¿Es legal usar ChatGPT para redactar demandas?

Usar IA para preparar borradores no es ilegal en sí mismo, pero hacerlo con datos reales de clientes en la versión pública sí puede vulnerar el RGPD y el secreto profesional, y nunca te exime de verificar el contenido. El abogado responde de cada cita que presenta: la IA redacta, pero verificar que la jurisprudencia existe y aplica sigue siendo responsabilidad suya.

¿Cómo evito que la IA entrene con los datos de mi despacho?

Dejando de usar el chat de consumo y trabajando a través de la API con los datos anonimizados, donde por defecto el proveedor no entrena con tu información y puedes configurar la retención o eliminarla. Por API, OpenAI no usa por defecto esos datos para entrenar y los conserva un máximo de 30 días para control de abuso; para casos sensibles existe la opción de Zero Data Retention sin almacenamiento.

¿Sirve desactivar el historial o usar chats temporales para cumplir el RGPD?

No. Desactivar el historial o usar chats temporales evita que la conversación se guarde en tu cuenta, pero no garantiza el cumplimiento del RGPD ni protege el secreto profesional, porque el dato igualmente se ha transmitido y procesado en el servidor del proveedor. El tratamiento ocurre en el momento del envío, no cuando aparece o desaparece de la pantalla.

¿Necesito un contrato de encargado del tratamiento (DPA) para usar IA con datos de clientes?

Sí. Si un proveedor de IA trata datos personales por cuenta de tu despacho, el artículo 28 del RGPD exige un contrato de encargado del tratamiento que regule qué hace con la información, dónde la aloja y con qué garantías. Las versiones de consumo de ChatGPT no dan por sí solas ese marco; un entorno integrado por API con DPA y alojamiento en la UE, sí.

ChatGPT en el despacho de abogados: riesgos y RGPD

ChatGPT ya está dentro de tu despacho, lo hayas aprobado o no. Algún abogado del equipo pega el relato de hechos de un cliente para que se lo resuma. Otro sube un contrato para extraer cláusulas. Otro redacta un borrador de demanda con cuatro indicaciones. Pasa todos los días, en bufetes de toda España.

La pregunta ya no es si vas a usar inteligencia artificial. Es cómo la vas a usar sin vulnerar el RGPD, sin romper el secreto profesional y sin acabar explicándole a la AEPD por qué los datos de tus clientes terminaron en un servidor en Estados Unidos.

Sí, puedes usar IA generativa en tu despacho cumpliendo el RGPD, pero no con la versión pública de ChatGPT y datos reales de clientes. La vía segura es montar un entorno de inteligencia artificial privada para despachos: la IA integrada en tus propios sistemas, con anonimización de los datos personales antes de que lleguen al modelo, alojamiento en la Unión Europea, código de tu propiedad y una conexión por API configurada para que el proveedor no entrene con tus datos ni los conserve. Lo demás —cambiar el nombre del cliente por una equis, borrar el historial, pagar la versión Plus— son parches que no resisten una auditoría.

Vamos por partes.

La realidad de la IA en el sector legal: productividad frente a riesgo

La IA generativa resuelve en minutos tareas que antes ocupaban horas, pero cada atajo mal planteado es una infracción de protección de datos esperando a suceder.

El atractivo es evidente. Resumir una sentencia de 80 folios, extraer las obligaciones de un contrato, preparar un primer borrador de escrito, clasificar correspondencia. Son tareas repetitivas, de bajo valor jurídico y alto consumo de tiempo. Exactamente el terreno donde la automatización tiene sentido.

El problema es que la herramienta más accesible —el ChatGPT público— es también la más peligrosa para un despacho. Cuando un abogado pega el escrito de un cliente en la versión gratuita o Plus, está enviando datos personales (a menudo de categorías especiales: salud, antecedentes penales, situación económica) a un tercero, fuera de la UE, sin contrato que regule ese tratamiento y sin control sobre qué pasa después con esa información.

