AEPD e IA: qué implica su nueva política interna

IA en el Sector Legal: Automatización JurídicaBy 3L3C

La AEPD publica la primera política interna de uso de IA en el sector público. Descubre qué implica para despachos y cómo diseñar tu propia política de IA.

AEPDinteligencia artificialautomatización jurídicaprotección de datoslegaltechdespachos de abogados
Share:

Featured image for AEPD e IA: qué implica su nueva política interna

AEPD e IA: qué implica su nueva política interna

En pleno 2025, cuando muchos despachos en España están probando asistentes jurídicos basados en IA, revisores automáticos de contratos o sistemas predictivos de litigios, una pregunta clave sigue en el aire: ¿cómo usar la inteligencia artificial de forma segura, ética y conforme al RGPD?

La reciente publicación por parte de la Agencia Española de Protección de Datos (AEPD) de su Política interna de uso de Inteligencia Artificial, la primera de este tipo en el sector público español, envía un mensaje muy claro al sector legal: la transformación digital ya no es solo incorporar tecnología, sino gobernarla adecuadamente.

En este artículo, dentro de la serie "IA en el Sector Legal: Automatización Jurídica", analizamos qué significa este paso de la AEPD, qué podemos anticipar que contenga esa política y, sobre todo, cómo puede servir de hoja de ruta para despachos de abogados, asesorías jurídicas y departamentos de cumplimiento que quieran aprovechar la IA sin poner en riesgo datos personales, reputación ni responsabilidad profesional.

1. ¿Qué supone que la AEPD tenga una política interna de IA?

La AEPD no es solo una autoridad de control; es también un referente de buenas prácticas. Que haya aprobado y publicado una Política general interna para el uso de IA tiene varias implicaciones relevantes para el sector jurídico:

1.1. Señal de madurez regulatoria y organizativa

  • La IA deja de ser un "experimento" puntual para convertirse en una capacidad estratégica dentro de la propia Agencia.
  • Se reconoce que la IA puede aportar eficiencia, capacidad de análisis y automatización a procesos internos (gestión de reclamaciones, análisis de riesgos, supervisión, etc.), pero siempre bajo controles claros y documentados.

Para los despachos, esto lanza un mensaje directo: si el regulador se autoimpone reglas estrictas para el uso de IA, nadie en el sector legal podrá alegar improvisación cuando haya incidentes o sanciones relacionadas con sistemas automatizados.

1.2. La IA como palanca de transformación digital… y de riesgo

La propia AEPD subraya, en línea con sus comunicaciones habituales, la necesidad de una transformación digital segura, ética y conforme al marco normativo vigente. Traducido al lenguaje de negocio jurídico:

  • No basta con implementar un software de revisión automática de contratos o un motor de búsqueda jurisprudencial avanzado.
  • Es imprescindible evaluar qué datos trata, con qué base jurídica, qué riesgos genera para los derechos de las personas y qué salvaguardas se aplican.

La IA es una palanca de competitividad para despachos y asesorías, pero también un multiplicador de riesgos si se despliega sin gobernanza.

2. Claves previsibles de la política interna de IA de la AEPD

Aunque solo conocemos un breve resumen de la noticia, por la experiencia en otras organizaciones públicas y privadas podemos anticipar varios ejes estructurales que, con toda probabilidad, formarán parte de esta política.

2.1. Principios rectores del uso de IA

Es razonable esperar que la política incluya, al menos, los siguientes principios, alineados con el RGPD y las directrices europeas sobre IA:

  • Licitud y lealtad: los sistemas de IA deben tener una base jurídica clara para el tratamiento de datos personales.
  • Transparencia: obligación de documentar cómo funciona el sistema, qué datos utiliza y con qué finalidad.
  • Minimización de datos: uso de la menor cantidad de datos personales posible, y, cuando se pueda, datos anonimizados o seudonimizados.
  • Exactitud: controles para revisar y corregir errores o sesgos en los resultados de la IA.
  • Limitación de finalidad: prohibición de reutilizar datos de entrenamiento para objetivos no compatibles.
  • Responsabilidad proactiva (accountability): trazabilidad, auditorías y registro de decisiones.

2.2. Evaluaciones de impacto y clasificación de riesgos

En línea con las tendencias europeas, es muy probable que la AEPD exija internamente:

  • Inventario de sistemas de IA: catálogo actualizado de las herramientas y modelos utilizados.
  • Clasificación por niveles de riesgo (bajo, medio, alto) en función de:
    • Tipo de datos (sensibles/no sensibles).
    • Impacto sobre derechos y libertades.
    • Grado de autonomía en la toma de decisiones.
  • Evaluación de Impacto en Protección de Datos (EIPD) obligatoria para sistemas de alto riesgo.

Para un despacho de abogados, esto se traduce en una práctica muy concreta: no todas las herramientas de IA necesitan el mismo nivel de control, pero todas deben estar identificadas y evaluadas.

2.3. Roles y responsabilidades claras

Otra pieza esencial de cualquier política interna de IA es la definición de quién hace qué:

  • Responsables funcionales de cada herramienta o sistema.
  • Supervisión del Delegado de Protección de Datos (DPO).
  • Intervención de equipos de Seguridad de la Información y TI.
  • Mecanismos de formación y concienciación para el personal.

En el ámbito de la abogacía, esto implica que:

  • No puede ser solo "cosa de informática" o de un socio tech-enthusiast.
  • Debe existir un marco corporativo aprobado por la dirección, con participación de cumplimiento normativo, protección de datos y responsables de práctica.

