LGT Art. 95 + IA en asesoría · 7 reglas firmables

El artículo 95 de la Ley General Tributaria (Ley 58/2003) establece el carácter reservado de los datos obtenidos por la Administración tributaria · y por extensión obliga a quien actúa como representante autorizado (asesoría, gestoría, asesor fiscal) a mantener secreto absoluto sobre toda información de naturaleza fiscal de sus clientes. Antes de la entrada masiva de IA generativa el manual era simple · no compartir datos de cliente con terceros, mantener documentación bajo llave, formación periódica al equipo. Con IA generativa la pregunta operativa cambia: ¿qué se considera 'compartir con terceros' cuando se pega una resolución AEAT identificable en ChatGPT? ¿la cuenta corporativa con DPA Art. 28 RGPD basta? ¿hay diferencia entre Plus, Team y Enterprise? Siete reglas operativas resuelven la conversación.

La línea base · ninguna persona del equipo abre ChatGPT Free, ChatGPT Plus, Claude Free o Gemini personal para tareas con datos de cliente. Estas cuentas no incluyen DPA Art. 28 RGPD firmado, no garantizan retención controlada, no permiten gobernanza centralizada. Pegar un NIF de cliente en cualquiera de ellas activa potencialmente infracción LGT Art. 95 + RGPD. La migración a cuentas corporativas Team o Enterprise se hace ANTES del primer prompt corporativo · no después · y queda firmada en la política IA interna. Detalle de la diferencia entre planes en ChatGPT empresa · uso seguro.

La política IA interna lista explícitamente qué datos NUNCA entran en un prompt aunque la cuenta sea corporativa. Lista mínima en una asesoría: NIF/CIF identificables, nombre de cliente, importes específicos asociables, dirección, número de cuenta bancaria, datos de contacto, documentos protegidos por secreto profesional (escrituras, contratos, sentencias). La regla es absoluta · no admite excepciones por urgencia o conveniencia. Si la asesora necesita asistencia IA con caso específico, anonimiza previamente (sustituye datos identificables por marcadores) · el output orienta · luego ella aplica al expediente real fuera del entorno IA.

La acreditación nominal Art. 4 EU AI Act adaptada al puesto incluye explícitamente la responsabilidad de anonimizar datos antes de cualquier consulta IA con material de cliente. Esta responsabilidad firma la asesora con su nombre · no se delega a 'el sistema' ni a 'la IA'. Si en una inspección AEPD o consulta del cliente aparece que se pegó un dato identificable, la responsabilidad civil profesional y la responsabilidad LGT son del firmante humano · la IA no es responsable de nada porque no puede serlo legalmente. Esta clarificación ahorra debate interno cuando aparece la primera duda.

La IA redacta borradores. La asesora firma. Esto suena obvio pero opera tres mecanismos distintos. Primero · cualquier salida con efecto externo (correo al cliente, escrito a AEAT, alegación, declaración) pasa por revisión humana antes de envío. Segundo · la firma es del titular del puesto correspondiente, no del autor del prompt si fueran distintos. Tercero · si la IA citó una base normativa, jurisprudencia o cifra concreta, la asesora la contrasta contra fuente AEAT oficial antes de incorporarla. Una alucinación en escrito a AEAT puede generar sanción al cliente · y responsabilidad civil del firmante · cero excepciones.

El expediente interno de la asesoría contiene copia del contrato DPA firmado con cada proveedor IA usado (OpenAI, Anthropic, Microsoft, Google). El DPA es el contrato de encargado del tratamiento exigido por el RGPD Art. 28 cuando un tercero procesa datos personales en nombre del responsable. Sin ese contrato, usar IA con datos identificables (incluso parciales) infringe RGPD ordinario · y por extensión expone también al secreto fiscal LGT Art. 95. La migración a cuentas Team/Enterprise activa automáticamente el DPA en la mayoría de proveedores · pero hay que descargarlo, firmarlo y archivarlo.

