Lección 18 de 21Módulo 6: Riesgos, ética y compliance regulatorio

18. Privacidad de datos contables: GDPR, LGPD, Ley 21.719

Datos de clientes en LLMs. Anonimización. Acuerdos de procesamiento de datos. Casos de multas LATAM.

23 minutos

Cuando enviás un libro mayor, una nómina o un listado de clientes a un LLM — sea ChatGPT, Claude o Gemini — estás transmitiendo datos personales sujetos a regulación de privacidad. Esta es la lección más infravalorada del curso, y la que más rápido puede costarle multas a tu firma.

Los datos contables son PII (y mucha)

Un sistema contable típico contiene información personalmente identificable (PII) en abundancia:

Tipo de dato contable PII contenida
Libro de remuneraciones RUT/CURP/DNI, nombre completo, salario, AFP/ISAPRE, dirección, dependientes
Cuentas por pagar Datos de proveedores personas físicas, montos, conceptos
Cuentas por cobrar Datos de clientes, historial de mora, capacidad de pago
Facturas de gastos reembolsables Movimientos de empleados, ubicación, hábitos
Honorarios profesionales Datos de personas físicas, ingresos por servicios

Salario, posición geográfica, historial financiero y datos de salud (aportes a salud) son categorías sensibles en varias jurisdicciones. Esto no es contabilidad anónima: es información sobre personas reales con derechos reconocidos por ley.

⚠️ Implicancia inmediata

Si un contador copia y pega un libro de remuneraciones en el chat público de ChatGPT Free para "que lo analice", está realizando una transferencia internacional de datos personales sin base legal y, con alta probabilidad, contribuyendo al entrenamiento del modelo. Esto puede constituir infracción en todas las jurisdicciones que veremos a continuación.


Mapa regulatorio LATAM + UE (mayo 2026)

Cada jurisdicción tiene su régimen. No son intercambiables. Esto es lo vigente:

Jurisdicción Ley Vigente desde Autoridad
Unión Europea Reglamento (UE) 2016/679 (GDPR) 25 may 2018 DPAs nacionales (AEPD, CNIL, etc.)
Brasil Lei 13.709/2018 (LGPD) 18 sep 2020 (sanciones desde ago 2021) ANPD
Chile Ley 21.719 Publicada dic 2024, vigencia plena dic 2026 Agencia de Protección de Datos Personales
México Nueva LFPDPPP (sector privado) Publicada DOF 20 mar 2025, en vigor 21 mar 2025 Secretaría Anticorrupción y Buen Gobierno (sustituye al INAI)
Argentina Ley 25.326 2000, con proyecto de actualización en discusión AAIP
Colombia Ley 1581/2012 2012 SIC
Perú Ley 29733 2011 ANPD Perú

Lo nuevo en LATAM (relevante para 2026)

  • Chile, Ley 21.719: publicada en el Diario Oficial el 13 de diciembre de 2024. Establece un plazo de adecuación de 24 meses, por lo que su régimen sancionador entra en pleno vigor en diciembre de 2026. Crea la Agencia de Protección de Datos Personales y eleva multas significativamente respecto a la antigua Ley 19.628.

  • México, nueva LFPDPPP: la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada en el DOF el 20 de marzo de 2025 y entró en vigor el 21 de marzo de 2025, derogando la ley de 2010. Tras la reforma constitucional, el INAI fue eliminado como órgano autónomo y sus funciones de protección de datos pasaron a la Secretaría Anticorrupción y Buen Gobierno. El Ejecutivo tiene 90 días para emitir las modificaciones al reglamento.

  • Argentina, Ley 25.326: continúa vigente. Existe proyecto de actualización en el Congreso, sin sanción en mayo 2026. La AAIP (Agencia de Acceso a la Información Pública) sigue siendo la autoridad.

  • Brasil, LGPD: la ANPD ha incrementado actividad sancionadora desde 2023. En 2025-2026 hay precedentes de multas significativas a empresas de servicios.

