Política de IA de la AEPD: qué cambia para el sector legal

IA en el Sector Legal: Automatización JurídicaBy 3L3C

La AEPD estrena la primera política interna de IA generativa en el sector público. Te cuento qué implica y cómo usarla como modelo para tu despacho.

inteligencia artificialautomatización jurídicaAEPDprotección de datosdespachos de abogadosgobernanza de IA
Share:

Featured image for Política de IA de la AEPD: qué cambia para el sector legal

La AEPD se adelanta: por qué esta política de IA te afecta directamente

Que la Agencia Española de Protección de Datos sea el primer organismo público en publicar una política interna de uso de IA generativa no es un gesto simbólico. Es una señal clara para todo el sector jurídico español: la automatización jurídica ya no es un experimento, es una obligación estratégica.

Mientras muchos despachos siguen discutiendo si “es pronto” para usar inteligencia artificial en su día a día, la autoridad que vigila el cumplimiento del RGPD ha dado un paso muy concreto: ha definido cómo va a usar IA por dentro, bajo qué reglas, con qué controles y con qué límites.

Esto importa porque quien está marcando el estándar no es una startup tech, sino el regulador de referencia en materia de datos personales. Y si la AEPD adopta un enfoque “IA first, pero con garantías”, a los despachos y asesorías jurídicas no les vale seguir trabajando solo con intuiciones o “políticas informales” sobre IA.

En este artículo, dentro de la serie “IA en el Sector Legal: Automatización Jurídica”, vamos a ver qué ha aprobado la AEPD, qué significa en la práctica y, sobre todo, cómo puedes usarlo como modelo para implantar IA generativa en tu despacho sin meterte en problemas.

1. Qué ha aprobado la AEPD y qué mensaje manda al sector jurídico

La AEPD ha publicado su “Política general interna para el uso de IA generativa”, integrada en su Plan estratégico 2025-2030. El eje 1 de ese plan apuesta claramente por una política “IA first”: la inteligencia artificial debe incorporarse como parte normal del funcionamiento administrativo, igual que ya ocurre en otros sectores.

En la práctica, la política interna de la AEPD hace tres cosas clave:

  1. Define el alcance: se centra en el uso de IA generativa en procesos administrativos internos (no es una guía general para empresas ni una certificación del Reglamento de IA).
  2. Fija principios de uso responsable: transparencia, seguridad, supervisión humana, protección de datos y respeto a los derechos fundamentales.
  3. Establece una gobernanza clara: quién decide qué herramientas se usan, cómo se aprueban los casos de uso, cómo se gestionan los riesgos y cómo se revisa la política con el tiempo.

La AEPD no se limita a “autorizar” la IA. Hace algo más interesante: la normaliza, pero bajo un marco muy concreto. El mensaje para despachos y asesorías es bastante directo:

La discusión ya no es “IA sí o no”, sino “IA cómo, para qué y bajo qué controles”.

En un contexto donde el Reglamento Europeo de Inteligencia Artificial empieza a desplegarse y el RGPD sigue siendo el punto de referencia, tener una política escrita, aprobada y viva ya no es un “extra”; empieza a ser una expectativa razonable desde el punto de vista de cumplimiento.

2. Claves de la política de IA de la AEPD: mapa para tu propia estrategia

Lo interesante de este documento no es solo su contenido, sino su estructura. Funciona como una hoja de ruta para cualquier organización jurídica que quiera tomarse la automatización en serio.

2.1. Casos de uso concretos y no promesas vagas

La AEPD no habla de IA en abstracto. Su política enumera casos de uso administrativos: tareas internas, apoyos a la gestión, mejora de la eficiencia… Es exactamente lo que muchos despachos necesitan hacer y nunca terminan de bajar al papel.

Si lo trasladamos a un despacho de abogados, esos casos de uso típicos serían, por ejemplo:

  • Borradores de escritos y documentos estándar (cartas, requerimientos, minutas, emails tipo).
  • Revisión preliminar de contratos: detección de cláusulas clave, incoherencias o “red flags” para el abogado.
  • Investigación jurídica asistida: resúmenes de jurisprudencia, propuestas de argumentos, comparativas entre resoluciones.
  • Automatización de tareas administrativas: emails de seguimiento, recordatorios de plazos, resúmenes de reuniones.

