Cuando un socio me pregunta si su despacho puede usar una herramienta de inteligencia artificial para revisar un contrato, casi nunca está preguntando por la tecnología. Está preguntando si va a terminar respondiendo, ante un cliente o la autoridad, por algo que se escapó. Quiero empezar por ahí, porque es la parte que suele quedar fuera de la conversación: en México, los datos personales que tu despacho maneja no dejan de estar protegidos porque los pases por un modelo de lenguaje.
La protección de datos personales en posesión de los particulares en México se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. En marzo de 2025 se publicó una nueva versión de la ley que reemplazó a la de 2010, y la vigilancia pasó del extinto INAI a la Secretaría Anticorrupción y Buen Gobierno. El nombre casi no cambió; las obligaciones para tu despacho siguen siendo muy concretas.
Qué protege la ley y por qué tu despacho ya está sujeto a ella
Un dato personal es cualquier información que identifica o hace identificable a una persona: un nombre, un RFC, un domicilio, un correo, datos financieros, y en su caso datos sensibles como los de salud o situación jurídica. En el momento en que tu despacho decide qué se hace con esos datos, la ley te trata como responsable. No es una figura opcional. Con ella vienen deberes concretos: obtener el consentimiento cuando corresponde, usar los datos solo para las finalidades que informaste, pedir únicamente los datos necesarios (proporcionalidad), mantenerlos seguros y respetar los derechos de acceso, rectificación, cancelación y oposición de la persona.
Herramientas de IA públicas frente a privadas, donde vive el riesgo
Aquí está el punto que más malentendidos genera. Cuando pegas el documento de un cliente en un chatbot público y gratuito, no estás usando una calculadora que olvida lo que escribiste. En muchos de esos servicios, por defecto, lo que escribes puede quedar retenido, revisado y usado para mejorar el modelo, en servidores fuera de tu control y con frecuencia fuera de México. Desde la óptica de la ley, eso se parece mucho a poner datos personales en manos de un tercero que tú no contemplaste, sin el consentimiento ni el aviso que esa entrega exigiría.
Una herramienta privada o empresarial cambia la ecuación. Un contrato que prohíbe usar tus datos para entrenar el modelo, que fija por cuánto tiempo se retiene la información y cuándo se borra, y que define dónde se procesa, convierte al proveedor en un encargado que trabaja bajo tus instrucciones. En el extremo más cuidadoso, un modelo que corre en tu propia infraestructura hace que el dato nunca salga de tu control. La diferencia entre una y otra no es la calidad de las respuestas, es quién responde si algo sale mal.
Las obligaciones del responsable que la IA no borra
Es tentador pensar que al usar la herramienta de un tercero trasladas también la responsabilidad. No es así. Sigues siendo el responsable frente a tu cliente y frente a la autoridad. El proveedor de IA, cuando trata datos por cuenta tuya, es un encargado, y esa relación debe estar en un contrato que lo obligue a la misma confidencialidad y seguridad que tú debes. Contratar la herramienta no descarga tus deberes de seguridad, finalidad ni consentimiento. Los reparte, y tú sigues teniendo que demostrar que se cumplieron.
El aviso de privacidad cuando entra la IA
El aviso de privacidad es la promesa escrita que tu despacho le hace a la persona sobre qué datos recaba, para qué y a quién se los transfiere. Si vas a procesar datos de clientes con herramientas de IA, o a transferirlos a proveedores externos, el aviso tiene que reflejarlo con honestidad. No puedes agregar una finalidad nueva en silencio después de haber recabado los datos para otra cosa. Para datos sensibles, el estándar de consentimiento es más alto. Revisar y, si hace falta, actualizar el aviso antes de meter la IA al flujo de trabajo no es un trámite, es la parte que te protege.
Checklist práctica para tu despacho
- Clasifica antes de teclear: define qué documentos jamás entran a una herramienta pública (datos sensibles, secreto profesional, información que el cliente pidió confinar).
- Elige el nivel correcto: para trabajo con datos de clientes usa solo herramientas empresariales o privadas, con compromiso escrito de no entrenar el modelo y con política de retención y borrado.
- Firma el contrato de encargado con cualquier proveedor que trate datos por cuenta de tu despacho, con cláusulas de confidencialidad, seguridad y devolución o borrado.
- Revisa tu aviso de privacidad para que contemple las finalidades y las transferencias que la IA implica, y ajusta el consentimiento cuando haya datos sensibles.
- Anonimiza cuando puedas: quita nombres, RFC e identificadores antes de pasar un documento, porque el modelo suele necesitar la forma del problema, no la identidad.
- Deja rastro: documenta quién puede usar qué herramienta, para qué tareas y con qué datos, para poder demostrar diligencia si alguien pregunta.
- Nombra a un responsable interno que resuelva dudas y mantenga al día la lista de herramientas aprobadas.
De la norma a la práctica
Si algo he aprendido acompañando despachos, es que el problema casi nunca es la ley. La ley se puede leer en una tarde. El problema es el hábito diario: la persona que, con prisa, pega el borrador de una demanda en la primera pestaña que tiene abierta. Ninguna política guardada en una carpeta corrige eso. Lo que lo corrige es que el equipo sepa, sin tener que detenerse a pensar, qué herramienta corresponde a cada documento y dónde está la línea que no se cruza. Eso es capacitación, no un memorándum. Es lo que trabajo con los despachos: convertir estos principios en reflejos, para que tu gente aproveche la IA sin arriesgar la confianza que sostiene tu práctica. La tecnología cambiará otra vez. El criterio para usarla con cuidado es lo que se queda.
