Patricio Campos
CEO de Resility
La inteligencia artificial se ha integrado con suma rapidez en la operación diaria de las empresas. Se usa ya sea para redactar documentos, analizar información, preparar reportes o apoyar decisiones estratégicas. Pero este proceso de adopción acelerada está ocurriendo, en muchos casos, sin reglas claras ni controles mínimos sobre el uso de datos.
Hoy es habitual subir a plataformas de IA públicas información confidencial, documentos internos o datos personales de clientes y proveedores, con el único objetivo de ganar eficiencia. El problema es que esa información sale del perímetro de control de la organización, exponiendo a las empresas a riesgos de privacidad, cumplimiento normativo y reputación que aún no están plenamente internalizados.
Las cifras muestran que no se trata de casos aislados. Estudios internacionales revelan que las organizaciones enfrentan cientos de incidentes mensuales asociados al uso indebido de herramientas de IA, y que más de la mitad involucra datos sensibles o regulados, como información financiera, personal o de salud. El fenómeno del Shadow AI, es decir, el uso de IA, sin conocimiento ni supervisión institucional, se ha convertido en una amenaza concreta para la seguridad corporativa.
En nuestro país, este escenario es particularmente delicado. La adopción de IA avanza más rápido que la madurez en ciberseguridad y protección de datos. La mayoría de las empresas aún no cuenta con políticas internas claras sobre qué información puede ser utilizada en herramientas de IA, ni con procesos de capacitación sistemática para sus equipos. En la práctica, se está delegando en el criterio individual una responsabilidad que es, por definición, estratégica.
Hasta ahora, el marco normativo ha sido fragmentario frente al avance de la IA. Si bien la Ley 19.628 reguló por años la protección de la vida privada, su diseño respondió a una lógica previa a la IA generativa y a los actuales flujos masivos de datos. Este escenario comenzó a cambiar con la publicación de la Ley 21.719, que moderniza la normativa de protección de datos personales y crea la Agencia de Protección de Datos Personales como órgano fiscalizador, aunque con un período de implementación gradual que se extiende hasta 2026.
A esto se suma la discusión legislativa sobre regulación específica de la IA, que introduce principios de responsabilidad, seguridad y control de riesgos. El desafío es evidente, ya que muchas prácticas hoy normalizadas en el uso corporativo de IA deberán ajustarse, o derechamente abandonarse, cuando este nuevo marco sea plenamente exigible.
Y es que el riesgo no es solo legal. Al subir información sensible a plataformas de IA externas, las empresas pierden trazabilidad sobre el destino de esos datos y reducen su capacidad de control sobre su uso futuro. No siempre existe claridad respecto de su almacenamiento, reutilización o eventual incorporación al entrenamiento de modelos.