TL;DR — Resumen ejecutivo
- El freno real no es el coste, es el secreto profesional. El riesgo de que el dato de un cliente acabe entrenando un modelo público frena a más despachos pequeños que el precio de la herramienta.
- Se puede automatizar con seguridad: resúmenes de expedientes, borradores de escritos repetitivos, búsqueda de jurisprudencia y gestión de plazos, siempre con la configuración adecuada.
- 3 condiciones de una configuración segura: servidores en la UE, sin entrenamiento del modelo con tus documentos, y contrato de encargado de tratamiento firmado.
- El riesgo real no es la fuga de datos, es la alucinación. Una IA puede generar una cita jurisprudencial que no existe con total seguridad aparente. La revisión humana antes de presentar un escrito no es opcional.
- Antes de contratar: pregunta dónde residen los datos, si hay contrato de encargado de tratamiento y si el proveedor entrena su modelo con tus documentos.
En las conversaciones que tengo con despachos de abogados pequeños y medianos, el freno número uno para adoptar IA casi nunca es el coste. Es el miedo. El miedo muy concreto a subir un documento de un cliente a una herramienta y, sin saberlo, romper el secreto profesional. Es un miedo legítimo y, en muchos casos, bien fundado: la mayoría de las herramientas que un abogado prueba primero —porque son las que conoce, las que usa todo el mundo— no están pensadas para manejar información sujeta a confidencialidad legal.
La respuesta no es renunciar a la IA. Es aprender a distinguir qué tarea se puede automatizar y con qué configuración de herramienta es seguro hacerlo. Eso es lo que vamos a ver en este artículo.
Por qué la confidencialidad en un despacho es distinta a la de cualquier empresa
Cuando una empresa de cualquier sector adopta IA, gestiona datos personales sujetos al RGPD como cualquier otra organización. Cuando lo hace un despacho de abogados, hay una capa adicional que no existe en (casi) ningún otro sector: el secreto profesional.
El secreto profesional del abogado no es una buena práctica recomendable. Es un deber deontológico recogido en el Estatuto General de la Abogacía Española y en los códigos deontológicos autonómicos, reforzado además por el propio Código Penal en lo relativo a la revelación de secretos. Un abogado que comparte información de un cliente sin las garantías adecuadas no solo comete una infracción administrativa de protección de datos: puede estar incumpliendo una obligación deontológica con consecuencias disciplinarias, y en los casos más graves, penales.
Esto cambia por completo el cálculo de riesgo frente a una IA. El problema no es solo «¿cumple esta herramienta el RGPD?». Es «¿puedo justificar ante mi cliente, ante mi colegio de abogados y, si hace falta, ante un juzgado, que la información de su expediente nunca salió de un entorno controlado?».
Y aquí está el riesgo más silencioso de todos: que el dato de un cliente acabe, sin que nadie lo decida explícitamente, entrenando un modelo de IA de uso público. Si un abogado pega el contenido de un contrato, una demanda o un email con datos identificativos en la versión gratuita de un asistente de IA generalista, y esa versión tiene activada por defecto la opción de usar las conversaciones para mejorar el modelo, ese fragmento de información de un cliente puede quedar incorporado, de forma indirecta, al conocimiento del sistema. No es una fuga de datos en el sentido clásico de un hackeo. Es algo más sutil y, por eso mismo, más fácil de cometer sin darse cuenta.
Lo que se puede automatizar con seguridad
Dicho esto, hay un número considerable de tareas de un despacho que sí se pueden automatizar con IA de forma segura, siempre que la herramienta y la configuración sean las correctas. Estas son las que vemos con más frecuencia en los despachos con los que trabajamos en nuestro área de IA para despachos legales:
Tareas con buen retorno y riesgo controlable
- Resúmenes de expedientes extensos. Un expediente de cientos de páginas puede resumirse en minutos, con los hechos clave, las fechas relevantes y los puntos de discusión identificados. Esto no sustituye la lectura del abogado responsable, pero reduce drásticamente el tiempo de primera aproximación a un caso nuevo o a un expediente que se retoma tras meses parado.
- Borradores de escritos repetitivos. Recursos de reposición, requerimientos extrajudiciales, contestaciones a demanda con estructura estándar, cartas de reclamación. La IA genera un primer borrador a partir de una plantilla y los datos del caso; el abogado lo revisa, ajusta y firma. El ahorro de tiempo en este tipo de escritos suele ser muy significativo.
