ChatGPT y Claude son demasiado útiles para ignorarlos en un despacho: cuadres, resúmenes de expedientes, borradores de informes, detección de errores en un Excel de 4.000 filas. La pregunta ya no es "¿lo uso?", es "¿qué hago con los datos de mis clientes antes de usarlo?".

En la práctica hemos visto tres vías. Te contamos las tres con sus riesgos reales — incluida la tercera, que es la nuestra.

Vía 1 — Subirlo tal cual ("total, nadie lo va a ver")

Es la más común y la más incómoda de admitir: exportar el Excel con DNIs, IBANs y razones sociales y pegarlo directamente en el chat.

Lo que estás haciendo, en términos RGPD: comunicar datos personales de tus clientes a un tercero (el proveedor de IA), normalmente sin contrato de encargo del tratamiento (Art. 28), sin base jurídica clara para esa cesión (Art. 6) y sin que tus clientes lo sepan. En los planes gratuitos y estándar, además, el proveedor puede retener esos datos según sus términos.

El matiz honesto: los planes empresariales (ChatGPT Enterprise, API con DPA firmado) mejoran mucho el cuadro contractual — hay encargo, hay compromisos de no-entrenamiento. Pero incluso con el mejor DPA del mundo sigues mandando los DNIs reales de tus clientes a la infraestructura de un tercero en cada consulta, y respondiendo tú si algo sale mal. Las multas reales de la AEPD a despachos son precisamente por dejar que datos reales lleguen adonde no debían — aquí tienes cuatro, con expediente.

Veredicto: la comodidad de hoy es el incidente de mañana. Si esta es tu vía, al menos que sea una decisión informada y por escrito, no una costumbre.

Vía 2 — Borrar columnas a mano antes de subir

La vía del despacho prudente sin herramientas: duplicar el Excel, eliminar las columnas de nombre y DNI, y subir "lo que queda".

Dónde se rompe:

Veredicto: mejor que la vía 1, pero frágil: depende de que un humano no se deje nada, cada vez.

Vía 3 — Pseudonimización reversible antes de subir

La tercera vía sustituye cada identificador por una etiqueta consistente (Juan Pérez → PERSONA_001, en todo el archivo) y guarda la equivalencia en un mapa cifrado que no sale de tu equipo. Es la figura que el RGPD describe en su Art. 4.5, y la que usamos nosotros: Anoply nació en una asesoría real que se negaba a subir datos de clientes a una IA y estaba cansada de la vía 2.

Lo que resuelve:

Los límites, dichos claramente: un archivo pseudonimizado sigue siendo dato personal mientras el mapa exista — la pseudonimización reduce drásticamente la exposición, no te "saca" del RGPD ni elimina tu responsabilidad. Y la etiqueta no protege lo que no es identificador: si el patrón de salarios de tu Excel solo encaja con una empresa del pueblo, esa inferencia sigue ahí.

En una tabla

| | Vía 1: tal cual | Vía 2: columnas fuera | Vía 3: pseudonimizar | |---|---|---|---| | Datos reales llegan al proveedor de IA | Sí, todos | Los que se escapan | No | | Consistencia para analizar | Total | Rota | Total (etiquetas) | | Reversible después | — | A mano | En un clic, en local | | Esfuerzo por archivo | Cero | Alto y repetido | Un arrastre | | Riesgo RGPD | Alto | Medio (error humano) | Reducido (no eliminado) |

Pruébalo sin registrarte

La mejor forma de entender la vía 3 es verla: abre la demo con un archivo de ejemplo o arrastra uno tuyo — la detección corre en tu navegador y el archivo no sale de tu equipo. Y si gestionas nóminas, tenemos una guía específica.


← Volver al blog