Introducir datos de un cliente en ChatGPT puede suponer una vulneración del secreto profesional, una infracción del RGPD y una responsabilidad disciplinaria ante el Colegio. Este análisis examina el marco legal aplicable, la posición del CGAE y cómo adoptar un protocolo de uso seguro de IA en el despacho.
La escena es cotidiana en los despachos de 2026: un abogado necesita redactar un escrito de demanda, preparar una contestación o sintetizar un contrato complejo. Abre ChatGPT, pega el texto del expediente —con el nombre del cliente, los hechos del caso, las cantidades reclamadas, la contraparte— y solicita al modelo que le ayude a estructurar el argumento. La respuesta llega en segundos y es técnicamente competente. Lo que el abogado rara vez se pregunta es qué ha ocurrido con esos datos en el momento en que pulsó "Enviar".
La respuesta jurídica a esa pregunta no es neutra. Los datos enviados a ChatGPT salen del entorno controlado del despacho, viajan a los servidores de OpenAI —empresa con sede en San Francisco, sometida al derecho estadounidense— y, dependiendo del plan de suscripción y la configuración de la cuenta, pueden ser utilizados para mejorar los modelos de inteligencia artificial de la compañía. En ese trayecto, el abogado ha podido cometer al menos tres infracciones concurrentes: una vulneración del secreto profesional, una comunicación de datos personales sin base jurídica bajo el RGPD, y una violación del deber de confidencialidad establecido en el contrato de prestación de servicios con el cliente.
Este artículo analiza cada uno de esos riesgos, examina la posición de los organismos reguladores y propone un protocolo de uso responsable que permita aprovechar las capacidades de la IA generativa sin comprometer las obligaciones deontológicas del abogado.
El secreto profesional del abogado no es una cortesía ni una práctica habitual: es una obligación jurídica de primer orden, establecida en los niveles más altos del ordenamiento.
El artículo 542.3 de la Ley Orgánica del Poder Judicial (LOPJ) dispone que los abogados «están sujetos al secreto profesional y guardarán rigurosa reserva de todos los hechos o noticias que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos». El precepto no establece excepciones ordinarias: la reserva es total, abarca cualquier información conocida en el ejercicio de la profesión y se extiende incluso frente a requerimientos de la autoridad.
El artículo 22 del Código Deontológico de la Abogacía Española, aprobado por el Consejo General de la Abogacía Española, desarrolla este mandato con precisión: el abogado está obligado a «guardar secreto de todos los hechos o noticias que conozca por razón de cualquiera de las modalidades de su actuación profesional, sin que pueda ser obligado a declarar sobre los mismos» y, de modo explícito, a «guardar secreto incluso frente al propio cliente, cuando ello fuera necesario para proteger a terceros». La norma deontológica extiende la obligación a los colaboradores del despacho y superviviente al cese de la relación profesional.
Consecuencias del incumplimiento
La vulneración del secreto profesional puede dar lugar a responsabilidad disciplinaria ante el Colegio (art. 85 Estatuto General de la Abogacía), responsabilidad civil por daños y perjuicios causados al cliente (art. 1902 Código Civil), y responsabilidad penal si la revelación es dolosa o negligente y afecta a datos especialmente protegidos (art. 199 Código Penal). Las tres vías son independientes y acumulables.
La jurisprudencia del Tribunal Constitucional —especialmente la STC 110/1984 y la STC 207/1996— ha calificado el secreto profesional del abogado como un derecho fundamental instrumental del derecho de defensa reconocido en el art. 24 CE. Su protección no cede ante consideraciones de eficiencia o comodidad operativa del despacho.
La pregunta relevante es entonces: ¿constituye el envío de datos de un cliente a ChatGPT una revelación del secreto profesional? La respuesta depende de los términos del servicio y la arquitectura técnica de la plataforma, pero en la configuración estándar de la mayoría de planes, la respuesta es afirmativa.
La política de privacidad de OpenAI, en su versión vigente a la fecha de este análisis, establece que la empresa puede usar el contenido de las conversaciones para «entrenar y mejorar» sus modelos en los planes gratuitos y en determinados planes de pago que no incluyan la opción de desactivar el entrenamiento. Esto significa que los datos enviados no son tratados exclusivamente para prestar el servicio al usuario: se convierten en datos de entrenamiento de un tercero.
