Sin gobernanza de datos, la inteligencia artificial es apenas una apuesta costosa | Fabián Descalzo

 

La carrera por implementar IA está exponiendo una debilidad que muchas organizaciones prefirieron ignorar: no conocen suficientemente los datos con los que están construyendo su futuro.


Las empresas están avanzando rápidamente con asistentes inteligentes, analítica predictiva, automatización de decisiones y agentes autónomos. El entusiasmo es comprensible. La inteligencia artificial promete reducir costos, mejorar la experiencia del cliente, acelerar operaciones y transformar modelos de negocio.

Sin embargo, detrás de cada modelo de IA existe una realidad mucho menos atractiva para una presentación corporativa: datos dispersos, duplicados, desactualizados, sin propietarios definidos, con permisos excesivos y utilizados para finalidades que nadie documentó adecuadamente.

La conversación empresarial se ha concentrado demasiado en los modelos y muy poco en aquello que los alimenta.

▶ Una organización no puede aspirar a una inteligencia artificial confiable si antes no construyó datos confiables.

Esta no es una discusión exclusivamente tecnológica. Es una cuestión de gobierno corporativo, responsabilidad ejecutiva, privacidad, reputación y sostenibilidad del negocio.


El problema no es tener pocos datos, sino no saber qué se tiene

Durante años, muchas empresas acumularon información bajo la premisa de que, eventualmente, podría resultar útil. Bases comerciales, registros de clientes, correos electrónicos, conversaciones, historiales de navegación, documentos internos y datos provenientes de terceros comenzaron a multiplicarse sin una arquitectura integral de gobierno.

La inteligencia artificial convirtió esa acumulación desordenada en un riesgo visible.

Cuando una organización incorpora IA, ya no alcanza con saber dónde están almacenados los datos. Debe poder responder preguntas mucho más exigentes:

  • ¿Quién es responsable de cada conjunto de datos?
  • ¿Con qué finalidad fue recolectado?
  • ¿Existe una base legítima para utilizarlo?
  • ¿Puede emplearse para entrenar, ajustar o consultar un modelo?
  • ¿Contiene información personal, sensible o confidencial?
  • ¿Qué nivel de calidad, integridad y actualización posee?
  • ¿Con qué proveedores, plataformas o jurisdicciones se comparte?
  • ¿Durante cuánto tiempo debe conservarse?
  • ¿Cómo se elimina o anonimiza?

La gobernanza comienza cuando estas respuestas dejan de depender de la memoria de algunas personas y pasan a formar parte de un sistema verificable.

En Argentina, la Ley 25.326 establece principios vinculados con la calidad, finalidad, pertinencia, seguridad y confidencialidad de los datos personales. En paralelo, marcos internacionales como el GDPR, el Convenio 108+, el Data Governance Act y el AI Act europeo elevan progresivamente las obligaciones de transparencia, trazabilidad y rendición de cuentas.

Por eso, una estrategia seria debe incluir mapeo de datos, evaluaciones de impacto, gestión de brechas, privacidad desde el diseño y mecanismos para demostrar cumplimiento.


La privacidad no limita la innovación: evita que la innovación se vuelva indefendible

Todavía persiste una falsa dicotomía: innovar rápidamente o proteger la privacidad.

Es un error conceptual.

La privacidad bien gestionada no impide utilizar datos. Establece las condiciones para utilizarlos legítimamente, con objetivos definidos, controles proporcionales y responsabilidades claras.

Una empresa que incorpora la privacidad desde el diseño puede acelerar proyectos porque conoce anticipadamente qué datos puede utilizar, bajo qué restricciones y con qué medidas de protección. Una empresa que posterga estas preguntas suele descubrir los problemas cuando la solución ya fue integrada, los proveedores contratados y los usuarios impactados.

En ese momento, corregir cuesta más.

El verdadero freno a la innovación no es el control. Es la incertidumbre.

Pensemos en una compañía que desea implementar un asistente de IA para analizar reclamos de clientes. Desde la perspectiva funcional, el caso parece sencillo: reunir conversaciones históricas, clasificarlas y generar recomendaciones.

Pero esas conversaciones podrían contener información financiera, datos de salud, documentos de identidad, opiniones personales o datos de terceros. También podrían haber sido recopiladas para atender un reclamo, no para entrenar un sistema automatizado.

Sin evaluación previa, el proyecto podría mejorar la productividad mientras amplifica simultáneamente riesgos legales, discriminación, exposición de información y pérdida de confianza.


La pregunta ejecutiva es: “¿Podemos justificar, controlar y auditar cómo lo hace?”


Los datos determinan el comportamiento de la IA

La calidad de una solución de inteligencia artificial depende de mucho más que la potencia del algoritmo.

