IAM Legal 360
ChatGPT, abogados y privacidad

¿Puede un abogado usar ChatGPT con documentos de clientes?

La respuesta prudente no es “sí” o “no” en abstracto. Depende del tipo de cuenta, los datos introducidos, las condiciones aplicables, los controles activados y el deber profesional de confidencialidad.

Publicado: 9 de junio de 2026 · Lectura: 11 minutos · Fuentes oficiales revisadas

Documentos jurídicos anonimizados y una interfaz abstracta de IA para revisar privacidad antes de usar ChatGPT

Respuesta corta

Un abogado no debería subir documentos reales de clientes a ChatGPT sin una revisión previa de confidencialidad, RGPD, secreto profesional, condiciones del proveedor, conservación, entrenamiento de modelos, acceso interno y necesidad real del tratamiento. Para explorar ideas, suele ser más prudente usar supuestos ficticios, extractos sin datos identificativos o documentos previamente minimizados.

Resumen rápido

  • Un documento de cliente puede contener datos personales, estrategia jurídica, comunicaciones protegidas, secretos empresariales o información de terceros.
  • OpenAI distingue entre servicios de consumo, planes de empresa y API. Las garantías y controles no son idénticos en todos los casos.
  • Desactivar el entrenamiento o borrar un chat no sustituye un análisis de confidencialidad, secreto profesional y protección de datos.
  • La anonimización exige revisar contexto, fechas, importes, hechos y metadatos, no solo quitar nombres.
  • La salida de ChatGPT puede ayudar a ordenar ideas, pero debe verificarse con fuentes jurídicas y criterio profesional.

Primero: qué tipo de uso estás planteando

No es lo mismo pedir a ChatGPT que explique una cláusula ficticia que subir un contrato firmado, una demanda, un correo de cliente o una carpeta completa de expediente. La sensibilidad cambia mucho según el contenido y según la versión del producto utilizada.

ChatGPT personal o de consumoPuede tener controles de datos, pero no debe asumirse que es el entorno adecuado para expedientes o documentos sensibles de clientes.
ChatGPT Business o EnterpriseOpenAI declara controles adicionales para datos de empresa, pero el despacho debe revisar condiciones, DPA, retención, roles y configuración.
API de OpenAIPuede integrarse en flujos propios y OpenAI describe políticas específicas de tratamiento y retención, pero exige diseño técnico y contractual cuidadoso.
Herramienta jurídica que usa modelos de OpenAINo basta mirar OpenAI: hay que revisar al proveedor legaltech, sus subencargados, condiciones, seguridad y trazabilidad.

Qué dice OpenAI que conviene tener presente

En su documentación, OpenAI explica que los controles de datos de ChatGPT permiten decidir si las conversaciones ayudan a mejorar sus modelos. También indica que, si esa opción se desactiva, las conversaciones siguen apareciendo en el historial, pero no se usan para entrenar ChatGPT. Las conversaciones temporales se eliminan de sus sistemas después de 30 días, aunque pueden revisarse para controlar abusos.

Para datos de empresa, OpenAI publica compromisos específicos para ChatGPT Business, ChatGPT Enterprise y la API: declara que no entrena sus modelos con datos de empresa por defecto, ofrece controles de acceso y describe medidas de seguridad, retención y acuerdos de tratamiento de datos para determinados servicios. Eso es importante, pero no convierte cualquier uso en automáticamente apto para documentos de clientes.

El punto jurídico: revelar información sigue siendo revelar información

El secreto profesional y la confidencialidad no desaparecen porque una herramienta sea útil. Un documento jurídico puede incluir instrucciones del cliente, hechos no públicos, datos de terceros, estrategia procesal, información laboral, sanitaria, financiera o empresarial. Si se envía a un sistema externo, hay que poder justificar por qué, con qué base, bajo qué garantías y con qué límites.

En España, el Estatuto General de la Abogacía y la Ley Orgánica del Derecho de Defensa colocan la confidencialidad y el secreto profesional en el centro de la relación abogado-cliente. En paralelo, el RGPD exige atender a principios como minimización, finalidad, seguridad, responsabilidad proactiva y control de proveedores cuando hay datos personales.

