6 min readSanitized AI Team

Qué exige ahora el deber de competencia tecnológica cuando su bufete usa ChatGPT

AI GovernanceComplianceData PrivacyRisk

Un pasante resume la postura confidencial de acuerdo de un cliente en ChatGPT para redactar un memorando más rápido. Un asistente legal sube el borrador de un acuerdo de confidencialidad para revisar la cláusula de indemnización. Ninguno lo interpreta como enviar datos del cliente a ningún sitio: se siente como usar un buscador más inteligente. Pero en el momento en que se envía ese prompt, el contenido queda sujeto a las condiciones de uso del proveedor, que pueden otorgarle amplios derechos para retenerlo, procesarlo y entrenar con él. No se puede deshacer. Y el abogado cuyo nombre figura en el expediente asume la consecuencia.

El deber de competencia tecnológica se suele discutir como si tratara de saber manejar un sistema de gestión documental. Es más exigente que eso. Comprender la tecnología que uno usa significa comprender qué le ocurre a la información de un cliente cuando pasa por una herramienta, incluidas las herramientas de IA de consumo gratuitas que su personal ya utiliza, tenga o no su bufete una política al respecto.

La competencia ahora incluye saber a dónde van los datos

Los colegios de abogados canadienses han integrado la competencia tecnológica dentro de los deberes más amplios que todo abogado ya tiene: la confidencialidad y el secreto profesional (solicitor-client privilege). CPATA somete a los agentes de patentes y marcas a estándares equivalentes. La obligación no es ser ingeniero. Es tomar decisiones informadas sobre las herramientas que tocan la información del cliente, lo que significa poder responder a una pregunta básica: si introduzco esto en esa herramienta, ¿quién más puede verlo y podré recuperarlo?

Para las herramientas de IA públicas, la respuesta honesta es incómoda. Una vez enviado un prompt, el control desaparece. Puede ser retenido, revisado por los subprocesadores del proveedor o utilizado para mejorar el modelo. Un tribunal de EE. UU. en U.S. v. Heppner (S.D.N.Y., feb. 2026) sostuvo que los documentos creados con una herramienta pública de IA generativa no estaban protegidos por el secreto profesional. En Trinidad v. OpenAI (N.D. Cal., ene. 2026), una demanda por secreto comercial fracasó porque desarrollar los presuntos secretos a través de ChatGPT contó como divulgación voluntaria: el secreto que los hacía protegibles ya se había perdido. Son decisiones tempranas en otra jurisdicción, y son señales más que derecho consolidado. Pero la dirección es lo bastante clara como para que un abogado competente no pueda tratar una herramienta pública de IA como un cuaderno privado.

El matiz jurisdiccional también importa. Lo que se considera dato sensible de un cliente en Canadá no es idéntico a la definición estadounidense. Un bufete con clientes transfronterizos no puede dar por hecho que un único estándar global lo protege en todas partes.

La exposición es la misma en todas las áreas de práctica

Existe la tentación de tratar esto como un problema de litigio, o un problema corporativo, y suponer que otras áreas de práctica corren menos riesgo. No es así. Los abogados de derecho de familia, migratorio, inmobiliario, corporativo y de litigio hacen investigación jurídica, revisión documental, redacción de contratos y acuerdos de confidencialidad, y diligencia debida, y todo ello implica información del cliente que conlleva obligaciones de confidencialidad y secreto profesional. La exposición sigue a los datos, no al área de práctica.

Lo que dificulta gestionar esto es que las personas que crean la exposición suelen ser las más júnior. Las reglas de conducta profesional tratan a un sistema de IA de forma muy parecida a un abogado júnior: lo que produzca un pasante, un becario o un asistente, el abogado supervisor lo firma y asume el riesgo. Los datos de Cyberhaven de 2025 hallaron que el 82,8 % de los documentos legales introducidos en herramientas de IA fueron a cuentas no corporativas: inicios de sesión personales, fuera de toda supervisión del bufete. La encuesta de Gartner de 2026 informó que el 88 % de los empleados con acceso a IA empresarial también usan herramientas de IA personales para el trabajo. Una política de bufete que dice "no uséis ChatGPT" no alcanza la cuenta personal que alguien abre en su propia laptop.

Para ser precisos sobre el riesgo que describimos: se trata de la divulgación de datos confidenciales del cliente, no de las historias de citas fabricadas que dominan los titulares. Verificar que una cita jurisprudencial es real es un problema aparte. El fallo más silencioso y más común es aquel en el que información privilegiada o confidencial abandona el control del bufete en el instante en que se envía un prompt, y nadie lo nota, porque la herramienta devuelve una respuesta útil y el trabajo se hace más rápido.

La diligencia demostrable es el punto, no una prohibición

Prohibir las herramientas no funciona; empuja el uso hacia cuentas personales donde el bufete no tiene ninguna visibilidad. La postura más defendible es la gobernanza: saber dónde se usa la IA, mantener los datos del cliente fuera de los prompts que salen del bufete, y convertir cada casi-incidente en un momento de instrucción para que las personas mejoren de forma medible en su uso seguro.

Esto también encaja con cómo se desarrollan en la práctica la disciplina y la responsabilidad. Las sanciones suelen reducirse cuando un abogado puede demostrar que tomó medidas adecuadas para prevenir el daño. Un registro de que un dato sensible fue detectado antes de enviar un prompt es prueba de salvaguardas razonables, planteado de forma direccional, no como garantía de resultado alguno. Y hay un beneficio más allá de la defensa: los bufetes divulgan cada vez más su uso de IA a los clientes y solicitan su consentimiento. Poder decirle a un cliente "aplicamos un control que mantiene sus datos fuera de las herramientas públicas de IA" es una señal de confianza, no solo un escudo.

El control tiene que actuar antes del envío, porque después del envío no queda nada que controlar. Este es el principio sobre el que está construido Sanitized AI: detectar contenido confidencial y privilegiado en un prompt y redactarlo o bloquearlo antes de que llegue a la herramienta de IA, y explicar a la persona, en lenguaje claro, qué se marcó y por qué, para que el siguiente prompt sea más seguro.

La pregunta que debe plantearse este trimestre

¿Sabe qué herramientas de IA usa su personal —incluidos pasantes y asistentes— en los expedientes de clientes, y si los datos del cliente están saliendo del bufete dentro de esos prompts? Si no puede responder a eso, su deber de competencia tecnológica tiene una brecha justo en el lugar donde un panel disciplinario miraría primero. Empiece por hacer visible ese uso y, después, por mantener los datos del cliente fuera de la caja del prompt.

Si desea ver cómo se ve esto para su bufete, solicite una demostración o una sesión de incorporación con nuestro equipo.

See how Sanitized AI stops sensitive data from leaving the prompt box.