📚 Fuentes verificables


Multas: rangos por jurisdicción

Según la regulación vigente, las multas máximas pueden llegar hasta:

Jurisdicción Multa máxima
GDPR (UE) €20.000.000 o 4% facturación global anual (la mayor)
LGPD (Brasil) 2% facturación en Brasil, hasta R$ 50.000.000 por infracción
Ley 21.719 (Chile) Hasta 20.000 UTM por infracciones gravísimas (≈ USD 1,3M aprox.)
LFPDPPP (México) Hasta 320.000 días de UMA (≈ MXN 35M+ aprox.)
Ley 25.326 (Argentina) Multas administrativas según escala (escalas en revisión)

Las cifras son máximos legales. Las autoridades evalúan proporcionalidad, reincidencia, voluntad de colaboración y medidas correctivas. Para nuestros fines, basta entender que el orden de magnitud es relevante para una firma profesional.


El problema concreto: APIs de LLM y datos personales

Cuando enviás datos a la API de OpenAI, Anthropic o Google, ocurren legalmente varias cosas simultáneas:

  1. Transferencia internacional: los servidores están típicamente en EE.UU. (a veces UE para Enterprise tiers).
  2. Tratamiento por encargado (procesador): el proveedor procesa datos en tu nombre.
  3. Posible uso para entrenamiento: depende del tier contratado.
  4. Retención: período en el que el proveedor conserva los datos.

Cada uno de estos puntos tiene implicaciones legales distintas.

Free tier vs Enterprise: la diferencia que pocos entienden

Esta es la distinción más importante de toda la lección:

Aspecto Free / Plus consumer Enterprise / API con DPA
¿Usan tus datos para entrenar? Sí (a menos que optes por excluirte) No (contractualmente prohibido)
¿Hay DPA firmable? No
¿Soporta cláusulas de transferencia internacional (SCCs)? No Sí, en planes empresariales
Retención de prompts Variable, no controlada Configurable, normalmente 30 días o cero
Residencia de datos (EU data residency) No Sí en planes Enterprise (Azure OpenAI EU, Anthropic EU regions, Google Vertex EU)
Logs accesibles No Sí, para auditoría

🚫 Regla absoluta

Nunca envíes datos contables o personales de clientes a un tier consumer (Free o Plus personal). Tu firma profesional no puede argumentar diligencia debida si está usando un canal que contractualmente puede entrenar modelos con esos datos. Esto es válido para GDPR, LGPD, Ley 21.719 y prácticamente todas las leyes LATAM.

El DPA: tu primera línea de defensa legal

Un Data Processing Agreement (DPA) — Acuerdo de Tratamiento de Datos — es el contrato que regula la relación entre tu firma (responsable o encargado) y el proveedor de IA (subencargado). Los proveedores enterprise ofrecen DPAs estándar:

  • OpenAI: openai.com/policies/data-processing-addendum
  • Anthropic: DPA disponible para clientes API con plan adecuado.
  • Google Cloud / Vertex AI: DPA dentro del marco de Google Cloud, con módulos específicos para IA.
  • Microsoft Azure OpenAI: cubierto por el DPA general de Microsoft Online Services.

Un DPA bien firmado debería contener al menos:

  • Objeto, naturaleza, finalidad y duración del tratamiento.
  • Categorías de datos personales y de interesados.
  • Obligaciones y derechos del responsable.
  • Compromiso de no usar datos para entrenamiento.
  • Subcontratistas autorizados (subprocessors).
  • Cláusulas de transferencia internacional (SCCs aprobadas por la UE).
  • Procedimiento de notificación de incidentes (data breach).
  • Asistencia para responder a derechos de los interesados (ARCO, en LATAM).
  • Auditoría y certificaciones (ISO 27001, SOC 2 Type II).

Anonimización: la otra estrategia

Aún con DPA firmado, la mejor práctica es minimizar PII antes de enviar datos al LLM. Tres técnicas, ordenadas por eficacia:

1. Seudonimización

Reemplazar identificadores directos por códigos. RUT 12.345.678-9 se convierte en EMPL_0042. Mantienes utilidad analítica y reduces riesgo.

