Saltar al contenido principal
Despachos y Asesorías9 min lectura

Confidencialidad y IA: lo que debes saber antes de automatizar tu despacho

Confidencialidad e IA en despachos: qué datos puede manejar un agente automatizado, cómo cumplir el RGPD y qué exigir a tu proveedor antes de automatizar.

Automatizar la recepción de un despacho de abogados o asesoría sin comprometer el secreto profesional es posible, pero requiere decisiones técnicas y contractuales concretas. No basta con que la IA "sea discreta": hay que saber exactamente qué datos toca, cómo los procesa, dónde los almacena y quién tiene acceso a ellos.

El secreto profesional no se negocia, pero sí se diseña

Los abogados, asesores fiscales y gestores están sujetos a obligaciones de confidencialidad que van más allá del RGPD. El secreto profesional del abogado, recogido en el artículo 542 de la Ley Orgánica del Poder Judicial y desarrollado por el Estatuto General de la Abogacía, protege toda información que el cliente revela en el marco de la relación profesional, independientemente del canal por el que llegue.

Esto tiene una implicación directa cuando se automatiza la recepción telefónica: la IA que coge esa primera llamada está, en cierto sentido, dentro del despacho. Actúa como una extensión del mismo. Y eso significa que cualquier dato que procese está bajo el paraguas de esas obligaciones.

El error más común en los despachos que dan el paso a la automatización es tratar al agente de voz como si fuera una centralita de telefonía. No lo es. Un agente con IA procesa lenguaje natural, extrae intenciones, puede identificar que una persona llama por un divorcio o por una inspección de Hacienda, y actúa en consecuencia. Eso es tratamiento de datos con fines específicos.

Qué información toca realmente un agente de voz en un despacho

Antes de firmar nada con un proveedor de IA, conviene mapear con precisión qué categorías de datos maneja el agente durante una llamada típica. En un despacho, eso suele incluir nombre y teléfono del cliente, motivo de la consulta (que puede revelar una situación fiscal comprometida, un proceso judicial o una incidencia laboral), y en algunos casos, datos de terceros mencionados en la conversación.

La diferencia crucial está entre procesar y retener. Un agente de voz puede transcribir una llamada para pasarla al abogado o para registrar una cita, y hacerlo sin almacenar indefinidamente esa transcripción. O puede archivarla durante semanas en servidores de un tercero sin que el despacho lo sepa. Ambos escenarios son técnicamente posibles. Solo uno es jurídicamente aceptable sin información al cliente.

Si en alguna llamada se menciona que alguien está en proceso de separación, con deudas con la Agencia Tributaria o imputado en un procedimiento, esa información puede ser sensible en el sentido coloquial aunque no siempre técnicamente en el artículo 9 del RGPD. El principio de minimización de datos exige que el agente recoja solo lo estrictamente necesario para el fin declarado: gestionar la llamada, agendar la cita, derivar al profesional correcto.

El contrato con el proveedor: las cláusulas que no pueden faltar

Cuando un despacho contrata un agente de voz con IA, el proveedor pasa a ser encargado del tratamiento según el RGPD. Esto no es una formalidad administrativa: implica responsabilidades concretas que deben estar escritas en el contrato.

Si quieres profundizar en los aspectos generales del cumplimiento normativo en este tipo de implementaciones, el artículo sobre IA para despachos de abogados y asesorías cubre las bases de la cualificación automática y las implicaciones de confidencialidad en ese contexto.

Pero más allá del marco general, estas son las cláusulas que debe buscar cualquier despacho antes de firmar:

Ubicación de los servidores. Los datos de los clientes deben procesarse y almacenarse en servidores ubicados en el Espacio Económico Europeo o, si están fuera, con garantías equivalentes documentadas (cláusulas contractuales tipo aprobadas por la Comisión Europea). Un proveedor que no puede decirte dónde están sus servidores no es un proveedor apto para un despacho.

Plazos de retención. Las transcripciones de llamadas no son documentos de archivo. Un despacho no necesita que el proveedor guarde esa información más de lo necesario para cerrar la gestión concreta. Lo razonable para la mayoría de casos es entre 24 y 72 horas para transcripciones brutas, con posibilidad de exportar el resumen relevante al sistema de gestión del despacho antes de ese borrado.

Prohibición de uso para entrenamiento. Algunos proveedores de IA utilizan las conversaciones de sus clientes para mejorar sus modelos. Esto es incompatible con el secreto profesional. La cláusula debe prohibir expresamente que los datos del despacho se usen con fines de entrenamiento o mejora del servicio de terceros.

Auditoría y trazabilidad. El despacho debe poder saber qué datos tiene el proveedor sobre sus clientes en cualquier momento, y poder ejercer los derechos del RGPD (acceso, rectificación, supresión) en plazos razonables. Sin esta cláusula, el responsable del tratamiento —que legalmente es el despacho, no el proveedor— no puede cumplir sus obligaciones ante la AEPD.

Qué debe saber la IA y qué no: diseño por capas

La confidencialidad no es solo un problema contractual. Es también un problema de diseño del agente. Un agente de voz bien configurado para un despacho opera en capas de información con acceso diferenciado.

