La adopci\u00f3n de copilotos de inteligencia artificial sobre expedientes con datos personales, privados y de salud reabre frentes de riesgo \u2014transferencias internacionales, evaluaci\u00f3n de impacto y secreto profesional\u2014 que la mera contrataci\u00f3n de una licencia empresarial no resuelve. El sector sanitario ya es el que m\u00e1s crece en la actividad inspectora de la AEPD.<\/p>\n
La incorporaci\u00f3n de asistentes de inteligencia artificial generativa al trabajo jur\u00eddico ha dejado de ser una hip\u00f3tesis para convertirse en pr\u00e1ctica corriente en los despachos espa\u00f1oles. La promesa es directa: reducir horas en tareas preparatorias \u2014revisi\u00f3n documental, b\u00fasqueda de precedentes, redacci\u00f3n de borradores\u2014 y liberar el criterio del letrado para lo que aporta valor. Sin embargo, el atajo m\u00e1s habitual para lograrlo \u2014volcar expedientes completos, a menudo con datos m\u00e9dicos, en un copiloto conectado a un CRM o mediante subida directa\u2014 introduce un tratamiento de datos nuevo y de m\u00e1ximo riesgo regulatorio que la mayor\u00eda de las firmas no est\u00e1 evaluando como tal.
\nEl problema no es la herramienta, sino la asunci\u00f3n de que contratar una versi\u00f3n empresarial con protecci\u00f3n de datos reactiva el cumplimiento de forma autom\u00e1tica. No lo hace.
\nUn tratamiento nuevo, no una operaci\u00f3n neutra
\nSubir un expediente a un copiloto de IA no es una continuaci\u00f3n del litigio: es un tratamiento distinto, con sus propios encargados, subencargados y, potencialmente, transferencias internacionales. Cuando ese expediente contiene informaci\u00f3n cl\u00ednica, se activa el r\u00e9gimen de categor\u00edas especiales del art\u00edculo 9 del RGPD, el de mayor protecci\u00f3n.
\nLa consecuencia inmediata es la obligatoriedad de una Evaluaci\u00f3n de Impacto en la Protecci\u00f3n de Datos (EIPD). La normativa la exige cuando el tratamiento puede entra\u00f1ar un alto riesgo para los derechos y libertades de las personas, y concurren aqu\u00ed los tres detonantes simult\u00e1neos que la doctrina identifica como cr\u00edticos: tratamiento a gran escala de datos especiales \u2014salud\u2014, uso de nuevas tecnolog\u00edas de an\u00e1lisis con IA y elaboraci\u00f3n potencial de perfiles. La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) ha publicado en los \u00faltimos meses tanto un documento de adecuaci\u00f3n al RGPD de tratamientos que incorporan IA como orientaciones espec\u00edficas sobre inteligencia artificial ag\u00e9ntica, elevando con ello el est\u00e1ndar de diligencia exigible a cualquier responsable.
\nEl frente que la licencia empresarial no cubre: d\u00f3nde se procesa el dato
\nEl malentendido m\u00e1s extendido es creer que una licencia con protecci\u00f3n de datos empresarial garantiza que la informaci\u00f3n permanezca en territorio europeo. Conviene separar dos planos distintos:<\/p>\n
La protecci\u00f3n de datos empresarial es un compromiso del proveedor sobre el uso del dato: los contenidos no se emplean para entrenar los modelos y el tratamiento queda dentro del marco contractual. Resuelve el peor escenario \u2014que un tercero se apropie de los expedientes para entrenar\u2014, pero no descarga ninguna obligaci\u00f3n del despacho como responsable.
\nEl lugar de procesamiento de la inferencia se gobierna por mecanismos independientes. Seg\u00fan la documentaci\u00f3n de Microsoft, el mecanismo conocido como Flex Routing permite que el procesamiento de los modelos de lenguaje de Copilot se ejecute fuera del EU Data Boundary en momentos de alta demanda, y se activ\u00f3 por defecto en los tenants de la UE y EFTA el 17 de abril de 2026. Los datos almacenados permanecen en territorio europeo, pero el procesamiento en tiempo real de las respuestas puede salir de \u00e9l, comportamiento sobradamente advertido por todos los proveedores de tecnolog\u00eda. <\/p>\n
A ello se suma un cambio adicional: desde el 4 de mayo de 2026 Microsoft incorpora por defecto modelos de Anthropic en Copilot para Excel y PowerPoint, cuyo procesamiento se realiza igualmente fuera del EU Data Boundary; y desde el 7 de enero de 2026 Anthropic figura como subprocesador de Microsoft 365 Copilot. Para datos de salud sometidos a secreto profesional, cada uno de estos movimientos reabre el an\u00e1lisis de transferencia internacional del Cap\u00edtulo V del RGPD \u2014un an\u00e1lisis que el despacho debe documentar, no presuponer.
\nEl secreto profesional, el riesgo silencioso
\nCon frecuencia el frente m\u00e1s peligroso no es el administrativo, sino el deontol\u00f3gico. Volcar documentaci\u00f3n litigiosa y cl\u00ednica de un cliente en un servicio de IA de un tercero implica revelar a ese tercero informaci\u00f3n amparada por el secreto profesional del abogado. Una incidencia aqu\u00ed no se traduce \u00fanicamente en una sanci\u00f3n de la autoridad de protecci\u00f3n de datos: compromete la responsabilidad deontol\u00f3gica y civil del despacho frente a su propio cliente.
