IA en despachos de abogados: cómo proteger la confidencialidad y el secreto profesional

IA en despachos de abogados: cómo proteger la confidencialidad y el secreto profesional

La adopción de inteligencia artificial en el sector legal avanza rápido, pero también lo hace el riesgo. El 56% de los profesionales legales cita la privacidad de datos como la principal barrera para usar IA, según el informe de ACEDS y Secretariat de 2025. Es la objeción más repetida y probablemente la más razonable. El problema, sin embargo, no está en la IA como tecnología, sino en qué herramientas se usan y cómo se gestionan los datos que se introducen en ellas.

Este artículo analiza qué obliga realmente la normativa de protección de datos al usar IA en un despacho, qué diferencias existen entre los distintos tipos de herramienta y qué medidas técnicas y organizativas permiten un uso compatible con el deber de secreto profesional.

El riesgo está en el uso cotidiano, no en grandes filtraciones

El escenario más habitual no es un ciberataque sofisticado. Es un abogado que pega la cláusula de un contrato en ChatGPT para que "le ayude a redactarla mejor", o que sube un expediente en PDF para pedir un resumen. En ese momento, información cubierta por secreto profesional sale del perímetro de control del despacho.

En una entrevista reciente, Sam Altman, fundador de OpenAI, confirmó algo que ya advertían los responsables de ciberseguridad: las conversaciones con la versión pública de ChatGPT no están protegidas por confidencialidad legal. Los datos pueden ser usados para reentrenar modelos, pueden ser revisados por empleados del proveedor en procesos de moderación, y pueden quedar expuestos en caso de brecha.

La Agencia Española de Protección de Datos ha identificado la inteligencia artificial como uno de sus retos prioritarios, y las reclamaciones relacionadas con IA han aumentado de forma notable. El sector legal, que gestiona información altamente sensible por definición, está en el foco.

Qué pasa con tus datos según la herramienta

Las herramientas de IA no son equivalentes en materia de privacidad. La distinción práctica puede agruparse en tres escenarios.

Versión pública y gratuita

Herramientas como ChatGPT, Gemini o Copilot en sus versiones consumer. Por defecto, los datos que introduce el usuario pueden utilizarse para entrenar el modelo. Es posible desactivar esta opción en la configuración, pero la configuración por defecto no protege al usuario. Los servidores suelen estar fuera de la UE. No existe garantía contractual de confidencialidad. Usar estas herramientas con información cubierta por secreto profesional supone un riesgo regulatorio directo.

Versión empresarial estándar

ChatGPT Enterprise, Copilot integrado en Microsoft 365, Azure OpenAI Service, Gemini for Workspace. Mejora sustancial respecto al consumer. Los datos no se usan para entrenar modelos. Hay contratos de tratamiento de datos y cláusulas de confidencialidad. Sin embargo, por defecto, tanto OpenAI como Azure OpenAI retienen los datos hasta 30 días para monitorización de abuso, y personal del proveedor puede acceder a ellos en determinadas circunstancias. La opción Zero Data Retention (retención cero) existe pero no se activa automáticamente. Requiere un proceso específico de aprobación y suele estar reservada a clientes enterprise directos.

Herramienta especializada o despliegue privado

Dos modalidades con las mayores garantías. Primero, herramientas de IA específicas del sector legal con infraestructura en la UE, cifrado robusto, compromiso contractual explícito de no usar datos para entrenar modelos y cumplimiento documentado de RGPD y EU AI Act. Segundo, despliegues privados (self-hosted o en la nube propia del cliente) donde los datos nunca abandonan el entorno controlado por la firma.

La diferencia entre el primer escenario y el tercero es muy grande, pero no es obvia desde la experiencia del usuario. Contratar una versión empresarial no implica automáticamente estar en el tercer escenario. Leer los contratos y entender qué cubre cada plan es parte del trabajo.

Qué obliga la normativa

El marco regulatorio aplicable al uso de IA con datos de cliente en un despacho cubre varios frentes.

RGPD artículo 5.1.f: Integridad y confidencialidad. Los datos personales deben tratarse garantizando su seguridad. Usar una herramienta que no ofrezca garantías contractuales concretas puede suponer una infracción de este principio.

RGPD artículo 32: Medidas técnicas y organizativas apropiadas al riesgo. Incluye cifrado, control de accesos, trazabilidad y procedimientos de respuesta ante incidentes.

RGPD artículo 33: Notificación de brechas a la AEPD en 72 horas. Una filtración de datos a través de una herramienta de IA es una brecha.

Sanciones: Hasta 20 millones de euros o el 4% de la facturación global para las infracciones muy graves. Las resoluciones públicas de la AEPD en 2025 muestran que las multas a despachos profesionales no son hipotéticas. Se han sancionado despachos por errores aparentemente menores, como incluir a un tercero en un email o publicar fotos sin consentimiento claro.

