La presente Política de Inteligencia Artificial (en adelante, la "Política de IA") define los principios, compromisos y límites que rigen el uso de sistemas de inteligencia artificial (IA) en PASSAS, tanto en la gestión interna del despacho como en los servicios prestados a clientes.
Es un documento público. Su publicación responde al compromiso de PASSAS con la transparencia en el uso de la IA y con el cumplimiento proactivo del Reglamento (UE) 2024/1689, cuya plena aplicabilidad tiene lugar el 2 de agosto de 2026.
El uso de la inteligencia artificial en PASSAS se rige por los siguientes instrumentos:
(a) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA), en particular sus artículos 5 (prácticas prohibidas), 50 (obligaciones de transparencia) y las disposiciones aplicables a los responsables del despliegue de modelos de propósito general;
(b) Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD), en cuanto al tratamiento de datos personales mediante sistemas de IA;
(c) Estatuto General de la Abogacía Española (Real Decreto 135/2021) y Código Deontológico de la Abogacía Española, en cuanto a los límites del ejercicio profesional asistido por herramientas tecnológicas;
(d) Norma ISO/IEC 42001:2023 sobre sistemas de gestión de la inteligencia artificial, como estándar de referencia para la gobernanza, evaluación de riesgos y mejora continua en el uso de la IA.
PASSAS actúa como responsable del despliegue de sistemas de IA de propósito general en las siguientes modalidades:
(a) Modelos de lenguaje de gran escala para asistencia en redacción, análisis jurídico, investigación, cumplimiento normativo, marketing y administración;
(b) Herramientas de generación y modificación de imágenes y contenidos visuales;
(c) Herramientas de asistencia al desarrollo de código y software;
(d) Herramientas de procesamiento de voz y transcripción de reuniones, utilizadas con el consentimiento expreso del interlocutor en los términos de la cláusula 7.
Conforme al Reglamento de IA, la totalidad de los sistemas utilizados se encuadra en la categoría de riesgo mínimo o limitado para los usos descritos en esta Política. PASSAS no utiliza sistemas de IA de alto riesgo en el sentido del Anexo III del Reglamento de IA ni sistemas cuya práctica esté prohibida por su artículo 5.
Los sistemas de IA son utilizados en PASSAS exclusivamente para las siguientes finalidades:
(a) Copiloto estratégico y asistencia a la toma de decisiones de gestión del despacho;
(b) Asistencia en la redacción y documentación jurídica, bajo supervisión y criterio del abogado responsable;
(c) Asistencia en el cumplimiento de estándares normativos e ISO en encargos profesionales y productos de compliance;
(d) Asistencia en marketing, comunicación y administración;
(e) Desarrollo de APIs, software y soluciones tecnológicas, en cumplimiento del Reglamento de IA y conforme a la ISO/IEC 42001:2023;
(f) Procesamiento de reuniones y videoconsultas, con consentimiento previo, expreso e informado del interlocutor, para la generación de informes de sesión.
Queda prohibido el uso de sistemas de IA en PASSAS para finalidades distintas de las anteriores. En particular, queda prohibido el uso de modelos gratuitos o de cualquier sistema que comparta o transmita datos del cliente o del despacho a procesos de entrenamiento.
5.1. Supervisión humana. Ninguna decisión que pueda afectar a los derechos o intereses de una persona es adoptada de forma exclusiva por un sistema de IA. El criterio jurídico es competencia exclusiva de los abogados del despacho. La IA asiste y apoya, pero no sustituye en ningún caso la responsabilidad profesional del abogado.
5.2. Verificación. PASSAS revisa la integridad, exactitud y autenticidad de toda la información generada por IA antes de utilizarla, publicarla o transmitirla. Esta obligación de revisión es especialmente rigurosa respecto a referencias normativas, jurisprudenciales y datos de hecho. La IA puede producir errores o referencias inexistentes; la responsabilidad de su detección recae en el profesional que utiliza el sistema.
5.3. Gestión del riesgo. PASSAS aplica un enfoque de gestión del riesgo conforme a la ISO/IEC 42001:2023, que incluye la evaluación de los sistemas de IA antes de su incorporación al flujo de trabajo, la delimitación de sus usos autorizados y la revisión periódica de su adecuación.
5.4. Modelos seguros. PASSAS utiliza exclusivamente sistemas de IA de pago que, conforme a sus condiciones contractuales, no emplean los datos procesados para el entrenamiento de modelos. El uso de herramientas gratuitas o que no ofrezcan estas garantías en el ejercicio profesional está expresamente prohibido.
6.1. Documentos asistidos por IA. Los documentos internos del despacho elaborados con asistencia de IA son sometidos a revisión y validación humana antes de su uso. En los documentos destinados a terceros en los que la IA haya intervenido de forma sustancial, PASSAS indicará dicha circunstancia cuando resulte relevante o cuando sea exigible conforme al artículo 50 del Reglamento de IA.