Conviene separar dos cosas que el ruido del mercado tiende a mezclar. No todas las tareas necesitan un modelo de lenguaje. Calcular un plazo procesal con sus festivos no requiere IA generativa: es un cálculo determinista basado en reglas (lo desarrollamos en nuestro artículo sobre plazos procesales). Usar un modelo probabilístico para eso es como contratar a un adivino para sumar. La IA aporta valor donde hay lenguaje natural que interpretar; en lo demás, suele ser un riesgo añadido sin contrapartida.

Y hay un segundo marco normativo que conviene tener presente. Desde 2024, al RGPD se le suma el Reglamento (UE) 2024/1689 de Inteligencia Artificial. Para un despacho que usa estas herramientas, lo decisivo no es tanto la regulación que pesa sobre el proveedor del modelo como dos deberes propios: la obligación de alfabetización en IA de quienes la manejan (artículo 4, aplicable desde el 2 de febrero de 2025) y la conveniencia de fijar una política interna de uso. No sustituye al RGPD: lo complementa.

Los 3 riesgos críticos de usar ChatGPT público en un despacho de abogados

Tres problemas convierten el uso descontrolado de ChatGPT en un riesgo de negocio, no en una anécdota tecnológica.

1. Infracción del RGPD y riesgo de sanción de la AEPD

Pegar datos de clientes en ChatGPT público es un tratamiento de datos personales sin base jurídica, sin contrato de encargado y, normalmente, con transferencia internacional fuera de la UE.

El RGPD no es un consejo. El artículo 83 establece dos tramos de sanción: hasta 10 millones de euros o el 2 % de la facturación global anual para infracciones graves, y hasta 20 millones de euros o el 4 % de la facturación global anual para las muy graves —entre ellas, tratar datos sin base jurídica o vulnerar los principios básicos del tratamiento—, aplicándose siempre la cifra más alta.

Ningún despacho pequeño va a pagar 20 millones. La AEPD aplica el principio de proporcionalidad y modula la cuantía según el tamaño y la capacidad económica de la empresa. Pero modular no es perdonar. Y hay un detalle incómodo: el desconocimiento de la norma no exime de responsabilidad. El RGPD funciona sobre el principio de responsabilidad proactiva (accountability), que te obliga no solo a cumplir, sino a poder demostrar que cumples. La falta de diligencia se considera, de hecho, un agravante.

A esto se suma el componente reputacional. Para un despacho, una resolución sancionadora de la AEPD por filtrar datos de clientes no es una multa: es una bomba en la base misma de tu negocio, que es la confianza.

2. Ruptura del secreto profesional del abogado

Anonimizar a mano cambiando el nombre del cliente por “[X]” o usar “chats temporales” es un parche insuficiente que no te protege ante el deber de sigilo.

El secreto profesional del abogado no admite medias tintas. No basta con tachar el nombre. Un escrito conserva el número de procedimiento, el juzgado, las fechas, el importe reclamado, los hechos. Con esos elementos, reidentificar al cliente es trivial. Has “anonimizado” la portada y has entregado el expediente entero.

Los “chats temporales” tampoco son la solución que parecen. Que la conversación desaparezca de tu pantalla no significa que el dato no se haya transmitido ni procesado en el servidor del proveedor. El historial es lo que tú ves; el tratamiento ya ha ocurrido. Borrar la huella visible y creer que con eso has cumplido es, justamente, lo contrario de la diligencia que te exige la norma.

El problema de fondo es estructural: con una herramienta pública no controlas dónde va el dato, cuánto se guarda ni quién puede acceder a él. Y sin ese control, no hay manera honesta de garantizar el secreto profesional.

3. Alucinaciones de la IA: jurisprudencia inventada y abogados sancionados

La IA generativa inventa jurisprudencia con total seguridad, y ya hay abogados sancionados por presentar ante un tribunal precedentes que nunca existieron.

Esto no es teórico. En el caso Mata contra Avianca, ante el Tribunal del Distrito Sur de Nueva York en 2023, dos abogados presentaron un escrito apoyado en sentencias generadas por ChatGPT. El juez P. Kevin Castel comprobó que esos precedentes no existían: citas y resoluciones inventadas de principio a fin, como Varghese v. China Southern Airlines o Martinez v. Delta Air Lines. Los letrados fueron sancionados con una multa de 5.000 dólares.

