencias internacionales, una lista de subencargados, un registro de actividades de tratamiento y medidas técnicas y organizativas (TOM). La mayoría de los proveedores de SaaS empresarial publican un DPA.
2. Residencia de datos en la UE. Este es un compromiso técnico de que los datos nunca abandonen la infraestructura de la UE para su almacenamiento o procesamiento. Muy pocos proveedores de presentaciones con IA ofrecen esto, porque los LLM subyacentes a menudo están alojados en los EE. UU.
Un proveedor puede tener un excelente DPA con SCC y aún así procesar tus datos en los Estados Unidos. Esa transferencia es legal bajo el RGPD si las SCC y las medidas complementarias están implementadas, pero puede ser descalificante para compradores del sector público, industrias sensibles a Schrems II u organizaciones con políticas internas que requieren procesamiento exclusivo en la UE.
Herramientas con Opciones Reales de Residencia de Datos en la UE
Microsoft 365 Copilot es un servicio del EU Data Boundary. Los datos de los clientes en reposo continúan residiendo dentro del EU Data Boundary. Sin embargo, Microsoft habilitó "Flex Routing" para todos los inquilinos de la UE/AELC a partir del 17 de abril de 2026, lo que permite que la inferencia de LLM de Copilot ocurra fuera del EU Data Boundary durante períodos de alta demanda. Los datos en reposo permanecen en la UE; la inferencia en tiempo real puede que no. Las organizaciones que necesitan procesamiento estrictamente dentro de la UE deben desactivar explícitamente Flex Routing. Además, los modelos de Anthropic enrutados a través de Microsoft están fuera del alcance del EU Data Boundary.
Google Gemini for Workspace admite regiones de datos para clientes de Workspace en Business Plus y superior, permitiendo que los datos cubiertos se almacenen en la región de la UE. El comportamiento de la inferencia en tiempo real de Gemini debe verificarse con la documentación actual de HIPAA/DPA de Google Workspace para tu región.
Todas las demás herramientas importantes de presentaciones con IA procesan y almacenan datos en los Estados Unidos por defecto a partir de abril de 2026. Esto incluye Gamma, Beautiful.ai, Canva (datos almacenados en EE. UU. con SCC para transferencias), Plus AI y Tome.
Matriz de Cumplimiento por Herramienta
| Herramienta | HIPAA BAA | Residencia de Datos UE | GDPR DPA | SCCs | Transparencia de Subprocesadores | Retención de Datos Predeterminada | Exclusión de Entrenamiento |
|---|---|---|---|---|---|---|---|
| Microsoft 365 Copilot (Enterprise) | Sí, vía Microsoft Online Services DPA | EU Data Boundary en reposo; Flex Routing puede mover inferencia fuera de la UE | Sí | Sí (2021/914) | Sí, publicado | Según política del tenant | Sí, sin entrenamiento por defecto |
| Google Gemini for Workspace (Business/Enterprise) | Sí, BAA desde 30 sept 2025 | Región de datos UE disponible (Business Plus+) | Sí | Sí | Sí, publicado | Según política de Workspace | Sí, sin entrenamiento por defecto |
| Canva Enterprise | Bajo solicitud, solo nivel enterprise | No declarado públicamente (alojado en EE.UU.) | Sí | Sí (2021/914, Módulo 2) | Sí, publicado en DPA | No declarado públicamente | Sí (solo Teams/Enterprise) |
| Gamma | No declarado públicamente | No (alojado en EE.UU.) | Sí | Sí | Sí, publicado | No declarado públicamente | Solo nivel enterprise |
| Beautiful.ai | No declarado públicamente | No (alojado en EE.UU.) | Sí (certificación GDPR declarada) | Sí | Bajo solicitud | Máximo 30 días para datos procesados por AI | Sí, no se usa para entrenar LLMs públicos |
| Plus AI | No declarado públicamente | No declarado públicamente | Sí | No declarado públicamente | No declarado públicamente | No declarado públicamente | Nivel enterprise |
| Tome | No declarado públicamente | No declarado públicamente | Sí | No declarado públicamente | No declarado públicamente | No declarado públicamente | No declarado públicamente |
| Pitch | No declarado públicamente | Con sede en Alemania; residencia de datos UE plausible | Sí | Sí | Sí | No declarado públicamente | No declarado públicamente |
"No declarado públicamente" significa que el proveedor no se ha comprometido públicamente por escrito con ese control específico según nuestra investigación de abril de 2026. No trate la ausencia de una declaración como cumplimiento o incumplimiento — es una pregunta que debe plantear en la adquisición.
