anonym.legal

By · Last updated 2026-03-15

Volver al BlogTecnología Legal

La trampa de la anonimización permanente...

El 34.8% de las entradas de ChatGPT contienen datos sensibles (Cyberhaven). La solución — anonimización permanente — crea su propio riesgo legal...

March 15, 202610 min de lectura
reversible encryptionspoliation risklegal discovery complianceGDPR pseudonymizationAES-256-GCM

Actualizado para 2026

Una solución, dos nuevos riesgos

Muchas empresas bloquean las fugas de IA eliminando nombres e IDs antes de que el texto llegue a un proveedor de IA. El hashing unidireccional, la redacción estricta o la eliminación total parecen seguros. La IA recibe texto limpio. Los detalles sensibles se quedan internos.

La lógica se sostiene del lado de la seguridad. El estudio Q4 2025 de Cyberhaven encontró que el 34,8% del contenido enviado a ChatGPT contiene datos sensibles. El informe Ponemon 2024 situó el costo promedio de una brecha de IA en 2,1 millones de dólares. El riesgo es real y el costo es alto.

Pero la eliminación total intercambia un riesgo por otro: spoliation of evidence (destrucción de pruebas).

Para empresas sujetas a demandas o auditorías, destruir la capacidad de restaurar registros en bruto puede contar como spoliation bajo las reglas federales y estatales.

La escala del intercambio con IA

Investigaciones de eSecurity Planet y Cyberhaven encontraron que el 77% del personal comparte datos sensibles con herramientas de IA cada semana. Esto abarca derecho, salud, finanzas y tecnología.

El contenido compartido suele incluir:

  • Cartas de clientes y notas de casos
  • Borradores de contratos y términos
  • Planes internos y registros de negocios
  • Modelos financieros y proyecciones
  • Memorandos legales y notas de casos
  • Registros de pacientes y notas clínicas
  • Archivos de RRHH y mensajes del personal

Cuando la eliminación total es el control de IA, cada documento que pasa por ella puede perder su valor legal. Si esos documentos aparecen en una demanda — muy probable en cualquier período plurianual para empresas en sectores regulados — la empresa ha perdido potencialmente pruebas.

Consulte nuestra visión general de conformidad legal sobre cómo anonym.legal cumple con los deberes de divulgación. La guía del sistema de tokens explica el proceso técnico.

RGPD: la reversibilidad es obligatoria

El Artículo 4(5) del RGPD define la seudonimización como el procesamiento de registros personales de tal manera que "ya no puedan atribuirse a un interesado específico sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado."

El punto clave: la clave que permite la reatribución debe conservarse. Los registros que pueden revincularse mediante claves almacenadas cuentan como seudonimizados bajo el RGPD.

Los registros que no pueden revincularse en absoluto no están seudonimizados. Están anonimizados. La diferencia importa:

  • Los registros enmascarados con tokens conservan algunas obligaciones del RGPD pero pueden restaurarse para uso legal.
  • Los registros completamente eliminados pueden quedar fuera del alcance del RGPD y no pueden restaurarse en absoluto.

Las Directrices 05/2022 del Comité Europeo de Protección de Datos confirman que la reversibilidad es un elemento central de la definición. Las empresas que usan eliminación unidireccional no hacen seudonimización del RGPD. Están eliminando la capacidad de recuperar registros.

Más información en nuestro hub de conformidad y la visión general de protección.

Reglas Federales: la prueba de spoliation

Bajo las Federal Rules of Civil Procedure, las partes deben preservar registros que puedan ser relevantes para acciones legales esperadas. Este deber comienza cuando una demanda es razonablemente previsible — no cuando se presenta.

La Regla 37(e) permite a los tribunales imponer sanciones cuando una parte no preserva registros almacenados. Las sanciones pueden incluir:

  • Instrucciones de inferencia adversa
  • Exclusión de pruebas
  • Sanciones que ponen fin al caso en casos graves

Así es como se desarrolla. Una empresa usa flujos de trabajo de IA que eliminan totalmente el contenido sensible en el curso normal del negocio. Esos registros luego se vuelven relevantes en una demanda. La empresa los ha alterado de modo que el texto en bruto no puede restaurarse. Si eso ocurrió tras la adhesión del deber de conservar, sigue la exposición a spoliation.

