¿Cómo deben gobernar los bufetes el uso de la IA? (Empiece aquí)
Los bufetes deben gobernar el uso de la IA igual que gobiernan cualquier tratamiento de información confidencial del cliente: decidir qué herramientas están aprobadas, definir qué puede y qué no puede introducirse en ellas, y supervisar el resultado antes de que llegue a un cliente o a un tribunal. En la práctica, esto significa un conjunto de reglas breve y exigible.
La respuesta en seis reglas
1. Restrinja la IA aprobada a despliegues empresariales que mantengan contractualmente los datos de su bufete fuera del entrenamiento de los modelos y ofrezcan aislamiento de datos. Evite la IA de consumo o gratuita para cualquier cosa relacionada con un asunto. 2. Nunca pegue comunicaciones privilegiadas, instrucciones del cliente, estrategia del caso ni condiciones comerciales confidenciales en una herramienta que no ofrezca esa protección contractual. La divulgación a un tercero puede poner en riesgo la confidencialidad y, en algunas circunstancias, el secreto profesional. 3. Verifique cada cita y afirmación factual generada por IA en una fuente autorizada antes de que aparezca en un escrito o asesoramiento. Las herramientas de IA pueden fabricar casos que no existen. 4. Mantenga una política de IA por escrito con un registro de herramientas aprobadas, usos prohibidos y responsables nombrados. Trate como un incidente cualquier herramienta no aprobada que toque datos de clientes. 5. Haga cumplir la política con controles técnicos, no solo con buena voluntad: descubra qué herramientas de IA usa realmente el personal, supervise el tráfico hacia los servicios de IA y aplique prevención de pérdida de datos a los patrones de documentos jurídicos. 6. Conserve un registro. Registre qué herramienta se usó, por quién y en qué asunto, para poder responder a un cliente, a un regulador o a un tribunal si se lo solicitan.
Estos principios se aplican a cualquier bufete de common law. Las secciones siguientes exponen primero el marco general de gobernanza, resumen cómo se trasladan los conceptos subyacentes del secreto profesional a Estados Unidos, el Reino Unido y Canadá, y luego ofrecen una sección detallada específica para Australia que cubre las orientaciones de la Law Council of Australia, las Australian Solicitors' Conduct Rules y el Privacy Act.
Para ver cómo funciona esto en la práctica jurídica desde la perspectiva del producto, consulte la solución de Aona gobernanza de la IA para equipos jurídicos. Esta guía es información general, no asesoramiento jurídico; confirme sus obligaciones con las normas de su propia jurisdicción y regulador.
Principios fundamentales de gobernanza de la IA para cualquier bufete
Sea cual sea la jurisdicción en la que ejerza un bufete, los fundamentos de la gobernanza son constantes porque los deberes subyacentes lo son: proteger las confidencias del cliente, preservar cualquier secreto profesional aplicable, supervisar el producto del trabajo y mantenerse competente en las herramientas que utiliza.
Apruebe las herramientas de forma deliberada y déjelo por escrito
Decida qué herramientas de IA están permitidas, para qué tareas y bajo qué condiciones. Evalúe cada herramienta para determinar si mantiene los datos del bufete fuera del entrenamiento, dónde se almacenan los datos, si el proveedor firmará un acuerdo de tratamiento de datos y si cumple su línea base de seguridad. Registre el resultado en un registro de IA con los casos de uso aprobados y un responsable designado. Nada que no figure en el registro debería tocar datos de clientes.
Separe las herramientas empresariales de las de consumo
La distinción más útil en la gobernanza de la IA jurídica es la que existe entre los despliegues empresariales con aislamiento contractual de datos y las herramientas de consumo o gratuitas que pueden retener las solicitudes y usarlas para mejorar los modelos. Los acuerdos empresariales con los grandes proveedores suelen comprometerse a que sus datos no se utilicen para entrenar modelos compartidos y queden sujetos a cláusulas de confidencialidad. Las herramientas de consumo por lo general no asumen tal compromiso. El uso aprobado debe limitarse a las primeras.
Supervise el resultado y verifique las citas
Un abogado sigue siendo responsable del trabajo con independencia de la asistencia de la IA. Exija que la investigación, redacción y análisis generados por IA sean revisados por un abogado competente, y que cada cita se confirme en una base de datos jurídica autorizada antes de fiarse de ella. Este es el control que previene los fallos de citas fabricadas que han suscitado críticas judiciales en varios países.
