Capítulo 2: El secreto profesional en la era digital

El secreto profesional como base del derecho de defensa

El privilegio de la secrecía entre un abogado y su cliente, consistente en que el primero tiene el deber de preservar la confidencialidad de la información y de los documentos que el segundo le refiere para estar en condiciones de producir su defensa, deriva de los derechos constitucionales a la intimidad, de defensa y a la inviolabilidad de las comunicaciones privadas.

La Constitución Política de los Estados Unidos Mexicanos reconoce en su artículo 16 la inviolabilidad de las comunicaciones privadas y el derecho a la privacidad, de la siguiente forma:

“… Las comunicaciones privadas son inviolables. La ley sancionará penalmente cualquier acto que atente contra la libertad y privacía de las mismas, excepto cuando sean aportadas de forma voluntaria por alguno de los particulares que participen en ellas. El juez valorará el alcance de éstas, siempre y cuando contengan información relacionada con la comisión de un delito. En ningún caso se admitirán comunicaciones que violen el deber de confidencialidad que establezca la ley….”

En concordancia con lo anterior, el artículo 36 de la Ley Reglamentaria del Artículo 5° Constitucional (relativo a las profesiones), establece que todos los profesionistas están obligados a guardar secreto en los asuntos que les confíen sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas.

Por su parte, nuestro máximo Tribunal, ha venido sosteniendo en jurisprudencia y tesis aisladas que el secreto profesional se encuentra vinculado con el derecho a la intimidad, conforme al cual, los profesionistas no pueden divulgar ni rendir testimonio sobre la información cuyo conocimiento hayan obtenido en el ejercicio de sus actividades profesionales, salvo que el titular de dicha información los autorice.

Marco legal de protección de datos personales

El abogado debe proteger la confidencialidad no solo por ética y deber profesional, sino también por mandato legal, implementando medidas de seguridad mínimas para garantizar la seguridad que daría a su propia información, inclusive establecer controles y mecanismos para garantizar que las personas a su cargo, que tengan acceso a la información, guarden la confidencialidad aún después de finalizar las relaciones comerciales o laborales.

En tal sentido, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), obliga a toda persona a proteger la información que le ha sido confiada, y prohíbe transmitirla sin autorización expresa de su titular, exigiendo por ende, que el tratamiento de la información obtenida, con autorización de su titular, sea protegida con el mismo cuidado que se exige para la conservación de la información propia.

Riesgos reales y ejemplos prácticos

Actualmente no se han documentado casos en los que se haya filtrado o expuesto información subida a una IA; no obstante, el riesgo a la exposición se encuentra presente con el solo uso de plataformas públicas de IA.

Las principales compañías de IA (OpenAI, Google, Anthropic, Meta, etc.) han reconocido en sus políticas y comunicados que la información que los usuarios suben a sus plataformas públicas puede ser almacenada, revisada por humanos y utilizada para entrenar futuros modelos (salvo que el usuario configure lo contrario o pague por servicios privados).

Lo anterior significa que, cuando subes datos a una IA pública —como ChatGPT, Gemini, Copilot, Claude o similares— la información puede ser almacenada, revisada y usada para mejorar los modelos de IA, inclusive las políticas indican expresamente que la información puede ser compartida con terceros.

Esto significa que si subes datos personales, confidenciales o información sensible de un cliente,

• pueden almacenarse fuera de México, inclusive en otro continente,

• podrían ser accedidos por personal de la empresa (humano, no sólo IA),

• y pueden acabar en el “dataset” de entrenamiento de futuras versiones.

Por eso el riesgo no es solo hipotético:

A diferencia de un archivo local, la información que subes a plataformas de IA públicas como ChatGPT o Gemini puede ser almacenada y utilizada por las empresas para distintas finalidades, por lo que los datos que se suben pueden existir más allá de la sesión, y el control sobre la información podría perderse incluso si el usuario opta por eliminar el historial o finalizar la sesión.

Tipos de Responsabilidad profesional en México.

Podrían citarse innumerables ejemplos de casos en los que podría verse expuesta información confidencial con el uso de IA, como sería el caso de ingresar nombres, domicilios y antecedentes de las partes, transfiriendo sin saberlo datos a servidores en el extranjero, o bien, subir a una IA la videograbación de una audiencia, revelando información declarada como confidencial en juicio.

Ambos casos, hipotéticos, podrían constituir transferencia ilícita de datos y vulnerar el deber de confidencialidad, con la consiguiente responsabilidad profesional en los siguientes términos:

1. Responsabilidad administrativa: Apercibimientos y multas conforme a los artículos 58 a 60 de la LFPDPPP por tratamiento indebido de datos.

2. Responsabilidad profesional: Artículo 36 de la Ley Reglamentaria del art. 5º constitucional relativo a las profesiones que regula el secreto profesional y obliga a no revelar información que ha sido conocida o recibida con motivo del ejercicio de la profesión.

   En concordancia, el artículo 271 del CNPCyF dispone que es inadmisible el testimonio de personas que tienen el deber de guardar secreto sobre hechos que hayan conocido con motivo de su empleo, cargo, puesto, oficio, profesión o relación de negocios, lo que refuerza el blindaje de información protegida por secreto profesional.

