L'advocacia espanyola ha fixat per primera vegada un criteri específic sobre l'ús d'intel·ligència artificial generativa als despatxos i ha situat el control d'aquestes eines en el terreny de la responsabilitat professional. La Circular Interpretativa 3/2026 del Consell General de l'Advocacia Espanyola obliga els advocats a verificar i controlar l'ús d'aquests sistemes a l'empara de l'article 23 de la Llei Orgànica 5/2024, d'11 de novembre, del Dret de Defensa.
La tensió apareix en l'ús més estès d'aquestes plataformes. Mentre bona part del sector recorre a eines com ChatGPT, Gemini o Copilot per a tasques de suport, la circular adverteix que les versions gratuïtes, quan permeten utilitzar els inputs per a entrenament, xoquen amb el principi de limitació de la finalitat del Reglament (UE) 2016/679 i poden comprometre dades de clients, tercers i material protegit per secret professional.
La circular imposa verificar la IA i sanciona la delegació acrítica
El text basa aquest deure de control en la doctrina de l'actio libera in causa i trasllada al professional l'obligació de revisar el resultat abans d'incorporar-lo al seu treball. No n'hi ha prou que l'eina funcioni ni que l'escrit final sembli correcte.
La conseqüència disciplinària ja està tipificada. L'article 125.u de l'Estatut General de l'Advocacia Espanyola sanciona la presentació d'escrits amb errors derivats de la delegació acrítica a la IA.
A més, l'article 21 del Codi Deontològic de l'Advocacia Espanyola recorda que l'ús de tecnologies de la informació i la comunicació no eximeix del compliment de les normes deontològiques i imposa un ús responsable i diligent. En aquest marc, introduir informació sensible en eines no auditades constitueix una infracció potencial dels apartats 21.1 i 21.2, encara que el resultat tècnic no contingui fallades.
L'ús de dades de clients activa riscos de privacitat i secret professional
Quan un advocat introdueix dades personals en un sistema d'IA generativa, realitza un tractament de dades en el sentit de l'article 4.2 del Reglament (UE) 2016/679. El despatx passa a actuar com a responsable del tractament respecte a la informació de clients i tercers, conforme a l'article 4.7 d'aquesta mateixa norma.
Aquí es on es concentra un altre dels problemes que identifica la circular. La majoria de grans models fundacionals pertanyen a companyies nord-americanes, de manera que l'ús d'aquestes plataformes implica transferències internacionals de dades subjectes al Capítol V del reglament europeu.
Aquest encaix jurídic no està tancat. La Decisió d'Execució (UE) 2023/1795 de la Comissió, de 10 de juliol de 2023, va establir l'EU-US Data Privacy Framework, però la seva estabilitat està qüestionada davant el Tribunal de Justícia de la Unió Europea en recursos que evoquen les sentències Schrems I i Schrems II.
La circular enumera sis focus de risc lligats a aquestes pràctiques. Inclou l'entrenament del model amb dades del client, les transferències internacionals irregulars, la falta de contracte d'encàrrec de tractament de l'article 28.3 del reglament europeu, l'omissió de l'avaluació d'impacte de l'article 35, l'exposició d'informació emparada per secret professional i l'absència de traçabilitat en l'ús de la IA.
L'administració de justícia acosta aquestes eines al règim d'alt risc
El Reglament (UE) 2024/1689 situa la majoria d'eines d'IA generativa en la categoria de models GPAI. Tot i així, la seva utilització per advocats dins de l'administració de justícia pot apropar-se al supòsit d'alt risc recollit a l'Annex III, punt vuit.
Aquesta cautela se suma a la protecció reforçada del secret professional en la normativa espanyola. L'article 542.3 de la Llei Orgànica del Poder Judicial obliga a guardar secret de tots els fets o notícies coneguts per raó de l'actuació professional, i l'article 16 de la Llei Orgànica 5/2024 el reforça com a manifestació del dret fonamental de defensa.
La pròpia Circular Interpretativa 3/2026 acota, no obstant això, l'abast d'aquest primer pronunciament. El Consell General de l'Advocacia Espanyola precisa que «no tracta un altre tipus d'infraccions que es poguessin cometre amb ocasió de l'ús de la IA, com poden ser les referides a la vulneració del deure de confidencialitat o del secret professional, que es tractaran en una altra circular».