Haga cumplir con la tecnología y conserve pruebas
Una política que depende de la buena voluntad individual fracasa bajo la presión de los plazos. Descubra las herramientas de IA que el personal utiliza realmente, supervise o bloquee el tráfico hacia servicios no aprobados y aplique reglas de prevención de pérdida de datos que reconozcan los patrones de documentos jurídicos. Registre el uso para que el bufete pueda demostrar, con pruebas, que su marco funcionó según lo previsto.
Actualice las condiciones del encargo y prepárese para los incidentes
Informe a los clientes, en las condiciones del encargo, de cómo utiliza el bufete la IA cuando ese uso sea relevante para su asunto. Mantenga un procedimiento de respuesta a incidentes para el caso en que se utilice una herramienta no aprobada con datos de clientes: evalúe qué quedó expuesto, determine las posibles obligaciones de notificación, subsane y refuerce los controles.
Conceptos de secreto profesional de common law que se generalizan (EE. UU., Reino Unido, Canadá)
Los bufetes fuera de Australia se enfrentan a la misma cuestión central: ¿introducir material del cliente en una herramienta de IA amenaza la confidencialidad de la que depende el secreto profesional? La terminología difiere según la jurisdicción, pero el principio de que el secreto profesional exige que se mantenga la confidencialidad es compartido por los sistemas de common law.
Estados Unidos
Los bufetes estadounidenses trabajan con el attorney-client privilege y la work product doctrine. Las orientaciones de los colegios, incluida la ABA Formal Opinion 512 (2024) sobre IA generativa, abordan la competencia, la confidencialidad y el deber de proteger la información del cliente al utilizar herramientas de IA, y varios colegios estatales han emitido sus propias opiniones. La conclusión práctica es la misma que en otros lugares: la información confidencial del cliente no debe introducirse en herramientas que no ofrezcan una protección adecuada de la confidencialidad, y los abogados siguen siendo responsables de verificar el resultado de la IA.
Reino Unido
En Inglaterra y Gales, el legal professional privilege cubre el legal advice privilege y el litigation privilege, y los solicitors están vinculados por las SRA Standards and Regulations, incluido el deber de confidencialidad. Los tribunales han criticado el uso de citas fabricadas y generadas por IA, reforzando el deber de no inducir a error al tribunal. La respuesta de gobernanza, herramientas empresariales aprobadas más verificación obligatoria, refleja el marco anterior.
Canadá
Los bufetes canadienses trabajan con el solicitor-client privilege, uno de los privilegios más fuertemente protegidos del derecho canadiense, y se rigen por las normas de las law societies provinciales basadas en el Federation of Law Societies Model Code of Professional Conduct, que aborda la confidencialidad, la competencia y la tecnología. Se aplican los mismos controles: mantenga el material privilegiado y confidencial fuera de las herramientas que no lo protegen contractualmente, y verifique el resultado de la IA antes de fiarse de él.
En los tres casos, la conclusión de gobernanza es idéntica. Limite la IA a herramientas que preserven la confidencialidad por contrato, nunca dé por hecho que una herramienta de consumo mantiene los datos privados, y supervise y verifique todo antes de fiarse. La sección detallada que sigue aplica estos principios a Australia, donde la Law Council of Australia, las Australian Solicitors' Conduct Rules y el Privacy Act establecen obligaciones específicas.
Australia: por qué la gobernanza de la IA es ahora una prioridad para los bufetes
La inteligencia artificial ha llegado a la práctica jurídica australiana más rápido de lo que la mayoría de los socios directores anticiparon. Desde la investigación jurídica asistida por IA y el análisis de contratos hasta la revisión automatizada de documentos en procedimientos de discovery a gran escala, las herramientas son atractivas, pero los marcos de gobernanza que deberían acompañarlas se han quedado muy rezagados.
En 2024, el Technology and the Law Committee de la Law Council of Australia emitió orientaciones formales que reconocen que la adopción de la IA en la práctica jurídica plantea cuestiones fundamentales de deontología, secreto profesional y competencia. Los colegios de abogados estatales de Nueva Gales del Sur, Victoria, Queensland y Australia Occidental han publicado cada uno opiniones deontológicas que señalan riesgos específicos de la IA. Sin embargo, las encuestas muestran de forma sistemática que menos de un tercio de los bufetes australianos cuentan con una política de IA documentada, lo que expone a los profesionales a riesgos regulatorios, deontológicos y reputacionales.