3. Responsabilidad Civil: El artículo 61 de la LFPDPPP establece que las sanciones administrativas por falta de resguardo de información, se aplican sin perjuicio de las sanciones civiles o penales que correspondan.

   En materia de responsabilidad civil, el CCF en su artículo 1910, regula la responsabilidad resultante por ocasionar daños y perjuicios a otra persona, en este caso, por revelar información de manera indebida.

4. Responsabilidad Penal.- Los artículos 61 y 62 a 64 de la LFPDPPP, se refieren a la sanción penal que corresponde a quien, con ánimo de lucro, trate datos personales de forma indebida o provoque una vulneración en las propias bases de datos.

   Los artículos de la LFPDPPP citados, se complementan con el contenido de los artículos 210 a 211 del Código Penal Federal (CPF), donde se tipifican la revelación indebida de secretos profesionales o comunicaciones reservadas, sancionando con mayor rigor si el responsable es profesionista.

5. Responsabilidad procesal: El artículo 143 del Código Nacional de Procedimientos Civiles y Familiares establece que las audiencias pueden ser privadas cuando se pueda afectar la integridad de alguna persona, se divulgue información confidencial o secreto industrial de forma indebida, se afecte el interés superior de niños y adolescentes o se trate de juicios familiares, y cuando el propio Código lo establezca.

   El artículo 336 del CNPCyF dispone que si alguna de las partes estima que la reproducción de medios en audiencia pudiera atentar contra la intimidad de la personas o poner en riesgo su información reservada, confidencial o secretos industriales, lo expresará a la autoridad para que lo califiqué así y se ventile en audiencia privada.

   El libro Octavo denominado de la Justicia Digital (arts. 968 a 973 del CNPCyF), también contiene una serie de disposiciones relativos a la seguridad de la información que se comparte por medios digitales, en específico los artículos 970 y 971 establecen la obligación del juzgador de informar a las partes el carácter confidencial o público de las audiencias en línea y la obligación de las partes, los auxiliares de justicia, y cualquier persona que intervenga en la audiencia para acatar las instrucciones en materia de seguridad de la información, privacidad y protección de datos personales.

   El artículo 1145 del CNPCyF se refiere a la publicidad de los juicios en el ámbito de cooperación internacional conforme a tratados internacionales, con excepción de procedimientos donde se ventilen secretos profesionales, comerciales, industriales o personales y protección de datos personales, estableciendo que en ningún caso, podrán ser públicos los procedimientos donde estén involucrados derechos de menores de edad, secretos profesionales, comerciales, industriales o protección de datos personales.

   En México, la infracción a dichas disposiciones puede traer sanciones desde administrativas, hasta civiles y penales, de acuerdo a la magnitud, daño y fines de la divulgación de información, constituyendo los sistemas de IA, herramientas que potencializan los riesgos de exposición de información y responsabilidad correlativa.

(“Descarga los recursos al final del artículo”).

Buenas prácticas para proteger el secreto profesional

Checklist mínimo para despachos y litigantes independientes:

• Anonimizar datos personales antes de utilizar IA, esto es, eliminar datos sensibles o de identificación que pudieran generar un daño a otra persona.

• Verificar que la plataforma utilizada cumpla con la LFPDPPP y la legislación nacional, lo que implica hacer una revisión mínima de las políticas de las compañías de IA en cuanto al manejo de la información que se les comparte.

• Informar al cliente si se usará IA en la gestión de su caso, como instrumento de transparencia y en su caso, consentimiento informado.

• Limitar el uso de IA pública a tareas que no involucren datos confidenciales, lo que implica que, además de anonimizar la información que se comparte, debe filtrarse la información para que no se compartan datos sensibles, secretos industriales, etc.

• No delegar el juicio profesional ni la responsabilidad en la tecnología, ya que los sistemas de IA son herramientas tecnológicas que bien utilizadas ayudan a potencializar las capacidades humanas, pero no deben utilizarse como sustituto del intelecto humano ni delegar a la IA la diligencia profesional debida.

Conclusión

En la actualidad, para cumplir con el deber profesional de confidencialidad, no basta que se evite revelar información deliberadamente y sin derecho, sino que la ética y el juicio profesional exigen debida diligencia y juicio profesional en el uso de herramientas tecnológicas para no revelar accidentalmente información sensible que eventualmente detone en reclamaciones por responsabilidad profesional.

La innovación tecnológica es una realidad, pero su uso nunca debe sustituir la ética y la responsabilidad personal y profesional, ni los deberes de cuidado que todo profesionista está obligado a cumplir.

Próximamente el capítulo 3 de la serie en el blog derecho y tecnología. 

Recursos descargables:

Descarga el checklist práctico y la tabla de responsabilidades en formato editable.

1. Checklist práctico: Cómo proteger el secreto profesional al usar IA

2. Tabla comparativa de responsabilidades y sanciones en México

¿Te resultó útil este artículo?

Si te gustó, compártelo en tus redes sociales para que más personas conozcan este contenido.

Tu participación nos ayuda a seguir creando contenido útil para la comunidad jurídica.

También puedes dejarnos tus comentarios en nuestras redes sociales, canales y correo indicados al pie de página.