IA para abogados
¿Es ChatGPT confidencial?
Un juez en Nueva York dice que no; dos tribunales en California dicen que sí. Lo que el caso Heppner revela sobre la confidencialidad de lo que escribes en ChatGPT, Claude o Gemini.

I. Las notas de Heppner en Claude
Bradley Heppner tenía un problema. Estaba siendo investigado por fraude de valores, y necesitaba organizar sus pensamientos. Hizo lo que millones de personas hacen todos los días: abrió Claude, el chatbot de Anthropic, y empezó a escribir. No publicó nada. No se lo mandó a nadie. Simplemente pensó en voz alta, usando una herramienta que cientos de millones de personas usan como si fuera un cuaderno privado.
Produjo 31 documentos. Después se los pasó a su abogado. Y ahí empezó el verdadero problema.
El 10 de febrero de 2026, el juez Jed Rakoff —uno de los jueces más respetados del Distrito Sur de Nueva York— decidió que esos 31 documentos no estaban protegidos. Ni por el privilegio abogado-cliente, ni por la doctrina de work product.
Conviene detenerse aquí, porque estos dos conceptos son los que determinan si algo que dijiste o escribiste puede ser usado en tu contra en un proceso legal —o si está blindado.
El privilegio abogado-cliente es sencillo: lo que le dices a tu abogado, en su calidad de abogado, es confidencial. No puede ser obligado a revelarlo. Es una de las protecciones más antiguas del derecho anglosajón, y existe por una razón práctica: si la gente no pudiera hablar con honestidad total con su abogado, el sistema legal no funcionaría. Nadie contaría la verdad completa.
La doctrina de work product es su prima cercana. Protege el proceso de preparación de un caso: las notas del abogado, sus borradores, su estrategia, las preguntas que piensa hacer. La idea es que un abogado no debería tener que mostrarle su trabajo a la otra parte. Sería como obligar a un equipo de fútbol a entregarle su plan de juego al rival antes del partido.
El juez Rakoff decidió que ninguna de las dos protecciones aplicaba. Su razonamiento fue directo: Heppner le había entregado información a un «tercero» cuyos términos de servicio decían, en algún lugar que nadie lee, que nada era confidencial. Y los documentos no fueron preparados por su abogado ni a instrucción de su abogado. Caso cerrado.
Es un fallo oral. No hay opinión escrita. Los hechos son extremos —Heppner hizo prácticamente todo mal. Y sin embargo, la lógica del juez Rakoff tiene una implicación que va mucho más allá de Bradley Heppner: si tú usas ChatGPT, Claude o Gemini para pensar sobre cualquier cosa sensible, lo que escribiste podría no ser confidencial.
II. La pregunta equivocada
El problema del caso Heppner no es la respuesta. Es la pregunta.
La defensa planteó la controversia en términos de privilegio abogado-cliente. Era el supuesto incorrecto desde el inicio. El privilegio protege comunicaciones entre un cliente y su abogado. Claude no es abogado. No tiene licencia, no tiene deberes fiduciarios, no tiene obligación de confidencialidad profesional. Intentar meter una conversación con un chatbot dentro de esa categoría era como intentar meter un balón de fútbol en una caja de zapatos: no importa cuánto empujes, la forma no da.
Rakoff lo resolvió de manera previsible. Pero la decisión correcta por las razones incorrectas sigue siendo peligrosa, porque establece un precedente conceptual: si la IA no es abogado, entonces esa comunicación no goza de ese privilegio.
Eso es un salto lógico enorme. Que no aplique el privilegio abogado-cliente no significa que la conversación no sea privada. Tu diario no está protegido por el privilegio abogado-cliente; sigue siendo privado. Tus notas en un cuaderno tampoco; siguen siendo privadas. La pregunta correcta nunca fue «es esto una comunicación entre abogado y cliente». La pregunta correcta es: «¿es esta una comunicación privada que el usuario tenía la intención legítima de mantener confidencial?»
Nadie se la hizo.
III. Tu título de abogado es un blindaje
Para quienes ejercen el derecho, el temor después de Heppner es inmediato: «¿ya no puedo usar IA en mi práctica?»
La respuesta corta es: sí puedes. Y la razón es interesante, porque revela algo fundamental sobre cómo funciona la protección legal de la información.
Un abogado tiene algo que Bradley Heppner no tenía: una licencia profesional. Esa licencia le impone obligaciones de confidencialidad y, a cambio, le otorga un escudo. Cuando un abogado usa Claude para desarrollar su estrategia, la herramienta opera dentro del paraguas de esas obligaciones. El proceso mental del abogado está protegido como work product independientemente del medio que utilice para desarrollarlo —sea una libreta amarilla, un procesador de texto, o un chatbot de inteligencia artificial. El medio es irrelevante. Lo que importa es quién piensa.
Heppner no tenía licencia. Era un cliente actuando por cuenta propia, sin instrucción de su abogado. Sin licencia, sin paraguas.