Datos incompletos generan conclusiones incompletas. Datos históricos sesgados reproducen decisiones sesgadas. Datos desactualizados producen recomendaciones irrelevantes. Datos sin trazabilidad hacen imposible explicar un resultado.

Por eso, la auditoría de IA debe revisar dimensiones como calidad de datos, arquitectura tecnológica, desempeño, sesgos, controles de caja negra, seguridad, privacidad y supervisión humana.

Este punto es especialmente crítico cuando la IA interviene en decisiones sobre personas: contratación, crédito, salud, seguros, educación, acceso a beneficios o prevención del fraude.

En esos casos, un error no representa únicamente una falla estadística. Puede convertirse en perjuicio económico, discriminación, litigio o daño reputacional.

El AI Act europeo exige para determinados sistemas de alto riesgo prácticas específicas de gestión de riesgos, documentación, gobernanza de datos, transparencia y supervisión humana. Su implementación gradual ya está transformando las expectativas regulatorias y contractuales incluso fuera de Europa.

ISO/IEC 42001:2023, por su parte, propone un sistema de gestión para gobernar el desarrollo y uso de IA a lo largo de su ciclo de vida. NIST AI RMF complementa este enfoque mediante funciones orientadas a gobernar, mapear, medir y gestionar riesgos.

Ninguno de estos marcos plantea que la organización deba eliminar completamente el riesgo. Exigen algo más realista y profesional: identificarlo, evaluarlo, asignarle responsables, implementar controles y monitorearlo.

La gestión de riesgos de IA debe integrar seguridad, ética, privacidad, cumplimiento, explicabilidad y mejora continua.


La gobernanza necesita dueños, no solamente políticas

Muchas iniciativas fracasan porque producen documentos correctos, pero no cambian la forma en que la organización toma decisiones.

La gobernanza efectiva requiere, al menos, cinco componentes.

  1. Primero, responsabilidad ejecutiva. El directorio y la alta dirección deben definir el apetito de riesgo relacionado con los datos y la IA.
  2. Segundo, propiedad de los datos. Cada dominio relevante necesita un responsable que pueda decidir sobre calidad, acceso, finalidad y conservación.
  3. Tercero, clasificación. No todos los datos requieren el mismo nivel de protección. La organización debe distinguir información pública, interna, confidencial, personal, sensible y crítica.
  4. Cuarto, controles durante todo el ciclo de vida. La evaluación no puede limitarse al momento de lanzamiento. Los modelos cambian, los datos se degradan y los usos evolucionan.
  5. Quinto, evidencia. Una organización gobernada debe poder demostrar qué decidió, quién lo aprobó, qué riesgos evaluó y qué controles aplicó.


Una agenda concreta para el directorio

Antes de aprobar una nueva iniciativa de IA, la dirección debería exigir respuestas a seis preguntas:

  1. ¿Qué problema de negocio resolverá el sistema?
  2. ¿Qué datos utilizará y cuál es su procedencia?
  3. ¿Quiénes pueden verse afectados por sus decisiones?
  4. ¿Qué riesgos de privacidad, seguridad, sesgo y error fueron evaluados?
  5. ¿Qué controles humanos y tecnológicos estarán vigentes?
  6. ¿Cómo se monitoreará y auditará su desempeño?

Estas preguntas no buscan convertir al directorio en un comité técnico. Buscan impedir que decisiones estratégicas sean tomadas sin visibilidad suficiente.


Gobernar los datos es gobernar la capacidad de decidir

Mi opinión es que la ventaja competitiva de los próximos años no pertenecerá necesariamente a las empresas que adopten IA primero.

Pertenecerá a aquellas que puedan implementarla repetidamente, en distintos procesos, con velocidad, confianza y control.

Eso exige algo más profundo que comprar licencias o contratar especialistas en modelos. Requiere construir una arquitectura organizacional donde los datos tengan propietarios, reglas, calidad, propósito y trazabilidad.

La IA no corrige una mala gobernanza de datos. La expone y la amplifica.

Las organizaciones que comprendan esta relación podrán transformar la privacidad y el cumplimiento en habilitadores de innovación. Las que la ignoren probablemente descubrirán que su mayor riesgo no estaba en el algoritmo, sino en los datos que decidieron entregarle.


▶ Gobernar la inteligencia artificial comienza mucho antes del modelo: comienza cuando la empresa decide qué datos merece utilizar y bajo qué condiciones está dispuesta a hacerlo.


Privacidad basada en evidencia: por qué ISO/IEC 27701 se vuelve estratégica para las organizaciones | Por Fabián Descalzo - BDO Argentina

 

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.