Hace apenas un mes, una pequeña cava de vinos en Palermo descubrió algo inquietante: cuando los clientes preguntaban a ChatGPT o Claude sobre bodegas locales para comprar vinos premium, su negocio jamás aparecía en las recomendaciones. Mientras tanto, competidores con historiales cuestionables de protección al consumidor dominaban las respuestas de estos asistentes de inteligencia artificial. La dueña me contactó alarmada: “Si no existo para los LLMs, ¿todavía existo para mis clientes?”
Esta pregunta, aparentemente simple, revela una transformación silenciosa pero radical en la forma en que accedemos a información, tomamos decisiones y, fundamentalmente, en cómo nuestros datos personales y comerciales circulan en el ecosistema digital.
Un territorio inexplorado en el mapa digital
Durante décadas, entendimos las reglas del juego digital. Google y otros buscadores operaban con algoritmos que, aunque complejos, seguían principios relativamente transparentes: palabras clave, enlaces, autoridad de dominio. Surgió toda una industria —el SEO— dedicada a optimizar la visibilidad en estos buscadores. Las empresas podían medir su tráfico, entender de dónde venían sus visitantes, y ajustar estrategias en consecuencia.
Pero los Modelos de Lenguaje de Gran Escala —esos LLMs que hoy consultamos como si fueran oráculos digitales— operan bajo reglas completamente diferentes. No indexan páginas web de manera tradicional. No muestran diez enlaces azules. En su lugar, generan respuestas conversacionales que sintetizan información de múltiples fuentes, a menudo sin citar explícitamente de dónde proviene cada dato.
Y aquí comienza el verdadero problema: ¿cómo sabe una empresa si está siendo mencionada por un LLM? ¿Cómo puede influir en esas menciones? Y, más importante aún, ¿qué información sobre esa empresa —y potencialmente sobre sus clientes— están utilizando estos sistemas para generar sus respuestas?
La emergencia de una nueva industria: Midiendo lo invisible
Ya han comenzado a aparecer empresas especializadas en medir el “tráfico LLM” —una métrica que hasta hace poco ni siquiera existía en nuestro vocabulario. Estas compañías prometen rastrear cuántas veces tu negocio aparece en respuestas de ChatGPT, Claude, Gemini u otros asistentes de IA. Otras ofrecen consultoría en “GEO” (Generative Engine Optimization), el equivalente moderno del SEO, pero adaptado a esta nueva realidad.
En principio, suena razonable. Las empresas necesitan adaptarse a cómo las personas buscan información hoy. Pero esta nueva industria trae consigo preguntas inquietantes que deberíamos hacernos antes de subir al tren sin frenos:
Primera pregunta crítica: ¿Qué datos están recopilando estas empresas para “medir” tu presencia en LLMs? Si una consultora te promete optimizar tu visibilidad en respuestas de IA, necesitará acceder a información sobre tu negocio, tus clientes, tus estrategias. ¿Bajo qué marco de protección de datos operan? ¿Dónde almacenan esa información? ¿Con quién la comparten?
Segunda pregunta esencial: Los LLMs se entrenan con vastas cantidades de datos extraídos de internet. Muchos de esos datos incluyen información personal: reseñas de clientes con nombres reales, comentarios en redes sociales, artículos de prensa que mencionan individuos específicos. Cuando una empresa busca “rankear mejor” en LLMs, está efectivamente pidiendo que su información —y potencialmente la de sus clientes— tenga mayor prominencia en estos sistemas. ¿Hemos analizado las implicancias de privacidad de esto?
Los riesgos ocultos en la optimización para LLMs
Permíteme ilustrar con un caso concreto. Un estudio jurídico boutique contrató servicios de optimización GEO. La consultora recomendó publicar masivamente “casos de éxito” en diversas plataformas para que los LLMs tuvieran más material para “aprender” sobre el estudio. El problema: varios de esos casos involucraban información sensible de clientes que, aunque pública en expedientes judiciales, nunca había sido difundida activamente. Al hacerlo, el estudio amplificó inadvertidamente la exposición de datos personales de sus propios clientes en el ecosistema de entrenamiento de IA.
