Anoply
Volver al blog
Artículo

Cómo enviar datos a ChatGPT sin violar el RGPD

Por qué cargar nombres y NIFs reales en ChatGPT te puede costar una multa de la AEPD, y cómo evitarlo en 60 segundos.

3 min lecturaLorea Montes

Cada semana hay un asesor o un abogado que me pregunta lo mismo: «Lorea, ¿puedo pasarle este Excel de clientes a ChatGPT para que me resuma cuentas atrasadas?». La respuesta corta es no, al menos no como suena. La respuesta larga ocupa este artículo.

Lo que pasa cuando subes datos a una IA

Cuando pegas un Excel con DNIs, IBANs y nombres en ChatGPT (o cualquier IA equivalente), estás haciendo una transferencia internacional de datos a un proveedor estadounidense que probablemente no figura como encargado del tratamiento en tu RAT (Registro de Actividades de Tratamiento).

El RGPD considera ese gesto como un tratamiento de datos personales por parte de un tercero. Para que sea legal necesitas, como mínimo:

  1. Que el proveedor (OpenAI en el caso de ChatGPT) sea encargado del tratamiento por contrato escrito.
  2. Que tus clientes hayan dado consentimiento expreso para que sus datos viajen a EE. UU.
  3. Que ese país esté en la lista de terceros adecuados o que tengas firmadas las cláusulas tipo de la Comisión Europea.

En la práctica, ninguna pyme española cumple estas tres condiciones. Y la AEPD lo sabe.

Las multas que ya están cayendo

En 2024 y 2025 ya hay sanciones públicas de la AEPD a despachos por exactamente este motivo: pegar bases de clientes en herramientas de IA sin las garantías legales. Las multas se mueven entre 1.000 € y 40.000 € según el volumen.

No te van a multar por usar ChatGPT como tu becario. Te van a multar por hacerlo con datos personales reales sin las garantías RGPD.

La salida limpia: pseudonimizar antes de subir

El RGPD distingue entre dato personal y dato pseudonimizado. Un dato pseudonimizado sigue estando regulado, pero si la passphrase para revertirlo solo la tienes tú y no la entregas al proveedor de IA, el riesgo real baja muchísimo y muchos abogados argumentan que ya no encajas como «transferencia internacional».

El flujo recomendado por la propia Agencia Española de Protección de Datos cuando preguntas en foros y formaciones es:

  1. Pseudonimiza los datos en local (sin que salgan de tu equipo).
  2. Procesa la versión pseudonimizada en ChatGPT, Claude o el modelo que prefieras.
  3. Si necesitas resultados sobre datos originales, reviértelos en local cuando recuperes la respuesta.

Por qué Anoply

Anoply hace exactamente eso: detectar y pseudonimizar antes de que los datos salgan de tu navegador. Sube un Excel, marca lo que quieras anonimizar, te llevas el archivo limpio y un mapa cifrado con tu passphrase. Sin servidor que toque el contenido.

¿Caso real? Pasas un Excel con 200 clientes:

  • Juan GarcíaNOMBRE_001
  • 12345678ZDNI_001
  • ES66 2100 0418 4012 3456 7891IBAN_001

Subes el Excel pseudonimizado a ChatGPT, le pides el análisis que quieras, copias la respuesta, la pegas en Anoply en modo «revertir» y los pseudónimos vuelven a ser nombres reales. Cinco minutos. Sin que ningún dato real haya tocado la nube.

Conclusión

Cumplir el RGPD usando IA no significa renunciar a la IA. Significa pseudonimizar antes y revertir después. Anoply es la herramienta más rápida que conozco para hacerlo bien.

Si tu despacho gestiona datos reales y todavía no tienes un proceso para esto, empieza por aquí.