El riesgo silencioso: abogados que suben expedientes de clientes a sistemas de IA
Una práctica creciente en despachos jurídicos europeos
En los últimos dos años el uso de herramientas de inteligencia artificial generativa —como ChatGPT, Gemini o sistemas similares— se ha extendido rápidamente en el sector legal. La promesa de productividad es evidente: análisis de documentos, redacción de escritos, búsqueda de jurisprudencia o síntesis de expedientes complejos.
Sin embargo, esta adopción acelerada está generando un problema jurídico de gran calado: muchos abogados están introduciendo información confidencial de sus clientes en sistemas de inteligencia artificial sin garantías adecuadas de protección de datos y secreto profesional.
En numerosos despachos —incluidos algunos de gran tamaño— es cada vez más habitual que abogados, pasantes o personal jurídico copien fragmentos de demandas, informes periciales, contratos o incluso expedientes completos en plataformas de IA para obtener resúmenes, argumentarios jurídicos o propuestas de redacción.
Desde el punto de vista regulatorio europeo y español, esta práctica plantea serios riesgos legales, deontológicos y de responsabilidad civil.
Marco legal europeo: RGPD y AI Act
1. Reglamento General de Protección de Datos (RGPD)
El Reglamento (UE) 2016/679 (RGPD) establece un marco extremadamente estricto para el tratamiento de datos personales, especialmente cuando se trata de información sensible.
Cuando un abogado introduce datos de un cliente en un sistema de IA externo, pueden producirse varios problemas jurídicos:
Transferencia de datos a terceros
El proveedor de la IA se convierte potencialmente en encargado del tratamiento o incluso responsable del tratamiento si procesa los datos.
Esto implica que:
Debe existir base jurídica para el tratamiento
Debe existir contrato de encargo de tratamiento
Debe garantizarse seguridad y confidencialidad
En muchos casos, cuando se utiliza una herramienta de IA pública, ninguno de estos requisitos se cumple.
Transferencias internacionales de datos
Muchas plataformas de IA procesan información en infraestructuras fuera de la Unión Europea.
Esto puede implicar transferencias internacionales de datos sujetas a los artículos 44 a 49 del RGPD.
Si no existen garantías adecuadas (cláusulas contractuales tipo, decisiones de adecuación, etc.), el tratamiento puede ser ilegal.
Datos especialmente protegidos
En el ámbito jurídico es frecuente tratar:
datos de salud
antecedentes penales
información patrimonial
conflictos familiares
secretos empresariales
Estos datos tienen protección reforzada en el RGPD, lo que eleva aún más el riesgo de incumplimiento.
2. Reglamento Europeo de Inteligencia Artificial (AI Act)
El AI Act europeo, aprobado en 2024, introduce obligaciones adicionales cuando se utilizan sistemas de inteligencia artificial en entornos profesionales.
Aunque el foco principal está en los proveedores de IA, los usuarios profesionales también adquieren obligaciones.
Entre ellas:
evaluar riesgos del uso del sistema
garantizar supervisión humana
proteger datos sensibles
evitar usos que puedan vulnerar derechos fundamentales
En el ámbito legal, la utilización de IA con información confidencial sin controles adecuados podría ser considerada uso negligente de tecnología de alto impacto.
Marco jurídico español
En España, además del RGPD, se aplican varias normas específicas que refuerzan la protección de la confidencialidad entre abogado y cliente.
Ley Orgánica de Protección de Datos (LOPDGDD)
La Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales complementa el RGPD en España.
Los despachos que introduzcan datos personales en sistemas de IA deben garantizar:
registro de actividades de tratamiento
análisis de riesgos
medidas de seguridad adecuadas
control de transferencias internacionales
La Agencia Española de Protección de Datos (AEPD) puede imponer sanciones administrativas muy elevadas.
Las multas pueden alcanzar:
hasta 20 millones de euros, o
el 4 % de la facturación global anual
dependiendo de la gravedad de la infracción.
