Saltar al contenido
    Volver al blog

    RGPD e IA: qué NO debes pegar nunca en ChatGPT en tu despacho

    Equipo VecinApp13 de julio de 202610 min de lectura

    Herramientas como ChatGPT, Claude o Gemini se han colado en el día a día de muchos despachos de administración de fincas. Redactan avisos, resumen informes y ordenan presupuestos en segundos. El problema aparece cuando, para pedir esa ayuda, pegamos en el chat el email del propietario tal cual llegó: con su nombre, su DNI, su IBAN y el detalle de por qué no ha pagado. En ese momento estamos tratando datos personales, y el RGPD nos obliga a hacerlo con cabeza.

    Este artículo no va de asustar ni de prohibir la IA. Va de usarla sin cometer una infracción de protección de datos. Te explicamos qué no debes pegar nunca, cómo anonimizar de verdad (que es más difícil de lo que parece), la diferencia entre una cuenta gratuita y un entorno profesional con contrato de encargado del tratamiento, y por qué la IA inventa artículos de la Ley de Propiedad Horizontal con un aplomo que engaña. Si aún no la usas en tu despacho, empieza por la guía general de inteligencia artificial para administradores de fincas.

    Qué NO debes pegar nunca en una IA pública

    La regla base del RGPD es la minimización: solo debes tratar los datos estrictamente necesarios para la finalidad. Y para que la IA te redacte un aviso o te resuma un informe casi nunca necesita saber quién es la persona concreta. Estos son los datos que deberían quedarse fuera del chat de una herramienta pública:

    • Nombres y apellidos de propietarios, inquilinos, empleados o proveedores.
    • DNI, NIE o número de pasaporte, que identifican de forma inequívoca a una persona.
    • Datos bancarios: IBAN, número de cuenta, mandatos SEPA o cualquier referencia de cobro.
    • Dirección postal completa unida al nombre, teléfonos y correos electrónicos personales.
    • Datos de categoría especial (art. 9 RGPD): información de salud (una incidencia que menciona la movilidad reducida de un vecino, un parte médico adjunto), afiliación sindical, ideología o datos que revelen la vida privada. Estos gozan de protección reforzada.
    • Situaciones de morosidad, conflictos o sanciones vinculadas a una persona identificable. Que el vecino del 3ºB debe seis recibos es un dato personal negativo con consecuencias reales para él.

    La duda razonable es: «¿y si la herramienta promete que no guarda nada?». El matiz es importante y lo vemos más abajo, pero como norma de partida: si el dato no aporta nada a la tarea, no lo pegues. La mejor forma de no tener una brecha es no exponer el dato.

    Anonimizar de verdad: por qué quitar el nombre no basta

    Aquí está el error más frecuente y peligroso. Muchos administradores creen que, borrando el nombre, ya han anonimizado el texto. No es así. El RGPD y la Agencia Española de Protección de Datos (AEPD) distinguen entre anonimización (romper de forma irreversible el vínculo con la persona, de modo que ya no sea identificable) y seudonimización (sustituir los identificadores por una etiqueta, pero manteniendo la posibilidad de reidentificar). Solo lo primero saca el dato del ámbito del RGPD.

    El problema es que una persona puede seguir siendo identificable por el contexto aunque le quites el nombre. Un ejemplo real:

    • Texto que crees anonimizado: «El propietario del ático de la calle Mayor 12 de Ripoll, con una deuda de 4.300 € y en trámite de divorcio, solicita fraccionar el pago».
    • Realidad: en un edificio solo hay un ático. Con la dirección, el importe exacto de la deuda y el dato de divorcio, esa persona es perfectamente identificable. Has quitado el nombre pero no has anonimizado nada. Y encima has añadido un dato de la vida privada.

    Anonimizar de verdad significa eliminar o generalizar todos los elementos que, solos o combinados, permitan llegar a la persona: sustituir la dirección por «una comunidad», el importe exacto por «una deuda de varios recibos», y suprimir cualquier circunstancia personal irrelevante para la tarea. Para pedir a la IA que te redacte un requerimiento de pago no necesita saber ni el nombre, ni la calle, ni que el vecino se está divorciando.

    Una técnica sencilla y segura: trabaja siempre con etiquetas genéricas (propietario A, unidad 1, importe X) y reintroduce tú los datos reales al final, cuando copias el borrador a tu documento. La IA nunca llega a ver el dato real. Cómo estructurar bien esa instrucción lo desarrollamos en la guía del prompt perfecto para administradores de fincas.

    Un prompt que anonimiza por diseño

    Este ejemplo está pensado para que la IA trabaje sin datos reales. Copia, adapta y pega tú los datos verdaderos al final, en tu propio documento:

    Actúa como administrador de fincas. Redacta un requerimiento de
    pago formal y cordial dirigido a un propietario.
    
    Usa estas etiquetas genéricas, NO inventes datos personales:
    - Deudor: [PROPIETARIO A]
    - Unidad: [UNIDAD X]
    - Importe adeudado: [IMPORTE]
    - Nº de recibos pendientes: [N]
    
    Tarea: redacta un texto que recuerde la deuda, invite a regularizarla
    en un plazo de 15 días y advierta de que, en caso contrario, el asunto
    se llevará a la junta para su reclamación por vía monitoria.
    
    Formato: carta de máximo 200 palabras.
    Tono: formal, respetuoso y sin amenazas.
    No incluyas nombres, direcciones ni números de cuenta reales.

