Guia legal · 2026

Chatbot per a Comunitats de Propietaris i RGPD a Catalunya: Guia 2026

L'ús de chatbots IA a les comunitats de propietaris planteja preguntes sobre el RGPD: consentiment, conservació de dades, subcontractació i drets dels propietaris. Aquesta guia en català resol els dubtes més freqüents sobre compliment legal dels chatbots de comunitats.

Art. 28

RGPD — DPA obligatori

72h

per notificar bretxa de dades

€20M

sanció màxima AEPD

Font: RGPD (Reglament UE 2016/679) · LOPDGDD (LO 3/2018) · Directrius AEPD 2025

Resposta directa

Sí, un chatbot de comunitat de propietaris pot ser 100% conforme al RGPD. La clau és disposar de base legal adequada (execució del contracte de gestió o interès legítim), signar un DPA amb el proveïdor, informar els propietaris en la primera interacció i definir una política de retenció de dades. IgeraFincas inclou DPA, missatge d'avís legal configurable i infraestructura a servidors europeus. Compliment RGPD natiu des del primer dia.

Per què el RGPD és rellevant per als chatbots de comunitats de propietaris?

Un chatbot de comunitat de propietaris, per molt útil que sigui, és un sistema de tractament de dades personals. Quan un propietari envia un missatge per WhatsApp preguntant sobre la quota de la comunitat o una incidència a l'ascensor, proporciona al sistema almenys tres categories de dades personals: el seu número de telèfon, el contingut de la seva consulta i, en molts casos, la seva identitat deduïble del context (número de pis, nom propi, relació amb la comunitat).

El Reglament General de Protecció de Dades (RGPD, Reglament UE 2016/679) i la seva transposició espanyola, la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD, LO 3/2018), estableixen un marc clar per a aquest tipus de tractaments. El despatx d'administració de finques que implementa el chatbot actua com a responsable del tractament i ha de complir totes les obligacions del RGPD: base legal, informació als interessats, drets, mesures de seguretat i, si escau, designació d'un Delegat de Protecció de Dades (DPD).

La bona notícia és que el compliment no és complex si el proveïdor del chatbot ha dissenyat el producte amb privacitat per defecte i per disseny (privacy by design and by default, Art. 25 RGPD). IgeraFincas ha estat dissenyat des del primer dia amb aquest principi: les dades es processen a la Unió Europea, el DPA és estàndard i el missatge d'avís legal és configurable i s'envia automàticament en la primera interacció.

Preguntes freqüents

Un chatbot de comunitat de propietaris ha de complir el RGPD?

Sí. El chatbot processa dades personals dels propietaris (nom, número de telèfon, consultes). Això l'obliga a complir el RGPD (Reglament UE 2016/679) i la LOPDGDD. Cal base legal per al tractament (interès legítim o contracte amb el despatx), política de privacitat clara i mesures de seguretat tècniques. El responsable del tractament és el despatx d'administració de finques, que actua en nom de la comunitat. El proveïdor del chatbot té la condició d'encarregat del tractament i ha de signar un Contracte de Tractament de Dades (DPA, Data Processing Agreement) conforme a l'Art. 28 RGPD. Qualsevol incompliment pot comportar sancions de l'AEPD que oscil·len entre els €10.000 i els €20.000.000 depenent de la gravetat. IgeraFincas ofereix DPA estàndard inclòs en tots els plans i infraestructura a servidors europeus (Frankfurt), garantint compliment natiu des del primer dia.

Cal el consentiment de cada propietari per usar un chatbot?

No necessàriament. Si el chatbot s'usa per a la gestió de la comunitat (respondre consultes sobre estatuts, quotes, etc.), la base legal pot ser l'execució d'un contracte (Art. 6.1.b RGPD) o l'interès legítim del despatx. El consentiment explícit caldria si s'usessin les dades per a màrqueting o finalitats no previstes. En la pràctica, el despatx d'administració de finques té un contracte de gestió amb cada comunitat de propietaris. Aquest contracte cobreix la prestació de serveis de gestió, que inclou l'atenció de consultes via canal digital o chatbot. Per tant, el tractament de dades dels propietaris en el context d'atenció de consultes sobre la mateixa comunitat queda cobert per la base legal de l'execució del contracte. Cal, però, informar els propietaris de l'existència del chatbot i del tractament associat, ja sigui a través d'una actualització de la política de privacitat o d'un avís en la primera interacció al canal de WhatsApp.

Quant de temps es poden conservar les converses del chatbot?