EU AI Act artículo 4: Alfabetización en IA. En vigor desde febrero de 2025, obliga a las organizaciones que despliegan sistemas de IA a formar a las personas que los utilizan. No es una recomendación, es una obligación legal.

Estatuto General de la Abogacía: El deber de secreto cubre toda información conocida por razón del ejercicio profesional. Introducir esa información en un sistema de terceros sin las garantías adecuadas puede constituir una infracción deontológica, con consecuencias disciplinarias propias.

Medidas concretas para proteger la confidencialidad

Las acciones que un directivo legal puede impulsar sin ser técnico, ordenadas de más urgente a más estructural.

Política interna de uso de IA. Documento de 3-5 páginas que establezca qué herramientas están autorizadas, qué tipo de información nunca puede introducirse, qué cuentas corporativas deben utilizarse y qué hacer si se detecta un uso indebido. Sin política escrita, no es posible sancionar internamente ni acreditar diligencia ante la AEPD.

Auditoría del uso real. Conversación abierta con el equipo, sin carácter punitivo, para conocer qué herramientas se están usando hoy, con qué cuentas y para qué tareas. Este ejercicio revela el uso "en la sombra" que casi siempre ya está ocurriendo.

Alternativas corporativas aprobadas. Prohibir sin ofrecer alternativa lleva al uso clandestino. Hay que dar al equipo herramientas autorizadas: una versión enterprise con contrato adecuado, una herramienta de IA del sector legal con garantías RGPD, o un despliegue privado para los casos más sensibles.

Anonimización y minimización. El principio de minimización del RGPD obliga a no procesar más datos de los necesarios. Sustituir nombres por iniciales, eliminar identificadores y reducir el contexto a lo imprescindible reduce el riesgo incluso con herramientas autorizadas.

Formación y trazabilidad. El artículo 4 del Reglamento de IA exige alfabetización. Una sesión formativa con casos prácticos, registro de asistencia y material documentado cumple el requisito y genera evidencia.

Evaluación de impacto (EIPD). Cuando se implemente una herramienta de IA que procesa datos de cliente a escala, la evaluación de impacto es obligatoria. Es la prueba documental de un análisis de riesgos previo.

Cómo evaluar a un proveedor de IA antes de firmar

Un proveedor que se presenta como "compatible con RGPD" debe poder responder por escrito a estas preguntas:

• ¿Dónde se procesan y almacenan los datos (país y región)?
• ¿Se utilizan los datos para entrenar modelos, incluso de forma anonimizada?
• ¿Cuánto tiempo se retienen los prompts y las respuestas?
• ¿Qué personal del proveedor puede acceder al contenido y en qué circunstancias?
• ¿Existe contrato de encargo de tratamiento (DPA) y cláusula expresa de confidencialidad?
• ¿Cómo se notifica una brecha de seguridad y en qué plazo?
• ¿Qué certificaciones tiene (ISO 27001, SOC 2, Esquema Nacional de Seguridad) y se ha realizado evaluación de impacto del sistema?

Si el proveedor evita alguna de estas preguntas o da respuestas imprecisas, es una señal clara de que no está preparado para operar con información cubierta por secreto profesional.

Usar IA responsablemente es una decisión estructural

El 92% de profesionales legales ya usa al menos una herramienta de IA, según Wolters Kluwer (Future Ready Lawyer 2026). La pregunta ha dejado de ser si incorporar IA y se ha desplazado a cómo hacerlo sin comprometer la relación con el cliente.

La diferencia entre un uso responsable y uno que genera riesgo no está en la tecnología, está en las decisiones previas a su uso. La política interna, la elección del proveedor, la formación del equipo y la arquitectura del despliegue son lo que separa una herramienta útil de un riesgo regulatorio.

Si quieres explorar qué modelo de despliegue de IA tiene sentido para tu firma (una herramienta especializada, una versión enterprise con garantías reforzadas o un agente a medida con infraestructura privada), podemos ayudarte a analizarlo. Escríbenos y te respondemos en 24 horas.

---

Fuentes

• ACEDS + Secretariat, Legal Industry Report on AI Adoption, 2025.
• Wolters Kluwer, Future Ready Lawyer Survey, 2026.
• Comité Europeo de Protección de Datos (CEPD), Informe del ChatGPT Taskforce, 2024-2025.
• Agencia Española de Protección de Datos, Memoria 2024 y resoluciones públicas 2025.
• Reglamento (UE) 2016/679 (RGPD).
• Reglamento (UE) 2024/1689 (EU AI Act).
• Microsoft Azure, documentación sobre Zero Data Retention y Modified Abuse Monitoring, 2025.
• OpenAI, política de uso empresarial, 2025.