# Plantilla 4 — Checklist de auditoría BMA + LFPDPPP > **Propósito.** Revisión trimestral interna de cumplimiento. Si el despacho responde "no" a más de tres preguntas, tiene un problema de _compliance_ activo que requiere atención inmediata. > > Licencia: CC BY 4.0 — _Inteligencia Artificial para Abogados — Manual del mercado USA-México_ (2026). Cortina Ceballos · Cortina Ceballos · Quezada Salinas. --- ## Periodicidad y alcance - **Frecuencia recomendada:** trimestral, con revisión sumaria mensual. - **Responsable:** socio responsable de la supervisión del uso de IA en el despacho. - **Documentación:** archivar resultados firmados de cada trimestre. Conservar por seis años (alineado con plazos de prescripción profesional). --- ## Bloque 1 — Lineamientos BMA - [ ] ¿Existe política interna de IA escrita y firmada por todo el personal con acceso a herramientas? - [ ] ¿Los planes de IA usados son **Enterprise** con BAA/DPA, no _consumer_ ni _free tier_? - [ ] ¿Hay capacitación documentada para cada usuario activo, antes de su primer uso profesional y renovada anualmente? - [ ] ¿Se verifica el 100% de las citas legales producidas por IA (jurisprudencia, doctrina, casos) antes de presentar al cliente o al tribunal? - [ ] ¿Hay bitácora semanal de uso por usuario, con tarea, herramienta, tiempo ahorrado y errores detectados? - [ ] ¿La _engagement letter_ del despacho contiene cláusula informativa de uso de IA (Plantilla 2 del libro)? - [ ] ¿Hay un socio responsable identificado para supervisión del uso de IA? ## Bloque 2 — LFPDPPP - [ ] ¿El aviso de privacidad menciona el tratamiento por herramientas de IA (Plantilla 3 del libro)? - [ ] ¿Hay instrumento contractual vigente (BAA o DPA) con cada proveedor de IA usado, archivado en formato físico y digital? - [ ] ¿Se identifica explícitamente como transferencia internacional el envío de datos a EE.UU. o UE? - [ ] ¿Existe procedimiento documentado para atender derechos ARCO sobre datos tratados con IA, con plazo de respuesta interno alineado a los plazos legales? ## Bloque 3 — Riesgos profesionales - [ ] ¿La bitácora de incidentes (errores que salieron al cliente o al tribunal) está al día y se reporta al socio responsable? - [ ] ¿Hubo capacitación de actualización en los últimos doce meses, con tema documentado? - [ ] ¿La política de uso de IA se revisó en los últimos seis meses, con minuta del comité firmada? - [ ] ¿El despacho ha auditado al menos una vez al trimestre un caso real para validar que la disciplina aplicó (sanitización efectiva, verificación de citas, registro en bitácora)? --- ## Lectura del resultado | Respuestas "sí" | Estado | |---|---| | 16 / 16 | _Compliance_ pleno. Mantener disciplina. | | 13–15 | Buen estado. Atender los ítems no marcados antes del siguiente trimestre. | | 9–12 | Estado intermedio. Plan de acción a 90 días con responsables y fechas. | | ≤ 8 | Estado de riesgo. Pausar uso de IA con información de cliente hasta cerrar las brechas críticas (BAA, política, capacitación). | --- ## Plan de acción para brechas detectadas Por cada ítem no marcado: 1. Identifique responsable de cierre. 2. Asigne fecha de cumplimiento (máximo 30 días para brechas LFPDPPP; 90 días para BMA y riesgos profesionales). 3. Documente la evidencia que cierra la brecha (política firmada, contrato suscrito, capacitación tomada, bitácora iniciada). 4. Verifique en la siguiente auditoría trimestral. --- ## Firma de la auditoría | Campo | Valor | |---|---| | Periodo auditado | Q__ — 20__ | | Auditor (socio responsable) | | | Fecha de la revisión | | | Resultado total (X / 16) | | | Plan de acción adjunto | sí / no | | Firma | | --- **Cita sugerida:** Cortina Ceballos, B., Cortina Ceballos, S., Quezada Salinas, K., _Plantilla 4 — Checklist de auditoría BMA + LFPDPPP_, en _Inteligencia Artificial para Abogados — Manual del mercado USA-México_, primera edición, 2026, back matter.