Skip to content
Gradion
Revisar un caso concreto
|Cumplimiento normativo

RGPD y automatización con IA: qué hacer en tu despacho

Ivor Padilla

por Ivor Padilla

Cofundador · Director de Ingeniería

RGPD y automatización con IA: qué hacer en tu despacho

RGPD y automatización con IA: qué hacer en tu despacho

Si tu despacho procesa contratos, facturas, nóminas, expedientes notariales o cualquier documento con datos personales de clientes —y en 2026 prácticamente todos lo hacen—, el RGPD es el marco normativo con el que juegas cada vez que alguien menciona la palabra automatización o inteligencia artificial. Y también es la razón por la que muchos socios de despacho han dicho "ni hablar" a la IA en los últimos dos años.

Lo que vamos a ver aquí es la otra cara de esa reticencia: el RGPD no prohíbe usar IA. Exige usarla de una manera concreta. Saber dónde está la línea es la diferencia entre automatizar el 60 % del trabajo repetitivo de tu despacho y quedarse paralizado por miedo a una sanción de la AEPD.

TL;DR: El RGPD permite automatizar procesos de tu despacho con IA siempre que (1) haya una base legal clara, (2) trates los mínimos datos necesarios, (3) informes con transparencia al cliente, (4) implementes medidas técnicas adecuadas y (5) firmes un acuerdo de encargado del tratamiento con tu proveedor. Las sanciones por incumplimiento grave pueden llegar a 20 millones de euros o al 4 % del volumen de negocio anual mundial (art. 83 RGPD).

El dilema real del socio del despacho

Si llevas años en el sector, conoces la conversación: un cliente te pregunta si puedes preparar más rápido sus escrituras, sus nóminas o sus declaraciones. Tú sabes que la mitad del tiempo que gasta tu equipo es clasificando papeles, extrayendo datos y copiándolos en el ERP del despacho. Alguien menciona que "con IA se podría hacer en una fracción del tiempo". Y ahí empieza el bloqueo.

La conversación interna suele ser: "sí, pero los datos de los clientes son confidenciales. No voy a meter las nóminas de un cliente en ChatGPT. Ni el expediente de un divorcio. Ni la escritura de una compraventa con datos bancarios". Y tienes razón en esa cautela. Pero la conclusión habitual —"entonces no automatizamos nada"— no es la única salida.

El RGPD no distingue entre "automatización con IA" y "automatización sin IA". Lo que regula es cómo tratas los datos personales, no qué tecnología usas para tratarlos. Un Excel sin cifrar en un pendrive perdido viola el RGPD. Una IA alojada en servidores europeos con acuerdo de encargado firmado, no.

Qué dice el RGPD sobre la IA (en cristiano)

El Reglamento (UE) 2016/679 —el texto oficial del RGPD— se aprobó en 2016 y entró en vigor en mayo de 2018. Cuando se redactó, la IA generativa aún no era un tema masivo, pero el articulado está pensado de forma tecnológicamente neutra: sirve para hojas de cálculo, CRMs, modelos estadísticos clásicos y sistemas de IA por igual.

En España, el marco se completa con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), que desarrolla y matiza el RGPD para el ordenamiento jurídico español.

Más recientemente, el Reglamento Europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689, conocido como AI Act) añade una capa de obligaciones específicas para los sistemas de IA, clasificándolos por categoría de riesgo.

El AI Act se aplica por fases progresivas que escalonan las distintas obligaciones en el tiempo: las prohibiciones de prácticas de IA consideradas inaceptables, las obligaciones para modelos de IA de propósito general, y las obligaciones para sistemas de alto riesgo van entrando en vigor en momentos diferentes, según el calendario del artículo 113 del Reglamento. La categorización que afecta a los sistemas típicos de automatización en despachos (clasificación documental, extracción de datos, preparación de borradores) depende del uso concreto: la mayoría caen fuera de la lista de alto riesgo del Anexo III, pero conviene verificarlo caso a caso cuando el sistema toque categorías especiales de datos (art. 9 RGPD) o decisiones que afecten significativamente al interesado. Para el calendario exacto por fase, la referencia autoritativa es el propio texto del Reglamento en EUR-Lex.

Pero la base sigue siendo el RGPD. Sin cumplir el RGPD, el AI Act no te salva; sin cumplir el AI Act, el RGPD te sigue exigiendo lo suyo.

Los 5 principios que tienes que cumplir sí o sí

Si tienes que recordar cinco cosas del RGPD al automatizar con IA en tu despacho, son estas.

Antes de tratar un solo dato con IA, necesitas saber por qué puedes tratarlo legalmente. El art. 6 del RGPD enumera seis bases legales posibles: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público e interés legítimo.