Pero aquí es donde la lógica de Rakoff se quiebra: la ausencia de licencia profesional no equivale a ausencia de privacidad. Que un cliente no tenga la protección reforzada del privilegio profesional no significa que su conversación con una herramienta de trabajo sea pública. Lo que cambia es el nivel de protección, no su carácter privado. Es la diferencia entre una bóveda de banco y la cerradura de tu casa: las dos protegen cosas, pero con estándares distintos. Que tu cerradura sea más fácil de abrir no significa que cualquiera tenga derecho a entrar.
IV. El mapa
Si todo esto suena complicado, es porque lo es. La protección de tu información al usar IA depende de la combinación de tres variables: quién eres, qué herramienta usas, y bajo qué contexto actúas. La siguiente tabla resume el estado actual del debate, con el caso o fundamento jurídico de cada escenario:
| Escenario | Usuario | Herramienta | Protección | Caso / Fundamento |
|---|---|---|---|---|
| Abogado desarrolla estrategia litigiosa usando IA | Profesional con licencia | Enterprise o comercial | Sí — work product | Tremblay v. OpenAI (N.D. Cal., ago. 2024); Concord v. Anthropic (N.D. Cal., may. 2025) |
| Profesional usa IA empresarial con garantías contractuales | Profesional con licencia | Enterprise | Sí — profesional + contractual | Análisis de Debevoise & Plimpton sobre Heppner (feb. 2026): herramientas enterprise podrían tener resultado distinto |
| Profesional usa IA comercial (consumo) para trabajo con clientes | Profesional con licencia | Comercial | Parcial — work product probable, riesgo por ToS | Tremblay y Concord protegen prompts de abogados; ToS de consumo podrían debilitar la expectativa |
| Cliente usa IA empresarial bajo instrucción de su abogado | Cliente / lego | Enterprise | Sí — extensión abogado-cliente | Doctrina Kovel (United States v. Kovel, 2d Cir., 1961): terceros como extensión del abogado mantienen privilegio |
| Cliente usa IA comercial bajo instrucción de su abogado | Cliente / lego | Comercial | Debatible — dirección ayuda, ToS debilita | Sin precedente directo. Heppner distingue que la defensa «did not direct» al acusado; a contrario, la dirección podría cambiar el análisis |
| Cliente usa IA comercial por cuenta propia para preparar consulta legal | Cliente / lego | Comercial | No según Heppner | United States v. Heppner (S.D.N.Y., feb. 2026): fallo oral, sin opinión escrita. Debería ser privado por intencionalidad del usuario |
| Usuario usa versión gratuita de IA para cualquier propósito | Cualquiera | Gratuita | No — mínima expectativa | Heppner (por extensión). ToS de versiones gratuitas autorizan explícitamente uso de datos para entrenamiento sin reserva |
Las dos últimas filas son el territorio donde el derecho necesita evolucionar. La protección hoy depende de los términos de servicio que nadie lee y de la existencia de una licencia profesional. La intencionalidad del usuario —que en todos los escenarios es privacidad— debería ser el factor central.
V. La caja fuerte
El argumento central del juez Rakoff fue que los términos de servicio de Anthropic establecen que la información no es confidencial. Suena razonable. Pero hay que leer la cláusula completa para entender el problema.
La cláusula de «no confidencialidad» en los términos de servicio de Anthropic existe para permitir el reentrenamiento del modelo de IA. Ese es su propósito. No fue diseñada para autorizar que un fiscal acceda a tus conversaciones, ni para que una contraparte procesal las descubra, ni para que un juez las declare públicas. Reentrenar no es divulgar. Son dos cosas completamente distintas.
Rakoff tomó una cláusula diseñada para un propósito —la mejora técnica del modelo— y la usó para justificar otro completamente diferente: el acceso procesal al contenido. Es como si un juez determinara que, porque Gmail procesa tus correos para mostrarte publicidad personalizada, entonces tus correos no son confidenciales y la fiscalía puede acceder a ellos sin orden judicial. El procesamiento técnico de datos para mejorar un servicio no equivale a renuncia de la expectativa de privacidad sobre el contenido.
Pero el problema es más profundo, porque existe un contrasentido comercial que nadie planteó en el caso.
Anthropic —al igual que OpenAI, Google y todos los proveedores de IA generativa— comercializa Claude como una herramienta profesional de trabajo. Su marketing, sus planes de pago, sus casos de uso: todo apunta a profesionales que introducen información sensible. Análisis legal. Redacción de documentos. Estrategia de negocios. Es una oferta comercial diseñada, desde el primer píxel de su página web, para que la gente le confíe sus pensamientos más importantes.
Y luego, en la página 43 del contrato, dice que nada es confidencial.
Es como si una empresa de cajas fuertes vendiera sus productos con el eslogan «protege tus documentos más valiosos», pero en la letra chiquita del manual incluyera una cláusula que dice: «nada de lo almacenado en esta caja se considera confidencial y el fabricante se reserva el derecho de acceder al contenido». El producto promete seguridad. El contrato la niega. En derecho, esto tiene un nombre: venire contra factum proprium —actuar en contradicción con tu propia conducta previa. No puedes beneficiarte de la confianza del usuario y simultáneamente negarla contractualmente.