Este no es un caso marginal. Las empresas en sectores regulados con exposición legal recurrente enfrentan demandas previsibles constantes sobre amplios tipos de documentos. Implementar la eliminación total en todos los flujos — sin excepciones para registros en riesgo — crea un gran riesgo de spoliation.

Reversible vs. unidireccional: diferencia clave

La diferencia entre el enmascaramiento reversible y unidireccional está en el diseño.

Unidireccional: sin vuelta atrás

El hashing SHA-256 de un nombre produce un hash fijo. El nombre no puede derivarse de él. La redacción estricta elimina el texto de modo que el contenido en bruto desaparece.

Reversible: la recuperación es posible

La sustitución por tokens con retención de clave y el cifrado AES-256-GCM transforman los registros de maneras que pueden deshacerse. Un nombre reemplazado por un token puede restaurarse mediante una tabla de búsqueda. El contenido AES-256-GCM puede descifrarse con la clave correcta. El texto en bruto permanece accesible.

Para la protección de IA, ambos métodos funcionan igual. La IA procesa tokens y nunca ve los registros reales.

Para el deber legal, solo el enmascaramiento reversible por tokens funciona. Los métodos unidireccionales cortan la recuperación y crean el riesgo de spoliation señalado arriba.

Lea cómo nuestro sistema de tokens maneja esto de principio a fin. Para más contexto: glosario y FAQ.

El diseño doblemente conforme

Un diseño que cumple tanto con la seguridad de IA como con los deberes legales de divulgación usa enmascaramiento reversible por tokens AES-256-GCM:

  1. Los registros se procesan antes de llegar a cualquier herramienta de IA.
  2. Los elementos sensibles — nombres, IDs, PHI, contenido privilegiado — se intercambian por tokens estructurados.
  3. El mapa de tokens se conserva en un almacén separado con controles de acceso que corresponden al tipo de datos.
  4. El procesamiento de IA se ejecuta en la copia con tokens. La IA nunca ve los registros reales.
  5. Los resultados se restauran usando el mapa de tokens para uso comercial normal.
  6. El mapa de tokens se pone bajo retención legal cuando se adhieren los deberes de divulgación.

En este diseño, ningún contenido en bruto se pierde jamás. El proveedor de IA nunca lo ve en forma utilizable. El mapa de tokens mantiene la recuperación posible cuando la ley lo requiere. El riesgo de spoliation desaparece — ningún registro se destruye. Solo se enmascaran de una manera que puede deshacerse.

El Artículo 4(5) del RGPD se cumple: la clave (mapa de tokens) se conserva aparte con las salvaguardas técnicas y de proceso correctas. El deber de preservación de las Reglas Federales se cumple: los registros en bruto pueden restaurarse cuando se aplica una retención legal.

Explore nuestro enfoque de detección de entidades, la visión general de protección y los planes y tarifas.

La elección binaria

Las empresas se enfrentan a una bifurcación clara:

  • Eliminar datos de forma permanente — resolver el problema de fuga de IA pero crear riesgo legal.
  • Usar enmascaramiento reversible por tokens — satisfacer tanto las necesidades de protección como de conformidad a la vez.

El costo promedio de brecha de IA de 2,1 millones de dólares impulsa la decisión de seguridad. Pero las sanciones por spoliation tampoco son baratas. En casos con altas apuestas monetarias, los costos pueden alcanzar el mismo orden de magnitud. Ambos riesgos merecen consideración.

Una política de IA sólida cubre ambos extremos. Bloquea los registros sensibles para que no salgan de la empresa en forma utilizable. Y mantiene esos mismos registros accesibles cuando un tribunal o regulador los solicita. El enmascaramiento reversible por tokens es el único método que hace ambas cosas a la vez.

Más contexto: declaración del fundador y casos de estudio.

Fuentes

  • Cyberhaven Q4 2025: Exposición de datos en herramientas de IA — enlace
  • IBM / Ponemon Institute: Cost of a Data Breach Report 2024 — enlace
  • Directrices CEPD 05/2022 sobre seudonimización — enlace
  • Federal Rules of Civil Procedure Rule 37(e) — enlace
  • E-Discovery LLC: Relevance Redactions and Legal Standards — enlace

Artículos Relacionados

Tecnología Legal

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Tecnología Legal

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Tecnología Legal

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.