Si una persona del equipo pega lo que no debía (ocurre · cero culpa), la asesoría tiene procedimiento escrito en cuatro pasos firmado por la dirección. Paso uno · notificación inmediata al responsable del despliegue IA. Paso dos · registro del incidente en el archivo interno con fecha, persona, contenido pegado (categorías, no datos), proveedor IA. Paso tres · valoración si procede comunicar al cliente afectado y/o a AEPD según gravedad. Paso cuatro · refuerzo formativo a la persona y revisión de política IA si aplica. Sin este procedimiento el incidente se oculta · y oculto no se gestiona.

Cada seis meses la dirección revisa con la responsable del despliegue IA · cuentas corporativas activas, política IA vigente (¿hay nuevas herramientas que añadir?), acreditaciones nominales de la plantilla (¿incorporaciones recientes que firmar?), incidentes registrados (¿patrón que corregir?), cambios regulatorios relevantes (AEPD, AESIA, novedades sectoriales fiscales). El expediente Art. 4 EU AI Act que respalda LGT Art. 95 vive · no se firma una vez y se olvida. OctIA Sí! incluye esta revisión semestral con la dirección como parte del acompañamiento.

Tres documentos defienden literal · política IA interna firmada con la fecha de firma anterior al primer prompt corporativo, acreditación nominal Art. 4 por cada persona del equipo que use IA con datos de cliente, registro de cuentas corporativas activas con sus DPA correspondientes. Con esos tres documentos la asesoría demuestra que el despliegue IA respeta el RGPD Art. 28, la LGT Art. 95 y el EU AI Act Art. 4. Sin esos tres documentos, la defensa es por carácter improvisado · siempre más débil ante regulador.

Cuatro patrones observados durante 2025-2026 en asesorías de servicios profesionales en Cataluña. Primero · 'usamos ChatGPT Plus, está pagado' (Plus es personal · no DPA · no cumple). Segundo · 'cada uno tiene su cuenta, así nadie ve los datos del otro' (cuentas personales fragmentan responsabilidad · imposible auditoría conjunta). Tercero · 'firmamos política IA pero no acreditación individual' (Art. 4 EU AI Act exige adaptación al puesto firmada por persona). Cuarto · 'lo veremos cuando aparezca una inspección' (el plazo de aplicación Art. 4 venció el 2 feb 2025 · ya estamos fuera de plazo). Los cuatro se corrigen en una semana con marco legal cerrado · más sobre esto en guía Art. 4 EU AI Act.

Día 0 sesión cero · firma de NDA + DPA Art. 28 RGPD + Acta de Inicio + Política IA interna OctIA. Día 1 grupal · introducción + las seis reglas de oro firmadas por toda la plantilla + acreditación nominal Art. 4 inicial. Día 2 persona a persona · sobre archivos reales del puesto con anonimización aplicada · cierra dos o tres prompts validados por puesto. Cierre · acta firmada + acreditación nominal completa + cuentas corporativas configuradas con DPA + registro de incidencias activado + procedimiento de revisión semestral acordado. Las siete reglas son el manual operativo · el Octa es el mecanismo de implementación. Detalle del producto en IA para asesorías.

Si su asesoría aún no tiene política IA interna firmada por la plantilla o acreditación nominal Art. 4 por persona, las siete reglas anteriores no son aspirativas · son la base para cumplir LGT Art. 95 desde el primer prompt corporativo. La llamada de veinte minutos sirve para validar encaje sin guion comercial. Otras lecturas relacionadas · IA para asesorías · consultoría IA Barcelona · calculadora crédito FUNDAE para confirmar cuánto cubre el cumplimiento. Marco legal en otros sectores con sensibilidad reforzada · LOPJ Art. 542 + IA en despacho de abogados · RGPD Art. 9 + IA en clínica privada · LPH + Libro V CCC + IA en administrador de fincas.