VI. Lo que pasó en California
Aquí es donde la historia se pone interesante. Porque mientras Heppner circula en redes sociales como si fuera doctrina universal, dos decisiones de tribunales federales en California llegaron al resultado exactamente opuesto. Y casi nadie las está citando.
En Tremblay v. OpenAI, Inc., resuelto en agosto de 2024 por el Distrito Norte de California, la jueza Araceli Martínez-Olguín determinó que los prompts utilizados por los abogados de OpenAI constituían opinion work product —que es la categoría más protegida que existe dentro de la doctrina. No la básica, no la estándar: la máxima. ¿Por qué? Porque esos prompts reflejaban las impresiones mentales de los abogados, su estrategia, su forma de pensar el caso. Obligar a producirlos equivaldría a entregarle el plan de juego al rival.
En Concord Music Group, Inc. v. Anthropic PBC, resuelto en mayo de 2025 por el mismo distrito, la magistrada Susan van Keulen llegó a la misma conclusión: los prompts y outputs no divulgados de los abogados de Anthropic constituían attorney work product. Rechazó como desproporcionada la solicitud de producir todos los prompts.
Dos tribunales. Dos casos. Dos herramientas de IA. Dos veces la misma respuesta: las conversaciones están protegidas.
La diferencia con Heppner no está en la herramienta. La herramienta es la misma. La diferencia está en quién la usa. En California, profesionales con licencia usaron IA como extensión de su trabajo mental. En Nueva York, un cliente lego usó una versión de consumo por cuenta propia.
Que Heppner se presente como «la regla» y Tremblay y Concord se ignoren es, en sí mismo, una distorsión del estado real del derecho. Lo que tenemos no es un precedente consolidado en un sentido. Lo que tenemos es un debate abierto entre tribunales federales —y en ese debate, la posición protectora tiene, si acaso, mejores fundamentos doctrinales.
VII. La analogía correcta
Si abandonamos el privilegio abogado-cliente —que nunca fue el marco correcto— y nos movemos al terreno de la privacidad, las analogías son claras. Y reveladoras.
Tu casa es privada. El Estado no puede entrar sin una orden judicial fundamentada en causa probable. Que tu casero tenga llaves no destruye tu privacidad. Tus llamadas telefónicas pasan por la infraestructura de un tercero que tiene la capacidad técnica de escuchar absolutamente todo. Sin embargo, nadie sugiere que por eso dejan de ser privadas; la intervención telefónica es una excepción que requiere orden judicial. Tus correos en Gmail pasan por servidores de Google, que los procesa, los indexa y los usa para mostrarte publicidad. Siguen siendo privados.
En todos estos casos, la estructura es la misma: la privacidad es la regla general y el acceso es la excepción. Es el Estado quien debe justificar la intrusión, no el ciudadano quien debe justificar su expectativa de privacidad.
Lo que Rakoff hizo fue invertir esta lógica. En lugar de presumir privacidad y exigir justificación para el acceso, presumió que la información era pública porque los términos de servicio —diseñados para reentrenamiento, no para divulgación— decían que «no era confidencial».
Ahora bien: si una persona planifica un acto terrorista usando un chatbot, la sociedad tiene un interés legítimo en acceder a esa información. Nadie razonable discute eso. Pero la respuesta no puede ser declarar que todas las conversaciones con IA carecen de protección. Eso es como decir que, porque se pueden intervenir líneas telefónicas en casos de crimen organizado, ninguna llamada es privada. El gradiente ya existe para todas las demás formas de comunicación. No hay ninguna razón para que la IA sea la excepción.
VIII. La respuesta
Entonces, ¿es ChatGPT confidencial?
Depende.
Si eres abogado y lo usas para desarrollar tu estrategia, sí —California ya lo confirmó.
Si eres cualquier otro profesional con licencia y usas una versión empresarial con garantías contractuales, probablemente también.
Si eres un cliente que actúa bajo instrucción de su abogado, la doctrina sugiere que sí.
Y si eres Bradley Heppner —un acusado que usó una versión de consumo por cuenta propia, sin dirección de su abogado, para organizar sus pensamientos sobre un fraude de valores— un juez en Nueva York dice que no.
Pero la verdadera respuesta es que estamos haciendo la pregunta equivocada.
No deberíamos preguntarnos si la IA es un «tercero» que destruye la confidencialidad. Deberíamos preguntarnos qué intención tenía el usuario cuando abrió la herramienta y empezó a escribir. Y la cláusula de «no confidencialidad» en los términos de servicio —esa cláusula que Rakoff usó como fundamento— existe para que Anthropic pueda reentrenar su modelo, no para que un fiscal acceda al contenido. Confundir esos dos propósitos es, quizás, el error conceptual más grave de todo el caso.
¿Es confidencial lo que escribes en tu IA? Debería serlo. Tu proceso de pensamiento no deja de ser privado porque uses una herramienta tecnológica para organizarlo. La privacidad debe ser la regla, el acceso la excepción. Y la intencionalidad del usuario —no los términos de servicio que nadie lee, diseñados para un propósito que nada tiene que ver con la divulgación— debe definir la calidad jurídica de la comunicación.