6.2. Contenido generado con IA. Las imágenes, diseños u otros contenidos visuales generados o modificados sustancialmente mediante IA y destinados a publicación se producen con el consentimiento informado de su autor y de quienes ostenten derechos de imagen sobre el contenido afectado. PASSAS no produce deepfakes ni ningún tipo de contenido sintético destinado a inducir a error sobre su origen o autenticidad, conforme al artículo 50.4 del Reglamento de IA.
6.3. Interacción con IA. Cuando en el desarrollo de servicios para clientes se utilicen sistemas de IA con los que el cliente interactúe directamente, PASSAS lo comunicará con carácter previo, en los términos exigidos por el artículo 50.1 del Reglamento de IA.
El procesamiento de la voz, imagen o cualquier dato biométrico de una persona mediante sistemas de IA requiere su consentimiento previo, expreso e informado. PASSAS no utiliza sistemas de IA para el reconocimiento, análisis ni clasificación de estados emocionales en ningún contexto, en cumplimiento del artículo 50.3 del Reglamento de IA y como expresión de un compromiso deontológico propio del despacho. El procesamiento de grabaciones de videoconsultas u otras reuniones se rige por los Términos y Condiciones del Servicio y la Política de Privacidad.
Los sistemas de IA utilizados por PASSAS son seleccionados atendiendo a las garantías que ofrecen en materia de tratamiento confidencial de datos, ausencia de uso de dichos datos para el entrenamiento de modelos y conformidad con el RGPD. Ningún dato de cliente, dato profesionalmente protegido o información sensible del despacho se introduce en sistemas que no ofrezcan estas garantías de forma contractualmente vinculante.
Ninguna práctica de IA de PASSAS tiene por objeto o efecto la discriminación, el menoscabo de derechos fundamentales, la puntuación social ni ninguna forma de vigilancia o manipulación conductual. Todas las prácticas enumeradas en el artículo 5 del Reglamento de IA están expresamente prohibidas en el despacho. Las personas que hayan interactuado con servicios de PASSAS en los que la IA haya intervenido pueden dirigir sus consultas o reclamaciones a privacidad@passas.io.
La presente Política de IA será revisada periódicamente y actualizada cuando se incorporen nuevos sistemas o usos de IA, cuando se produzcan cambios normativos relevantes o cuando la evaluación de riesgos así lo determine. La versión vigente es la publicada en el sitio web en el momento del acceso.
El Reglamento (UE) 2024/1689 lleva en vigor desde agosto de 2024 y alcanza su plena aplicabilidad en agosto de 2026; establece obligaciones para cualquier empresa que despliega sistemas de IA, con independencia de si los ha desarrollado ella misma. La política de IA es el documento donde eso se plasma: qué herramientas están autorizadas, qué datos pueden introducirse en ellas, quién supervisa y qué ocurre cuando algo falla. Es también la forma más directa de acreditar ante clientes, socios y autoridades que el uso de la IA en la organización es deliberado y controlado.
El Reglamento de IA introduce obligaciones graduadas: las más exigentes aplican a sistemas de alto riesgo con plena eficacia desde agosto de 2026, mientras que las obligaciones de transparencia del artículo 50 ya son aplicables hoy para determinados usos. Para el uso habitual de herramientas de IA en procesos internos o en servicios a clientes, la obligación formal aún no está generalizada. Publicar una política ahora es construir el cumplimiento de forma ordenada, en lugar de hacerlo con urgencia cuando llegue la primera inspección o el primer cliente que la exija como requisito contractual.
La figura del deployer o responsable del despliegue engloba a cualquier empresa que utiliza un sistema de IA en el marco de su actividad profesional, aunque ese sistema lo haya desarrollado un tercero. Usar herramientas de generación de texto, asistentes de código o sistemas de transcripción en procesos internos o en la atención a clientes ya te convierte en deployer a efectos del Reglamento. Las obligaciones concretas dependen del nivel de riesgo del sistema utilizado, pero la responsabilidad de identificarlo y documentar los controles aplicados recae sobre la empresa que despliega.
Una política redactada sin conocer el stack tecnológico de la organización no protege ante ningún conflicto real. La que funciona identifica herramienta por herramienta, delimita los usos autorizados y prohibidos, establece quién puede introducir qué tipo de datos en cada sistema y define el proceso de supervisión humana antes de que cualquier output de IA tenga consecuencias jurídicas o económicas. El AI Act y el RGPD se solapan en prácticamente todos los casos de uso que involucran datos personales, y una política bien redactada resuelve ese solapamiento en lugar de ignorarlo.
La política de IA es el documento del pack cuyo contenido más depende del perfil real de la organización: los sistemas que utiliza, los datos que procesa y el nivel de riesgo de cada caso de uso condicionan cada cláusula. La redactamos junto al aviso legal, los términos y condiciones, la política de privacidad y el DPA, de forma que la gestión del riesgo IA quede integrada con el cumplimiento del RGPD donde ambos se solapan. El punto de partida es una videoconsulta de 90€, descontables del encargo si finalmente formalizamos uno.