IA y datos: riesgos corporativos, impactos legales y gobernanza eficaz
La inteligencia artificial generativa ha trascendido el ámbito tecnológico para convertirse en un desafío de gobernanza corporativa
Empecemos por hablar un mismo idioma. Definamos conceptos. Los agentes de IA son medios, sistemas, que permiten implementar tratamientos de datos personales introduciendo una mayor automatización. Por otro lado, un agente de IA puede ser una parte de las operaciones de un tratamiento que incluya, para implementar otras operaciones, el uso de otros sistemas o de operaciones realizadas por un operador humano.
En este contexto actual, la adopción masiva de inteligencia artificial generativa ha trascendido el ámbito tecnológico para convertirse en un desafío de gobernanza corporativa. La aplicación de estos sistemas impacta directamente en obligaciones legales y operativas, especialmente en ámbitos como protección de datos y derechos fundamentales y exige una gestión de riesgos estructurada alineada con estándares internacionales y con las directrices que señala la Agencia Española de Protección de Datos: la generación automatizada de datos no exime de responsabilidad al responsable del tratamiento, sino que intensifica la necesidad de trazabilidad, supervisión y documentación formal.
Este tipo de IA puede generar impactos con certeza absoluta de ocurrencia se denomina impacto crítico. Por ejemplo, en un tratamiento de datos personales que es legítimo por alguna razón registrar todas la comunicaciones realizadas por una persona, tiene un impacto sobre sus derechos y libertades con certeza absoluta. Si no tuviera dicha legitimidad sería un incumplimiento normativo, apunta la AEPD. Si se filtrasen los datos por una brecha habría un impacto adicional por lo cual hay un riesgo. Normalmente los impactos críticos se derivan de la propia definición del tratamiento y también se podría disminuir tomando medidas que lo hicieran proporcional a la finalidad del tratamiento, en muchos casos cambiando la definición del propio tratamiento. En este caso no sería un riesgo, sino una certeza.
En este contexto, la ISO/IEC 42001 ofrece un marco estructurado de gestión de la IA, no regula modelos ni algoritmos; regula cómo la organización los gobierna. Para operaciones, esto implica definir roles y responsabilidades, documentar procedimientos, realizar evaluaciones sistemáticas de riesgos —incluidos los relativos a protección de datos— y establecer mecanismos de monitorización y mejora continua.
La información deberá atenerse al objetivo de la información facilitada a los interesados tal y como se establece en el Considerando 39 del RGPD, conforme al cual las personas deben tener conocimiento de los riesgos, las normas, las garantías y los derechos relativos al tratamiento de sus datos personales, así como de los medios para ejercer dichos derechos.
Para ello, la minimización de datos ha de contemplarse desde el diseño de los tratamientos y trasladarlo al diseño o configuración de los agentes. La incorporación de sistemas de IA agéntica en un tratamiento puede implicar automatización, pero no siempre implicará decisiones automatizadas en el sentido del artículo 22 del RGPD: el interesado tiene derecho “a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.
En este sentido, todo tratamiento de datos obtenidos con IA y su posterior toma de decisiones, requiere una GESTIÓN DE RIESGOS. Se trata de un proceso proactivo para gobernar las incertidumbres que amenazan los derechos y libertades de los sujetos de datos en un tratamiento de datos personales: hay que identificar, evaluar y priorizar los riesgos, para después coordinar esfuerzos y tomar decisiones para evitar o minimizar su probabilidad o impacto. Es esencial que potenciemos esa seguridad integral ISO 31000 (gestión de riesgos) y seguridad intregada ISO 37301 (sistemas integrados de gestión de compliance). Se trata de un binomio que crea y potencia credibilidad, tanto reputacional como profesional.
En esta misa línea, la Comisión Europea ya debería haberse posicionado sobre las directrices de aplicación de los sistemas de alto riesgo de IA. Ese incumplimiento genera inestabilidad operativa y corporativa en las empresas y agentes del sector. Ante dicha incertidumbre, COSO ha publicado una nueva guía de 30 páginas para ayudar a las organizaciones a gestionar los riesgos asociados a la inteligencia artificial generativa.
La guía identifica ocho tipos de capacidades de la IA generativa —como extracción e ingestión de datos, monitorización continua o generación de previsiones— y subraya la necesidad de abordar riesgos transversales como la calidad de los datos, las alucinaciones, la explicabilidad, la seguridad y privacidad, los sesgos, la rendición de cuentas y el riesgo de terceros.
Por todo ello, para el departamento de operaciones la cuestión no debería ser simplemente tecnológica, sino de control interno, de madurez operativa y de gobernanza eficaz corporativa. La integración de la gestión de la IA en los sistemas ya existentes —compliance, gestión de riesgos, calidad— permite generar coherencia entre innovación y disciplina organizativa, así como la evidencia verificable ante reguladores, clientes y Consejo de Administración. Seamos valientes, seamos solventes.