- Búsqueda y localización de jurisprudencia. Identificar sentencias relevantes para un argumento concreto, o resumir el contenido de varias resoluciones para comparar criterios entre tribunales. Aquí es donde más cuidado hay que tener, como veremos en el siguiente apartado.
- Gestión de plazos procesales. Calcular vencimientos, generar recordatorios automáticos y cruzar el calendario procesal de varios expedientes a la vez. Un olvido de plazo es uno de los errores más costosos —y más frecuentes— en la práctica legal, y es exactamente el tipo de tarea mecánica donde la automatización reduce el riesgo en vez de aumentarlo.
Lo que hace segura a cualquiera de estas automatizaciones no es la tarea en sí, sino la configuración técnica y contractual de la herramienta que la ejecuta. Tres elementos son innegociables: que el servidor donde se procesan y almacenan los datos esté en la Unión Europea (o cuente con garantías equivalentes), que el proveedor garantice por contrato que no entrena su modelo con los documentos del despacho, y que exista un contrato de encargado de tratamiento firmado conforme al RGPD, que deje por escrito qué puede y qué no puede hacer el proveedor con esos datos. Sin estas tres condiciones, ninguna de las cuatro tareas anteriores es realmente segura, por mucho que el resultado parezca bueno.
El riesgo real: la cita jurisprudencial inventada
Hay un riesgo que preocupa menos de lo que debería en muchos despachos, y que es más probable que una fuga de confidencialidad: la alucinación. Es el término técnico que se usa cuando un modelo de lenguaje genera información que suena completamente plausible —con el formato exacto de una sentencia, un número de procedimiento creíble, una fecha razonable— pero que sencillamente no existe.
En el ámbito legal, esto se traduce en un riesgo muy concreto: pedirle a una IA que busque jurisprudencia sobre un argumento determinado y que esta devuelva una cita perfectamente formateada, con ponente, sala y fecha, de una sentencia que nunca se dictó. El fenómeno no es anecdótico ni exclusivo de un país: ya se ha documentado en varias jurisdicciones, incluida España, casos de profesionales que han presentado escritos con citas jurisprudenciales inventadas por una IA sin haberlas contrastado antes, con la consiguiente sanción procesal o disciplinaria.
Una IA no «miente» de forma intencionada. Genera texto estadísticamente plausible, y a veces lo plausible no es real. Tratar cualquier output de una IA legal como un borrador a verificar, nunca como un hecho consumado, es la diferencia entre ganar tiempo y crear un problema mayor que el que se intentaba resolver.
La consecuencia práctica es clara: ningún escrito generado o asistido por IA debe presentarse ante un órgano judicial, administrativo o cualquier contraparte sin que un profesional humano haya verificado, una por una, cada cita normativa y jurisprudencial. No por desconfianza genérica hacia la tecnología, sino porque la responsabilidad de lo que se firma sigue siendo, en su totalidad, del abogado que lo firma.
Las 3 preguntas que hacerle a cualquier proveedor de IA legal
Antes de contratar cualquier herramienta de IA para tu despacho —ya sea un asistente generalista en su plan empresarial o una solución legaltech especializada— hay tres preguntas que deberías hacer por escrito y exigir respuesta por escrito:
Checklist antes de firmar con un proveedor
- 1. ¿Dónde residen los datos? Exige que te indiquen el país o región donde se almacenan y procesan los documentos. La Unión Europea, o garantías equivalentes reconocidas por el RGPD, deberían ser el mínimo aceptable para cualquier expediente con datos de clientes.
- 2. ¿Firmáis un contrato de encargado de tratamiento? Es un documento obligatorio bajo el RGPD cuando un tercero trata datos personales por cuenta de tu despacho. Si un proveedor no puede ofrecerte este contrato, no deberías subir ningún expediente real a su herramienta, sea cual sea su funcionalidad.
- 3. ¿Entrenáis vuestro modelo con mis documentos? La respuesta debe ser un «no» explícito y por escrito, no una ambigüedad del tipo «solo para mejorar el servicio». Si la respuesta no es clara, asume que sí.
Si un proveedor evita responder con claridad a cualquiera de estas tres preguntas, esa evasiva es en sí misma la respuesta. Para entender mejor qué hay detrás de estos modelos y por qué importa tanto su configuración, puede ayudarte revisar qué es un LLM (modelo de lenguaje) y cómo le afecta el Reglamento Europeo de IA (EU AI Act), que desde 2026 empieza a establecer obligaciones concretas para los proveedores de sistemas de IA que operan en la Unión Europea.