Original:
"Juan Pérez (RUT 12.345.678-9) recibió pago de $1.245.000
por servicios profesionales el 12/04/2026"

Seudonimizado:
"PROV_0042 recibió pago de $1.245.000
por servicios profesionales el 12/04/2026"

Bajo GDPR (Considerando 26), los datos seudonimizados siguen siendo datos personales si el responsable conserva la clave. Pero el riesgo en caso de filtración es mucho menor.

2. Anonimización real (irreversible)

Eliminar la posibilidad de re-identificar a la persona, incluso combinando con datos externos. Es difícil de lograr al 100% en contabilidad porque montos y fechas pueden actuar como cuasi-identificadores.

3. Reemplazo por placeholders + procesamiento local previo

Pipeline recomendado:

1. Extracción local (sin enviar a la nube): identificar PII con
   regex o un modelo on-device (Document AI on-prem).
2. Reemplazo por placeholders: {NOMBRE_1}, {RUT_1}, {DIRECCION_1}.
3. Envío al LLM solo del texto con placeholders.
4. Re-identificación local: reemplazar placeholders por valores
   originales en el output, si es necesario.

Este patrón se llama PII-redaction pipeline y es estándar en sistemas serios de IA con datos sensibles.

🛠️ Herramientas para esto

En el stack 2026, Microsoft Presidio (open source) y servicios de Google DLP (Data Loss Prevention) automatizan la detección y enmascaramiento de PII antes de enviar a un LLM. Las cuatro Big Four las usan internamente.


Caso práctico: análisis de remuneraciones con Claude Opus

Imaginemos que querés que Claude Opus 4.7 analice anomalías en una nómina de 240 empleados. Comparemos el enfoque ingenuo con el enfoque correcto.

❌ Enfoque ingenuo (no hagas esto)

Subir el Excel completo con nombres, RUTs, salarios y direcciones al chat de claude.ai personal. Pedir "encontrame anomalías".

Problemas: tier consumer, datos pueden quedar retenidos, no hay DPA, no hay base de licitud documentada para el tratamiento, no hay registro en tu actividad de tratamiento.

✅ Enfoque correcto

  1. Base de licitud: documentás que el tratamiento es necesario para el cumplimiento de una obligación legal (auditoría) o por interés legítimo (control financiero), con evaluación de impacto si aplica.
  2. Anonimización: convertís el Excel a EMPL_001, EMPL_002, etc. Sustituís RUTs por hashes y direcciones por ciudad.
  3. Canal: usás Claude API vía Anthropic con plan empresarial y DPA firmado, o Claude vía AWS Bedrock con DPA de AWS.
  4. Procesamiento: enviás solo el dataset anonimizado.
  5. Re-identificación: en tu entorno local, mapeás resultados a empleados reales.
  6. Registro: dejás constancia en tu Registro de Actividades de Tratamiento (RAT bajo GDPR, ROPA en LATAM).
  7. Retención: configurás retención cero en Anthropic API para esa carga.

Esta diferencia operativa, en una inspección, es lo que separa una multa de una operación documentada y defendible.


Casos de sanciones (referencias verificables)

Para que el riesgo sea concreto, algunos casos públicos:

  • AEPD España (2023): multa a una entidad bancaria por €6 millones por tratamiento ilícito de datos en sistemas automatizados de scoring. Sanción pública en aepd.es/prensa-y-comunicacion.
  • CNIL Francia (2024): sanción de €10 millones a una empresa por uso de cookies sin base de licitud adecuada. cnil.fr/fr/sanctions.
  • ANPD Brasil: ha emitido sanciones a empresas de tecnología por LGPD desde 2023; el listado público está en gov.br/anpd.
  • Garante della Privacy (Italia): en 2023 ordenó la suspensión temporal de ChatGPT en Italia por temas de base de licitud y protección de menores. Resolución pública en gpdp.it.

En LATAM, las sanciones específicas a uso de IA con datos personales aún son menos numerosas, pero el marco está dado y las autoridades están desarrollando criterios. No esperes a ser el caso testigo.


