Protección de datos personales en la era de la IA legal en México

La adopción de inteligencia artificial en despachos jurídicos mexicanos plantea una paradoja: los abogados que asesoran a sus clientes sobre protección de datos deben asegurarse de que sus propias herramientas de IA cumplan con la normativa que ellos mismos aconsejan respetar.

El marco legal aplicable

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento son la columna vertebral de la protección de datos en el sector privado mexicano. Cuando un abogado utiliza herramientas de IA para investigación jurídica, potencialmente trata datos personales de sus clientes, lo que activa las obligaciones de esta ley.

Los principios que aplican directamente al uso de IA legal incluyen:

• Licitud: El tratamiento de datos debe estar fundamentado en el consentimiento del titular o en alguna de las excepciones legales.


• Consentimiento: El aviso de privacidad del despacho debe informar sobre el uso de herramientas tecnológicas para el tratamiento de información.


• Finalidad: Los datos solo deben usarse para los fines informados al cliente.


• Proporcionalidad: Solo deben tratarse los datos necesarios para el fin específico.


• Responsabilidad: El despacho es responsable del tratamiento, incluyendo el que realizan sus herramientas tecnológicas.

El riesgo específico de la IA

Las herramientas de IA generativa presentan riesgos particulares para la protección de datos:

Entrenamiento con datos de usuarios: Algunos modelos de IA utilizan las consultas de los usuarios para mejorar sus algoritmos. Si un abogado consulta sobre un caso específico incluyendo datos personales de su cliente, esa información podría incorporarse al conocimiento del modelo y, potencialmente, aparecer en respuestas a otros usuarios.

Almacenamiento en servidores externos: Cuando las consultas se procesan en servidores fuera de México, los datos personales pueden quedar sujetos a jurisdicciones con niveles de protección diferentes al mexicano.

Retención indefinida: Algunos servicios retienen las consultas de los usuarios por períodos prolongados o indefinidos, creando un riesgo acumulativo de exposición de datos.

Mejores prácticas para el abogado

El abogado que utiliza herramientas de IA debe implementar prácticas específicas para proteger los datos de sus clientes:

• Anonimizar antes de consultar: Sustituir nombres, direcciones, números de expediente y otros identificadores por datos genéricos antes de formular consultas. En lugar de "Juan Pérez García fue despedido de Empresa X el 15 de enero", consultar "un trabajador fue despedido injustificadamente después de 5 años de antigüedad".


• Verificar políticas de datos: Antes de adoptar cualquier herramienta de IA, revisar si las consultas se utilizan para entrenamiento, dónde se almacenan los datos y durante cuánto tiempo.


• Preferir herramientas que no entrenen con datos de usuarios: Existen plataformas de IA legal que garantizan contractualmente que las consultas no se utilizan para mejorar modelos.


• Actualizar el aviso de privacidad: El aviso de privacidad del despacho debe reflejar el uso de herramientas tecnológicas como parte del tratamiento de datos.


• Capacitar al equipo: Todo el personal del despacho que utilice herramientas de IA debe conocer las políticas internas de protección de datos.

Derechos ARCO y herramientas de IA

Los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) del titular de datos aplican también a la información procesada mediante herramientas de IA. Si un cliente ejerce su derecho de cancelación, el despacho debe asegurarse de que los datos se eliminen no solo de sus sistemas internos, sino también de cualquier plataforma de IA donde se hayan ingresado.

La responsabilidad del proveedor de IA

Los desarrolladores de herramientas de IA legal tienen una responsabilidad compartida en la protección de datos. Las plataformas serias deben ofrecer cifrado de datos en tránsito y en reposo, aislamiento de datos entre usuarios, política explícita de no-entrenamiento con datos de clientes, cumplimiento demostrable con la LFPDPPP y mecanismos claros para la eliminación de datos.

El abogado mexicano que adopta IA en su práctica no solo debe ser un usuario competente de la tecnología, sino también un evaluador exigente de las prácticas de protección de datos de sus proveedores. La diligencia en este aspecto no es solo una obligación legal, es una responsabilidad ética con sus clientes.