La urgencia es real. Los abogados de Nueva Gales del Sur y Victoria ya están obligados a demostrar competencia tecnológica con arreglo a normas deontológicas actualizadas. Las reformas del Privacy Act que avanzan en el Parlamento reforzarán significativamente las obligaciones relativas al tratamiento de datos de clientes. Y un número creciente de tribunales australianos, incluido el Federal Court, han introducido o están considerando órdenes permanentes que exigen divulgación cuando se utiliza IA para preparar documentos judiciales.
Para los socios directores y los CIO, la ventana para establecer una gobernanza proactiva se está cerrando. Los bufetes que actúen ahora controlarán el relato; los que esperen se arriesgan a un incidente de secreto profesional, una resolución regulatoria o un titular que eche por tierra años de confianza de los clientes.
Secreto profesional e IA: el riesgo crítico para los abogados australianos
El secreto profesional del abogado, equivalente al attorney-client privilege en otras jurisdicciones, se encuentra entre las protecciones más sagradas del derecho australiano. Permite a los clientes comunicarse abiertamente con sus abogados, con la confianza de que esas comunicaciones no podrán ser obligadas en un procedimiento. El riesgo de que las herramientas de IA puedan, por descuido, renunciar a ese secreto o comprometerlo es el problema de gobernanza más grave al que se enfrentan hoy los bufetes australianos.
Cómo el uso de la IA puede comprometer el secreto profesional
Cuando un abogado copia comunicaciones privilegiadas, instrucciones del cliente, estrategia del caso o asesoramiento confidencial en una herramienta de IA de terceros, surge una cuestión real sobre si el secreto subsiste. El criterio establecido en Esso Australia Resources v Commissioner of Taxation y en decisiones posteriores exige que el propósito dominante de la comunicación sea obtener o dar asesoramiento jurídico, y que se mantenga la confidencialidad. La divulgación a un tercero, incluido un servicio de IA que almacena, registra o usa los datos para el entrenamiento de modelos, puede constituir una renuncia.
El riesgo no es hipotético. Las herramientas de IA de consumo como la versión gratuita de ChatGPT se reservan explícitamente el derecho a usar los datos de conversación para el entrenamiento de modelos. Las solicitudes enviadas a estas herramientas, incluso las que contienen solo fragmentos de documentos privilegiados, pueden conservarse, ser consultadas por el personal del proveedor de IA y, potencialmente, usarse para mejorar las futuras salidas del modelo. Conforme al derecho australiano, esta divulgación voluntaria a un tercero crea un riesgo significativo de renuncia al secreto profesional.
Despliegues empresariales frente a herramientas de consumo
La respuesta de gobernanza reside en distinguir entre los despliegues de IA de nivel empresarial y las herramientas de IA de consumo. Los acuerdos empresariales con los grandes proveedores de IA (incluidos Microsoft Azure OpenAI, Google Workspace con Gemini y los acuerdos de API empresarial de Anthropic) suelen incluir disposiciones de aislamiento de datos: los datos de su bufete no se usan para entrenar modelos compartidos, no se almacenan más allá de la sesión y están sujetos a confidencialidad contractual. Estos acuerdos empresariales ofrecen una preservación del secreto profesional notablemente superior a la de las herramientas de consumo.
Los bufetes deben adoptar una prohibición absoluta de introducir contenido privilegiado en servicios de IA de consumo, y limitar el uso aprobado de la IA a despliegues empresariales con los acuerdos de tratamiento de datos adecuados.
Producto del trabajo y estrategia confidencial
Más allá del secreto profesional, la work product doctrine protege las impresiones mentales, conclusiones y teorías jurídicas de los abogados. Las herramientas de IA que procesan el producto del trabajo, borradores de escritos, memorandos de asesoramiento, documentos de estrategia procesal, deben tratar ese material con la misma protección. El riesgo de divulgación por descuido se agrava cuando el personal trabaja bajo presión de tiempo, como es habitual en los asuntos contenciosos y en los cierres de operaciones.
