Subir un extracto bancario a ChatGPT no es automáticamente peligroso, pero tampoco es una transferencia de archivo sin consecuencias. El archivo sale de tu dispositivo, se procesa en los servidores de OpenAI y puede quedar asociado a la conversación según los ajustes de cuenta, espacio de trabajo y retención que estén activos.

Para tu propio extracto, puede ser una decisión aceptable después de eliminar los identificadores innecesarios y revisar tus controles de datos. Para el extracto de un cliente, la respuesta es normalmente no, hasta que hayas confirmado que tienes autorización para enviar ese archivo a este proveedor, que el tipo de cuenta cumple los requisitos de manejo de datos de tu empresa y que los datos del cliente se limitan a lo que la tarea requiere.

La pregunta importante no es solo «¿Puede ChatGPT leer este archivo?». Es: «¿Tengo una razón válida y autorización para divulgar cada dato que contiene?»

Qué pasa con el extracto bancario después de subirlo

Los archivos subidos a ChatGPT se procesan en la infraestructura de OpenAI. No se analizan únicamente dentro de tu navegador ni en tu computadora.

Los controles publicados por OpenAI distinguen entre las cuentas de ChatGPT de uso general y las ofertas comerciales. En una cuenta de uso general, las conversaciones pueden usarse para mejorar los modelos según el ajuste de control de datos de la cuenta. Desactivar «Mejorar el modelo para todos» impide que las nuevas conversaciones se usen para entrenamiento, pero esas conversaciones pueden seguir en el historial.

Temporary Chat modifica parte de ese tratamiento. OpenAI indica que las conversaciones temporales no se usan para entrenamiento de modelos, no aparecen en el historial y se eliminan de sus sistemas después de 30 días. Aun así, pueden ser revisadas por razones de monitoreo de abuso durante ese período.

Las conversaciones normales permanecen en la cuenta hasta que se eliminan. Los archivos generalmente siguen el período de retención de la conversación que los contiene. Después de eliminar una conversación, OpenAI indica que la conversación y el archivo asociado quedan programados para eliminación en un plazo de 30 días, sujeto a las excepciones declaradas, como la desidentificación previa o los requisitos de seguridad y legales.

Los productos comerciales tienen configuraciones predeterminadas diferentes. OpenAI indica que los datos enviados a través de ChatGPT Business, ChatGPT Enterprise y su API no se usan por defecto para entrenar sus modelos. Esta distinción importa, pero «no se usa para entrenamiento» no significa «nunca se almacena», «se procesa localmente» ni «es adecuado para cualquier archivo de cliente».

PreguntaChatGPT de uso generalEspacio de trabajo comercial
¿El contenido se usa para entrenar modelos?Depende del ajuste de control de datos; las conversaciones temporales están excluidasNo se usa para entrenamiento por defecto
¿El archivo sale de tu dispositivo?
¿Puede el archivo permanecer después de la sesión?Sí, según la retención de conversaciones y archivosSí, según los controles de retención del espacio de trabajo
¿La eliminación es inmediata?No; se aplican plazos y excepciones de eliminación publicadosNo; se aplican las políticas del espacio de trabajo y los plazos de eliminación publicados
¿El tipo de cuenta prueba el consentimiento del cliente?NoNo

Por eso un ajuste de privacidad no puede tomar la decisión completa por ti. Controla un uso de los datos. No establece tu autoridad para divulgar el archivo, no elimina los datos confidenciales que contiene ni determina si el resultado es apto para la conciliación.

Un extracto bancario contiene mucho más que un número de cuenta

Redactar el número de cuenta visible ayuda, pero no hace que el extracto sea anónimo.