Desde la perspectiva del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679), esta situación plantea problemas en varios frentes:
El envío de datos personales de clientes a OpenAI constituye una comunicación de datos a un tercero en el sentido del art. 4.2 RGPD. Para ser lícita, requiere una base jurídica del art. 6 RGPD. En el contexto de la prestación de servicios jurídicos, ninguna de las bases habituales —consentimiento, ejecución de contrato, obligación legal— cubre la transmisión a una empresa de IA para fines de entrenamiento. El cliente no ha consentido que sus datos viajen a OpenAI; la ejecución del contrato de servicios jurídicos no requiere ese envío; y no existe obligación legal que lo imponga.
OpenAI tiene sus servidores principales en Estados Unidos. Aunque la empresa se acogió al Marco de Privacidad de Datos UE-EE.UU. vigente, las transferencias internacionales exigen garantías adicionales (art. 46 RGPD) y un análisis de impacto de la transferencia (Transfer Impact Assessment, TIA) cuando el destinatario puede estar sujeto a requerimientos de acceso por parte de autoridades extranjeras.
El artículo 28 RGPD establece que cuando un responsable del tratamiento recurre a un encargado, la relación debe formalizarse mediante un contrato que garantice que el encargado solo trata los datos conforme a las instrucciones del responsable y no los destina a fines propios. En la configuración estándar de ChatGPT, OpenAI no actúa como encargado del tratamiento en el sentido jurídico del término: actúa como responsable independiente cuando usa los datos para entrenar sus modelos. Esto significa que no es posible formalizar un contrato de encargado de tratamiento válido bajo el RGPD para la mayoría de planes de uso individual o profesional básico.
Datos especialmente protegidos en expedientes jurídicos
Los expedientes de clientes frecuentemente contienen categorías especiales de datos (art. 9 RGPD): datos de salud en casos de negligencia médica o accidentes, datos sobre ideología u orientación sexual en divorcios o procedimientos penales, datos sobre condenas e infracciones penales (art. 10 RGPD). Su tratamiento está sujeto a restricciones adicionales aún más estrictas, y su cesión no autorizada puede constituir infracción muy grave bajo el RGPD con sanciones de hasta 20 millones de euros o el 4% de la facturación global.
En enero de 2026, el Consejo General de la Abogacía Española publicó una nota informativa dirigida a los colegios de abogados y, a través de ellos, a todos los letrados colegiados. El documento, de carácter no vinculante pero con valor orientador de primera importancia, establece con claridad la posición institucional sobre el uso de herramientas de IA generativa en el ejercicio de la abogacía.
Los puntos centrales de la nota son los siguientes:
La posición del CGAE coincide con la adoptada por los colegios de abogados de otros Estados miembros. El Conseil National des Barreaux francés y el Bundesrechtsanwaltskammer alemán han emitido recomendaciones en la misma dirección, lo que apunta a una convergencia de criterio a nivel europeo que podría cristalizar en orientaciones del Consejo de Abogados y Barras de Europa (CCBE).
La conclusión de que el uso estándar de ChatGPT es incompatible con el secreto profesional no implica que la IA generativa sea inutilizable en el despacho. Existen configuraciones y productos que sí permiten su uso con datos de clientes, siempre que se cumplan determinados requisitos jurídicos y técnicos.