Las Australian Solicitors' Conduct Rules y las obligaciones relativas a la IA
Las Australian Solicitors' Conduct Rules (ASCR), adoptadas de forma sustancialmente uniforme en todas las jurisdicciones dentro del marco de la Legal Profession Uniform Law, imponen obligaciones específicas que rigen directamente cómo pueden los abogados utilizar las herramientas de IA.
Rule 9, Confidencialidad
La Rule 9 de las ASCR obliga a los solicitors a mantener en todo momento la confidencialidad de la información del cliente, incluso tras la finalización del encargo. La obligación se aplica a toda la información que un solicitor obtiene durante un encargo, no solo a las comunicaciones formalmente privilegiadas. Cuando el personal utiliza herramientas de IA que transmiten información del cliente a servidores externos, los bufetes pueden incumplir la Rule 9 a menos que hayan adoptado medidas razonables para garantizar la protección de los datos.
Las medidas razonables en 2025 incluyen: seleccionar herramientas de IA con residencia de datos en Australia o aislamiento de datos verificable; suscribir acuerdos de tratamiento de datos con los proveedores de IA; implementar controles de acceso que impidan que las herramientas de IA accedan a los expedientes sin la autorización adecuada; y formar al personal sobre las implicaciones de confidencialidad del uso de la IA.
Rule 4, Honestidad y lealtad ante los tribunales
La obligación de lealtad ante el tribunal, la Rule 4.1 de las ASCR, se ha visto puesta a prueba directamente por las alucinaciones de la IA. Varios casos australianos, siguiendo decisiones similares en Estados Unidos y el Reino Unido, han involucrado a abogados que presentaron escritos citando casos que no existen o tergiversando el alcance de casos reales, cuando el error se originó en investigación generada por IA. Las consecuencias han incluido condenas en costas desfavorables, remisiones a organismos reguladores y, en algunas jurisdicciones, censura formal.
Los bufetes deben implementar flujos de verificación que exijan que toda cita jurídica generada por IA se confirme de forma independiente en bases de datos autorizadas (AustLII, LexisNexis AU, Westlaw AU) antes de incluirla en documentos judiciales. Esto no es discrecional: es una obligación profesional básica que las herramientas de IA no desplazan.
Rule 37, Competencia
El deber de competencia exige que los abogados se mantengan al día de los avances del derecho y de los cambios en la práctica, incluido el uso de la tecnología. El Technology and the Law Committee de la Law Council ha afirmado que la competencia en 2025 incluye comprender las capacidades y limitaciones de las herramientas de IA utilizadas en la práctica. Los abogados que usan la IA sin entender cómo funciona, incluida su tendencia a alucinar, sus fechas de corte de los datos de entrenamiento y sus limitaciones en los contextos jurídicos propios de Australia, se arriesgan a quedar por debajo del nivel de competencia exigido.
Las AI Guidelines de la Law Council of Australia
En 2024, la Law Council publicó orientaciones sobre la IA en la práctica jurídica. Los puntos clave de esas orientaciones incluyen: los abogados siguen siendo personalmente responsables de todo producto del trabajo, con independencia de la asistencia de la IA; debe obtenerse el consentimiento del cliente antes de usar herramientas de IA para tratar su información de maneras que vayan más allá de la práctica habitual; el trabajo generado por IA debe ser revisado y aprobado por un abogado competente antes de su entrega a un cliente o presentación ante un tribunal; y los bufetes deben desarrollar políticas de IA por escrito que aborden las herramientas aprobadas, los usos prohibidos y los requisitos de supervisión.
La Law Council también ha señalado que las obligaciones de divulgación a los clientes sobre el uso de la IA probablemente se volverán más explícitas a medida que la profesión desarrolle estándares: la divulgación proactiva es el enfoque prudente.
Escenarios de riesgo específicos: ChatGPT, redacción de contratos y discovery
Comprender los riesgos de gobernanza en escenarios concretos ayuda a los bufetes a construir controles específicos.
Escenario 1: usar ChatGPT para investigación jurídica
El escenario: un asociado junior, bajo presión de tiempo antes de un plazo de presentación, usa la versión gratuita de ChatGPT para investigar un punto de derecho en el derecho contractual australiano. ChatGPT devuelve un resumen seguro que cita varios casos, incluido Renard Constructions (ME) Pty Ltd v Minister for Public Works y varios otros.