La experiencia que he visto en despachos que ya usan IA generativa es clara: quien empieza por casos de uso muy concretos y acotados tiene éxito mucho antes que quien pretende “transformarlo todo” a la vez.

2.2. Gobernanza: quién manda sobre la IA en tu organización

La política de la AEPD dedica un bloque completo a la gobernanza: políticas, procedimientos y roles. ¿Por qué es tan importante para el sector legal?

Porque sin gobernanza, la IA en un despacho se convierte en esto:

  • Cada abogado usando la herramienta que le parece mejor.
  • Copias de expedientes pegadas sin control en servicios externos.
  • Fugas de datos sin mala fe, pero con mucho riesgo.
  • Clientes preguntando “qué herramienta habéis usado” y el despacho sin respuesta clara.

La AEPD plantea precisamente lo contrario:

  • Selección controlada de soluciones de IA generativa.
  • Diseño y aprobación formal de casos de uso.
  • Supervisión humana obligatoria sobre los resultados.
  • Procedimientos para incidentes, revisiones y mejoras.

Aplicado a un despacho, esto se traduce en algo muy concreto: necesitas un modelo de gobierno de la IA. No hace falta que sea gigantesco, pero sí que cubra al menos:

  • Quién aprueba las herramientas que se van a usar.
  • Qué tipo de información se puede y no se puede introducir en cada herramienta.
  • Cómo se documenta que ha habido revisión humana.
  • Cómo se forma a los profesionales para usarla bien.

2.3. Análisis de riesgos: más allá del “cuidado con los datos”

La AEPD incorpora un análisis de riesgos específico de la IA generativa. No se queda solo en el riesgo de protección de datos, sino que entra también en:

  • Calidad y veracidad de la información generada (las famosas “alucinaciones”).
  • Sesgos que afecten a decisiones o recomendaciones.
  • Impacto en derechos fundamentales (por ejemplo, en decisiones automatizadas sobre personas).

En un entorno de automatización jurídica, estos riesgos son muy reales. Algunos ejemplos prácticos:

  • Un modelo de IA propone una estrategia procesal basada en sentencias inexistentes o fuera de contexto.
  • Una herramienta de clasificación de clientes prioriza unos asuntos sobre otros por patrones históricos discriminatorios.
  • Un sistema automatizado de scoring interno para evaluar la “probabilidad de éxito” de un caso acaba influyendo indebidamente en el consejo al cliente.

El enfoque sensato, y el que la AEPD impulsa, es no demonizar la IA, sino exigir:

  • Evaluaciones previas de cada caso de uso sensible.
  • Controles claros para evitar que la IA tome decisiones sin revisión humana.
  • Mecanismos para rectificar, explicar y documentar.

3. Lecciones directas para despachos: cómo construir tu propia política de IA

La política de la AEPD es, en la práctica, un borrador avanzado de lo que muchos despachos deberían estar aprobando ya. No hace falta copiarla palabra por palabra, pero sí tomar varias ideas clave.

3.1. Primer paso: declara qué vas a hacer (y qué no) con IA generativa

Lo peor que puede hacer un despacho en 2025 es mirar hacia otro lado. La realidad es que muchos abogados ya están usando IA, aunque el despacho no lo sepa: herramientas ofimáticas con IA integrada, soluciones de productividad, aplicaciones gratuitas.

Mi recomendación es muy clara:

  1. Reconoce oficialmente que el despacho usará herramientas de IA generativa.
  2. Define, por escrito:
    • Casos de uso permitidos (borradores, resúmenes, brainstorming jurídico…).
    • Casos de uso prohibidos (decisiones automatizadas sobre clientes, introducción de datos especialmente sensibles en servicios sin garantías, etc.).
  3. Aclara que siempre habrá supervisión humana y que la responsabilidad profesional sigue siendo del abogado.

Este documento interno, aunque sea de 4-5 páginas al principio, ya es una política de IA y demuestra diligencia si algún día hay que explicarse ante un colegio profesional, un cliente importante o incluso ante la AEPD.

3.2. Segundo paso: alinea tu política con RGPD y el Reglamento de IA

La AEPD deja claro que su política interna no es una certificación del Reglamento de IA, pero sí es coherente con él y con el RGPD. Para un despacho, eso significa dos cosas prácticas:

  • Toda herramienta de IA que uses debe respetar las obligaciones de encargado o responsable de tratamiento.
  • Ciertos casos de uso (por ejemplo, perfiles de personas físicas o decisiones relevantes basadas en IA) pueden requerir evaluaciones de impacto.

