Juan Pablo López*
La decisión de Anthropic de restringir el acceso a uno de sus modelos más avanzados (Mythos) no solo evidencia el nivel de desarrollo alcanzado en inteligencia artificial, sino que instala una pregunta que rara vez se formula en el gobierno corporativo. ¿Cómo se ejerce el deber de cuidado frente a riesgos que no son completamente observables?
La capacidad de estos sistemas para identificar vulnerabilidades que han permanecido invisibles durante años modifica el punto de partida. Ya no se trata únicamente de gestionar amenazas conocidas, sino de enfrentar escenarios donde la información es incompleta y la magnitud del riesgo no puede ser plenamente dimensionada. La incertidumbre deja de ser un elemento accesorio y pasa a constituir una condición estructural de la toma de decisiones, lo que obliga a revisar no solo las herramientas utilizadas, sino también los criterios bajo los cuales se validan y las hipótesis sobre las que se construyen.
El estándar jurídico no se ajusta a esa complejidad. El artículo 41 de la Ley 18.046 exige a los directores actuar con la diligencia y cuidado que emplearían en sus propios negocios, sin distinguir entre riesgos conocidos y emergentes. Esta exigencia adquiere mayor intensidad cuando la información disponible es limitada, ya que obliga a actuar con mayor prudencia precisamente en ausencia de certezas. A ello se suma la Ley 21.595 sobre delitos económicos, que amplía la responsabilidad de las personas jurídicas y refuerza el vínculo entre las decisiones corporativas y sus consecuencias legales. Esto incrementa la exposición en escenarios de incertidumbre tecnológica, sobre todo porque dicha ley incorporó en su catálogo la Ley de delitos informáticos (Ley 21.459), vigente desde junio de 2022.
En este contexto, la ciberseguridad deja de ser una función operativa para instalarse en el núcleo de la responsabilidad fiduciaria. No basta con delegar en áreas técnicas ni con asumir que la incorporación de nuevas tecnologías constituye una señal de modernización o competitividad. El Directorio debe ser capaz de comprender bajo qué condiciones una decisión resulta jurídicamente defendible, qué nivel de evidencia respalda su adopción y cuáles son los supuestos que no han sido verificados.
Esto exige procesos más rigurosos de validación. Implica revisar la consistencia de los reportes técnicos, contrastar diagnósticos, evaluar la experiencia de los proveedores y, cuando sea necesario, postergar decisiones hasta contar con mayor claridad. También supone distinguir entre capacidades efectivas y promesas de mercado, especialmente en contextos donde la oferta tiende a adelantarse al entendimiento y donde la presión por actuar puede desplazar el análisis.
La innovación no puede evaluarse únicamente por su potencial de eficiencia. Debe analizarse también en función de su impacto en la exposición jurídica de la organización, en la resiliencia de sus procesos y en la capacidad de responder frente a fallas no previstas. Cuando esa dimensión se omite, la decisión deja de ser estratégica y pasa a convertirse en un riesgo que puede materializarse en consecuencias económicas, regulatorias y reputacionales de alto impacto.
La diferencia entre una organización que incorpora tecnología de manera sostenible y otra que se expone innecesariamente no radica en el acceso a herramientas, sino en la calidad del criterio que las habilita. En entornos donde lo relevante no siempre es visible, deliberar antes de actuar no es una opción conservadora, sino la única forma razonable de ejercer el deber de cuidado.
Juan Pablo López
Director Ciberlegal
Abogado
