La IA y Fundae. La inteligencia artificial nos ahorra horas; lo que no puede ahorrar es una brecha de DNIs. Si gestionas Fundae y estás usando herramientas de IA para generar listas de asistencia, relaciones de material, diplomas o documentación de alumnos, este post te interesa. Te explico riesgos, errores típicos y un protocolo práctico para automatizar sin exponer datos personales.

1) El atajo que se vuelve fuga: por qué un DNI acaba en un chatbot (sin que nadie lo note)

La presión del tiempo vs. la ausencia de protocolo

En centros pequeños y pymes, la tentación es real: copiar y pegar nombres completos y DNIs en un chatbot para que “dé formato” a la lista de asistencia o a la relación de material recibido. La herramienta devuelve el documento en segundos y seguimos con el día. El problema es que la velocidad no sustituye la gobernanza. Como me gusta recordar: “La velocidad sin gobernanza es la receta perfecta para filtrar datos sin darte cuenta.”

El desfase es evidente: la IA avanza a toda velocidad y entra en el escritorio del trabajador antes de que existan políticas claras de uso. Esto abre grietas: nadie revisa qué se ha pegado al prompt, nadie valida si esa herramienta garantiza confidencialidad, y nadie piensa en qué ocurre con ese contenido en historiales, copias de seguridad y registros.

Dónde se quedan tus datos: historiales, logs y nubes de terceros

Aunque borres el chat, los datos pueden haber pasado por registros de auditoría, colas de procesamiento, snapshots, caches o backups. Si usas cuentas gratuitas o estándar, no controlas retención, entrenamiento del modelo, ubicación ni transferencias. Resultado: imposibilidad de trazar copias en nubes de terceros y duda razonable ante una auditoría o requerimiento. No es ciencia ficción; es cómo funcionan muchos servicios en la práctica: mejoran producto con datos, conservan registros técnicos y pueden recibir órdenes legales que alargan retenciones. Para documentación Fundae, donde se identifica a los participantes por DNI/NIE/pasaporte, el riesgo se multiplica.

Aquí no hablamos de demonizar la IA, sino de usar la herramienta correcta con el contrato correcto para el tipo de dato que manejas.

2) Lo que dicen AEPD y Fundae (y por qué aquí el riesgo se multiplica)

Prohibido subir datos personales a la IA: sentido común regulatorio

Las recomendaciones públicas de protección de datos son claras: no compartas con herramientas de IA datos personales identificables (nombres completos, DNIs, emails personales, etc.), y menos aún datos especiales (salud, afiliación sindical, etc.). Además, principios como minimización, limitación de la finalidad, confidencialidad y seguridad (art. 5 y 32 RGPD) obligan a limitar, proteger y justificar cada tratamiento.

Fundae exige identificación por DNI/NIE: dato sensible por diseño

En el flujo de Fundae se identifican participantes y se generan evidencias (asistencias, comunicaciones, materiales) vinculadas a documentos oficiales de identidad. Es decir, el dato personal es estructural al proceso: no puedes prescindir de él, pero sí puedes decidir dónde lo tratas. La conclusión operativa es simple: no subas DNIs/identificadores a chatbots públicos para tareas de formato. Si necesitas IA, que sea en entornos empresariales (API/Enterprise) con garantías contractuales y técnicas, o bien pseudonimiza antes de procesar.

3) IA y Fundae: Errores comunes en centros de formación que no están bien informados

“Solo era una prueba”: listas de asistencia y material con datos reales

El clásico: alguien “prueba” una plantilla de asistencia pegando datos reales en un chat público. La intención es buena (ahorrar tiempo), el resultado es malo: exposición y pérdida de control sobre la información. Incluso si luego sustituyes el contenido por iniciales o asteriscos, ya hubo una fuga en el envío inicial.

Plantillas sin política de datos y sin pseudonimización

Otro fallo habitual es trabajar sin política de IA y sin plantillas que obliguen a pseudonimizar: usar identificadores temporales (p. ej., ALU_023 en lugar de “María Pérez – 12345678X”), y luego reconciliar en un entorno seguro. Sin esta disciplina, la gente copia y pega datos reales por impulso. Aquí es donde un gestor con experiencia marca la pauta y entrena al equipo.

4) IA y Fundae, el protocolo seguro para automatizar sin exponerte

Cuentas enterprise/API con “no training” y acuerdos de encargo

La IA se puede usar bien: en cuentas empresariales o vía API, con No Training por defecto, acuerdos de encargo de tratamiento, controles de acceso por rol, SLA, logs de auditoría, DLP y cifrado. Mi criterio práctico es sencillo: “En mis proyectos, si una herramienta no garantiza confidencialidad, ese DNI no entra.” Además, pide registros de acceso, matriz de transferencias y documentación de retenciones.

Pseudonimización, tokens y datos sintéticos en los prompts

Evita subir datos reales a la fase de redacción/formato. Emplea:

• Pseudonimización: reemplaza DNIs/nombres por identificadores temporales.
• Tokens limitados: comparte solo lo mínimo necesario (columnas, estructura, campos vacíos, ejemplos sintéticos).
• Datos sintéticos: genera 3–5 filas falsas para construir la plantilla.
• Reglas de prompt: “No uses datos personales; céntrate en dar formato a esta estructura”.