Un extracto típico puede exponer:

  • El nombre legal y la dirección del titular de la cuenta
  • El nombre del banco, número de cuenta, datos de enrutamiento, IBAN o código bancario
  • Los saldos de apertura y cierre
  • Pagos de nómina, contratistas, proveedores, clientes e impuestos
  • Transacciones de préstamos, seguros, alquiler, gastos médicos y suscripciones
  • Nombres de comercios y ubicaciones de transacciones
  • Referencias de pago interno y números de factura
  • El monto y la fecha de cada movimiento de efectivo en el período

Esos campos crean un registro financiero detallado incluso cuando se elimina el identificador más obvio. El nombre de un cliente puede reaparecer en la descripción de una transacción. Una referencia bancaria puede conectar el extracto con otro sistema. Las líneas de nómina pueden identificar empleados. Los pagos de impuestos pueden revelar la jurisdicción y el ciclo de declaración.

La minimización de datos significa eliminar las columnas y filas que la tarea no requiere, no poner un recuadro negro sobre el número de cuenta y subir el resto.

Si la tarea es preguntar cómo formatear una columna CSV bancaria, usa unas pocas filas ficticias con nombres y valores inventados. Si la tarea es explicar un código de transacción desconocido, proporciona el código y un ejemplo con datos sanitizados. Ninguna de las dos tareas necesita un extracto completo.

Tu extracto y el de un cliente: dos decisiones distintas

Cuando subes tu propio extracto bancario, decides cómo manejar tu propia información. Puedes sopesar el beneficio frente a la divulgación, cambiar los ajustes de la cuenta, redactar el archivo y eliminar la conversación después.

Un contador que maneja el extracto de un cliente está tomando una decisión en nombre de otra persona. El archivo puede estar cubierto por una carta de compromiso, cláusula de confidencialidad, aviso de privacidad, política de seguridad interna, obligación profesional o requisito local de protección de datos. Es posible que el cliente te haya autorizado a procesar el extracto para tareas contables sin autorizar su divulgación a cualquier servicio de IA de uso general que elijas.

Eso genera cuatro verificaciones separadas:

  1. Autorización: ¿Tu acuerdo o las instrucciones documentadas del cliente permiten este tipo de procesamiento con terceros?
  2. Aprobación del proveedor: ¿Tu empresa ha aprobado el producto específico de ChatGPT y el tipo de cuenta que se usa?
  3. Términos de datos: ¿Has revisado los términos actuales de retención, entrenamiento, acceso, eliminación, seguridad y ubicación de datos que aplican a ese producto?
  4. Necesidad: ¿La tarea requiere el extracto completo del cliente, o puede completarse con una muestra más pequeña con datos sanitizados?

Aprobar una verificación no aprueba las demás. Un espacio de trabajo comercial con entrenamiento desactivado no suplanta el consentimiento del cliente. El consentimiento del cliente no hace que una cuenta personal de uso general cumpla con la política de la empresa. Redactar datos no soluciona una tarea que nunca requirió el archivo fuente.

Esta es una pregunta de gobernanza, no un veredicto de que ChatGPT sea inseguro en todo contexto. La IA de uso general puede ayudar a redactar explicaciones, clasificar ejemplos con datos sanitizados o sugerir un flujo de trabajo. La cuestión es si un registro financiero completo de un tercero pertenece a ese flujo de trabajo.

Aplica este test de decisión antes de subir cualquier cosa

No empieces con el botón de subida. Anota la tarea y evalúa si el archivo es necesario.

VerificaciónProcede solo cuando
PropósitoPuedes indicar la tarea exacta que realizará la subida
PropiedadEres dueño de los datos o tienes autorización documentada para procesarlos con este proveedor
Datos mínimosEl archivo no contiene campos, filas ni períodos más allá de lo que la tarea requiere
Tipo de cuentaSabes si la cuenta es de uso general, temporal, Business, Enterprise o vía API
Control de entrenamientoHas verificado el ajuste y la política actuales para esa cuenta específica
RetenciónSabes cuánto tiempo pueden permanecer la conversación y el archivo, y cómo funciona la eliminación
Aprobación internaEl uso cumple con la política de herramientas aprobadas y datos de clientes de tu empresa
Verificación del resultadoUn proceso separado verificará los datos, coincidencias o conclusiones

Si alguna respuesta es desconocida, detente antes de subir. «Supuse que el ajuste estaba desactivado» no es un control. Tampoco lo es eliminar la conversación visible sin conocer la política de retención de archivos aplicable.