En un despacho que automatiza procesos para clientes, la base habitual es la ejecución del contrato de servicios profesionales: tratas datos del cliente porque el cliente te ha encargado un servicio (llevar la contabilidad, preparar escrituras, tramitar una herencia), y automatizarlo es una forma de prestar ese servicio. No necesitas pedir consentimiento adicional específico para "usar IA" en ese tratamiento, siempre que la automatización sea una forma de cumplir el contrato y no un tratamiento nuevo e independiente.

La trampa: si la IA hace algo que no forma parte del encargo original —por ejemplo, entrenar un modelo propio con los datos del cliente para usarlo con otros clientes—, esa base legal no cubre. Ahí necesitas otra base, típicamente interés legítimo con una ponderación previa documentada, o consentimiento explícito.

2. Minimización de datos (art. 5.1.c RGPD)

Solo puedes tratar los datos estrictamente necesarios para la finalidad. Si automatizas la clasificación de facturas recibidas, no necesitas meter el histórico completo de la relación con el cliente en el sistema de IA. Meter solo los campos relevantes.

Esto tiene implicaciones prácticas al elegir proveedor: un modelo que "necesita ver todo el documento para funcionar" frente a uno que trabaja con campos extraídos puntualmente cambia tu exposición al riesgo.

3. Transparencia con el cliente (arts. 13 y 14 RGPD)

El cliente tiene derecho a saber que sus datos van a pasar por un sistema automatizado. No tienes que hacerle firmar un consentimiento específico si la base legal es contractual, pero sí tienes que informarle en tu política de privacidad o en el encargo de servicio: qué tratamientos haces, con qué finalidad, qué encargados intervienen, cuánto tiempo conservas los datos.

En la práctica, esto significa actualizar la política de privacidad del despacho cuando empiezas a automatizar de verdad. No es opcional.

4. Seguridad técnica y organizativa (art. 32 RGPD)

El art. 32 del RGPD obliga a aplicar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". El texto menciona explícitamente:

  • Seudonimización y cifrado de los datos personales.
  • Capacidad para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento.
  • Capacidad para restaurar rápidamente el acceso en caso de incidente.
  • Verificación periódica de la eficacia de las medidas.

En el contexto de IA, esto se traduce en preguntas concretas: ¿tu proveedor cifra los datos en tránsito y en reposo? ¿puedes seudonimizar antes de enviar al modelo? ¿tienes copia de seguridad y plan de recuperación? ¿realizas pruebas periódicas?

Si la respuesta a cualquiera de estas es "no lo sé", el art. 32 te está hablando.

5. Encargado del tratamiento (art. 28 RGPD)

Cuando contratas a un proveedor externo —sea un proveedor de IA, un servicio cloud o una consultora— para que trate datos personales en nombre de tu despacho, ese proveedor se convierte en encargado del tratamiento. El art. 28 del RGPD exige:

  • Un contrato por escrito (el famoso "acuerdo de encargado del tratamiento" o DPA) que regule el tratamiento.
  • Que el encargado trate los datos solo por instrucciones documentadas del responsable.
  • Confidencialidad del personal del encargado.
  • Medidas de seguridad equivalentes a las del art. 32.
  • Regulación de los subencargados.
  • Asistencia al responsable para atender derechos de los interesados y brechas de seguridad.
  • Eliminación o devolución de los datos al final del encargo.
  • Puesta a disposición de toda la información necesaria para demostrar el cumplimiento, incluidas auditorías.

En cristiano: sin acuerdo de encargado del tratamiento firmado con tu proveedor, no puedes darle datos personales de tus clientes. Punto. Da igual si la herramienta es "solo una prueba", da igual si es "un chat gratuito". Da igual.

Este es, en nuestra experiencia, el punto que más se incumple en despachos que empiezan a experimentar con IA por su cuenta. Usar ChatGPT gratuito con el expediente de un cliente pegado en el chat es exactamente el caso que el art. 28 está pensado para impedir: el proveedor no ha firmado nada con tu despacho, y esos datos van a sus servidores bajo los términos del servicio, no los tuyos.

Qué sí puedes automatizar y qué no

Con los cinco principios en la cabeza, vamos a lo concreto.

Sí puedes automatizar:

  • Extracción de datos estructurados de documentos —facturas, nóminas, escrituras, contratos— usando un sistema alojado en la UE con acuerdo de encargado firmado. Por ejemplo, preparar la información para cumplir con los requisitos del software de facturación que hemos visto en la guía VERIFACTU 2026: automatizar la entrada de datos a tu sistema de facturación es un caso clásico.
  • Clasificación y encaminamiento de correos y documentos: este correo es una factura, este otro es una consulta, este tercero es un expediente judicial.
  • Borradores de escritos, contratos y memorandos a partir de modelos internos del despacho, siempre que el modelo esté alojado en infraestructura controlada.
  • Resúmenes de documentos largos para que el profesional revise más rápido y decida.
  • Cálculos y cruces de datos para preparar declaraciones, liquidaciones o informes.