Estatuto General de la Abogacía Española
La normativa profesional también es extremadamente clara.
El Estatuto General de la Abogacía Española establece que el abogado tiene el deber de preservar:
el secreto profesional
la confidencialidad absoluta de la información del cliente
Este deber es uno de los pilares fundamentales de la profesión jurídica.
La revelación indebida de información —aunque sea de forma indirecta mediante sistemas tecnológicos— puede suponer:
infracción disciplinaria
sanciones colegiales
suspensión profesional
Riesgos jurídicos concretos para los clientes
El uso indiscriminado de IA con expedientes jurídicos puede generar múltiples problemas.
1. Exposición de información confidencial
Los sistemas de IA pueden almacenar o procesar datos introducidos por los usuarios.
Esto podría implicar que:
información estratégica de un litigio
documentos privados
acuerdos confidenciales
acaben siendo tratados por terceros.
2. Riesgos de reutilización de datos
Algunos sistemas utilizan datos introducidos por usuarios para mejorar modelos o entrenar algoritmos.
Aunque muchas empresas tecnológicas han modificado sus políticas, el riesgo sigue existiendo dependiendo del servicio utilizado.
3. Pérdida de privilegio abogado-cliente
En muchos sistemas jurídicos, incluido el europeo, la confidencialidad abogado-cliente tiene un valor procesal.
Si la información se comparte con terceros no autorizados, podría argumentarse que el privilegio ha sido debilitado o comprometido.
¿Quién es responsable dentro del despacho?
Este es uno de los puntos jurídicos más relevantes.
La responsabilidad puede recaer en diferentes niveles.
1. Responsabilidad del despacho o sociedad profesional
Si el despacho opera como sociedad profesional, la entidad es responsable del cumplimiento normativo.
Los administradores tienen obligación de:
establecer políticas de protección de datos
implementar controles tecnológicos
formar a los empleados
Si no existen protocolos claros sobre el uso de IA, podría considerarse falta de diligencia organizativa.
2. Responsabilidad de los administradores
Los administradores del despacho podrían incurrir en responsabilidad si:
no establecen políticas de compliance tecnológico
permiten el uso de herramientas inseguras
no supervisan el tratamiento de datos
En ciertos casos extremos, podría plantearse responsabilidad civil e incluso penal si se demuestra negligencia grave.
3. Responsabilidad individual del abogado
El abogado que introduce datos confidenciales en un sistema externo también puede asumir responsabilidad directa.
Especialmente si:
conoce la naturaleza confidencial de la información
utiliza herramientas no autorizadas por el despacho
vulnera normas deontológicas
En estos casos pueden producirse:
sanciones disciplinarias del colegio de abogados
reclamaciones de responsabilidad civil profesional
pérdida de confianza del cliente
Una transformación tecnológica sin reglas claras
La inteligencia artificial ya está transformando el sector jurídico.
Herramientas avanzadas permiten:
analizar miles de sentencias
generar borradores jurídicos
automatizar tareas repetitivas
Sin embargo, el problema no es la tecnología.
El problema es la ausencia de protocolos profesionales claros para su uso seguro.
Muchos despachos están adoptando herramientas de IA sin auditorías de seguridad, sin evaluación legal y sin formación interna.
Esto abre la puerta a uno de los mayores riesgos regulatorios que ha enfrentado el sector legal en décadas.
Hacia un nuevo estándar profesional
Todo apunta a que el futuro del sector jurídico incluirá inteligencia artificial de forma estructural.
Pero la adopción responsable exigirá:
sistemas de IA privados o desplegados localmente
anonimización de datos
auditorías de seguridad
protocolos estrictos de uso
En los próximos años es probable que los colegios profesionales, las autoridades de protección de datos y los reguladores europeos establezcan criterios mucho más estrictos.
Porque en el derecho, más que en casi cualquier otra profesión, la confianza es el activo central.
Y esa confianza depende de algo tan simple como irrenunciable:
que los secretos del cliente sigan siendo, realmente, secretos.