Para trabajo profesional, documenta la decisión. La nota no necesita ser larga. Debe identificar el producto aprobado, el tipo de cuenta, la tarea, los datos eliminados, la autorización utilizada y el paso de eliminación. Eso le da a un auditor algo más útil que «usamos ChatGPT».

Si decides usar ChatGPT, reduce el archivo primero

La subida con menos riesgo es la que no necesitas hacer. La mejor opción siguiente es una muestra construida para el propósito que no contenga datos financieros reales.

Cuando se requieren datos reales y la subida ha sido aprobada:

  1. Haz una copia del archivo fuente. Conserva el original sin modificarlo.
  2. Elimina los datos de cuenta y enrutamiento, nombres, direcciones e identificadores de clientes o empleados que la tarea no necesita.
  3. Elimina filas, columnas, archivos adjuntos, notas y períodos de extracto no relacionados con la tarea.
  4. Reemplaza las referencias reutilizables con etiquetas temporales si la tarea no depende de los valores originales.
  5. Confirma la cuenta y el espacio de trabajo. Una cuenta personal y un espacio de trabajo comercial aprobado no son intercambiables.
  6. Revisa los controles actuales de entrenamiento y retención antes de subir, no de memoria.
  7. Evita GPT de terceros, acciones o aplicaciones conectadas a menos que cada destinatario adicional de datos también haya sido aprobado.
  8. Elimina la conversación y el archivo subido cuando la tarea esté completa, luego sigue cualquier registro interno de eliminación requerido por tu empresa.
  9. Verifica cada resultado financiero fuera de la conversación.

Ese último paso es independiente de la privacidad. Un flujo de trabajo privado puede seguir produciendo una conciliación incorrecta. ChatGPT puede describir patrones en un extracto, pero una respuesta pulida no prueba que cada fila fue leída, conciliada una sola vez e incluida en los totales. Los límites se detallan en si ChatGPT puede conciliar archivos CSV de extractos bancarios.

Cuándo la respuesta debe ser no

No subas el extracto cuando:

  • No tienes el permiso del cliente ni otra base documentada para enviarlo al proveedor.
  • Tu empresa no ha aprobado el producto o la cuenta que se usa.
  • El archivo contiene credenciales, datos completos de cuenta, documentos de identidad u otros datos no relacionados con la tarea.
  • No puedes explicar los ajustes de retención y eliminación aplicables.
  • Un extracto con datos sanitizados o un ejemplo sintético respondería la misma pregunta.
  • Necesitas que la respuesta de la conversación sirva como registro de la conciliación.
  • Un cliente, auditor o regulador pediría una explicación fila por fila que el resultado no puede proporcionar.

La misma precaución aplica cuando una herramienta solicita credenciales bancarias en tiempo real. Subir un archivo evita conceder acceso continuo a la cuenta bancaria, pero igual divulga el contenido del archivo exportado. Si el objetivo es limitar el acceso al sistema, compara ese enfoque con un software de conciliación que no requiere una API bancaria en tiempo real, y luego revisa por separado los términos de retención de archivos del proveedor seleccionado.

Elige el flujo de trabajo según la evidencia que necesitas

ChatGPT es útil cuando la tarea es lingüística: explicar una columna, redactar una nota para el cliente a partir de hallazgos verificados o sugerir cómo estructurar una revisión. Es el lugar equivocado para crear la única copia de la evidencia detrás de una conciliación financiera.

Un resultado de conciliación adecuado debe preservar los dos archivos fuente, vincular cada fila conciliada con su contraparte, mostrar la base de cada coincidencia y listar cada fila sin conciliar. Eso es un requisito diferente al de generar un resumen plausible de un extracto bancario.

Si manejas tu propio extracto, usa la muestra con datos sanitizados más pequeña que responda la pregunta y toma una decisión informada basada en los controles actuales de la cuenta. Si manejas el extracto de un cliente, no lo subas hasta que la autorización, la aprobación del proveedor, los términos de datos, la minimización y la verificación estén todas documentadas.