Volver al blog

Una reflexión sobre el control de la información en el ejercicio de la abogacía

Pablo Mancilla D. · 4 de mayo de 2026

Una reflexión sobre el control de la información en el ejercicio de la abogacía

Empecé a usar inteligencia artificial en el estudio sin hacerme las preguntas que, como abogado, tengo el deber de hacer. Esto es lo que descubrí sobre dónde van realmente los datos de nuestros clientes.

Nos preocupa que la inteligencia artificial alucine. Deberíamos preocuparnos también de a quién le entregamos los secretos de nuestros clientes.

Una reflexión sobre el control de la información en el ejercicio de la abogacía

Hoy, uno de los principales dolores que enfrentamos los abogados al usar inteligencia artificial es la alucinación. El temor a que la herramienta invente una sentencia, cite una norma que no existe, afirme con total seguridad algo que es falso o que construye su respuesta sobre supuestos erróneos. En términos jurídicos, trabajar sobre una alucinación es construir sobre un error en los presupuestos de hecho o de derecho del asunto. Es un riesgo real, y está bien que nos preocupe, porque un escrito sostenido en jurisprudencia o hechos inexistentes es muy grave.

Con todo, ese riesgo podemos y debemos manejarlo. Validar que lo que la inteligencia artificial nos entrega sea verídico es una diligencia mínima de cualquier profesional (más aún en los abogados) que se apoya en estas herramientas para trabajar. La responsabilidad sigue siendo nuestra, no de la máquina, y se resuelve con el oficio de siempre, contrastar y validar contra la fuente antes de generar la versión final.

A propósito de un proyecto de IA generativa privada que hemos estado desarrollando para nuestro estudio, he advertido otro riesgo del cual muy poco se habla, más silencioso y, en cierto modo, más serio. No es lo que la inteligencia artificial nos dice o entrega. Es lo que nosotros le decimos a ella y la información que le entregamos como insumo, datos de terceros respecto de muchos de los cuales nos asiste una obligación legal de secreto profesional.

Cuando pasamos un contrato de trabajo, un acuerdo comercial o el expediente de un cliente a una herramienta de inteligencia artificial para que nos ayude a revisarlo o redactarlo, ¿sabemos realmente a dónde va esa información, quién puede acceder a ella, y bajo las reglas de qué país queda almacenada?

Si un cliente nos realiza una auditoría sobre el uso de IA, tratamiento de sus datos e información, estaremos capacitados para darle trazabilidad a sus preguntas y respuestas.

Es el cuestionamiento que diariamente me realizo al trabajar con IA y la respuesta y solución es compleja.

El mercado se llenó de herramientas, y no siempre sabemos qué hay detrás

En el último tiempo proliferaron en el mercado chileno aplicaciones que ofrecen inteligencia artificial para abogados. Algunas dedicadas solo a materia laboral, otras a la gestión de juicios, otras de análisis jurisprudencial curada o validada, otras al control y análisis y redacción de contratos. La oferta es enorme y crece cada mes. Y la promesa transversal de estas aplicaciones, es la misma, ahorro de tiempo, eficiencia, confidencialidad garantizada.

El problema empieza cuando uno mira qué hay detrás de esa promesa.

La mayoría de estas aplicaciones no son, en rigor, inteligencia artificial. Son una capa de software, una interfaz, un buscador, unas plantillas, construida sobre el modelo de un tercero. La distinción importa más de lo que parece. El modelo es el motor que razona. La aplicación es lo que vemos y usamos. Entrenar un modelo propio cuesta cientos de millones de dólares, así que la enorme mayoría de las herramientas del mercado jurídico no fabricaron el suyo. Le envían nuestra consulta a un modelo ajeno, que procesa la información en algún servidor, bajo condiciones que el abogado nunca negoció y muchas veces ni conoce.

Entonces, cuando creo que le entregué el caso de mi cliente a una empresa (con quien me vincula un contrato definido), pareciera ser que en verdad se lo entregué a una cadena. La aplicación que contraté, el modelo que opera por detrás, quizás un proveedor de infraestructura todavía más atrás. Cada uno con sus propias políticas de retención, sus propias reglas, su propia jurisdicción. Yo firmé con el primer eslabón. Los demás nunca estuvieron en la mesa, y a veces ni siquiera sé que existen.