No puedes (o no deberías sin más controles):

  • Pegar expedientes reales en ChatGPT u otro servicio de IA sin acuerdo de encargado del tratamiento. No es una cuestión filosófica, es literalmente incumplir el art. 28.
  • Transferir datos personales a proveedores fuera del Espacio Económico Europeo sin asegurarte de que existe un mecanismo de garantías: decisión de adecuación de la Comisión Europea, cláusulas contractuales tipo o reglas corporativas vinculantes. A fecha de publicación, la Comisión Europea mantiene decisiones de adecuación vigentes con Andorra, Argentina, Brasil, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, Uruguay y la Organización Europea de Patentes, además del Reino Unido (renovada en diciembre de 2025) y Estados Unidos (limitada a organizaciones participantes en el EU-US Data Privacy Framework, adoptada en julio de 2023). La Comisión revisa estas decisiones periódicamente — conviene verificar la lista vigente en el momento de contratar proveedores en cada uno de estos territorios.
  • Tomar decisiones que afecten significativamente al cliente basadas únicamente en procesamiento automatizado, sin intervención humana y sin informar al cliente. Esto lo regula el art. 22 del RGPD (lo vemos en la siguiente sección).
  • Usar datos de categorías especiales —salud, orientación sexual, creencias religiosas, datos biométricos; art. 9 RGPD— en automatizaciones sin justificación reforzada y medidas adicionales. En despachos laboralistas, penalistas y sanitarios esto es frecuente: ten especial cuidado.

El punto clave: la pregunta correcta no es "¿puedo usar IA?", sino "¿qué proveedor, con qué contrato, con qué datos y con qué controles?".

Sanciones y el art. 22 sobre decisiones automatizadas

Dos detalles del RGPD que conviene no olvidar.

El art. 22: decisiones automatizadas e intervención humana

El art. 22 del RGPD establece que toda persona tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado —incluida la elaboración de perfiles— que produzca efectos jurídicos en ella o la afecte significativamente de modo similar.

Hay excepciones: consentimiento explícito, necesidad contractual, autorización legal. Pero incluso cuando se aplican, el responsable debe adoptar medidas adecuadas para salvaguardar los derechos del interesado, incluida la intervención humana y el derecho a obtener explicación y a impugnar la decisión.

Para un despacho esto es buena noticia, no mala: el RGPD exige que haya un profesional humano revisando y validando cuando la decisión afecta al cliente. No podrías "dejar que la IA decida sola" aunque quisieras. La automatización en un despacho es siempre "la IA propone, el profesional dispone" — no porque Gradion lo diga, sino porque el art. 22 del RGPD lo impone.

Sanciones (art. 83 RGPD)

Las sanciones por incumplimiento del RGPD están reguladas en el art. 83 y se estructuran en dos niveles:

  • Tramo bajo: hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial total del ejercicio anterior, la mayor de las dos cantidades. Se aplica a infracciones de obligaciones del responsable y del encargado (arts. 8, 11, 25-39, 42 y 43), organismos de certificación y organismos de supervisión.
  • Tramo alto: hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial total del ejercicio anterior, la mayor de las dos cantidades. Se aplica a infracciones de los principios básicos del tratamiento (arts. 5, 6, 7 y 9), los derechos de los interesados (arts. 12-22) y las transferencias internacionales (arts. 44-49).

Traducción práctica: los incumplimientos gordos —tratar sin base legal, ignorar los derechos del cliente, transferir datos a terceros países sin garantías— entran en el tramo alto. Un despacho pequeño difícilmente paga 20 millones de euros, pero la AEPD gradúa las sanciones y cualquier cifra con seis ceros es un disgusto.

Además de la sanción económica, la AEPD publica las resoluciones. El daño reputacional en un despacho profesional —donde la confianza es todo— suele ser peor que la multa en sí.

Preguntas frecuentes sobre RGPD e IA

¿Puedo usar ChatGPT con datos de mis clientes?

Con la versión gratuita de ChatGPT, no. OpenAI no firma acuerdo de encargado del tratamiento con usuarios gratuitos, y los términos del servicio permiten usos de los datos que un despacho no puede autorizar en nombre de su cliente. Con versiones empresariales —ChatGPT Enterprise, Azure OpenAI y similares— que sí ofrecen DPA y controles de residencia de datos, es posible, pero hay que leer el contrato con atención y verificar dónde se procesan los datos.

¿Tengo que firmar algo con el proveedor de la IA?

Sí: un acuerdo de encargado del tratamiento (art. 28 RGPD), comúnmente conocido como DPA por sus siglas en inglés. Si el proveedor no te lo ofrece o no puede firmártelo, no puedes cederle datos personales de tus clientes.