Para el Sector Salud (EE. UU.): ¿Qué Deberías Usar Realmente?
Herramientas Recomendadas
Para cualquier flujo de trabajo donde la PHI pudiera aparecer plausiblemente en una diapositiva, un prompt de AI o un visual conectado a datos:
-
Microsoft 365 Copilot (Enterprise E3/E5 con licencia Copilot). La opción más madura, con generación de PowerPoint respaldada por BAA, integración con Teams y controles a nivel de tenant. Los datos del cliente no se utilizan para entrenar modelos fundacionales.
-
Google Workspace Business/Enterprise con Gemini. Elegible para HIPAA desde septiembre de 2025. Google Slides con las funciones "Ayúdame a crear" de Gemini y el panel lateral están cubiertos bajo el BAA de HIPAA una vez ejecutado. Requiere aceptación explícita del BAA en la Consola de Administración.
-
Canva Enterprise con BAA firmado. Viable para materiales de marketing y educación del paciente si el BAA está ejecutado y la configuración está bloqueada en el nivel enterprise. No recomendado para presentaciones clínicas o dashboards operacionales.
Advertencias del Flujo de Trabajo
- Desidentifica cuando sea posible. La desidentificación HIPAA Safe Harbor (45 CFR §164.514(b)(2)) elimina HIPAA de la ecuación por completo. Si tu diapositiva puede mostrar números agregados o viñetas de casos desidentificados, ese es el camino de menor riesgo.
- Configura exclusiones de entrenamiento a nivel de tenant. Incluso con un BAA, verifica las configuraciones de la consola de administración que previenen cualquier ajuste fino o personalización sobre los datos del tenant.
- Audita el uso de herramientas AI de consumo por parte de empleados. El vector de violación HIPAA #1 en 2024–2025 fue clínicos pegando notas en ChatGPT o Gemini de consumo para resumir. Despliega herramientas enterprise con BAAs y bloquea las versiones de consumo en el firewall.
- Verifica el registro. HIPAA §164.312(b) requiere controles de auditoría. Confirma que tu tenant registra interacciones de AI al nivel que tu programa de cumplimiento requiere.
Para flujos de trabajo de presentaciones clínicas y operacionales específicamente, consulta nuestra pieza complementaria sobre presentaciones AI para el sector salud y diapositivas médicas.
Para la UE / RGPD: Opciones de Implementación
Las organizaciones de la UE enfrentan un árbol de decisión escalonado:
Si Necesitas Procesamiento Solo en la UE (La Barra Más Estricta)
- Microsoft 365 Copilot con Flex Routing desactivado. Esta es la opción de presentaciones con IA más cercana a solo UE a gran escala. Debes optar explícitamente por no usar Flex Routing en el centro de administración de Microsoft 365 antes de la fecha límite de abril de 2026, y aceptar que algunas funciones de Copilot pueden degradarse durante períodos de alta demanda.
- Google Workspace con región de datos de la UE. Business Plus y superiores permiten la configuración de región de datos de la UE. Verifica que las funciones específicas de Gemini en las que confías estén dentro del alcance de tu región.
- Alternativas autoalojadas o nativas de la UE. Para los casos de mayor garantía (p. ej., sector público europeo), considera canales de generación alojados en la UE o generación de PowerPoint en las instalaciones. 2Slides ofrece implementaciones empresariales con regiones de procesamiento de datos configurables.
Si Necesitas un DPA Con SCC (La Mayoría de Casos Empresariales)
Casi todos los principales proveedores de presentaciones con IA — Gamma, Beautiful.ai, Canva, Plus AI, Pitch — publican un DPA compatible con el RGPD con SCC. Legalmente, esto es suficiente para la mayoría de las obligaciones del RGPD si la evaluación de impacto de transferencia (TIA) lo respalda. Revisa la lista de subencargados del proveedor, los valores predeterminados de retención y el estado del Marco de Privacidad de Datos UE-EE. UU., y documenta tu TIA.
Si Tu Apetito de Riesgo Permite Procesamiento en EE. UU. Con Salvaguardas
Cualquiera de las herramientas principales con un DPA publicado es viable. El riesgo práctico es reputacional (un procesador con sede en EE. UU. hace que las auditorías de cumplimiento sean más complejas) y técnico (los subencargados pueden cambiar, las cadenas de suministro son opacas). Supervisa las notificaciones de cambio de subencargados y construye planes de contingencia.
Conclusión: El cumplimiento del RGPD es un espectro, no un binario. La herramienta correcta depende de si tu organización requiere residencia en la UE, acepta transferencias a EE. UU. con SCC, o tiene requisitos de soberanía aún más estrictos (p. ej., BSI alemán, SecNumCloud francés, o medidas suplementarias de Schrems II de la UE).