3. ¿Qué lecciones deja la AEPD para despachos y asesorías jurídicas?

La política interna de IA de la AEPD se convierte, de facto, en una guía de referencia para el sector. Estas son algunas lecciones prácticas para quienes están desplegando o planean desplegar automatización jurídica con IA.

3.1. De la prueba de concepto a la gobernanza formal

Muchos despachos se encuentran ahora mismo en fases de:

  • Pruebas con asistentes de redacción de escritos.
  • Pilotos de revisión automatizada de contratos.
  • Experimentos con clasificación automática de documentación en litigios masivos.

La lección es clara: es el momento de pasar de:

"Estamos probando algo interesante"
a
"Tenemos una política corporativa de IA, procesos de validación y controles".

3.2. Incorporar la IA al mapa de riesgos legales y de cumplimiento

La IA no es solo una cuestión tecnológica, sino también de riesgo jurídico y reputacional. Algunas preguntas que todo despacho debería poder responder:

  1. ¿Qué herramientas de IA se usan (o se permitirán usar) en el despacho?
  2. ¿Se han revisado los términos de uso y la ubicación de los servidores (transferencias internacionales de datos)?
  3. ¿Qué datos de clientes se pueden introducir y con qué base jurídica?
  4. ¿Se ha informado a los clientes del uso de IA en la prestación del servicio?
  5. ¿Qué controles existen para evitar filtraciones de información confidencial?

La política de la AEPD refuerza la idea de que estas cuestiones deben estar documentadas, no solo tratadas de forma informal.

3.3. IA como apoyo, no sustituto, del juicio profesional

Un eje recurrente en las orientaciones de la AEPD y en la regulación europea es que los sistemas automatizados no deben sustituir por completo el juicio humano en decisiones que afecten significativamente a las personas.

En la práctica para la abogacía:

  • Un sistema de IA puede sugerir cláusulas o proponer estrategias procesales, pero la decisión final debe ser del abogado.
  • Debe quedar constancia de que el letrado revisa, valida y asume la responsabilidad profesional.

Esto no frena la automatización jurídica; la hace más sólida y defendible ante clientes y autoridades.

4. Cómo diseñar una política interna de IA en tu despacho

Si la AEPD ha elaborado su propia política interna de uso de IA, es razonable que los despachos y asesorías jurídicas hagan lo mismo. A continuación, una guía práctica para comenzar.

4.1. Paso 1: Inventario y diagnóstico

  • Elabora un inventario de herramientas de IA ya en uso (incluyendo las genéricas, como chatbots o asistentes de escritura) y las que se planea incorporar.
  • Clasifica los casos de uso:
    • Búsqueda y análisis documental.
    • Automatización de contratos.
    • Soporte al cliente (chatbots).
    • Análisis predictivo, etc.
  • Identifica qué datos personales intervienen, si son sensibles y de qué fuentes proceden.

4.2. Paso 2: Definir principios y límites

Inspírate en los principios que, previsiblemente, aplica la AEPD:

  • Prohibir introducir en sistemas externos datos especialmente sensibles de clientes salvo garantías reforzadas.
  • Exigir que cualquier herramienta de IA tenga una finalidad concreta y documentada.
  • Impedir que la IA tome decisiones automatizadas con efectos jurídicos relevantes sin revisión humana.

Plasma estos principios en un documento interno aprobado por la dirección.

4.3. Paso 3: Roles y formación

  • Designa una figura o comité de gobernanza de IA (puede integrarse con el comité de innovación o de compliance).
  • Involucra al DPO, si existe, y al responsable de TI/Seguridad.
  • Diseña un plan de formación básica para abogados y personal de apoyo sobre:
    • Riesgos de introducir datos de clientes en sistemas de IA.
    • Buenas prácticas de uso.
    • Procedimientos de reporte de incidentes.

4.4. Paso 4: Procedimientos y controles

Define procedimientos sencillos y realistas, como por ejemplo:

  • Revisión previa de cualquier nueva herramienta de IA antes de su adopción.
  • Plantillas para evaluaciones de riesgo de cada caso de uso.
  • Registros de qué asuntos o procesos se apoyan en IA.
  • Auditorías periódicas de los resultados (calidad, sesgos, errores).

Con esto, la automatización jurídica deja de ser un conjunto de iniciativas aisladas para convertirse en una estrategia controlada y alineada con el marco normativo.

5. La AEPD como brújula para la automatización jurídica con IA

La publicación de la política interna de IA de la AEPD marca un antes y un después en el sector público, y envía una señal clara al sector legal privado: no habrá vuelta atrás en la adopción de IA, pero tampoco en la exigencia de cumplir con los principios de protección de datos y ética digital.

En el contexto de esta serie sobre IA en el Sector Legal: Automatización Jurídica, esta noticia confirma que la modernización de la práctica jurídica en España pasa por dos carriles inseparables:

  1. Innovación tecnológica: aprovechar la IA para revisar contratos más rápido, investigar jurisprudencia con mayor profundidad y ofrecer servicios legales más eficientes.
  2. Gobernanza y cumplimiento: políticas internas claras, evaluación de riesgos, transparencia con los clientes y control humano sobre las decisiones.

Los despachos que sepan combinar ambas dimensiones estarán mejor posicionados para competir en un mercado donde los clientes ya no preguntan solo "qué haces", sino "cómo lo haces y con qué garantías".

El siguiente paso está en tu campo: ¿vas a seguir probando herramientas de IA de forma aislada o vas a dar el salto a una estrategia de automatización jurídica gobernada, inspirada en el ejemplo de la AEPD?