Usos más prudentes

Caso ficticioPlantear una situación abstracta sin nombres, fechas, importes exactos ni detalles que identifiquen al cliente.
Resumen sin datosConvertir un asunto real en una descripción genérica antes de pedir estructura, preguntas o hipótesis de trabajo.
Revisión de estiloMejorar claridad de un texto ya desprovisto de datos sensibles y sin estrategia jurídica concreta.
Esquema de contratoPedir una lista de apartados o puntos de atención, no subir el contrato firmado completo.
Checklist internoCrear una lista de revisión para un tipo de documento, y aplicarla después manualmente al caso real.

Checklist antes de subir nada

  1. Identifica si el documento contiene datos personales, datos sensibles, secretos empresariales o estrategia jurídica.
  2. Comprueba qué cuenta o servicio estás usando: personal, Business, Enterprise, API o una herramienta de terceros.
  3. Revisa si el contenido puede usarse para entrenamiento, mejora del servicio, seguridad, soporte o revisión humana.
  4. Comprueba conservación, borrado, historial, exportación, subencargados y ubicación del tratamiento.
  5. Valora si existe DPA o contrato de encargado cuando proceda.
  6. Minimiza: elimina todo lo que no sea imprescindible para la finalidad concreta.
  7. Evita metadatos y anexos innecesarios: los documentos pueden revelar más de lo que parece.
  8. Documenta una política interna: qué puede usarse, quién puede usarlo y con qué límites.
  9. Verifica siempre las respuestas con fuentes jurídicas primarias.

Errores comunes

  • “Borrar el chat lo arregla todo”. Borrado, historial, retención y uso para seguridad o cumplimiento pueden ser cosas distintas según el servicio.
  • “Si quito nombres ya está anonimizado”. Fechas, importes, hechos, cargos, ubicaciones o metadatos pueden identificar indirectamente.
  • “Business equivale a apto para cualquier expediente”. Las garantías empresariales ayudan, pero no sustituyen la revisión jurídica, contractual y técnica del uso concreto.
  • “La respuesta parece correcta, así que sirve”. Una respuesta plausible puede contener errores, omisiones o referencias no comprobadas.
  • “La herramienta jurídica lo resuelve todo”. Si un proveedor integra modelos externos, también hay que revisar al proveedor, no solo al modelo subyacente.

Una regla práctica para despachos

Si no podrías explicar al cliente qué datos se enviaron, a quién, para qué, durante cuánto tiempo y bajo qué garantías, ese documento no debería subirse todavía.

La IA generativa puede ser muy útil para formar, ordenar ideas, preparar esquemas o comparar enfoques. Pero cuanto más real, sensible o estratégico sea el documento, más estrecha debe ser la revisión previa. En muchos casos, la mejor primera prueba no es subir el documento: es construir un caso ficticio equivalente.

Fuentes oficiales y primarias

Preguntas frecuentes

¿Puede un abogado usar ChatGPT para redactar borradores?

Puede usarlo como apoyo si no introduce información confidencial o sensible sin garantías suficientes. El borrador debe revisarse con criterio profesional y fuentes jurídicas.

¿ChatGPT Business o Enterprise eliminan el riesgo?

No eliminan todo el riesgo. OpenAI declara controles adicionales y que no entrena con datos de empresa por defecto, pero el despacho debe revisar contrato, DPA, permisos, retención y política interna de uso.

¿Puedo subir un contrato si quito los nombres?

No necesariamente. Un contrato puede identificar a las partes por importes, fechas, objeto, sector, ubicación, anexos o metadatos. La minimización debe revisarse de forma realista.

¿Es mejor usar casos ficticios?

Para pruebas iniciales, formación y exploración de ideas, sí. Un caso ficticio reduce riesgo y permite aprovechar la herramienta sin revelar un asunto real.

¿Esto significa que nunca se puede usar IA con documentos jurídicos?

No. Significa que el uso debe diseñarse: herramienta adecuada, garantías contractuales, controles técnicos, minimización, revisión humana y fuentes comprobables.

Contenido informativo y orientativo. No sustituye un análisis jurídico, técnico o contractual del caso concreto.