Por Claudio Ramírez, socio de Consiglieri*
Cuando los directorios discuten los riesgos asociados a inteligencia artificial, muchas veces emerge un patrón previsible: tras algunos minutos de conversación, alguien sugiere «derivar el tema al área de tecnología para que elabore una propuesta». Este reflejo, aparentemente razonable, representa uno de los errores estratégicos más costosos que las compañías pueden cometer en la era de la IA.
La tentación de tratar estos riesgos exclusivamente como problemas técnicos es comprensible. La IA es tecnología, las áreas de TI gestionan tecnología, por tanto debiese corresponder a ellos gestionar los riesgos de IA. Esta lógica, sin embargo, confunde el medio con la consecuencia. Los equipos tecnológicos pueden implementar restricciones de acceso o configurar filtros, pero, muchas veces, carecen del mandato y la perspectiva para abordar lo que realmente está en juego: exposición legal, daño reputacional y responsabilidad corporativa.
La naturaleza jurídica de estos riesgos se evidencia en escenarios cotidianos. Un colaborador utiliza ChatGPT para redactar una cláusula contractual compleja, ingresando términos confidenciales de una negociación en curso. Las verdaderas consecuencias no son tecnológicas sino jurídicas: posible violación de acuerdos de confidencialidad, exposición de estrategia comercial, y creación de registros en sistemas de terceros que podrían ser citados en futuros litigios. Ningún firewall resuelve estas implicaciones.
La dimensión externa amplifica esta realidad. Un deepfake del CEO anuncia una decisión estratégica falsa que impacta el precio de las acciones. El área de TI puede identificar la manipulación digital, pero no puede determinar la respuesta legal apropiada, coordinar comunicaciones con reguladores, o evaluar responsabilidades fiduciarias. La dimensión técnica es secundaria; las dimensiones legal, reputacional y de gobierno corporativo definen la supervivencia institucional.
Esta delegación exclusiva al área tecnológica no solo es ineficaz, es peligrosa. Crea una ilusión de control donde no existe: políticas de uso que nadie supervisa, protocolos técnicos que no contemplan escenarios de crisis, y responsabilidades difusas cuando se materializan incidentes. Peor aún, posterga las conversaciones incómodas pero necesarias sobre quién decide qué información puede procesarse mediante IA, cómo se valida contenido generado algorítmicamente antes de usarse en contextos críticos, o qué estándares de due diligence aplican cuando las decisiones incorporan procesamiento automatizado.
La respuesta requiere un cambio de paradigma. Los riesgos de IA demandan gobernanza multidisciplinaria donde las áreas legal, compliance, comunicaciones y alta dirección participen activamente. No como consultoras ocasionales del área tecnológica, sino como co-responsables de arquitecturas de decisión que atraviesan toda la organización. Esto implica definir taxonomías de riesgo que distingan entre usos triviales y críticos de IA, establecer protocolos de respuesta que integren consideraciones jurídicas y reputacionales desde el primer minuto, y crear capacidades de simulación donde se ensayen escenarios adversos antes de que éstos ocurran.
En el fondo, la pregunta fundamental no es técnica sino estratégica:¿Quién en la compañía tiene autoridad para definir los límites del uso de IA y determinar qué exposiciones son tolerables? ¿Quién responde cuando un colaborador expone información sensible o cuando contenido falso generado por IA impacta la reputación corporativa? Estas preguntas no admiten respuestas exclusivamente tecnológicas porque son, esencialmente, preguntas sobre gobierno, responsabilidad y accountability.
Las empresas que persistan en tratar los riesgos de IA como un problema solo de IT están apostando a que los incidentes críticos no ocurrirán bajo su gestión. Es una apuesta que la historia corporativa reciente demuestra sistemáticamente como la más errada. Cuando llegue el primer incidente – y llegará – , la compañía enfrentará una pregunta incómoda: ¿por qué las decisiones sobre exposición legal y reputacional quedaron confinadas a un ámbito técnico cuando sus implicaciones atravesaban toda la estructura corporativa?
Hoy, no se trata de cuestionar la competencia de los equipos de tecnología, sino de reconocer que estos riesgos exceden cualquier mandato departamental y demandan liderazgo estratégico desde el directorio hacia toda la organización.
Mañana, cuando el incidente se materialice, la pregunta ya no será quién debió haber liderado la conversación, sino quién asumirá las consecuencias de no haberla tenido.
