- Cada 28 de enero, el Día Internacional de la Protección de Datos Personales nos convoca a examinar críticamente cómo las organizaciones están gestionando uno de los activos más sensibles de la economía digital. Este año, la reflexión adquiere especial relevancia, ya que la inteligencia artificial se ha integrado aceleradamente en la operación cotidiana de las empresas, pero su adopción avanza a un ritmo significativamente superior al desarrollo de políticas, controles y marcos de protección de datos.
La IA se utiliza actualmente para redactar documentos, analizar información, generar reportes y apoyar decisiones estratégicas. En ese proceso, resulta frecuente que se carguen en plataformas de IA públicas datos personales de clientes, antecedentes financieros o documentos internos, generalmente con el propósito de optimizar la eficiencia operacional. Sin embargo, esta práctica implica que la información abandona el perímetro de control organizacional, generando un vector de riesgo cuya magnitud no siempre es dimensionada adecuadamente por las áreas de gobierno corporativo.
La externalización de datos conlleva una pérdida de trazabilidad sobre su destino final. Persiste una significativa opacidad respecto de las condiciones de almacenamiento, reutilización o eventual incorporación de esta información en el entrenamiento de modelos de lenguaje. A este fenómeno se añade lo que la literatura especializada denomina «Shadow AI»: el uso de herramientas de inteligencia artificial por parte de colaboradores sin conocimiento ni supervisión institucional, trasladando así una responsabilidad estratégica al criterio y discernimiento individual.
En el contexto nacional, este escenario presenta características particularmente complejas. Si bien la adopción de IA avanza con celeridad, la madurez en ciberseguridad y protección de datos exhibe heterogeneidad significativa entre sectores económicos. Un número importante de organizaciones carece aún de políticas explícitas sobre qué categorías de información pueden ser procesadas mediante sistemas de IA, así como de programas sistemáticos de capacitación para sus equipos. Las consecuencias de esta brecha son tangibles: exposición creciente a incidentes de seguridad, sanciones administrativas que bajo la nueva normativa pueden alcanzar el 4% de los ingresos anuales, y deterioro reputacional de difícil reversión.
Desde la perspectiva del marco regulatorio, el panorama se encuentra en transformación activa. La Ley 21.719 moderniza sustantivamente la protección de datos personales y establece la Agencia de Protección de Datos Personales como órgano fiscalizador autónomo, con un cronograma de implementación gradual que se extiende hasta 2026.
Paralelamente, se encuentra en fase de discusión legislativa una regulación específica para la inteligencia artificial, que incorpora principios de responsabilidad algorítmica, seguridad por diseño y gestión prospectiva de riesgos. Prácticas que en el presente se consideran habituales deberán necesariamente ajustarse —o cesar— cuando este marco normativo adquiera plena exigibilidad.
El riesgo inherente a esta situación no es exclusivamente de naturaleza legal o tecnológica, sino fundamentalmente estratégico. El debate sobre inteligencia artificial no puede continuar circunscrito a consideraciones de productividad e innovación. Debe integrar necesariamente dimensiones de gobernanza de datos, protección de derechos fundamentales y gestión sistémica de riesgos como componentes centrales de los procesos de toma de decisión corporativa.
En este Día Internacional de la Protección de Datos Personales, la interrogante que las organizaciones deben formularse no es si la inteligencia artificial genera valor agregado a sus operaciones. Ese debate está resuelto. La pregunta crítica es si las empresas están preparadas para asumir accountability por el tratamiento de los datos que actualmente externalizan a estas tecnologías, antes de que el marco regulatorio y sus implicancias las obliguen a hacerlo.
La protección de datos en la era de la inteligencia artificial no constituye una materia de tecnologías de información. Es una cuestión de gobierno corporativo que compete al directorio. Y la ventana de oportunidad para la acción proactiva se estrecha progresivamente.
Equipo Prensa
Portal Innova