No hi ha un límit legal específic per a converses de chatbot. El principi de minimització (Art. 5.1.e RGPD) exigeix no conservar-les més del necessari per a la finalitat. Una pràctica raonable és 1-2 anys per a converses de gestió i 30 dies per a converses de suport sense incidències obertes. Cal definir una política de conservació i supressió de dades i documentar-la en el Registre d'Activitats de Tractament (RAT). Algunes consideracions pràctiques: si la conversa conté dades sobre una incidència, es recomana conservar-la fins que la incidència estigui resolta i un any addicional per possibles reclamacions; si la conversa conté dades de votació o acords de junta, pot ser convenient conservar-la fins 5 anys en consonància amb el termini general de prescripció civil. IgeraFincas permet configurar la política de retenció per despatx, amb supressió automàtica en arribar al termini definit.

Pot el chatbot compartir dades d'un propietari amb un tercer proveïdor?

Sí, però cal un contracte de tractament de dades (DPA) amb el proveïdor del chatbot (Art. 28 RGPD). El proveïdor actua com a encarregat del tractament i ha de garantir mesures de seguretat equivalents. IgeraFincas té DPA disponible i les dades es processen a servidors europeus (Frankfurt). Cal distingir entre l'encarregat del tractament (el proveïdor del chatbot, que processa les dades seguint les instruccions del despatx) i el tercer destinatari (per exemple, un proveïdor de manteniment al qual es comuniquen les dades d'un propietari per resoldre una averia). En el segon cas, cal avaluar si la comunicació és necessària per a la gestió de la incidència i, si és possible, minimitzar les dades comunicades (número de pis, descripció de l'averia) sense revelar informació innecessària. Mai es poden compartir dades amb tercers per a finalitats comercials sense consentiment explícit del propietari.

Quin avís legal cal posar quan s'usa el chatbot per WhatsApp?

Cal informar els propietaris en la primera interacció: qui és el responsable del tractament (el despatx), la finalitat del tractament, la base legal, els seus drets (accés, rectificació, supressió, portabilitat) i com exercir-los. Es pot fer amb un missatge automàtic a l'inici de la conversa o amb un enllaç a la política de privacitat. Un exemple de missatge de benvinguda conforme al RGPD per a WhatsApp seria: «Hola! Sóc l'assistent virtual del despatx [NOM DESPATX]. Puc respondre consultes sobre la teva comunitat les 24 hores. Les teves dades (número de telèfon i contingut de les converses) es tracten per [NOM DESPATX] per gestionar la comunitat de propietaris. Tens dret d'accés, rectificació i supressió. Política de privacitat: [URL]. Per parlar amb un gestor: [telèfon].» IgeraFincas genera aquest missatge automàticament configurable per cada despatx i el llança en la primera interacció de cada propietari.

Obligacions RGPD per al despatx d'administració de finques

Un despatx que utilitza un chatbot per gestionar les consultes de les comunitats que administra ha de complir les obligacions següents derivades del RGPD i la LOPDGDD:

1. Registre d'Activitats de Tractament (RAT)

L'Art. 30 RGPD obliga els responsables del tractament a mantenir un registre intern de totes les activitats de tractament. El tractament «Atenció de consultes de propietaris via chatbot» ha d'estar documentat al RAT, incloent la finalitat, la base legal, les categories de dades, els destinataris, els terminis de conservació i les mesures de seguretat aplicades.

2. Contracte de Tractament de Dades (DPA) amb el proveïdor

L'Art. 28 RGPD exigeix que el responsable del tractament (el despatx) formalitzi un contracte escrit amb l'encarregat del tractament (el proveïdor del chatbot). Aquest contracte ha d'especificar l'objecte i la durada del tractament, la naturalesa i la finalitat, el tipus de dades i les categories de persones, les obligacions i els drets del responsable, i les mesures de seguretat implementades.

3. Informació als propietaris (deure d'informació, Art. 13 RGPD)

Quan s'obtenen dades directament de l'interessat (el propietari que envia un missatge), cal informar-lo en el moment de la recollida: identitat del responsable, finalitat i base legal del tractament, destinataris, terminis de conservació, drets i com exercir-los, i dret a presentar reclamació davant l'AEPD. Al canal WhatsApp, aquesta informació es pot facilitar via missatge automàtic inicial amb enllaç a la política de privacitat completa.

4. Mesures de seguretat tècniques i organitzatives

L'Art. 32 RGPD obliga a implementar mesures adequades al risc: xifrat de les comunicacions (TLS), control d'accés per rol, registre d'auditoria de les consultes, còpies de seguretat, i procediments per a la gestió d'incidents de seguretat. Qualsevol bretxa de seguretat que suposi risc per als interessats s'ha de notificar a l'AEPD en un màxim de 72 hores.

5. Drets dels propietaris

El despatx ha de garantir i facilitar l'exercici dels drets dels propietaris: accés (obtenir còpia de les seves dades), rectificació (corregir dades inexactes), supressió (el dret a l'oblit), limitació del tractament, portabilitat i oposició. Cal tenir un procediment intern per respondre a les sol·licituds en el termini d'un mes (prorrogable a tres mesos en casos complexos).