Generalista vs. legaltech especializado
Una duda frecuente en los despachos es si conviene usar un asistente de IA generalista —como los que ya conoce buena parte del equipo— o invertir en una herramienta legaltech vertical pensada específicamente para el sector jurídico. La respuesta honesta es que depende de la tarea.
Para borradores genéricos, resúmenes internos sin datos sensibles o investigación preliminar sobre un tema, un asistente generalista en su versión empresarial (con las tres garantías mencionadas antes) puede ser suficiente y notablemente más económico. Ya hicimos una comparativa detallada de las dos opciones más usadas actualmente en ChatGPT vs. Claude para empresas, que sirve de referencia también para un despacho que se plantea esta misma decisión.
Para tareas que requieren trabajar de forma recurrente con expedientes reales, bases de jurisprudencia integradas y trazabilidad de cada documento, una solución legaltech especializada suele justificar su coste superior. Estas herramientas verticales están diseñadas desde el origen pensando en el secreto profesional, suelen incluir bases jurisprudenciales verificadas (lo que reduce el riesgo de alucinación visto antes) y, en general, ya incorporan por defecto las tres condiciones de seguridad que hemos descrito. La decisión correcta no es «generalista o legaltech» como dilema absoluto, sino qué herramienta usar para cada tipo de tarea dentro del mismo despacho.
En cualquiera de los dos casos, la tecnología por sí sola no resuelve el problema de fondo: el equipo necesita saber qué puede subir, qué no, y cómo verificar lo que la IA le devuelve. Más allá de la herramienta concreta, en SANCANTIA también formamos a equipos de despacho en el uso seguro de estas tecnologías —qué tarea automatizar, qué configuración exigir y cómo verificar resultados— a través de nuestros programas de formación en IA para empresas, aunque ese no sea el foco principal de este artículo.
Preguntas frecuentes sobre IA y confidencialidad en despachos de abogados
1. ¿Es legal usar ChatGPT u otra IA generalista en un despacho de abogados?
No existe una prohibición legal explícita que impida usar ChatGPT u otra IA generalista en un despacho de abogados, pero hay que ser muy cuidadoso con qué información se introduce. El problema no es la herramienta en sí, sino subir documentos con datos de clientes a una versión de consumo sin contrato de encargado de tratamiento ni garantías sobre el uso de esos datos para entrenar modelos. Para cualquier tarea con datos reales de un expediente, el despacho necesita una configuración empresarial con garantías contractuales, no la versión gratuita de un chatbot.
2. ¿Quién es responsable si un abogado presenta una sentencia inventada por la IA?
El abogado que firma el escrito, no la herramienta de IA. La jurisprudencia y la deontología profesional son claras: el profesional que presenta un escrito ante un juzgado es responsable de su contenido, independientemente de qué herramienta haya usado para redactarlo. Por eso ninguna automatización legal puede saltarse la revisión humana antes de presentar un escrito.
3. ¿Necesito el consentimiento del cliente para subir su expediente a una IA?
Como mínimo, el despacho debe informar al cliente —normalmente en la hoja de encargo o en su política de privacidad— de que utiliza herramientas de IA como parte de la prestación del servicio, identificar al proveedor como encargado de tratamiento y asegurarse de que existe un contrato de encargado de tratamiento conforme al RGPD. Si el cliente exige expresamente que no se use ninguna herramienta de IA con su expediente, esa instrucción debe respetarse y documentarse.
4. ¿Dónde deben estar alojados los datos de un cliente si el despacho usa IA?
Lo recomendable es que los datos se procesen y almacenen en servidores ubicados en la Unión Europea, o en proveedores que ofrezcan garantías equivalentes reconocidas por el RGPD. Esto reduce la complejidad legal y facilita justificar ante un cliente, un colegio de abogados o una autoridad de control que el tratamiento cumple con la normativa europea de protección de datos.
El secreto profesional no es un obstáculo que haya que sortear para usar IA en un despacho. Es la condición que define qué herramienta y qué configuración son aceptables, y cuáles no. Un despacho que entiende esta distinción no tiene que elegir entre quedarse atrás tecnológicamente o arriesgar la confianza de sus clientes: puede automatizar lo que tiene sentido automatizar, con las garantías adecuadas, y reservar el criterio humano exactamente donde más importa.
