La adopción de soluciones de Inteligencia Artificial (IA) se ha acelerado de forma exponencial en los últimos años. Organizaciones de todos los sectores están incorporando estas tecnologías para mejorar su eficiencia y optimizar procesos.
Sin embargo, esta adopción está produciéndose, en muchos casos, sin un elemento esencial: un marco sólido de gobernanza.
Desde una perspectiva técnico-jurídica, esto plantea una cuestión crítica:
la IA no gobernada no es solo un riesgo tecnológico, sino un riesgo legal estructural.
Una exigencia jurídica con un riesgo invisible: Shadow AI
Existe la idea de que la gobernanza puede ralentizar la innovación. En realidad, es justo lo contrario: permite escalar la IA de forma segura y conforme a derecho.
El informe de IBM «Cost of a Data Breach 2025» confirma una serie de tendencias preocupantes. En primer lugar, el 63% de las organizaciones no dispone de políticas de gobernanza de IA. En segundo lugar, menos del 50% aplica controles efectivos incluso cuando existen dichas políticas. Y por último, en el 97% de las brechas relacionadas con IA, no había controles de acceso adecuados.
Estos datos reflejan un problema claro: la adopción de la IA está superando a la capacidad de control de las organizaciones, generando exposición en términos de cumplimiento normativo y responsabilidad.
Uno de los principales focos de riesgo es la denominada Shadow AI: el uso de herramientas como ChatGPT, Gemini o Claude por parte de empleados sin supervisión de IT o compliance.
Desde el punto de vista jurídico, esto implica:
- Tratamientos de datos sin base legal válida.
- Posibles transferencias internacionales no controladas.
- Ausencia de evaluaciones de impacto (DPIA).
- Riesgos sobre confidencialidad y secreto empresarial.
El impacto es significativo, ya que el informe también refleja que el 20 % de las organizaciones ha sufrido incidentes relacionados, así como que el coste medio de brecha puede incrementarse en hasta 670.000 USD.
La conclusión es clara: la Shadow AI no es un problema técnico, sino un riesgo directo de cumplimiento.
El impacto del Reglamento Europeo de IA: de la adopción a la gobernanza, en toda la cadena de información
El Reglamento Europeo de Inteligencia Artificial (AI Act) introduce un marco normativo específico basado en el nivel de riesgo de los sistemas.
Este nuevo contexto exige a las organizaciones; identificar y clasificar sus sistemas de IA, garantizar transparencia y supervisión; documentar procesos y decisiones automatizadas e integrar la gestión de riesgos en el ciclo de vida de la IA.
La consecuencia es clara: ya no basta con cumplir el RGPD; la IA exige un modelo de cumplimiento propio.
El reto actual no es incorporar IA, sino hacerlo con control. Para ello, las organizaciones deben avanzar en cuatro líneas:
- Definir un marco de gobernanza de IA con roles y políticas claras.
- Crear un inventario de sistemas y usos de IA.
- Evaluar riesgos, incluyendo impacto en datos personales.
- Revisar la relación con terceros y proveedores.
La gobernanza deja de ser opcional para convertirse en un elemento central de la gestión del riesgo corporativo.
Además, debe tenerse en cuenta que la IA rara vez se desarrolla de forma aislada. Normalmente implica proveedores, plataformas externas y modelos de terceros.
Esto introduce un factor clave: el riesgo legal se extiende a toda la cadena de información, pudiendo producirse pérdidas de control sobre el tratamiento de datos, dificultades en la asignación de responsabilidades o falta de transparencia en los sistemas utilizados.
Por ello, es imprescindible reforzar las cláusulas contractuales de seguridad y protección de datos, las obligaciones de notificación de incidentes y los procesos de due diligence tecnológica. Sin este control, no puede hablarse de una gobernanza efectiva de la IA.
Gobernanza de la IA en el tercer sector
En el tercer sector, la gobernanza de la IA adquiere una relevancia especial. Muchas organizaciones gestionan datos sensibles y trabajan con colectivos vulnerables, lo que eleva el nivel de exigencia ética y jurídica, y la necesidad de alinear la gobernanza de la IA con otras normativas como el RGPD. En este contexto, el uso no controlado de IA puede generar riesgos. En este contexto, el uso no controlado de IA puede generar riesgos como, por ejemplo, la vulneración de los derechos fundamentales, sesgos en decisiones automatizadas o falta de transparencia en procesos clave.
Por ello, gobernar la IA en el tercer sector no es solo una cuestión de cumplimiento, sino de responsabilidad.
Integrar marcos de control adecuados permite garantizar un uso ético de la tecnología, proteger a los beneficiarios y reforzar la confianza de financiadores, colaboradores y el resto de stakeholders.
En definitiva, la gobernanza de la IA no solo asegura el cumplimiento normativo, sino que garantiza que la tecnología esté realmente al servicio del impacto social.