Para servicios legales y financieros: Regulaciones adyacentes
Legal (EE. UU. y Reino Unido)
Los bufetes de abogados que manejan datos de clientes enfrentan obligaciones de privilegio abogado-cliente y normas éticas de los colegios de abogados estatales (en EE. UU., la Regla Modelo 1.6 de la ABA sobre confidencialidad). Estas no son "marcos de cumplimiento" en el sentido de SOC 2, pero efectivamente requieren los mismos controles: sin entrenamiento con datos de clientes, aislamiento de tenant, registros de auditoría y cláusulas de confidencialidad en el contrato con el proveedor. Microsoft 365 Copilot y Google Gemini para Workspace son las opciones seguras más utilizadas. Para litigios y presentaciones dirigidas a clientes, consulta nuestra guía sobre presentaciones con AI para equipos legales: resúmenes de casos y propuestas para clientes.
Servicios financieros
GLBA (Ley Gramm-Leach-Bliley) regula la información personal no pública (NPI) en instituciones financieras de EE. UU. Las normas FINRA se aplican a las comunicaciones de los intermediarios-dealers. SOX afecta los informes financieros de empresas públicas. PCI-DSS cubre los datos de titulares de tarjetas.
Ninguna de estas regulaciones se corresponde directamente con el modelo BAA de HIPAA, pero todas requieren controles similares: acuerdos de procesamiento de datos, transparencia de subprocesadores, límites de retención y registros de auditoría. Microsoft 365 Copilot tiene autorización FedRAMP High para clientes del gobierno de EE. UU., que es un fuerte indicador de rigor para servicios financieros. Google Workspace también tiene FedRAMP High.
Educación (FERPA)
FERPA regula los registros educativos de estudiantes en escuelas de EE. UU. que reciben financiamiento federal. A diferencia de HIPAA, FERPA no utiliza un mecanismo BAA; usa la excepción de "funcionario escolar" y un acuerdo escrito con el proveedor. Tanto Microsoft como Google publican términos específicos de FERPA para sus SKU de educación. Trata FERPA de manera similar a HIPAA para la selección de herramientas: quédate con Microsoft 365 Education, Google Workspace for Education o Canva for Education con los términos apropiados.
Errores Comunes de Cumplimiento Normativo
1. Asumir que "enterprise" significa "compatible con HIPAA". Canva Enterprise no está automáticamente cubierto por un BAA — debes solicitarlo. Beautiful.ai, Gamma y Plus AI en sus niveles enterprise no ofrecen BAAs públicamente. El nivel enterprise mejora los controles de seguridad; no asume automáticamente la responsabilidad de HIPAA.
2. Confundir DPA compatible con GDPR con residencia de datos en la UE. Todos los principales proveedores SaaS tienen un DPA de GDPR. Solo unos pocos realmente almacenan y procesan datos en la UE. Haz la pregunta específica: "¿El procesamiento de mis datos — incluida la inferencia LLM en tiempo real — ocurre completamente dentro de la UE?"
3. Ignorar la proliferación de subprocesadores. Una herramienta de presentaciones con IA puede usar OpenAI para texto, Anthropic para razonamiento, ElevenLabs para voz y Cloudflare para CDN. Cada uno es un subprocesador, cada uno tiene sus propias políticas de datos, y cualquiera de ellos puede cambiar los términos. Revisa la lista publicada de subprocesadores y suscríbete a las notificaciones de cambios.
4. Olvidar la configuración predeterminada de datos de entrenamiento. El DPA del proveedor puede decir "no entrenamos con datos de clientes" — pero verifica que esto aplique a las funciones específicas de IA que estás usando, no solo al producto base. Beautiful.ai retiene datos procesados por IA durante 30 días; Gamma enterprise ofrece exclusión del entrenamiento, pero el nivel consumer predeterminado no.
5. Usar herramientas de IA consumer para trabajo empresarial. ChatGPT Free y Google Gemini (consumer) no están cubiertos por BAAs o DPAs empresariales — nunca. Bloquéalos en el firewall o mediante política DLP, y proporciona alternativas empresariales autorizadas.
6. Asumir que el BAA de Microsoft Copilot cubre todos los productos Copilot. Microsoft 365 Copilot (en Word, Excel, PowerPoint) tiene un BAA. Pero las experiencias independientes de Copilot, los agentes de Copilot Studio y Copilot Pro (consumer) tienen cobertura diferente. Verifica el SKU específico y el nombre del servicio en el Microsoft Service Trust Portal.