| Alternativa | Descripción | DPA disponible | Sin entrenamiento con datos del usuario |
|---|---|---|---|
| ChatGPT Enterprise | Plan corporativo de OpenAI dirigido a organizaciones; incluye DPA y garantía de no uso de datos para entrenamiento | Sí | Garantizado |
| Azure OpenAI Service | Acceso a modelos GPT a través de Microsoft Azure; los datos no salen del entorno Azure del cliente y OpenAI no accede a ellos para entrenamiento | Sí | Garantizado |
| API de OpenAI (plan API) | Acceso mediante API; desde marzo de 2023 OpenAI no usa datos de API para entrenamiento por defecto; DPA disponible bajo solicitud | Sí | Garantizado (por defecto) |
| Modelos on-premise / autoalojados | Despliegue de modelos de código abierto (Llama 3, Mistral, etc.) en servidores propios del despacho; los datos no salen del entorno interno | No necesario | Por diseño |
| Software jurídico especializado con IA | Plataformas diseñadas para el sector legal (Thomsom Reuters CoCounsel, Harvey AI Enterprise, Legalario) con DPA específico para despachos | Sí | Garantizado |
| ChatGPT versión gratuita o Plus estándar | Plan individual sin DPA; OpenAI puede usar datos para entrenamiento salvo que el usuario lo desactive manualmente en la configuración | No | No garantizado |
En cualquier caso, la existencia de un DPA no es condición suficiente para el uso lícito: también es necesario que el despacho informe a sus clientes, en la cláusula de protección de datos del contrato de servicios, de que se utilizan herramientas de IA como encargados del tratamiento, con identificación del proveedor o categoría de proveedor. La transparencia con el cliente es, en sí misma, una exigencia deontológica.
La adopción de un protocolo interno de uso de IA no es una formalidad burocrática: es la herramienta que permite al despacho demostrar que ha actuado con la diligencia debida si surge una controversia disciplinaria o una reclamación del cliente. A continuación se propone un protocolo mínimo en seis pasos:
El despacho debe identificar todas las herramientas de IA que utilizan sus abogados, incluidas las que no fueron adquiridas expresamente por el despacho sino por los propios profesionales con cuentas personales. Este inventario debe incluir la versión o plan contratado, el proveedor, la existencia o ausencia de DPA, y una evaluación preliminar de si la herramienta es apta para procesar datos de clientes.
Para cada herramienta aprobada para uso con datos de clientes, el despacho debe formalizar el contrato de encargado del tratamiento exigido por el art. 28 RGPD. Este contrato debe especificar: la naturaleza y finalidad del tratamiento, el tipo de datos y las categorías de interesados, las obligaciones y derechos del responsable, y las garantías de seguridad del encargado.
Los contratos de servicios y el aviso de privacidad que el despacho entrega a los clientes deben actualizarse para reflejar el uso de herramientas de IA como encargados del tratamiento. La información debe ser clara, comprensible y accesible, conforme al principio de transparencia del art. 5.1.a) RGPD.
El despacho debe adoptar una política escrita que distinga con claridad qué usos de IA están permitidos (redacción de borradores con datos ficticios o anonimizados, investigación jurídica sobre textos públicos, generación de plantillas) y cuáles requieren la versión enterprise o API con DPA (trabajo con datos reales de clientes). La política debe distribuirse a todos los miembros del despacho y actualizarse periódicamente.
Todos los abogados y personal de administración con acceso a datos de clientes deben recibir formación específica sobre los límites del uso de IA, con énfasis en los riesgos deontológicos y de protección de datos. Esta formación debe quedar documentada. La ignorancia de las condiciones de uso de una herramienta no exonera de responsabilidad.
Las políticas de privacidad de los proveedores de IA cambian con frecuencia. El despacho debe designar a un responsable —el DPO si lo tiene, o un socio responsable de compliance— para revisar periódicamente las condiciones de los proveedores contratados y evaluar si se han producido cambios que afecten a la licitud del tratamiento.
Técnica de anonimización como medida paliativa
Una práctica extendida entre abogados que no disponen aún de las herramientas adecuadas consiste en anonimizar los datos antes de introducirlos en ChatGPT: sustituir el nombre del cliente por "Cliente A", la contraparte por "Parte B", y modificar datos identificativos como importes exactos, fechas o referencias de procedimiento. Esta técnica reduce el riesgo pero no lo elimina: si la combinación de datos permite la reidentificación, la anonimización no es efectiva en el sentido del RGPD (Considerando 26 RGPD). No debe considerarse una solución definitiva, sino una medida provisional mientras se implantan herramientas con las garantías adecuadas.
Doctrina, jurisprudencia y práctica forense sobre IA y Derecho en su bandeja de entrada, cada lunes.
Suscribirse al boletín