El Uso de ChatGPT y Otras IA Privadas en Bufetes de Abogados en España: Implicaciones Legales y Riesgos
En 2025, el uso de herramientas de inteligencia artificial como ChatGPT y otras plataformas privadas se ha extendido rápidamente entre los bufetes de abogados en España. Estas herramientas se emplean para analizar casos que involucran datos privados de clientes y empleados, así como para asistir en la toma de decisiones legales. Aunque la IA ofrece eficiencia y rapidez, su uso en el manejo de datos sensibles plantea serios riesgos legales y éticos bajo la legislación europea de protección de datos, específicamente el Reglamento General de Protección de Datos (RGPD). Este artículo examina la legislación europea aplicable, los riesgos para los empresarios por el mal uso de datos de empleados, las normas específicas que se incumplen y las multas a las que se enfrentan las empresas y accionistas por no cumplir con estas regulaciones.
Legislación Europea sobre Protección de Datos
El RGPD, implementado el 25 de mayo de 2018, es la ley de protección de datos más estricta del mundo, aplicable a cualquier organización que procese datos personales de ciudadanos de la Unión Europea (UE), independientemente de su ubicación. En el contexto de los bufetes de abogados en España, el RGPD se aplica al procesamiento de datos personales de clientes, empleados y otras partes involucradas en casos legales. Según el Artículo 4(1) del RGPD, los datos personales incluyen cualquier información que permita identificar a una persona, como nombres, correos electrónicos, datos bancarios o información sensible como registros médicos.
El RGPD establece principios clave que las empresas deben seguir:
- Legalidad, equidad y transparencia (Art. 5): Los datos deben procesarse de manera lícita, justa y transparente.
- Limitación de la finalidad: Los datos solo pueden usarse para fines específicos y legítimos.
- Minimización de datos: Solo se deben recolectar los datos estrictamente necesarios.
- Derecho al olvido (Art. 17): Los individuos tienen derecho a solicitar la eliminación de sus datos.
- Transferencias internacionales (Art. 44-50): Los datos no pueden transferirse fuera de la UE sin garantías adecuadas.
Además, el Acta de IA de la UE, aprobada en 2024, regula específicamente el uso de sistemas de IA, clasificando herramientas como ChatGPT como sistemas de “riesgo limitado” o “alto riesgo” dependiendo de su uso. En el caso de los bufetes, el análisis de datos sensibles y la toma de decisiones automatizada podrían clasificar a estas IA como de alto riesgo, exigiendo auditorías, transparencia y evaluaciones de impacto (DPIA).
Riesgos para los Empresarios por el Mal Uso de Datos
Los bufetes de abogados en España enfrentan riesgos significativos al permitir que sus abogados utilicen ChatGPT y otras IA privadas para analizar datos de empleados o clientes sin las salvaguardias adecuadas. Uno de los principales riesgos es la responsabilidad por violaciones de privacidad. Los socios y accionistas de los bufetes pueden ser considerados responsables solidarios si se demuestra que no implementaron medidas técnicas y organizativas adecuadas para proteger los datos.
Por ejemplo, si un abogado introduce datos personales de un empleado (como historiales médicos o información contractual) en ChatGPT, y OpenAI (la empresa detrás de ChatGPT, con sede en EE. UU.) utiliza esos datos para entrenar su modelo, se produce una transferencia de datos a un tercer país sin garantías adecuadas, violando el Artículo 44 del RGPD. Además, los empleados de los bufetes podrían introducir accidentalmente datos sensibles, exponiendo al bufete a brechas de seguridad y pérdida de confianza de los clientes.
Otro riesgo es el uso indebido de datos para decisiones automatizadas. Si un bufete utiliza IA para tomar decisiones legales (como evaluar la viabilidad de un caso laboral), y estas decisiones afectan a empleados o clientes sin supervisión humana, se viola el Artículo 22 del RGPD, que prohíbe decisiones automatizadas que tengan efectos legales significativos sin consentimiento explícito.
