La abogacía española ha fijado por primera vez un criterio específico sobre el uso de inteligencia artificial generativa en los despachos y ha situado el control de esas herramientas en el terreno de la responsabilidad profesional. La Circular Interpretativa 3/2026 del Consejo General de la Abogacía Española obliga a los abogados a verificar y controlar el uso de estos sistemas al amparo del artículo 23 de la Ley Orgánica 5/2024, de 11 de noviembre, del Derecho de Defensa.
La tensión aparece en el uso más extendido de estas plataformas. Mientras buena parte del sector recurre a herramientas como ChatGPT, Gemini o Copilot para tareas de apoyo, la circular advierte de que las versiones gratuitas, cuando permiten utilizar los inputs para entrenamiento, chocan con el principio de limitación de la finalidad del Reglamento (UE) 2016/679 y pueden comprometer datos de clientes, terceros y material protegido por secreto profesional.
La circular impone verificar la IA y sanciona la delegación acrítica
El texto basa ese deber de control en la doctrina de la actio libera in causa y traslada al profesional la obligación de revisar el resultado antes de incorporarlo a su trabajo. No basta con que la herramienta funcione ni con que el escrito final parezca correcto.
La consecuencia disciplinaria ya está tipificada. El artículo 125.u del Estatuto General de la Abogacía Española sanciona la presentación de escritos con errores derivados de la delegación acrítica en la IA.
Además, el artículo 21 del Código Deontológico de la Abogacía Española recuerda que el uso de tecnologías de la información y la comunicación no exime del cumplimiento de las normas deontológicas e impone un uso responsable y diligente. En ese marco, introducir información sensible en herramientas no auditadas constituye una infracción potencial de los apartados 21.1 y 21.2, aunque el resultado técnico no contenga fallos.
El uso de datos de clientes activa riesgos de privacidad y secreto profesional
Cuando un abogado introduce datos personales en un sistema de IA generativa, realiza un tratamiento de datos en el sentido del artículo 4.2 del Reglamento (UE) 2016/679. El despacho pasa a actuar como responsable del tratamiento respecto a la información de clientes y terceros, conforme al artículo 4.7 de esa misma norma.
Ahí se concentra otro de los problemas que identifica la circular. La mayoría de grandes modelos fundacionales pertenece a compañías estadounidenses, de modo que el uso de estas plataformas implica transferencias internacionales de datos sujetas al Capítulo V del reglamento europeo.
Ese encaje jurídico no está cerrado. La Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, estableció el EU-US Data Privacy Framework, pero su estabilidad está cuestionada ante el Tribunal de Justicia de la Unión Europea en recursos que evocan las sentencias Schrems I y Schrems II.
La circular enumera seis focos de riesgo ligados a estas prácticas. Incluye el entrenamiento del modelo con datos del cliente, las transferencias internacionales irregulares, la falta de contrato de encargo de tratamiento del artículo 28.3 del reglamento europeo, la omisión de la evaluación de impacto del artículo 35, la exposición de información amparada por secreto profesional y la ausencia de trazabilidad en el uso de la IA.
La administración de justicia acerca estas herramientas al régimen de alto riesgo
El Reglamento (UE) 2024/1689 sitúa la mayoría de herramientas de IA generativa en la categoría de modelos GPAI. Aun así, su utilización por abogados dentro de la administración de justicia puede aproximarse al supuesto de alto riesgo recogido en el Anexo III, punto ocho.
Esa cautela se suma a la protección reforzada del secreto profesional en la normativa española. El artículo 542.3 de la Ley Orgánica del Poder Judicial obliga a guardar secreto de todos los hechos o noticias conocidos por razón de la actuación profesional, y el artículo 16 de la Ley Orgánica 5/2024 lo refuerza como manifestación del derecho fundamental de defensa.
La propia Circular Interpretativa 3/2026 acota, no obstante, el alcance de este primer pronunciamiento. El Consejo General de la Abogacía Española precisa que «no trata otro tipo de infracciones que se pudieran cometer con ocasión del uso de la IA, como pueden ser las referidas a la vulneración del deber de confidencialidad o del secreto profesional, que se tratarán en otra circular».