Tercer martes del mes, 10:30am. El CEO presenta al directorio la nueva estrategia de transformación digital: tres pilotos de IA, un comité interno, una matriz de evaluación de proveedores. Discusión cordial, preguntas inteligentes, se aprueban propuestas y se registra en el acta.
Lo que el directorio no sabe es que, mientras la presentación avanza, la amplia mayoría significativa de los profesionales de esa misma empresa hace buen rato que está usando IA generativa en su trabajo diario. Sin autorización, sin política, sin auditoría. La pregunta no es si la IA opera en su empresa. La pregunta es desde cuándo, en qué procesos críticos, y con qué datos.
La infraestructura silenciosa
El Work Trend Index de Microsoft de 2024 reportó que el 75% de los knowledge workers a nivel global ya utiliza herramientas de IA en su trabajo. El dato relevante no es ese. El dato relevante es el siguiente: en la mayoría de los casos, esa adopción ocurre sin que la organización haya proveído la herramienta. Los empleados llevan su propia IA al trabajo, como en su momento llevaron su propio smartphone.
Esa es la diferencia con la transformación digital de hace una década. El ERP requería una decisión del directorio: presupuesto, integración, riesgos modelados. ChatGPT no requiere nada. Una tarjeta de crédito personal, una cuenta gratuita, treinta segundos. Y de pronto, las propuestas comerciales, los borradores de contratos, los análisis de competencia, las cartas a clientes, los pedazos de código en producción, todo pasa por modelos de IA cuyos términos de servicio nadie en el directorio leyó.
La paradoja es brutal: el comité de auditoría revisa con lupa el procesamiento de un proveedor de servicios de nómina, pero ignora que decisiones operativas más sensibles, desde la atención al cliente hasta la valuación de activos, ya están siendo asistidas por modelos cuyo perímetro de control nadie definió.
La auditoría que nadie hizo
Samsung Electronics aprendió esto del modo doloroso. En abril de 2023, ingenieros de su división de semiconductores cargaron código propietario en ChatGPT para depurarlo más rápido. El código quedó alojado en infraestructura externa. Samsung prohibió internamente el uso de IA generativa pocos días después. El daño ya estaba hecho.
La pregunta que ningún directorio quiere responder es: ¿qué información estratégica de su empresa lleva semanas o meses circulando en servidores que la organización no controla?
Cyberhaven, firma de seguridad de datos, publicó en 2023 un análisis sobre millones de eventos de copy-paste hacia ChatGPT en empresas de gran tamaño. Aproximadamente uno de cada diez fragmentos cargados contenía información confidencial: datos de clientes, código fuente, planes estratégicos, información médica. La compañía promedio con cien mil empleados experimentaba cientos de incidentes de fuga al día.
Estos incidentes no aparecen en ningún reporte trimestral. No están en ninguna matriz de riesgo. No los discute ningún directorio. Y sin embargo, ocurren.
La paradoja latinoamericana
En Latinoamérica el problema toma una textura específica. Tenemos directorios con menor sofisticación tecnológica que sus pares anglosajones, pero organizaciones cuyos empleados adoptan IA al mismo ritmo que en cualquier economía abierta. El Índice Latinoamericano de Inteligencia Artificial elaborado por CEPAL y CENIA muestra que la región está sistemáticamente rezagada en gobernanza digital frente a estándares OECD. La brecha entre el ritmo de adopción operativa y la madurez del directorio es, en nuestra región, particularmente amplia.
A esto se suma una característica estructural. La alta concentración de propiedad en empresas familiares y grupos económicos significa que muchas decisiones tecnológicas se toman fuera del directorio, en conversaciones del controlador con el CEO. El directorio recibe la información después, cuando ya hay contratos firmados y datos circulando. La supervisión, en ese diseño, llega tarde.
Lo que el directorio debe exigir antes del próximo trimestre
No estoy proponiendo prohibir la IA. Es una batalla perdida y, francamente, equivocada. Lo que el directorio debe exigir es algo más básico: visibilidad.
Primero, un inventario de uso real, no declarado. La encuesta anónima al staff suele revelar entre tres y cinco veces más uso de IA del que reporta el área de tecnología. Ese inventario es la línea base sin la cual cualquier política es ficción.
Segundo, una política de IA aprobada por el directorio, no redactada por compliance y archivada en una carpeta compartida. Debe responder cinco preguntas concretas: qué datos pueden cargarse y cuáles nunca, qué decisiones pueden delegarse y cuáles requieren juicio humano, qué proveedores están autorizados, cómo se audita el uso, y quién responde cuando algo falla.
Tercero, una métrica de exposición en cada reporte trimestral del CEO al directorio. No “estamos invirtiendo en IA”. Algo más específico: cuántos procesos críticos dependen ya de modelos de IA, cuántos incidentes se reportaron en el período, qué proveedores expusieron los datos.
Para reflexionar en su directorio:
- ¿Sabe qué porcentaje de los empleados de su empresa usa IA generativa en su trabajo diario hoy?
- ¿Existe una política de IA aprobada formalmente por el directorio, o solo una recomendación interna?
- ¿Qué datos sensibles han salido ya del perímetro corporativo a través de herramientas no autorizadas?
- En su próximo comité de auditoría, ¿está la exposición a IA explícitamente en la agenda?
- Si mañana ocurriera un incidente, ¿quién en su organización tiene la autoridad y el conocimiento para gestionarlo?
La gobernanza de la IA no empieza con un proyecto piloto. Empieza con la incómoda admisión de que la IA lleva tiempo operando en su empresa, y que la pregunta no es si autorizarla, sino qué hacer con la infraestructura silenciosa que ya está allí.
P.D. El directorio que aprueba una “estrategia de IA” mientras ignora la IA que ya opera en sus pasillos no está gobernando. Está dando una conferencia.