La pregunta que casi nadie hace

Han surgido en el mundo modelos muy capaces y muy baratos, varios de código abierto, algunos que funcionan en la nube y muchos otros que pueden ser instalados a nivel local, que las aplicaciones adoptan justamente por su bajo costo. El punto no es la nacionalidad del modelo ni desconfiar de tal o cual origen. El punto es más incómodo. El abogado no sabe qué modelo hay detrás de la herramienta que usa, ni en qué país se procesan los datos de su cliente. Y la jurisdicción donde se procesa la información determina quién más podría llegar a acceder a ella.

Hay además un detalle técnico que conviene entender, porque desmonta un mito y deja en pie un riesgo real. El mito es que uno le cuenta un secreto al modelo hoy y mañana se lo cuenta a un tercero. No funciona así. Los modelos no aprenden en tiempo real de cada conversación. Pero el riesgo real existe y está documentado. Si la información que ingresamos alimenta el entrenamiento de una futura versión del modelo, y eso ocurre por defecto en muchas cuentas gratuitas, esa información puede quedar memorizada. Se ha demostrado en investigación que fragmentos memorizados pueden extraerse después. No controlamos quién, ni cuándo, ni cómo.

Por qué esto es un problema jurídico, y no solo técnico

Aquí dejo la mirada del usuario curioso y vuelvo a la del abogado, porque esto cruza tres deberes que conocemos bien.

El primero es el secreto profesional, anterior a toda ley de datos y núcleo de la confianza con el cliente. Cuando ingreso información confidencial a una herramienta sin saber qué hace con ella, ese deber queda en entredicho. No hace falta que ocurra una filtración para que haya un problema. La sola exposición, el dejar la información en manos que no controlo, ya es discutible. Es como dejar la carpeta de un cliente olvidada en la banca de una plaza. Puede que nadie la lea, pero el descuido ya está.

El segundo es el régimen de encargados del tratamiento que establece la Ley 21.719 en su artículo 15 bis. Cada eslabón de esa cadena de proveedores es, para la ley, alguien que trata datos por encargo, y esa relación debería estar regulada por contrato. Si no conozco los eslabones, mal puedo haberlos regulado.

El tercero es la transferencia internacional de datos, que la ley regula en su Título V, a partir del artículo 27. Si el modelo que procesa la información de mi cliente corre en servidores fuera de Chile, hubo una transferencia internacional que probablemente nadie declaró ni resguardó.

No es una preocupación teórica ni lejana. En Estados Unidos, un tribunal ya resolvió que ingresar información privilegiada en una plataforma pública de inteligencia artificial destruyó la protección de confidencialidad sobre esos materiales, porque la herramienta no es un abogado y no existe con ella la relación que ampara el secreto. Incluso el presidente de su Corte Suprema advirtió en público que el uso de estas herramientas podría comprometer la posibilidad de invocar privilegios legales más adelante. Es otro marco jurídico, pero el problema de fondo es universal.

Lo que aprendí a exigir antes de contratar

No escribo esto para decir que no usemos inteligencia artificial. La uso, me parece extraordinaria, y creo que el abogado que aún no la adopta prontamente perderá competitividad.

Primero, que exista la opción expresa de impedir que el proveedor use mi información para entrenar su propio modelo. Y ojo, que no basta con que la opción exista, porque en muchas cuentas gratuitas el entrenamiento viene activado por defecto y hay que apagarlo manualmente.

Segundo, claridad sobre cuánto tiempo retiene mis datos el proveedor y si puedo exigir su eliminación. Una cosa es que no entrene con ellos y otra distinta es que los conserve para siempre.

Tercero, transparencia sobre la cadena. Que el proveedor declare si procesa todo con tecnología propia (IA Local) o si se apoya en modelos de terceros, y quiénes son. Rara vez lo explican con detalle, pero preguntarlo y ver si responden ya dice bastante.

Cuarto, en qué país se procesan y almacenan los datos, porque eso define qué ley los rige y quién eventualmente podría acceder a ellos.

Quinto, que exista un acuerdo de tratamiento de datos o cláusula de encargado que regule la relación por escrito. La promesa comercial de confidencialidad en la página web no basta, tiene que haber un instrumento que obligue y que permita acreditar la diligencia debida.

Y llegué a una conclusión que me parece la más importante de todas. En muchos casos no sé la respuesta a estas preguntas. Y no saberla, tratándose de información reservada de clientes que confiaron en mí, ya es, en sí mismo, el problema.