\nMirar hacia otro lado
\nPese a este escenario, buena parte de los despachos est\u00e1 mirando hacia otro lado, como si la normativa europea no fuera con ellos, en la mayor\u00eda de los casos sinti\u00e9ndose protegidos por el solo hecho de contratar a tecnol\u00f3gicas de renombre. La paradoja es que son las propias tecnol\u00f3gicas las que documentan que el procesamiento de sus modelos puede salir de Europa en momentos pico de demanda y advierten de que esa configuraci\u00f3n debe tratarse como una decisi\u00f3n de cumplimiento que cada organizaci\u00f3n est\u00e1 obligada a revisar, no como un ajuste por defecto que se acepta sin m\u00e1s. El despacho que delega esa decisi\u00f3n en el proveedor confunde la reputaci\u00f3n de la marca con la conformidad de su propio tratamiento, que sigue siendo responsabilidad exclusiva suya.
\nLas sorpresas, cuando lleguen, ser\u00e1n may\u00fasculas y de elevada cuant\u00eda. El verdadero punto de inflexi\u00f3n no ser\u00e1 una inspecci\u00f3n rutinaria, sino el d\u00eda en que un cliente encuentre su informaci\u00f3n privada \u2014datos cl\u00ednicos, estrategia procesal\u2014 indexada o accesible a trav\u00e9s de herramientas de IA o buscadores. En ese momento el problema deja de ser administrativo para convertirse en una crisis simult\u00e1nea de protecci\u00f3n de datos, secreto profesional y reputaci\u00f3n, con el agravante de que el origen no habr\u00e1 sido un ataque sofisticado, sino la decisi\u00f3n consciente de no mirar.
\nLas cifras: por qu\u00e9 el sector est\u00e1 bajo la lupa
\nEl contexto sancionador no invita a la improvisaci\u00f3n. Seg\u00fan las cifras recogidas de la actividad de la AEPD, el organismo alcanz\u00f3 los 35,6 millones de euros en sanciones durante 2024, su cifra m\u00e1s alta registrada, con multas individuales que en 2025 volvieron a alcanzar los diez millones de euros en un \u00fanico procedimiento. El dato m\u00e1s relevante para el sector profesional es sectorial: la sanidad figura entre los seis \u00e1mbitos con m\u00e1s procedimientos sancionadores, y registr\u00f3 un incremento del 278 % respecto al ejercicio anterior, se\u00f1al de que toda actividad que maneje datos de salud est\u00e1 bajo escrutinio reforzado.
\nEl marco de exposici\u00f3n econ\u00f3mica es el siguiente:
\nTipo de infracci\u00f3n Cuant\u00eda Infracci\u00f3n leve (LOPDGDD)Hasta 40.000 \u20ac (cabe apercibimiento)Infracci\u00f3n graveDe 40.001 \u20ac a 300.000 \u20acInfracci\u00f3n muy graveDesde 300.001 \u20ac hasta 20 M\u20ac o el 4 % de la facturaci\u00f3n anual (la cifra superior)
\nEl tratamiento de datos de salud agrava la calificaci\u00f3n, y la falta de EIPD documentada deja al despacho sin la prueba esencial de diligencia que cualquier inspecci\u00f3n reclamar\u00e1 en primer lugar.
\nQu\u00e9 separa el riesgo del cumplimiento
\nLa conclusi\u00f3n no es que la IA deba quedar fuera de los despachos \u2014su ventaja en eficiencia es real\u2014, sino que el orden de implantaci\u00f3n est\u00e1 invertido en la mayor\u00eda de los casos. Las palancas que concentran el riesgo, por prioridad, son tres:<\/p>\n
Verificar y, salvo justificaci\u00f3n documentada, desactivar el enrutamiento que permite la salida de la inferencia del territorio europeo. Es una acci\u00f3n de administrador que ninguna licencia ejecuta autom\u00e1ticamente.
\nRealizar la EIPD espec\u00edfica del tratamiento antes de seguir operando. Sin ella no hay defensa demostrable ante una inspecci\u00f3n.
\nAplicar minimizaci\u00f3n y seudonimizaci\u00f3n previa. El patr\u00f3n t\u00e9cnicamente m\u00e1s s\u00f3lido consiste en anonimizar o seudonimizar los datos de salud antes de que entren en el modelo, mediante una capa local de procesamiento. Si la categor\u00eda especial nunca llega al sistema de IA, la mayor\u00eda de los frentes anteriores \u2014transferencia internacional incluida\u2014 se reducen dr\u00e1sticamente, porque deja de moverse el dato sensible.<\/p>\n
La diferencia entre un despacho expuesto y uno conforme no est\u00e1 en si usa inteligencia artificial, sino en si puede demostrar que la usa bajo control. En un escenario de supervisi\u00f3n creciente \u2014que puede provenir de la AEPD en materia de datos personales y de la AESIA en materia de sistemas de IA\u2014, la gobernanza documentada deja de ser un tr\u00e1mite para convertirse en ventaja competitiva.<\/p>\n","protected":false},"excerpt":{"rendered":"
La adopci\u00f3n de IA en el \u00e1mbito legal plantea riesgos regulatorios significativos.<\/p>\n","protected":false},"author":1,"featured_media":3101,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[27],"tags":[],"class_list":["post-3100","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/posts\/3100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3100"}],"version-history":[{"count":0,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/posts\/3100\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=\/wp\/v2\/media\/3101"}],"wp:attachment":[{"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diariodelseguroyabogacia.es\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}