Este no es un caso aislado. Es una demostración de cómo la búsqueda de visibilidad digital puede colisionar frontalmente con principios fundamentales de protección de datos:
Principio de minimización de datos: La Ley de Protección de Datos Personales en Argentina (Ley 25.326) establece que solo deben recopilarse datos adecuados, pertinentes y no excesivos. ¿Cómo reconciliamos esto con estrategias que buscan maximizar la presencia de información en internet para alimentar LLMs?
Consentimiento informado: ¿Tus clientes consintieron que su información fuera utilizada para entrenar modelos de IA? ¿Entendían que sus reseñas o comentarios podrían terminar siendo sintetizados en respuestas a consultas de terceros? Probablemente no.
Derecho al olvido: Si un cliente solicita la eliminación de sus datos personales, ¿cómo se ejecuta ese derecho cuando esa información ya forma parte del “conocimiento” de un LLM? Los modelos actuales no pueden simplemente “desaprender” información específica sin ser reentrenados completamente.
Ciberseguridad: El nuevo vector de ataque
Pero los riesgos van más allá de la privacidad. La carrera por rankear en LLMs abre vectores de ciberseguridad que apenas estamos comenzando a comprender.
Considerá este escenario: un atacante crea cientos de sitios web falsos con información fraudulenta sobre tu empresa, diseñados específicamente para ser indexados por LLMs. Estos sitios publican “reseñas” negativas, datos de contacto incorrectos, o peor aún, vínculos a sitios de phishing que se hacen pasar por tu negocio. Cuando usuarios consultan a un LLM sobre tu empresa, el modelo sintetiza esta información contaminada junto con datos legítimos, generando respuestas que dañan tu reputación o ponen en riesgo a tus clientes.
Esto ya está ocurriendo. Se llama “prompt injection” o “contaminación de datos de entrenamiento”, y es exponencialmente más difícil de detectar y combatir que el tradicional SEO negativo, porque opera en la opacidad de cómo los LLMs procesan y sintetizan información.
Las empresas de consultoría GEO, en su afán de “posicionar” a sus clientes, pueden inadvertidamente amplificar estos riesgos al publicar información en múltiples plataformas sin verificación rigurosa, creando más superficie de ataque para actores maliciosos.
La falla sistémica: Regulación en el vacío
Aquí llegamos al núcleo del problema: estamos aplicando estrategias de marketing digital del siglo XXI a tecnologías del siglo XXI avanzado, pero con marcos regulatorios y de seguridad del siglo XX.
La Ley de Protección de Datos Personales argentina fue sancionada en el año 2000. Veinticinco años después, operamos en un ecosistema donde la inteligencia artificial procesa datos de formas que ni siquiera eran concebibles cuando se redactó esa legislación. La Agencia de Acceso a la Información Pública, si bien ha emitido algunas disposiciones relacionadas con tratamiento automatizado de datos, todavía no ha desarrollado un marco específico para el uso de datos personales en entrenamiento y operación de LLMs.
A nivel internacional, la situación no es mucho mejor. El RGPD europeo al menos contempla el concepto de “decisiones automatizadas”, pero incluso Europa está luchando por adaptar su marco legal a la velocidad de innovación en IA. Estados Unidos opera con un mosaico fragmentado de regulaciones estatales. Y empresas de consultoría GEO están operando globalmente, moviendo datos a través de fronteras sin marcos claros de responsabilidad.
Esta es una falla sistémica que nos expone a todos: empresas, consumidores, ciudadanos.
