Por qué NO debes subir datos de clientes a ChatGPT
Cuando usas ChatGPT, GPT-4 o cualquier servicio de IA en la nube pública, los datos que introduces pueden ser:
- Procesados en servidores fuera de la UE (normalmente EE.UU.).
- Utilizados para mejorar el modelo (a menos que uses la API con opt-out explícito).
- Accesibles para empleados de la empresa proveedora durante auditorías de seguridad.
- Almacenados durante períodos indeterminados en los logs del servicio.
Esto convierte al abogado en responsable del tratamiento (o encargado) bajo el RGPD, con las obligaciones que eso conlleva.
El problema real: secreto profesional + protección de datos
El deber de secreto profesional del abogado (art. 542.3 LOPJ, art. 32 EGA) exige que la información del cliente no sea revelada a terceros sin consentimiento. Al subir datos a un LLM en la nube:
- Revelas información a un tercero (el proveedor de IA).
- No tienes garantía de que no será utilizada para otros fines.
- Puedes estar transfiriendo datos fuera del EEE sin base legal adecuada.
- El consentimiento del cliente no cubre necesariamente este uso.
RGPD aplicado al uso de IA en despachos
Principios relevantes (art. 5 RGPD)
| Principio | Implicación para IA |
|---|
| Minimización de datos | Solo introduce los datos estrictamente necesarios para la consulta |
| Limitación de la finalidad | Los datos del cliente son para su asunto legal, no para entrenar modelos |
| Integridad y confidencialidad | Debes garantizar que los datos no se filtren a través de servicios de terceros |
| Responsabilidad proactiva | Debes poder demostrar que tomas medidas adecuadas |
¿Necesitas un EIPD (Evaluación de Impacto)?
Según el art. 35 RGPD, es probable que necesites un EIPD (Evaluación de Impacto en Protección de Datos) si:
- Tratas datos de categorías especiales (salud, antecedentes penales).
- El tratamiento es sistemático y a gran escala.
- Usas nuevas tecnologías que pueden suponer un alto riesgo.
La IA generativa aplicada a datos de clientes legales cumple los tres criterios en muchos casos.
Obligaciones prácticas
- Contrato de encargado de tratamiento (art. 28 RGPD) con el proveedor de IA.
- Registro de actividades de tratamiento que incluya el uso de IA.
- Información al interesado (art. 13-14 RGPD): los clientes deben saber que usas IA.
- Evaluación de transferencias internacionales: ¿los datos salen del EEE?
- Medidas de seguridad: cifrado, anonimización, pseudonimización.
Técnicas de anonimización para IA legal
Antes de introducir cualquier dato de un caso en una herramienta de IA, debes anonimizarlo. Estas son las técnicas principales:
1. Pseudonimización
Sustituir datos identificativos por códigos:
- «Juan García López» → «Parte A» o «[DEMANDANTE]»
- «C/ Mayor 23, Madrid» → «[DIRECCIÓN_1]»
- «DNI 12345678-A» → «[DNI_REDACTADO]»
Ventaja: Mantiene la coherencia del texto (puedes seguir la lógica del caso).
Limitación: No es anonimización completa: se puede revertir si tienes la tabla de correspondencias.
2. Anonimización real
Eliminar completamente datos que permitan la identificación:
- Quitar nombres, DNI, direcciones, teléfonos, emails.
- Generalizar: «hombre de 47 años de Madrid» → «persona de mediana edad de gran ciudad».
- Eliminar datos únicos: número de expediente, matrícula de vehículo.
3. Datos sintéticos
Generar datos ficticios que mantengan las propiedades estadísticas del caso sin revelar datos reales:
- Usar nombres ficticios coherentes.
- Sustituir importes reales por importes aproximados.
- Cambiar fechas manteniendo los plazos relativos.
Cuándo usar cada técnica
| Técnica | Cuándo usarla | Ejemplo |
|---|
| Pseudonimización | Análisis interno donde necesitas coherencia | Preparar estrategia procesal con IA |
| Anonimización | Compartir con herramientas en la nube | Preguntar a ChatGPT sobre un tipo de caso |
| Datos sintéticos | Formación, demos, pruebas | Entrenar al equipo en el uso de IA legal |
Infraestructura propia vs nube pública
Modelo A: Nube pública (ChatGPT, Claude API, etc.)
- Pros: Fácil de usar, siempre actualizado, sin mantenimiento.
- Contras: Datos salen de tu control, posible entrenamiento con tus datos, cumplimiento RGPD complejo.
- Adecuado para: Consultas genéricas sin datos reales, formación, brainstorming.
Modelo B: API con encargado de tratamiento
- Pros: Opt-out de entrenamiento, contrato DPA, mejor control.
- Contras: Los datos siguen saliendo de tu infraestructura, posible transferencia internacional.
- Adecuado para: Uso profesional con datos pseudonimizados y contrato DPA firmado.
Modelo C: Infraestructura propia / on-premise
- Pros: Control total, datos nunca salen, cumplimiento RGPD simplificado.
- Contras: Requiere inversión en hardware/infraestructura, modelos propios pueden ser menos capaces.
- Adecuado para: Grandes despachos con datos muy sensibles y presupuesto para infraestructura.
Modelo D: Herramienta legal especializada con infraestructura UE
- Pros: Combina calidad de modelo con infraestructura controlada, DPA incluido, diseñada para cumplimiento.
- Contras: Coste de suscripción, dependencia de proveedor.
- Adecuado para: La mayoría de despachos que quieren usar IA de forma profesional y segura.
Caso práctico: filtración de datos en un despacho
Escenario
Un abogado de un despacho mediano copia el texto de una demanda completa (con nombres, DNI, domicilios, datos bancarios del demandante) y lo pega en ChatGPT para pedirle un resumen.
Consecuencias potenciales
- Infracción del RGPD (art. 83): multa de hasta el 4% de la facturación anual o 20 millones de euros.
- Vulneración del secreto profesional (art. 542.3 LOPJ): posible expediente disciplinario del Colegio de Abogados.
- Responsabilidad civil: si el cliente descubre la filtración, puede reclamar daños.
- Daño reputacional: pérdida de confianza de clientes y daño a la marca del despacho.
Cómo debería haberlo hecho
- Pseudonimizar el texto antes de introducirlo.
- Usar una herramienta legal con DPA y infraestructura UE.
- Verificar el registro de actividades de tratamiento incluye el uso de IA.
- Informar al cliente de que se usan herramientas de IA en el despacho (cláusula en el contrato de servicios).
Resumen del módulo
| Concepto | Lo que debes recordar |
|---|
| Datos en nube pública | Nunca subas datos reales de clientes a ChatGPT/GPT-4 sin anonimizar |
| RGPD | El uso de IA con datos personales requiere base legal, DPA y registro |
| Anonimización | Pseudonimiza como mínimo; anonimiza si usas nube pública |
| Secreto profesional | Se extiende al uso de herramientas de IA: el abogado es siempre responsable |
| Infraestructura | Prefiere herramientas con infraestructura UE y DPA firmado |