No fue un caso aislado. En 2025, el Tribunal Superior de Justicia de Inglaterra y Gales resolvió de forma conjunta los asuntos Ayinde v. London Borough of Haringey y Al-Haroun v. Qatar National Bank ([2025] EWHC 1383). En el segundo, el escrito incluía 18 referencias jurisprudenciales falsas. La jueza Victoria Sharp, presidenta de la King’s Bench Division, advirtió que presentar material falso como auténtico puede constituir desacato al tribunal y, en los casos más graves, obstrucción a la justicia. Ambos profesionales fueron remitidos a sus colegios reguladores.

El motivo técnico es simple: un modelo de lenguaje no consulta una base de datos jurídica, predice qué palabras suenan plausibles. Por eso fabrica una cita perfectamente formateada que no remite a nada real. La IA bien implantada reduce este riesgo conectándose a fuentes verificadas en lugar de improvisar; el ChatGPT público no te ofrece esa garantía.

Riesgos de usar ChatGPT en un despacho: sanción AEPD, ruptura del secreto profesional y alucinaciones

Los 3 riesgos críticos del ChatGPT público.

ChatGPT Plus para abogados: por qué pagar no basta para el RGPD

Una licencia de pago de ChatGPT mejora el rendimiento, pero no convierte la herramienta en un entorno apto para tratar datos de clientes bajo el RGPD.

Es la confusión más extendida entre socios directores. “Pago la suscripción, luego estoy cubierto.” No.

Las versiones de consumo de ChatGPT (gratuita, Plus, Pro y Team) se rigen por una configuración distinta a la de los productos empresariales, y no te dan por sí solas el marco contractual que la abogacía necesita. Para tratar datos personales con un proveedor hace falta un Acuerdo de Encargado del Tratamiento (DPA, por sus siglas en inglés), que regule qué hace ese proveedor con la información, dónde la aloja y bajo qué garantías. Pagar una cuota mensual no firma ese contrato por ti.

Hay un matiz importante y a favor del uso profesional, conviene decirlo con honestidad: cuando los datos se envían a través de la API de OpenAI —no del chat de consumo—, por defecto no se utilizan para entrenar los modelos, y se conservan un máximo de 30 días para control de abuso antes de eliminarse. Para usos especialmente sensibles existe además la opción de Zero Data Retention (sin retención de datos) en endpoints elegibles, donde la información se procesa en memoria y no se almacena ni se revisa. Conviene saber que esta política de retención ha estado en el centro de un litigio reciente (el caso del New York Times contra OpenAI llegó a forzar una conservación indefinida temporal), de modo que el matiz contractual importa. Pero todo esto pertenece al mundo de la integración técnica por API, no al de teclear en chatgpt.com. Y precisamente ahí está la línea que separa el riesgo del cumplimiento.

IA jurídica: SaaS comercial frente a IA a medida (la honestidad tecnológica)

No todas las “IA legales” son iguales: una IA generalista pública es peligrosa, una plataforma jurídica comercial es segura pero rígida y cerrada, y una IA integrada a medida te da control real sobre tus datos y tu código.

Aquí es donde el mercado te empuja a comprar otra suscripción. Antes de hacerlo, mira la tabla con frialdad:

Criterio	IA generalista pública (ChatGPT free/Plus)	IA jurídica comercial (SaaS de terceros)	IA a medida integrada en tus sistemas
Dónde se alojan tus datos	Servidores fuera de la UE, sin control	Donde decida el proveedor (caja negra)	Donde tú decidas: alojamiento en la UE
¿Entrena el modelo con tus datos?	Riesgo real con datos de consumo	Depende del contrato, poca transparencia	No: API sin entrenamiento, retención configurable
Propiedad del código y los flujos	Ninguna	Del proveedor; dependes de su hoja de ruta	Tuya, en tu propio entorno
Adaptación a tus procesos	Nula	Limitada a lo que ofrece el producto	Total: se construye sobre tus flujos reales
Coste	Bajo, pero con riesgo legal alto	Cuota recurrente alta y creciente	Inversión de desarrollo + coste de API ajustado al uso
Riesgo RGPD y secreto profesional	Muy alto	Medio: trasladas el riesgo a un tercero opaco	Controlado: tú defines anonimización y retención

La opción de la IA jurídica comercial no es mala; para muchos despachos es razonable. Pero pagas una cuota recurrente que solo sube, te adaptas tú a la herramienta (y no al revés), y operas dentro de una caja negra: ni el código ni la lógica son tuyos. El día que el proveedor cambia precios, condiciones o deja de existir, tu operativa depende de una decisión que no controlas.