En la primera capa están los datos de gestión pura: nombre, teléfono, fecha de cita, área de práctica general. Esta información es suficiente para que el agente cumpla su función de recepción y no requiere que el sistema sepa nada más sobre el cliente.

En una segunda capa estarían los datos operativos internos del despacho: qué abogado lleva qué área, cuándo tiene disponibilidad, si un cliente ya tiene expediente abierto. El agente puede consultar estos datos sin que haya transferencia de información sensible del cliente al sistema.

Lo que no debe cruzarse al agente en ningún caso es el contenido de los expedientes: situación procesal, estrategia legal, posiciones negociadoras, detalles de la situación personal del cliente. Un agente de recepción no necesita saber si un cliente lleva dos años en un litigio con su socio para gestionar una llamada entrante.

Este principio de "necesidad de saber aplicada a la IA" es el mismo que se aplica a un administrativo en un despacho grande: tiene acceso a la agenda y al CRM, pero no a los documentos del caso.

El momento de informar al cliente: cómo hacerlo bien

Cuando un cliente llama a un despacho y atiende un agente de IA, tiene derecho a saberlo. No es solo una exigencia del RGPD, sino también una cuestión de confianza profesional. Un despacho que automatiza su recepción sin informar a sus clientes está asumiendo un riesgo reputacional innecesario.

El mensaje de bienvenida del agente debe identificarlo como sistema automatizado antes de que el cliente comparta cualquier información. Algo tan sencillo como: "Le atiende un sistema automatizado del Despacho Martínez & Asociados. Puede dejarme sus datos para concertar una cita o le paso con el equipo." Es suficiente, claro y no genera fricción.

Lo que no funciona es el modelo opaco: un agente que suena perfectamente humano, que no se identifica como IA y que extrae información sensible de un cliente que cree estar hablando con una persona. En el contexto de un despacho de abogados, ese escenario puede tener consecuencias disciplinarias.

Cómo evaluar a un proveedor de IA para un despacho: lista de verificación técnica

No todos los proveedores de agentes de voz están preparados para operar en entornos jurídicamente sensibles. Estas son las preguntas concretas que debe formular antes de contratar:

¿Dónde se alojan los datos y bajo qué normativa? ¿El contrato incluye el Acuerdo de Tratamiento de Datos (DPA) exigido por el RGPD? ¿Se pueden configurar plazos de retención personalizados? ¿Existe una cláusula expresa de no uso de datos para entrenamiento de modelos? ¿Hay logs de acceso auditables? ¿Cómo se ejerce el derecho de supresión de un cliente concreto?

Un proveedor que no puede responder a estas preguntas con documentación no está listo para trabajar con un despacho profesional. No es una exigencia desproporcionada: es el estándar mínimo que cualquier despacho debería aplicar a cualquier herramienta que toque datos de clientes.

Nolam.ai ha desarrollado su solución para despachos con estas exigencias como punto de partida, no como añadido posterior. Si estás evaluando automatizar la recepción de tu despacho sin comprometer tu responsabilidad profesional, puede ser un buen punto de inicio.


Preguntas frecuentes

¿Puede un despacho de abogados usar un agente de voz con IA sin vulnerar el secreto profesional?

Sí, siempre que el agente esté diseñado para recoger únicamente los datos necesarios para la gestión de la llamada, opere bajo un contrato de encargo del tratamiento con el proveedor, y no acceda al contenido de los expedientes. El secreto profesional no impide la automatización, pero sí condiciona su diseño.

¿Qué obligaciones impone el RGPD a un despacho que usa IA para atender llamadas?

El despacho es responsable del tratamiento y debe suscribir un Acuerdo de Tratamiento de Datos con el proveedor de IA, informar al cliente de que le atiende un sistema automatizado, limitar la retención de datos al tiempo estrictamente necesario y garantizar el ejercicio de los derechos de acceso, rectificación y supresión.

¿Dónde deben almacenarse los datos de los clientes cuando se usa un agente de IA?

Los datos deben almacenarse en servidores ubicados en el Espacio Económico Europeo o con garantías equivalentes documentadas. Cualquier transferencia internacional de datos requiere la existencia de cláusulas contractuales tipo aprobadas por la Comisión Europea o un mecanismo equivalente reconocido por la AEPD.

¿Pueden los proveedores de IA usar las conversaciones del despacho para entrenar sus modelos?

No sin el consentimiento explícito del despacho, y en la práctica ese consentimiento sería incompatible con el secreto profesional. El contrato con el proveedor debe incluir una cláusula que prohíba expresamente el uso de los datos del despacho para entrenamiento, mejora o benchmarking de modelos de IA.

¿Cuánto tiempo puede un proveedor de IA conservar las transcripciones de llamadas de un despacho?

No existe un plazo legal único, pero el principio de minimización del RGPD exige que los datos no se conserven más tiempo del necesario para el fin declarado. Para transcripciones de llamadas de recepción en un despacho, entre 24 y 72 horas es un plazo razonable, suficiente para exportar el resumen al sistema de gestión antes del borrado.

¿Quieres probarlo en tu negocio?

Llama ahora y te atenderá nuestro propio agente de voz IA: así compruebas cómo suena. O reserva 15 minutos y lo vemos aplicado a tu negocio, sin compromiso.

Conoce más sobre Nolam Agents y Nolam Hub.

Solicitar demo