Preguntas Frecuentes
¿ChatGPT cumple con HIPAA para crear presentaciones?
OpenAI ofrece un BAA para ChatGPT Enterprise y la API de OpenAI con el endpoint de retención cero — no para ChatGPT Plus o ChatGPT Free. Si usas ChatGPT para redactar contenido de diapositivas, debes estar en ChatGPT Enterprise con un BAA ejecutado, y las diapositivas deben renderizarse en una herramienta downstream cubierta por HIPAA. No pegues PHI en ChatGPT Free.
¿Google Slides con Gemini cuenta como compatible con HIPAA?
Sí, a partir del 30 de septiembre de 2025, si estás en Google Workspace Business o Enterprise y has ejecutado el BAA de Google, y usas las funciones de Gemini a través del panel lateral de Workspace o la integración de Google Slides. La aplicación Gemini para consumidores no está cubierta.
¿Puedo usar Canva Pro con datos de pacientes si tengo un BAA?
No. El BAA de Canva solo está disponible en el nivel Enterprise, no en Pro. Canva Pro carece de los controles a nivel de tenant que HIPAA requiere, y el BAA no lo cubre.
¿SOC 2 Type II significa que una herramienta cumple con HIPAA?
No. SOC 2 es un marco de auditoría de seguridad. HIPAA requiere obligaciones contractuales específicas (el BAA) y controles específicos (§164.308, §164.312). Una herramienta puede estar certificada SOC 2 y aún así no cumplir con HIPAA si el proveedor no firma un BAA.
¿Qué sucede si subo PHI a una herramienta de AI que no cumple con HIPAA por accidente?
Esto es un incidente reportable bajo HIPAA §164.402 (la Regla de Notificación de Violaciones), dependiendo de la evaluación de riesgo. Debes tener un proceso documentado de respuesta a incidentes. Contacta a tu oficial de privacidad de HIPAA y, si corresponde, a tu asesor legal. La mitigación práctica es implementar herramientas DLP que eviten que PHI se pegue en herramientas de AI no autorizadas en primer lugar.
La Conclusión
El mercado de herramientas de presentación con IA ha madurado lo suficiente como para que las organizaciones sensibles al cumplimiento finalmente tengan opciones reales, pero la lista es mucho más reducida de lo que sugieren las páginas de marketing. Para HIPAA en abril de 2026: Microsoft 365 Copilot, Google Gemini for Workspace y Canva Enterprise (con un BAA firmado) son las únicas herramientas mainstream con rutas documentadas. Para GDPR con verdadera residencia en la UE: Microsoft 365 Copilot con Flex Routing desactivado y Google Workspace con regiones de datos en la UE son las opciones más claras. Todos los demás, incluidos algunos de los generadores de presentaciones con IA más populares, procesan datos en EE. UU. bajo SCCs, lo cual es legal pero no es lo mismo que soberanía.
El trabajo del comprador de cumplimiento es hacer preguntas precisas. "¿Soportan HIPAA?" obtiene una respuesta de marketing. "¿Contrafirmarán nuestro BAA cubriendo las funciones específicas de IA que usaremos, y qué servicios están dentro del alcance bajo el Service Trust Portal?" obtiene una respuesta contractual. Lo mismo aplica para GDPR: "¿Soportan GDPR?" no es la misma pregunta que "¿Dónde se almacenan físicamente mis datos y dónde ocurre la inferencia en tiempo real?" Haga la pregunta precisa, obtenga la respuesta precisa y documente ambas. Para una visión más amplia de las herramientas de presentación con IA de nivel empresarial, consulte nuestra comparación de herramientas de presentación con IA empresariales para 2026.
Para implementaciones sensibles al cumplimiento — contacte a 2Slides sobre nuestro nivel empresarial con compromisos de no entrenamiento y opciones de residencia de datos.
Fuentes:
- Microsoft 365 Copilot HIPAA/BAA coverage — Microsoft Learn
- Microsoft Copilot for Security HIPAA BAA announcement — Microsoft Tech Community
- Microsoft 365 Copilot EU Data Boundary & Flex Routing — Office365 IT Pros
- Google Workspace HIPAA Included Functionality (Gemini) — Google
- Is Google Workspace HIPAA Compliant? — HIPAA Journal
- Canva Data Processing Addendum
- Canva Trust Center — Privacy
- Canva HIPAA analysis — Paubox
- Gamma Data Processing Addendum
- Beautiful.ai Security & Privacy
- Microsoft In-Country Data Processing Announcement (Nov 2025)
About 2Slides
Create stunning AI-powered presentations in seconds. Transform your ideas into professional slides with 2slides AI Agent.
Try For Free