Checklist mínimo que deberías tener en cuenta al implantar IA en un entorno jurídico:

  • ¿Dónde se procesan los datos? ¿En la UE, fuera, con garantías adecuadas?
  • ¿Se entrena el modelo con los datos de tus clientes?
  • ¿Puedes desactivar el uso de tus datos para entrenamiento?
  • ¿Hay acuerdos de tratamiento de datos claros y revisados por tu equipo legal?
  • ¿Puedes explicar al cliente, de forma honesta, cómo interviene la IA en tu servicio?

La ventaja competitiva, a medio plazo, la tendrán los despachos que puedan decir, con hechos y no con marketing, que su automatización jurídica es ética, segura y conforme a derecho.

3.3. Tercer paso: forma al equipo y documenta el uso

La AEPD no se limita a redactar una política; plantea un enfoque de evaluación, adaptación y mejora continua. Eso, en un despacho, se traduce en dos prácticas muy concretas:

  • Formación continua en IA aplicada al derecho: no solo “cómo usar la herramienta”, sino cuándo confiar y cuándo desconfiar.
  • Documentación mínima del uso de IA en casos relevantes:
    • Qué herramienta se ha utilizado.
    • Con qué fin.
    • Qué revisión humana se ha hecho.

No se trata de crear una burocracia imposible, sino de poder justificar, si hace falta, que el uso de IA fue razonable y controlado.

4. IA en el sector legal: de la sospecha a la ventaja competitiva

La política de la AEPD encaja perfectamente en la narrativa que estamos viendo en la serie “IA en el Sector Legal: Automatización Jurídica”:

  • Los clientes empiezan a esperar rapidez, personalización y transparencia.
  • Los despachos que usan bien la IA reducen tiempos de revisión de contratos en un 30-40% y liberan horas de socios para tareas de mayor valor.
  • La carga regulatoria crece, y solo con procesos manuales es muy difícil mantener el ritmo.

La lección de la AEPD es clara: la automatización no es un fin, es un medio, y necesita reglas. No basta con tener “una licencia de IA para el despacho”; necesitas un marco de uso.

Personalmente, he visto dos tipos de organizaciones jurídicas en 2025:

  1. Las que han definido una estrategia de IA (aunque sea pequeña) y ya están viendo mejoras reales en productividad y calidad.
  2. Las que siguen “probando cosas” sin política, sin controles y sin visión, y acaban frenando por miedo… justo cuando sus competidores empiezan a consolidar ventaja.

La AEPD se ha colocado, con esta política interna, en el primer grupo. No por ser más tecnológica, sino por algo muy jurídico: ha escrito las reglas del juego para sí misma.

5. Próximos pasos para tu despacho: por dónde empezar mañana

Si trabajas en un despacho, asesoría o departamento jurídico y quieres aprovechar este movimiento de la AEPD, estos son pasos muy concretos que puedes activar ya:

  1. Reúne a un pequeño grupo interno (al menos un socio, alguien de tecnología/IT y alguien con sensibilidad en protección de datos).
  2. Haz un inventario rápido de:
    • Herramientas de IA que ya se usan (aunque sea ofimática con IA).
    • Casos de uso reales en el último mes.
  3. A partir de ese inventario, redacta un borrador de política interna de IA que cubra:
    • Objetivos (productividad, calidad, rapidez, mejor servicio al cliente).
    • Casos de uso permitidos/prohibidos.
    • Reglas básicas de protección de datos y confidencialidad.
    • Necesidad de supervisión humana.
  4. Planifica 1-2 sesiones formativas internas para explicar la política y enseñar usos prácticos de automatización jurídica.
  5. Revisa la política cada 6-12 meses, igual que hace la AEPD: la tecnología cambia, tu política también debe hacerlo.

Quedarte quieto ya no es una opción prudente. Lo prudente, a estas alturas, es moverse, pero con método.

Si quieres que tu despacho forme parte de los que marcan el paso –y no de los que se ven obligados a seguirlo–, este es el momento de convertir la IA generativa en una herramienta estratégica, regulada y alineada con tu práctica jurídica.

La AEPD ya ha enseñado el camino. La pregunta ahora es sencilla: ¿cuándo vas a escribir tu propia política interna de IA?