Los riesgos: primero, el asociado puede no verificar las citas, y ChatGPT puede haber inventado uno o más de los nombres de los casos o sus alcances. Si el escrito cita un caso inexistente, el asociado y el socio supervisor se enfrentan a un problema de lealtad ante el tribunal. Segundo, si el asociado incluyó cualquier contexto del cliente o detalles del asunto en la solicitud («mi cliente está siendo demandado por incumplimiento de contrato y la cuestión clave es…»), esa información se ha transmitido a los servidores de OpenAI bajo condiciones de consumo que no ofrecen aislamiento de datos de nivel empresarial. Esto es un problema de confidencialidad conforme a la Rule 9.
Respuesta de gobernanza: prohibir el uso de ChatGPT de consumo para cualquier investigación relacionada con un asunto. Proporcionar acceso a herramientas de investigación basadas en IA de nivel empresarial (Westlaw AI, LexisNexis AU con IA, o similares) que operen bajo acuerdos de tratamiento de datos adecuados. Exigir que todas las citas generadas por IA se verifiquen antes de incluirlas en cualquier documento.
Escenario 2: redacción de contratos asistida por IA
El escenario: un equipo transaccional usa una herramienta de redacción de contratos por IA para acelerar la negociación de un arrendamiento comercial. Un miembro del equipo pega las condiciones de arrendamiento propuestas por el cliente, incluidas disposiciones de renta comercialmente sensibles, cláusulas de rescisión y condiciones de desarrollo, en la herramienta de IA para generar marcas de revisión.
Los riesgos: según la herramienta de IA utilizada, esta información del cliente comercialmente sensible puede almacenarse en los servidores del proveedor, usarse para el entrenamiento de modelos o ser accesible para el personal del proveedor. Conforme a las ASCR y, potencialmente, a cualquier cláusula de confidencialidad del encargo, el bufete puede haber incumplido sus obligaciones. También existe un riesgo de propiedad intelectual: las condiciones de arrendamiento pueden incluir estructuras comerciales propias que el cliente no quiere divulgar.
Respuesta de gobernanza: usar únicamente herramientas de redacción por IA de nivel empresarial con aislamiento de datos documentado. Confirmar que el acuerdo de tratamiento de datos del proveedor cubre la información comercial confidencial. Informar al cliente, en las cartas de encargo, sobre el uso de herramientas de IA en el trabajo transaccional.
Escenario 3: la IA en e-discovery y revisión documental
El escenario: un equipo procesal encargado de una disputa comercial a gran escala usa la revisión documental asistida por IA para procesar 200,000 documentos durante el discovery. La herramienta de IA es un servicio en la nube contratado directamente por el bufete sin revisión de seguridad informática.
Los riesgos: los documentos en el discovery procesal incluyen habitualmente materiales privilegiados, producto del trabajo y comunicaciones confidenciales del cliente. Una herramienta de revisión por IA mal configurada puede exponer documentos privilegiados a la parte contraria (mediante producción por descuido) o a los servidores del proveedor de IA. En el litigio australiano, la producción por descuido de documentos privilegiados puede desencadenar solicitudes de clawback conforme al Evidence Act, pero el secreto profesional puede perderse si se determina que la divulgación no fue por descuido.
Respuesta de gobernanza: exigir una revisión de seguridad informática y jurídica de todas las herramientas de IA de e-discovery antes de su contratación. Verificar las condiciones de tratamiento de datos y confidencialidad. Implementar protocolos de revisión del secreto profesional antes de que se produzcan los documentos procesados por IA. Documentar la metodología de IA empleada en la revisión documental a efectos de defendibilidad en caso de impugnación.
Construir un marco de gobernanza de la IA para su bufete australiano
Un marco práctico de gobernanza de la IA para un bufete australiano debe sustentarse en cinco pilares fundamentales.
Pilar 1: proceso de aprobación de herramientas de IA
Establezca un proceso formal de aprobación de herramientas de IA que exija que toda herramienta de IA nueva se evalúe conforme a criterios definidos antes de usarse en asuntos de clientes. La evaluación debe abordar: la residencia de datos (¿se almacenan los datos en Australia o están sujetos al derecho australiano?); el aislamiento de datos (¿se mantienen los datos del bufete separados de los datos de entrenamiento?); las protecciones contractuales (¿firma el proveedor un acuerdo de tratamiento de datos?); la compatibilidad con el secreto profesional y la confidencialidad; y el cumplimiento regulatorio.