    Cuando la IA te devuelva el borrador con los corchetes, sustituyes tú los valores reales en tu editor de textos. El dato personal nunca ha salido de tu ordenador.

    Cuenta gratuita vs. entorno profesional: el contrato de encargado

    Aquí es donde muchos despachos incumplen sin saberlo. Cuando tratas datos de propietarios, tú (o la comunidad) actuáis como responsable del tratamiento. Si metes esos datos en una herramienta de un tercero que los procesa por ti, ese tercero es un encargado del tratamiento, y el artículo 28 del RGPD exige que exista un contrato de encargo por escrito que regule qué hace con los datos, con qué garantías y prohibiéndole usarlos para sus propios fines.

    La diferencia práctica entre los dos escenarios es enorme:

    • Cuenta gratuita o personal (ChatGPT, Gemini, etc.): por defecto, muchas versiones de consumo pueden usar tus conversaciones para entrenar sus modelos, no ofrecen contrato de encargado del tratamiento firmado con tu despacho y no garantizan dónde se almacenan los datos. No cumples el art. 28. No debes volcar en ellas datos personales de terceros.
    • Planes profesionales / empresariales (Team, Enterprise, API, Azure OpenAI, etc.): suelen ofrecer un Data Processing Agreement (DPA), el compromiso de no entrenar los modelos con tus datos, control de la región de almacenamiento y medidas de seguridad. Con el DPA firmado y la configuración correcta, sí puedes tratar datos personales dentro del marco del art. 28.

    Dos comprobaciones antes de usar cualquier herramienta con datos reales: (1) que exista y hayas firmado un contrato de encargado del tratamiento o DPA, y (2) que esté desactivado el entrenamiento con tus conversaciones (en muchas herramientas es una casilla en ajustes que hay que apagar expresamente). Si no puedes marcar esas dos casillas, trabaja solo con datos anonimizados.

    Ojo también con las transferencias internacionales: si el proveedor procesa los datos fuera del Espacio Económico Europeo, necesitas una garantía adicional (cláusulas contractuales tipo o marco de adecuación equivalente). Es otro motivo para preferir planes profesionales con la documentación en regla.

    La trampa silenciosa: la IA se inventa artículos de la LPH

    Aunque resuelvas perfectamente la parte de datos, queda un riesgo distinto que afecta directamente a tu responsabilidad profesional: la IA alucina. Es habitual que cite artículos de la Ley de Propiedad Horizontal que no existen, que atribuya a un artículo real un contenido que no le corresponde o que invente plazos y mayorías. Y lo hace con un tono tan seguro que resulta creíble.

    Un caso típico: preguntas «¿qué mayoría hace falta para instalar un ascensor?» y la IA responde con aplomo citando «el artículo 17.5 de la LPH» cuando el contenido correcto puede estar en otro apartado, o mezcla la regulación de accesibilidad con la de eficiencia energética. Si trasladas ese dato a una convocatoria o a un acta sin verificarlo, el error es tuyo, no de la máquina.

    La regla de oro: la IA propone, tú dispones. Úsala para redactar y ordenar, pero cualquier plazo, mayoría, quórum o artículo que vayas a comunicar a un propietario o a plasmar en un documento oficial debe contrastarse con el texto consolidado del BOE. Nunca cites la ley basándote solo en lo que diga el chat. Verificar la fuente oficial es parte del trabajo, no un extra.

    Checklist rápido antes de pulsar «enviar» a la IA

    • ¿He quitado nombres, DNI, IBAN y datos de salud?
    • ¿El texto que queda permite identificar a alguien por el contexto (dirección + importe + circunstancia)? Si sí, generalízalo más.
    • ¿Estoy en una herramienta con contrato de encargado (art. 28) y entrenamiento desactivado? Si no, trabaja solo con datos anonimizados.
    • ¿Voy a verificar en el BOE cualquier artículo, plazo o mayoría antes de comunicarlo?
    • ¿He registrado este tratamiento en el registro de actividades y lo contemplan los contratos con mis comunidades?

    Aprende a usar la IA sin exponer datos, paso a paso y gratis

    El cumplimiento del RGPD con IA no se aprende de un tirón: se practica. Para eso hemos creado la VecinApp Academy, una academia gratuita de inteligencia artificial para administradores de fincas, con lecciones cortas y ejercicios reales de anonimización, prompts seguros y verificación de fuentes. El acceso es por invitación y lista de espera, así que apúntate cuanto antes para reservar tu plaza.

    Y si prefieres una plataforma que ya integra la IA respetando la protección de datos de tus comunidades —con los tratamientos y contratos pensados para el sector— VecinApp lo pone todo en un mismo sitio.

    Usa la IA en tu despacho sin infringir el RGPD

    Apúntate gratis a la VecinApp Academy o prueba VecinApp sin compromiso.

    Acceder a la Academy

    Digitaliza la gestión de tus comunidades

    VecinApp automatiza cobros SEPA, incidencias, juntas y comunicación. Prueba gratis durante 30 días, sin compromiso.

    Términos del glosario relacionados

    Consulta el glosario completo de administración de fincas con todos los términos legales y técnicos del sector.

    Usamos cookies propias y de terceros con fines analíticos y de publicidad. Las técnicas, necesarias para que el sitio funcione, siempre están activas. Puedes aceptarlas, rechazarlas o elegir por categoría; podrás cambiar tu decisión cuando quieras desde «Cookies». Más información.