Lo que necesitamos: Un marco integral de protección
No podemos detener el progreso tecnológico, ni deberíamos intentarlo. Los LLMs ofrecen beneficios genuinos: democratizan el acceso a información, facilitan la educación, automatizan tareas complejas. Pero necesitamos urgentemente establecer barreras de protección que equilibren innovación con derechos fundamentales.
Propongo cinco pilares esenciales:
1. Transparencia obligatoria en consultoría GEO: Las empresas que ofrecen servicios de optimización para LLMs deben estar obligadas a revelar qué datos recopilan, cómo los procesan, dónde los almacenan, y con qué terceros los comparten. Debería requerirse una evaluación de impacto en protección de datos antes de implementar cualquier estrategia GEO
2. Certificación en ciberseguridad para proveedores: Así como certificamos a profesionales en protección de datos, necesitamos certificaciones específicas para consultores GEO que demuestren competencia no solo en optimización, sino en gestión de riesgos de ciberseguridad y privacidad.
3. Derecho a auditoría de LLMs: Las empresas deberían tener derecho a auditar qué información sobre ellas utilizan los LLMs, de dónde proviene esa información, y solicitar correcciones cuando sea inexacta o haya sido obtenida ilegítimamente. Los desarrolladores de LLMs deben implementar mecanismos técnicos que permitan esto sin comprometer la propiedad intelectual de sus modelos.
4. Responsabilidad solidaria: Si una consultora GEO implementa estrategias que resultan en violaciones de protección de datos o incidentes de ciberseguridad, debe existir responsabilidad solidaria entre la consultora y la empresa cliente. Esto incentivará prácticas responsables.
5. Actualización legislativa urgente: La Agencia de Acceso a la Información Pública debe emitir disposiciones específicas sobre el tratamiento de datos personales en el contexto de LLMs, y el Congreso debe considerar reformas a la Ley 25.326 que contemplen explícitamente estas tecnologías emergentes.
Volvamos a la dueña de la boutique de vinos de Palermo. Su pregunta —”¿Si no existo para los LLMs, todavía existo para mis clientes?”— no es solo sobre marketing. Es sobre poder, control y derechos fundamentales en la era digital.
Cada día que pasa sin un marco regulatorio adecuado, más empresas están tomando decisiones sobre optimización GEO sin entender completamente los riesgos. Más consultoras están operando en un vacío legal. Más datos personales están siendo procesados de formas que sus titulares nunca imaginaron ni consintieron. Más vectores de ciberseguridad están siendo abiertos sin defensas apropiadas.
No podemos darnos el lujo de “esperar y ver” cómo evoluciona esta industria. La historia nos enseña que cuando la tecnología avanza más rápido que la regulación, los derechos de las personas son las primeras víctimas. Ya hemos cometido ese error con redes sociales, con economía de plataformas, con publicidad comportamental. No podemos repetirlo con los LLMs.
Si sos empresario, preguntá a cualquier consultora GEO que te contacte: ¿Dónde están sus políticas de protección de datos? ¿Cómo gestionan riesgos de ciberseguridad? ¿Qué certificaciones poseen? Si no pueden responder satisfactoriamente, alejate.
Si sos consumidor, ejercé tu derecho a saber cómo se están usando tus datos personales. Preguntá a las empresas que frecuentás si están implementando estrategias GEO y qué protecciones tienen en lugar.
Si sos legislador o regulador, reconocé que este no es un problema del futuro. Es un problema del presente que requiere acción inmediata. La credibilidad de nuestras instituciones de protección de datos depende de nuestra capacidad de adaptarnos a realidades tecnológicas emergentes.
La batalla por nuestros derechos digitales en la era de la inteligencia artificial no se ganará con pasividad. Se ganará con información, con exigencias, con marcos regulatorios sólidos, y con la determinación colectiva de no sacrificar privacidad y seguridad en el altar del progreso tecnológico desregulado.
En el mundo de los LLMs, lo que no se protege hoy, se pierde mañana. Y lo que se pierde en el ecosistema digital, rara vez se recupera.