Las herramientas aprobadas deben figurar en un registro de IA del bufete con los casos de uso aprobados, las restricciones y los responsables designados. Las herramientas de IA no aprobadas no deben usarse con ningún dato de clientes: esto debe ser una regla absoluta en todo el bufete, aplicada técnicamente cuando sea posible.
Pilar 2: formación del personal y política
Desarrolle una política de uso de la IA que cubra: qué herramientas están aprobadas y para qué tareas; qué información puede y qué no puede introducirse en las herramientas de IA; la obligación de verificar todas las citas y afirmaciones factuales generadas por IA; los requisitos de supervisión y revisión antes de que el trabajo generado por IA se entregue a clientes o tribunales; y los procedimientos de notificación de incidentes si un miembro del personal cree haber usado por descuido una herramienta no aprobada con datos de clientes.
Todo el personal, desde los socios senior hasta el personal administrativo, debe completar una formación sobre la política de IA en la incorporación y, después, anualmente. La formación debe usar ejemplos basados en escenarios extraídos de la práctica jurídica australiana.
Pilar 3: controles técnicos
Despliegue controles técnicos que hagan cumplir la política mediante la tecnología en lugar de depender únicamente del cumplimiento individual. Los controles clave incluyen: el bloqueo o la supervisión a nivel de red de los puntos de conexión de los servicios de IA de consumo (ChatGPT.com, claude.ai en modo de consumo, Gemini.google.com personal) desde los dispositivos del bufete; reglas de prevención de pérdida de datos (DLP) que detecten patrones de documentos jurídicos en el tráfico saliente hacia los servicios de IA; controles de punto de conexión que impidan la carga de archivos de expediente a servicios no aprobados; y paneles de supervisión que muestren el uso de herramientas de IA con fines de seguridad y cumplimiento.
La plataforma Workforce AI Security de Aona proporciona a los bufetes australianos un descubrimiento en tiempo real del uso de herramientas de IA en todo el bufete, una aplicación automatizada de la política e informes listos para auditoría, lo que permite a los socios directores y CIO ver exactamente qué herramientas de IA se usan, por quién y si ese uso cumple la política del bufete.
Pilar 4: actualización de clientes y cartas de encargo
Actualice las cartas de encargo estándar para abordar el uso de la IA. Las orientaciones de la Law Council sugieren que se debe informar a los clientes cuando vayan a usarse herramientas de IA para tratar su información de maneras relevantes. La redacción de la carta de encargo debe explicar el enfoque de gobernanza de la IA del bufete, describir las categorías de herramientas de IA que pueden usarse, comprometerse con las protecciones vigentes y ofrecer a los clientes la posibilidad de solicitar un tratamiento con IA restringida de sus asuntos si tienen inquietudes particulares.
Pilar 5: respuesta a incidentes
Establezca un protocolo de respuesta a incidentes específico de la IA. Si un miembro del personal usa por descuido una herramienta de IA no aprobada con datos de clientes, el bufete debe actuar con rapidez: evaluar qué datos estaban implicados y si el secreto profesional o la confidencialidad pueden haberse comprometido; determinar si debe notificarse al cliente conforme al encargo o al régimen de notificación de violaciones de datos del Privacy Act; documentar el incidente y las medidas de subsanación; y actualizar los controles para evitar que se repita.
Cumplimiento del Privacy Act para la IA en la práctica jurídica
Los bufetes están sujetos al Privacy Act 1988 (Cth) y a los Australian Privacy Principles (APPs) cuando tratan información personal, y los expedientes de los clientes están saturados de ella. Las herramientas de IA que procesan datos de clientes activan el marco del Privacy Act, creando obligaciones de cumplimiento junto a las obligaciones deontológicas señaladas anteriormente.
APP 11, Seguridad de la información personal
El APP 11 obliga a los bufetes a adoptar medidas razonables para proteger la información personal frente al uso indebido, la interferencia, la pérdida y el acceso no autorizado. Cuando las herramientas de IA procesan información personal de los expedientes de los clientes, nombres, direcciones, datos financieros, información de salud en asuntos de daños personales, datos familiares en asuntos de derecho de familia, el bufete debe asegurarse de que la herramienta de IA cumple el estándar de seguridad del APP 11. Esto implica evaluar la postura de seguridad del proveedor, garantizar que los datos estén cifrados en tránsito y en reposo, y verificar que los controles de acceso limiten quién, dentro de la organización del proveedor, puede acceder a los datos del bufete.