Checklist técnico (copiar/pegar en tu política)

• Acceso sólo a cuentas corporativas; MFA obligatorio.
• Bloqueo de chats públicos desde el proxy/Firewall (domain allow/deny list).
• DLP: inspección y bloqueo de patrones de DNI/NIE/NIF en salida.
• Cifrado en tránsito y en reposo; claves gestionadas por la empresa.
• Retención: política explícita (p. ej., 30/90 días) + borrado verificable.
• Registro de actividad: quién, cuándo, qué dato, qué herramienta.
• Revisión trimestral de proveedores y cambios de condiciones.

Tabla comparativa (orientativa)

Criterio	Chat público/gratuito	Cuenta Enterprise/API
Control de datos	Limitado/ninguno	Alto (contratos y panel admin)
Entrenamiento con tus datos	Posible/por defecto en algunos servicios	Desactivado por defecto (según proveedor)
Retención & ubicación	Opaca/variable	Configurable y documentada
Contratos & DPA	No aplica o genéricos	Encargo de tratamiento + anexos de seguridad
Roles & accesos	Usuario final	SSO, RBAC, auditoría
DLP & cifrado	No gestionado	Políticas DLP, KMS, cifrado robusto
Caso Fundae	No recomendado	Recomendado con pseudonimización

Importante: las capacidades exactas varían por proveedor. Valida siempre documentación y contratos vigentes.

5) IA y Fundae ¿Cuándo y por qué un gestor externo marca la diferencia?

Gobernanza, evidencias y trazabilidad en auditoría

Un gestor experto traduce RGPD a operaciones: define políticas, crea plantillas que evitan datos reales, establece un ciclo de evidencias y documenta quién hizo qué. Además, articula el encargo de tratamiento con proveedores (IA incluida), mapea flujos de datos y define controles. En una auditoría o ante un requerimiento, esto acorta tiempos y reduce sanciones.

Cómo medir el riesgo que realmente reduces

• Métrica 1: % de tareas Fundae automatizadas sin datos reales en el prompt (objetivo ≥ 90%).
• Métrica 2: Incidentes por exposición de DNI/NIE (objetivo 0).
• Métrica 3: Trazabilidad (porcentaje de evidencias con log completo).
• Métrica 4: Tiempo de preparación de documentos vs. base (ahorro con IA segura).

Un buen gestor no solo “cumple Fundae”; reduce superficie de riesgo y acelera sin perder control.

6) Plantilla express de decisiones (para el lunes)

Qué sí puedes pedir a la IA (sin datos reales)

• Generar plantillas de listas de asistencia y de material con datos ficticios.
• Redactar instrucciones y procedimientos para tu equipo.
• Crear macros o transformaciones para hojas de cálculo (sin contenido personal).
• Explicar normativa en lenguaje claro para formación interna.

Qué no debes subir jamás

• DNIs/NIEs, nombre + apellidos, fecha de nacimiento, direcciones, teléfonos, emails personales, fotos de documentos.
• Nº de afiliación a la Seguridad Social, datos bancarios, nóminas.
• Datos especiales: salud, discapacidad, afiliación sindical, creencias, etc.
• Cualquier dataset que permita reidentificación (combinaciones únicas de campos).

Regla práctica: si el documento va a formar parte del expediente Fundae, no lo pegues tal cual en un chat.

7) FAQ rápidas para dirección y RR. HH.

¿Puedo usar un chatbot público para dar formato a listas de asistencia si quito los DNIs?
No. Normalmente quedan metadatos y contextos que permiten reidentificación, y además podrías estar infringiendo principios de minimización y confidencialidad. Usa cuentas empresariales y pseudonimiza.

¿Qué alternativa segura tengo para automatizar tareas Fundae?
Plantillas + datos sintéticos, procesamiento en entorno enterprise/API con No Training, DLP y encargo de tratamiento.

¿Enterprise lo arregla todo?
No. Reduce riesgos, pero necesitas políticas, roles, logs y pseudonimización. Y revisar condiciones del proveedor.

¿Hace falta un gestor externo si tengo departamento interno?
Depende del volumen y del apetito de riesgo. Un gestor experto acelera la implantación, evita errores comunes y se encarga de la gobernanza.

¿Y si ya subimos datos por error?
Activa tu procedimiento de brechas: contención, registro, notificación si procede, y lecciones aprendidas (bloquear chats públicos, política de IA, formación).

Conclusión

La IA es una herramienta extraordinaria para la gestión de Fundae; lo que no es extraordinario es compartir DNIs en chats sin control. Si quieres automatizar sin exponer a tu gente, adopta entornos empresariales, pseudonimiza por defecto y trabaja con un gestor profesional. Automatiza lo repetitivo; la privacidad no es negociable.

“La IA nos ahorra horas; lo que no puede ahorrar es una brecha de DNIs.”

Recursos útiles (para ampliar)

• AEPD — Recomendaciones para proteger la privacidad al usar IA.
• Fundae — Guías y documentación de convocatorias y comunicación.
• OpenIA — Políticas de privacidad y seguridad de proveedores de IA en modalidad Enterprise/API.