La alternativa más limpia a largo plazo es el desarrollo de IA segura sin retención de datos integrado en tus propios sistemas. No es “no usar IA”. Es usarla bien: con la potencia de los grandes modelos, pero conectada por API, con tus datos anonimizados antes de salir y alojada bajo tu control en la UE.

Comparativa IA pública vs SaaS jurídico vs IA a medida: datos, control, coste y riesgo RGPD

IA pública vs SaaS vs IA a medida.

Cómo implantar IA segura en tu despacho de abogados con Kosmalabs

Kosmalabs construye el entorno de inteligencia artificial privada para despachos que las herramientas genéricas no ofrecen por defecto: automatizaciones a medida, OCR inteligente sobre tus expedientes y conexiones por API con la información anonimizada y bajo tu control.

Somos Kosmalabs, una consultora tecnológica española. No vendemos una suscripción más: auditamos cómo trabaja tu despacho y construimos sobre tus propios sistemas lo que el mercado no te da hecho. La diferencia está en cómo se monta la pieza, no en el eslogan.

En la práctica, un planteamiento de IA segura sin retención de datos para un despacho se apoya en tres cosas:

Anonimización antes del modelo. Antes de que cualquier texto salga hacia el modelo de lenguaje, se detectan y sustituyen los datos personales —nombre, DNI, NIE, CIF, IBAN, dirección, teléfono, correo y demás— por marcadores. El modelo trabaja sobre datos anonimizados y los filtros se revierten al recibir la respuesta. Esto no es una promesa de folleto: es exactamente como funciona el motor de OCR de nuestro software jurídico, que anonimiza 13 patrones distintos de información personal antes de cualquier procesamiento.
OCR inteligente sobre tus expedientes. Subes una notificación, una sentencia o una factura y el sistema extrae lo relevante (tipo de documento, número de procedimiento, juzgado, partes, plazos) y genera un resumen, sin que el abogado pierda el tiempo en transcribir. Puedes verlo funcionando en la demo del programa jurídico.
Conexión por API con código y alojamiento bajo tu control. La IA se integra mediante la API, donde por defecto el proveedor no entrena con tus datos, con la retención configurada según tu nivel de exigencia y el alojamiento en la Unión Europea. El código y los flujos son tuyos, no de una plataforma cerrada. Es la lógica de nuestras automatizaciones a medida.

El objetivo no es sustituir el criterio del abogado, sino quitarle de encima la parte mecánica con garantías de cumplimiento. Y si una tarea concreta no necesita IA —porque se resuelve con una regla o una automatización sencilla—, te lo decimos. Vender IA donde sobra no es ayudarte.

Conclusión y próximo paso

La elección no es “IA sí o IA no”. Es IA con control o IA con riesgo. El ChatGPT público es rápido y barato, y por eso mismo es la puerta de entrada a una sanción de la AEPD, a la ruptura del secreto profesional y a una alucinación que acabe en un escrito judicial. Pagar la versión Plus no cambia esa ecuación. Suscribirte a otra caja negra solo cambia de quién dependes.

La opción que de verdad protege tu despacho a largo plazo es construir tu propia capacidad: desarrollo de IA segura sin retención de datos, integrada en tus sistemas, con tus datos anonimizados, código propio y alojamiento en la UE.

En Kosmalabs empezamos por entender cómo trabajas. Solicita una auditoría de procesos gratuita y te diremos, sin humo, qué tareas conviene automatizar, cuáles no necesitan IA y qué herramienta interna a medida —a precio cerrado, con código tuyo y sin sorpresas— tiene sentido para tu despacho.

ChatGPT en tu despacho de abogados sin vulnerar el RGPD