APP 8, Divulgación transfronteriza
Muchos servicios de IA son operados por empresas con sede en Estados Unidos, y los datos enviados a esos servicios pueden procesarse en servidores ubicados en Estados Unidos u otras jurisdicciones. El APP 8 obliga a los bufetes a adoptar medidas razonables para garantizar que los destinatarios en el extranjero traten la información personal conforme a los APPs, o a obtener el consentimiento del cliente. Los acuerdos de tratamiento de datos empresariales que incluyen protecciones equivalentes a los APP por parte de proveedores de IA extranjeros satisfacen esta obligación; las condiciones de IA de consumo, en general, no.
Notificaciones de violaciones de datos (Notifiable Data Breaches)
Si una herramienta de IA expone la información personal de un cliente, por una violación de datos del proveedor, una configuración incorrecta o una divulgación por descuido, el bufete puede tener la obligación de notificar a las personas afectadas y a la Office of the Australian Information Commissioner (OAIC) en virtud del régimen Notifiable Data Breaches. Los bufetes deben incluir las violaciones de datos relacionadas con la IA en sus procedimientos de respuesta NDB, con criterios claros para evaluar si una violación probablemente causará un daño grave.
Reforma del Privacy Act
Las reformas del Privacy Act que avanzan actualmente en el Parlamento reforzarán los derechos individuales y aumentarán las sanciones por el mal manejo de la información personal. Los bufetes que establezcan ahora una gobernanza sólida de la IA, con evaluaciones documentadas de las herramientas de IA, acuerdos de tratamiento de datos y controles de acceso, estarán mejor posicionados cuando entre en vigor el régimen reformado.
Cómo ayuda Aona a los bufetes australianos a gobernar la IA
Aona es una plataforma Workforce AI Security diseñada para organizaciones que se toman en serio sus obligaciones. Para los bufetes australianos, Aona resuelve los tres problemas más difíciles de la gobernanza de la IA jurídica: visibilidad, control y prueba.
Visibilidad: saber qué IA se está usando
La Shadow AI, es decir, el personal que usa herramientas de IA no aprobadas sin que el bufete lo sepa, es la causa raíz de la mayoría de los fallos de gobernanza de la IA jurídica. Los asociados que usan cuentas personales de ChatGPT, los procuradores que suben documentos a herramientas de resumen de IA de consumo y los abogados que llegan de otros bufetes con sus hábitos de IA crean todos una exposición que los socios directores no pueden abordar porque no la ven. Aona descubre automáticamente todo el uso de herramientas de IA en los dispositivos y redes del bufete, ofreciendo a los CIO y a los equipos de seguridad una visión en tiempo real de la huella real de IA del bufete frente al registro de IA aprobado.
Control: aplicar la política de forma coherente
Aona aplica la política de IA del bufete mediante controles técnicos, no mediante una mera política documentada que depende del cumplimiento individual. Las herramientas aprobadas se permiten; las herramientas no aprobadas que acceden a datos de clientes activan alertas o bloqueos. Las reglas de DLP configuradas para patrones de documentos jurídicos impiden que el contenido privilegiado se transmita a servicios que no cumplen los estándares del bufete. La aplicación de la política es coherente para todo el personal, con independencia de la antigüedad o el grupo de práctica.
Prueba: demostrar el cumplimiento
Cuando un cliente pregunta cómo se trataron sus datos, cuando un regulador realiza una investigación o cuando un tribunal cuestiona la metodología de IA empleada en el discovery, Aona proporciona la pista de auditoría. Cada interacción de IA se registra con marca de tiempo, identificación de la herramienta, usuario y contexto del asunto. Los bufetes pueden demostrar, con pruebas, que su marco de gobernanza de la IA funcionó según lo previsto.
Para ver cómo funciona Aona para los bufetes australianos, reserve una demostración con nuestro equipo. Trabajamos específicamente con organizaciones jurídicas en marcos de gobernanza que cumplen las orientaciones de la Law Council, las obligaciones de las ASCR y los requisitos del Privacy Act.