Checklist de cumplimiento para tu firma (hoy)

Antes del próximo encargo donde uses IA con datos de clientes, verificá:

  • Identificaste qué LLM(s) usa tu firma y bajo qué tier.
  • Tenés DPA firmado con cada proveedor enterprise.
  • Tu RAT/ROPA registra el tratamiento "uso de LLM para procesamiento contable".
  • Tenés política interna escrita prohibiendo subir datos de clientes a tiers consumer.
  • El personal está formado sobre seudonimización antes de enviar datos a LLM.
  • El pipeline incluye anonimización o redacción de PII donde es razonable.
  • Tenés base de licitud documentada para el tratamiento (interés legítimo, ejecución contractual o consentimiento según corresponda).
  • El contrato con el cliente menciona que podés usar tecnología de terceros para el encargo.
  • Si transferís datos fuera de la jurisdicción del cliente, hay cláusulas tipo (SCCs equivalentes) o decisión de adecuación.

🎯 Punto irrenunciable

Si una de estas casillas no la podés marcar hoy, detené el uso de IA con datos reales de clientes hasta resolverlo. Una multa o una pérdida de cliente por filtración cuesta mucho más que dedicar dos semanas a ordenar el cumplimiento.


Las diferencias clave entre jurisdicciones (resumen operativo)

Tema UE (GDPR) Brasil (LGPD) Chile (Ley 21.719) México (LFPDPPP) Argentina (Ley 25.326)
Bases de licitud 6 + categorías especiales 10 hipótesis Similar a GDPR Consentimiento principalmente Consentimiento + excepciones
Transferencia internacional SCCs, decisión adecuación Cláusulas, decisión ANPD Modelo similar GDPR Cláusulas contractuales Regulado por AAIP
Datos sensibles Régimen estricto Régimen estricto Régimen estricto Régimen reforzado Régimen reforzado
DPO obligatorio Sí en muchos casos Sí (encargado) Sí en casos definidos No siempre Recomendado
Notificación de brechas 72h a autoridad Plazo razonable a ANPD Plazo definido Sin plazo estricto pero esperado Sin plazo único

🧭 No asumas equivalencia

Aunque las leyes LATAM se inspiran en GDPR, no son idénticas. Una transferencia legal bajo Ley 21.719 chilena puede no serlo bajo LGPD brasileña. Si tu firma opera multi-jurisdicción, mapeá país por país.


Próximos pasos

Con esta lección cerramos el Módulo 6: Riesgos, ética y regulación. Llevás:

  • ✅ EU AI Act y su aplicación a contabilidad y auditoría (Lección 16).
  • ✅ NIA 240, 315 y 530 en entornos con IA (Lección 17).
  • ✅ Privacidad de datos contables: GDPR, LGPD, Ley 21.719 y resto LATAM (esta lección).

En el Módulo 7 (lecciones 19-21) pasamos a implementación práctica: stack mínimo viable para una firma LATAM, cálculo de ROI realista y roadmap de 90 días para que cualquier firma — de 3 personas o 300 — pueda empezar mañana.

💡 Acción concreta antes de la próxima lección

Revisá una conversación reciente que hayas tenido con ChatGPT, Claude o Gemini sobre temas de trabajo. ¿Contenía PII de algún cliente? ¿Estaba el tier adecuado? ¿Tenés DPA con ese proveedor? La honestidad de esta auditoría personal te va a dar el verdadero baseline de tu firma.

Próxima lección: 19. Stack mínimo viable para una firma LATAM

Checkpoint de comprensión

3 preguntas para verificar lo aprendido. No afecta tu nota del examen final.

1Bajo GDPR (Considerando 26), ¿qué tratamiento tienen los datos seudonimizados (por ejemplo, RUT reemplazado por EMPL_0042 manteniendo la clave)?
2¿Cuál es la principal diferencia legal entre usar ChatGPT/Claude en tier consumer (Free/Plus personal) versus tier Enterprise/API con DPA para datos contables?
3La Ley 21.719 chilena, publicada en diciembre de 2024, ¿qué plazo de adecuación establece y qué autoridad crea?

Completaste esta leccion?

Marca esta leccion como completada. Tu progreso se guardara en tu navegador.