WhatsApp i comunitats de propietaris: consideracions RGPD específiques

WhatsApp Business API és el canal més habitual per als chatbots de comunitats de propietaris a Catalunya i Espanya. Des del punt de vista del RGPD, cal tenir en compte que Meta (empresa propietària de WhatsApp) actua com a co-responsable del tractament de les metadades de les comunicacions. No obstant això, el contingut dels missatges xifrats de punta a punta no és accessible per Meta quan s'usa l'API empresarial correctament implementada.

El despatx d'administració de finques ha de tenir en compte:

  • Número de WhatsApp Business verificat: l'ús d'un número verificat de WhatsApp Business per al chatbot proporciona més garanties als propietaris sobre la identitat del remitent.
  • Política de WhatsApp per a missatgeria d'empresa: les comunicacions transaccionals (resposta a consultes del propietari) no requereixen opt-in previ, però les comunicacions iniciades pel despatx (recordatoris de quotes, avisos d'obres) sí que requereixen que el propietari hagi donat el seu consentiment o hagi iniciat prèviament una conversa.
  • Transferència internacional de dades: WhatsApp processa dades als EUA. Meta es basa en les Clàusules Contractuals Tipus (SCC) per legitimar la transferència internacional. Cal documentar aquesta transferència al RAT.
  • Conservació dels logs de WhatsApp: IgeraFincas permet configurar la supressió automàtica dels logs de conversa WhatsApp als 12 mesos per defecte, ajustable per despatx.

IgeraFincas utilitza la WhatsApp Business API oficial a través d'un proveïdor homologat per Meta (BSP, Business Solution Provider) establert a la UE, minimitzant els riscos de transferències internacionals de dades sensibles.

Com implementar IgeraFincas complint el RGPD en 4 passos

Procés estàndard d'activació per a un despatx d'administració de finques a Catalunya.

  1. 1

    Signa el DPA amb IgeraFincas

    Signa el Contracte de Tractament de Dades (DPA) conforme a l'Art. 28 RGPD. IgeraFincas el proporciona de forma estàndard en tots els plans, sense cost addicional. El DPA especifica que les dades es processen exclusivament a servidors europeus (Frankfurt) i no es cedeixen a tercers per a finalitats pròpies.

  2. 2

    Actualitza la política de privacitat del despatx

    Afegeix una referència al chatbot IA i al tractament de converses en la política de privacitat del despatx. IgeraFincas proporciona una plantilla de clàusula de privacitat adaptable que pots incorporar directament. Comunica l'actualització als propietaris per correu electrònic o via l'app de la comunitat.

  3. 3

    Configura el missatge d'avís legal a WhatsApp

    Personalitza el missatge automàtic de benvinguda amb les dades del teu despatx. IgeraFincas inclou una plantilla de missatge conforme a l'Art. 13 RGPD que s'envia automàticament en la primera interacció de cada propietari: responsable, finalitat, drets i URL de la política de privacitat.

  4. 4

    Registra el tractament al RAT i puja els estatuts

    Inclou el tractament de dades del chatbot al Registre d'Activitats de Tractament del despatx i puja els PDFs dels estatuts de cada comunitat. En 24 hores, el sistema estarà indexat i els propietaris podran fer consultes via WhatsApp amb respostes citant l'article exacte dels estatuts.

Resum legal: articles RGPD aplicables als chatbots de comunitats

Article RGPDObligacióIgeraFincas
Art. 5 — PrincipisMinimització, limitació de la finalitat, exactitud, integritatRetenció configurable, dades mínimes necessàries
Art. 6 — Base legalExecució contracte, interès legítim o consentimentPlantilles de clàusules per a cada base legal
Art. 13 — InformacióInformar l'interessat en la primera recollida de dadesMissatge automàtic de benvinguda configurable
Art. 25 — Privacy by DesignPrivacitat per disseny i per defecteArquitectura dissenyada amb privacitat des del primer dia
Art. 28 — EncarregatDPA formal amb el proveïdorDPA estàndard inclòs en tots els plans
Art. 30 — RATRegistre d'activitats de tractamentPlantilla de fitxa RAT proporcionada
Art. 32 — SeguretatMesures tècniques i organitzatives adequadesTLS, xifrat en repòs, control d'accés per rol, auditoria
Art. 33 — BretxesNotificació AEPD en 72h en cas de bretxaProcediment d'incidents documentat, notificació assistida

Prova IgeraFincas gratis 14 dies

Chatbot per a comunitats de propietaris amb compliment RGPD natiu.

DPA inclòs · Servidors a la UE · Missatge legal automàtic · Sense targeta de crèdit.

Veure com funciona →Sol·licitar demo en viu