¿Qué pasa si la IA toma una decisión que afecta a mi cliente?

El art. 22 del RGPD te obliga a asegurar que haya intervención humana cuando la decisión afecta significativamente al interesado. En un despacho, esto se traduce en que el profesional revisa y firma lo que la IA prepara. No puede haber una decisión final automatizada sin un humano en el bucle.

¿Necesito hacer una evaluación de impacto (DPIA) para automatizar?

Depende del riesgo. El art. 35 del RGPD exige DPIA cuando el tratamiento entrañe un alto riesgo para los derechos de los interesados, típicamente en tratamientos a gran escala, categorías especiales de datos, monitorización sistemática o decisiones automatizadas significativas. Un despacho laboralista que automatice la clasificación de bajas médicas con IA probablemente necesita DPIA. Un despacho fiscalista que automatice la entrada de facturas puede no necesitarla, pero conviene al menos un análisis preliminar documentado.

¿Y si el proveedor está en Estados Unidos?

Las transferencias internacionales de datos personales fuera del Espacio Económico Europeo están reguladas en los arts. 44-49 del RGPD. Para Estados Unidos concretamente, la Comisión Europea adoptó en julio de 2023 una decisión de adecuación limitada a las organizaciones comerciales participantes en el EU-US Data Privacy Framework (DPF). Es decir: una transferencia a un proveedor estadounidense solo se beneficia de la decisión si ese proveedor concreto está adherido al DPF. Los proveedores fuera del DPF siguen necesitando cláusulas contractuales tipo y un análisis de impacto (TIA). La Comisión publica revisiones periódicas del marco — la más reciente fue en octubre de 2024 — y su vigencia sigue sujeta a revisión. La recomendación conservadora sigue siendo: proveedores con infraestructura en la UE cuando sea posible; y cuando no lo sea, verificar la adhesión al DPF y, en paralelo, SCC + TIA como respaldo.

Cómo lo estamos resolviendo en Gradion

En los proyectos de Gradion, el RGPD no es algo que se añade al final — es parte del diseño desde el día uno. Tenemos tres principios técnicos operativos que responden directamente a los cinco del RGPD:

  1. Datos en la Unión Europea. La infraestructura de Gradion está alojada en centros de datos de la UE. No hay transferencias internacionales implícitas cuando contratas un piloto con nosotros — los datos de tu despacho no salen del Espacio Económico Europeo.
  2. Aislamiento por cliente. Cada despacho que trabaja con Gradion tiene su entorno separado. No hay mezcla de datos entre clientes ni reutilización de documentos para entrenar modelos compartidos. Gabriel Naranjo, co-fundador y Cloud Architect certificado en Azure, AWS, Google Cloud y Oracle, es el garante técnico de esta arquitectura.
  3. Acuerdo de encargado del tratamiento firmado desde el inicio. Antes de que tu despacho nos ceda un solo dato personal, firmamos el DPA correspondiente. No es un trámite, es la precondición.

Sobre esto, la automatización que proponemos sigue el patrón del art. 22: preparamos el borrador, el profesional revisa y firma. La IA no decide por tu cliente; te ahorra las horas en las que tu equipo está clasificando papeles, extrayendo datos y copiando información entre sistemas. El criterio profesional sigue en el despacho.

¿Tu equipo pierde 15 horas a la semana en papeleo?

Nosotros te lo resolvemos en 10 días, con un piloto a precio fijo. Datos en la UE, aislamiento por cliente, DPA firmado desde el primer día.

Cuéntanos tu caso →

Más artículos

RGPD y automatización con IA: qué hacer en tu despacho
Cumplimiento normativo

RGPD y automatización con IA: qué hacer en tu despacho

RGPD y automatización con IA: qué hacer en tu despacho Si tu despacho procesa contratos, facturas, nóminas, expedientes notariales o cualquier documento con datos personales de clientes (y en 2026 prácticamente todos lo hacen), el RGPD es el marco normativo con el que juegas cada vez que alguien menciona la palabra automatización o inteligencia artificial. Y también es la razón por la que muchos socios de despacho han dicho "ni hablar" a la IA en los últimos dos años. Lo que vamos a ver aquí e

Firma electrónica: cuándo vale, cuándo no y cómo integrarla
Firma Digital

Firma electrónica: cuándo vale, cuándo no y cómo integrarla

Firma electrónica: cuándo vale legalmente, cuándo no, y cómo integrarla en el expediente Si tu despacho ya usa firma electrónica pero aún te preguntas si "va a colar en el juzgado" o por qué el registro de la propiedad la devuelve, este post es para ti. La firma electrónica no falla porque la tecnología sea deficiente. Falla porque el nivel elegido no encaja con el supuesto legal, o porque el paquete de firma salió incompleto. Aquí te explico los tres niveles del marco eIDAS en lenguaje de des