Normas y Leyes Específicas que se Incumplen
El uso de ChatGPT y otras IA privadas en bufetes de abogados puede infringir varias disposiciones del RGPD y el Acta de IA de la UE:
- Falta de base legal para el procesamiento (Art. 6 RGPD): OpenAI ha sido criticada por no tener una base legal adecuada para procesar datos personales en el entrenamiento de ChatGPT. En diciembre de 2024, la Autoridad Italiana de Protección de Datos (Garante) multó a OpenAI con 15 millones de euros por esta razón, señalando que no notificó a los usuarios sobre el uso de sus datos ni obtuvo su consentimiento.
- Falta de transparencia (Art. 13 y 14 RGPD): Los bufetes que usan ChatGPT a menudo no informan a los clientes o empleados que sus datos se procesan a través de una IA externa, violando las obligaciones de transparencia.
- Transferencias internacionales no autorizadas (Art. 44-50 RGPD): Dado que OpenAI opera desde EE. UU., cualquier dato enviado a ChatGPT constituye una transferencia internacional. Sin un acuerdo de protección adecuado (como cláusulas contractuales estándar revisadas tras el fallo Schrems II), esto infringe el RGPD.
- Falta de evaluación de impacto (Art. 35 RGPD): El uso de IA para analizar datos sensibles requiere una Evaluación de Impacto de Protección de Datos (DPIA). Muchos bufetes no realizan esta evaluación, lo que constituye una infracción.
- Incumplimiento del derecho al olvido (Art. 17 RGPD): ChatGPT no puede garantizar la eliminación completa de datos personales debido a la naturaleza persistente de los datos en sus modelos, lo que viola el derecho al olvido.
- Obligaciones del Acta de IA de la UE: Si el uso de ChatGPT se clasifica como de alto riesgo, los bufetes deben cumplir con requisitos de transparencia, auditorías y supervisión humana, algo que muchos no están implementando.
Multas por Incumplimiento
Las sanciones por violar el RGPD son severas y están diseñadas para ser disuasorias. Según el Artículo 83 del RGPD, las multas pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio annual global, lo que sea mayor. En el caso del Acta de IA, las multas por sistemas de alto riesgo pueden llegar a 35 millones de euros o el 7% del volumen de negocio global.
En España, la Agencia Española de Protección de Datos (AEPD) ha iniciado investigaciones contra empresas por el uso indebido de IA. Aunque no se ha reportado una multa específica a un bufete de abogados en España por este motivo, casos similares ofrecen un precedente. En 2020, H&M fue multada con 35,3 millones de euros por la DPA de Hamburgo por monitorear ilegalmente a sus empleados, recopilando datos sensibles sin base legal. Un bufete de abogados podría enfrentar una sanción similar si se demuestra que usó ChatGPT para procesar datos de empleados sin consentimiento.
Además, los accionistas de los bufetes pueden ser responsables solidarios si se demuestra negligencia en la supervisión del uso de la IA. Más allá de las multas, las empresas enfrentan daños reputacionales y posibles demandas civiles de los afectados, quienes tienen derecho a buscar compensación por daños bajo el Artículo 82 del RGPD.
Conclusión
El uso de ChatGPT y otras IA privadas en bufetes de abogados en España ofrece ventajas operativas, pero también expone a las empresas a riesgos legales significativos bajo el RGPD y el Acta de IA de la UE. Las principales infracciones incluyen la falta de base legal para el procesamiento, transferencias internacionales no autorizadas y el incumplimiento del derecho al olvido, entre otras. Las multas pueden alcanzar decenas de millones de euros, y los accionistas enfrentan responsabilidad solidaria por negligencia. Para mitigar estos riesgos, los bufetes deben realizar DPIAs, implementar políticas de uso de IA, capacitar a sus empleados y garantizar que no se procesen datos personales sin medidas adecuadas. La IA puede ser una aliada poderosa en el sector legal, pero su uso debe alinearse con las estrictas normativas europeas para evitar consecuencias devastadoras.