GitHub Copilot y privacidad: guía para usar IA sin regalar contexto sensible

Usar Copilot con código sensible no es solo una decisión técnica. También es una decisión de datos, contratos y hábitos de equipo.

Copilot funciona porque ve contexto. Esa es su ventaja y también su riesgo. Cuando le pides ayuda dentro del editor, el sistema puede necesitar fragmentos del archivo, nombres de funciones, comentarios, imports, errores y a veces contexto del repositorio. Sin contexto, la ayuda sería mucho peor.

Qué tipo de datos debes mapear

• Código fuente propietario.
• Nombres de clientes, endpoints internos o rutas privadas.
• Comentarios con decisiones de negocio.
• Errores, logs o trazas que pueden contener datos personales.
• Secretos accidentales: tokens, claves, URLs firmadas o credenciales de desarrollo.

Qué revisar hoy

• Entra en la configuración de Copilot y revisa las opciones relacionadas con uso de datos para entrenamiento.
• Comprueba si tu organización fuerza políticas centralizadas o si cada usuario decide.
• Separa repos personales, proyectos de cliente y repos internos de empresa.
• Haz una prueba sencilla: pregunta al equipo qué datos cree que Copilot puede ver. Si las respuestas son distintas, falta política.

Política mínima para un equipo pequeño

• No pegar secretos, credenciales ni datos personales en prompts.
• No usar Copilot en repos de cliente si el contrato no lo permite explícitamente.
• Usar cuentas de organización para trabajo profesional, no cuentas personales sin control.
• Definir qué proveedores de IA están permitidos y para qué tipos de código.
• Documentar el opt-out o la configuración elegida con fecha, no en una conversación perdida de Slack.

Señales de mala implementación

• Nadie sabe si el entrenamiento está activado o desactivado.
• Cada desarrollador usa su propia cuenta con configuración distinta.
• Se aceptan sugerencias de IA sin revisión en código crítico.
• El equipo tiene política de seguridad, pero no menciona asistentes de código.
• Los prompts se tratan como si no fueran datos del proyecto.

Qué hacer con clientes

Si trabajas para terceros, no asumas permiso. Muchos contratos antiguos no mencionan IA, pero sí confidencialidad, subprocesadores o transferencia de datos. Antes de usar Copilot en código de cliente, documenta qué herramienta se usará, qué datos puede procesar y qué controles están activados.

No hace falta convertirlo en burocracia eterna. Basta con una cláusula clara y una matriz simple: permitido, permitido con restricciones, prohibido.

Errores de seguridad muy normales

• Pegar un stack trace con tokens en una conversación.
• Abrir un archivo `.env` mientras el asistente tiene contexto amplio.
• Pedir explicación de código con nombres de clientes dentro.
• Usar una cuenta personal en repos de empresa.
• No revisar cambios generados en autenticación o permisos.

Preguntas para tu equipo legal o tu cliente

¿El contrato permite enviar fragmentos de código a proveedores externos de IA? ¿Hay restricciones de país, subprocesadores o retención? ¿El cliente considera los prompts y respuestas como información confidencial? Estas preguntas suenan lentas, pero evitan discusiones peores cuando ya hay commits hechos.